Cyberthreat.id – Peneliti keamanan dari Unit 42 Palo Alto Networks mengungkapkan bahwa Gamaredon yang terkait dengan Rusia, mengubah taktik dalam serangan siber yang menargetkan ukraina.

Gamardeon merupakan salah satu grup peretasan yang dikenal memberikan layanan kepada aktor ancaman persisten tingkat lanjut (APT) lainnya. Mereka di kenal sebagai Armageddon, Primitive Bear, Shuckworm, dan Trident Ursa, Gamaredon telah aktif setidaknya sejak 2013, terutama berfokus pada target di Ukraina.

APT mengandalkan email phishing untuk distribusi malware dan menyediakan akses ke jaringan yang disusupi dan intelijen kepada pelaku ancaman lainnya. Mereka juga salah satu APT aktif yang terus-menerus menargetkan Ukraina.

Dikutip dari Security Week, peneliti mengatakan selama sepuluh bulan terakhir, Gamaredon terlihat menargetkan perusahaan penyulingan minyak bumi besar, serta mengubah taktik, teknik, dan prosedur (TTP) berkali-kali.

Secara tradisional, kelompok peretas terlihat menggunakan umpan phishing dalam bahasa Ukraina, tetapi juga menggunakan umpan bahasa Inggris dalam beberapa kasus, kemungkinan untuk meningkatkan akses jaringan dan pengumpulan intelijen terhadap Ukraina dan anggota NATO. Pada akhir Agustus, pelaku ancaman tidak berhasil mencoba untuk berkompromi dengan perusahaan penyulingan minyak bumi besar di dalam negara anggota NATO menggunakan iming-iming bahasa Inggris.

Peneliti keamanan Unit 42 juga menemukan bahwa, pada 24 Februari, pada hari yang sama ketika Rusia menginvasi Ukraina, seseorang bernama Anton, yang tampaknya memiliki hubungan dengan Gamaredon, mengancam sekelompok peneliti keamanan dunia maya yang menerbitkan tweet yang menyoroti indikator kompromi kelompok (IoCs).

Selama beberapa hari berikutnya, Anton menggunakan beberapa akun untuk menerbitkan tweet ancaman yang menampilkan tagar Gamaredon, termasuk salah satunya berisi nama lengkap dan alamat Mikhail Kasimov, seorang peneliti yang beroperasi dari dalam zona perang.

“Selama enam bulan terakhir, grup tersebut diamati menggunakan berbagai teknik terkait DNS untuk meningkatkan ketahanan operasi mereka, seperti penggunaan "ayanan yang sah untuk meminta penugasan IP untuk domain berbahaya, dan secara efektif melewati DNS dan pencatatan DNS,” kata Unit 42.

APT ini juga terlihat menggunakan konten Telegram messenger untuk mengidentifikasi IP terbaru yang digunakan untuk command-and-control (C&C), membanjiri tabel DNS aliran cepat dari domain akarnya dengan IP 'sampah' dan menggunakan subdomain, dan mengandalkan server pribadi virtual (VPS) dalam sistem otonom (AS) untuk infrastruktur operasional di luar Rusia.

Gamaredon terus mengandalkan file .html dan dokumen Word untuk pengiriman malware dan telah diamati menggunakan dua dropper berbeda selama tiga bulan terakhir, yaitu arsip self-extracting (SFX) 7-Zip dan loader yang mengandalkan wscript untuk mengeksekusi dua menjatuhkan file.

Meskipun operasinya telah dirinci secara publik beberapa kali, Gamaredon terus menggunakan teknik sederhana yang sama, terutama mengandalkan kebingungan berat dan alat yang tersedia untuk umum, dan bahkan menggunakan kembali kode dalam serangan baru, sering mencatat keberhasilan dalam operasinya dan tetap menjadi ancaman siber utama bagi Ukraina.