Cyberthreat.id – Tim riset ancaman Symantec, bagian dari Broadcom, mengungkapkan bahwa grup peretasan yang disponsori negara Rusia Gamaredon (alias Armageddon atau Shuckworm) terus menargetkan organisasi penting di sektor intelijen militer dan keamanan Ukraina, menggunakan alat dan taktik infeksi baru.

Sebelumnya, para peretas Rusia, yang telah ditautkan ke FSB, diamati menggunakan pencuri informasi terhadap organisasi negara Ukraina, menggunakan varian baru malware "Pteranodon" , dan juga menggunakan pembajak templat Word default untuk infeksi baru.

Dikutip dari Bleeping Computer, peneliti Symantec melaporkan bahwa pelaku ancaman baru-baru ini mulai menggunakan malware USB untuk menyebar ke sistem tambahan di dalam jaringan yang terinfeksi.

“Elemen menarik lainnya dalam kampanye terbaru Gamaredon adalah menargetkan departemen SDM, yang berpotensi menunjukkan bahwa pelaku ancaman mengincar serangan spear-phishing di dalam organisasi yang dilanggar,” kata Symantec.

Analis Symantec melaporkan bahwa aktivitas Gamaredon 2023 melonjak antara Februari dan Maret 2023, sementara peretas terus mempertahankan keberadaannya di beberapa mesin yang disusupi hingga Mei 2023. Gamaredon terus mengandalkan email phishing untuk kompromi awal, sementara targetnya mencakup organisasi pemerintah, militer, keamanan, dan penelitian, dengan fokus pada departemen Sumber Daya Manusia mereka.

“Email phishing membawa lampiran RAR, DOCX, SFX, LNK, dan HTA yang, jika dibuka, meluncurkan perintah PowerShell yang mengunduh muatan 'Pterodo' dari server penyerang (C2),” kata Symantec.

Symantec mengambil sampel 25 varian skrip PowerShell antara Januari dan April 2023, menggunakan berbagai tingkat kebingungan dan menunjuk ke alamat IP unduhan Pterodo yang berbeda untuk menolak aturan deteksi statis. PowerShell menyalin dirinya sendiri ke mesin yang terinfeksi dan membuat file pintasan menggunakan ekstensi rtk.lnk. LNK yang dibuat oleh skrip mengambil banyak nama,

Setelah korban meluncurkan file-file itu, skrip PowerShell menghitung semua drive di komputer dan menyalin dirinya sendiri ke disk USB yang dapat dilepas, meningkatkan kemungkinan pergerakan lateral yang berhasil dalam jaringan yang dilanggar. Salah satu mesin yang dikompromikan oleh Gamaredon tahun ini, analis Symantec menemukan file "foto.safe" yang merupakan skrip PowerShell yang disandikan base64.

Symantec mengatakan bahwa perangkat terinfeksi setelah kunci USB yang terinfeksi dicolokkan ke perangkat. Namun, tidak jelas bagaimana drive USB terinfeksi pada awalnya. Drive USB ini kemungkinan besar digunakan oleh penyerang untuk pergerakan lateral di seluruh jaringan korban dan dapat digunakan untuk membantu penyerang menjangkau mesin dengan celah udara di dalam organisasi yang ditargetkan.

“Kami pikir Gamaredon akan tetap fokus pada Ukraina, terus menyegarkan alat mereka dan memperkaya taktik serangan mereka saat mereka menargetkan data yang dapat berguna dalam operasi militer Rusia,”