Cyberthreat.id – Pusat Perlindungan Siber Negara (SCPC) Ukraina mengungkapkan bahwa ktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon, terkait dengan serangan siber yang menargetkan otoritas publik dan infrastruktur informasi penting di negara tersebut.

Kelompok APT yang juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.

“Aktivitas berkelanjutan grup UAC-0010 ditandai dengan pendekatan pengunduhan multi-langkah dan mengeksekusi muatan spyware yang digunakan untuk mempertahankan kendali atas host yang terinfeksi,” kata SCPC sesuai yang dikutip dari Bleeping Computer.

GammaLoad adalah malware dropper VBScript yang direkayasa untuk mengunduh VBScript tahap selanjutnya dari server jarak jauh. GammaSteel adalah skrip PowerShell yang mampu melakukan pengintaian dan menjalankan perintah tambahan.

SCPC mengatakan, tujuan dari serangan ini lebih diarahkan pada spionase dan pencurian informasi daripada sabotase. Bahkan, evolusi taktik grup terus dilakukan dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar.

Rantai serangan ini dimulai dengan email spear-phishing yang membawa arsip RAR, yang ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell. Informasi yang berkaitan dengan alamat IP dari server command-and-control (C2) akan diposting di saluran Telegram yang diputar secara berkala.

Semua dropper VBScript dan skrip PowerShell yang dianalisis, per SCPC, masing-masing adalah varian dari malware GammaLoad dan GammaSteel, yang secara efektif memungkinkan musuh untuk mengekstraksi informasi sensitif.

Pengungkapan itu terjadi ketika Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengungkapkan rincian kampanye jahat baru yang menargetkan otoritas negara Ukraina dan Polandia. Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh perangkat lunak yang mengklaim dapat mendeteksi komputer yang terinfeksi.

Namun, setelah meluncurkan file skrip batch Windows bernama "Protector.bat", yang mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.

CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern, sebuah cluster aktivitas yang memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.

Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi. Perusahaan keamanan siber Trellix mengatakan pihaknya mengamati lonjakan 20 kali lipat dalam serangan siber berbasis email di sektor publik dan swasta Ukraina pada minggu ketiga November 2022, menghubungkan sebagian besar pesan dengan Gamaredon.

Keluarga malware lain yang disebarluaskan melalui kampanye ini terdiri dari Houdini RAT, FormBook, Remcos, dan Andromeda, yang terakhir telah digunakan kembali oleh kru peretasan Turla untuk menyebarkan malware mereka sendiri.

"Saat perang Ukraina-Rusia berlanjut, serangan dunia maya terhadap energi Ukraina, pemerintah dan transportasi, infrastruktur, sektor keuangan, dll. berlangsung secara konsisten," kata Trellix.