Cyberthreat.id - Personil militer dan pemimpin politik Uni Eropa yang bekerja pada inisiatif kesetaraan gender telah muncul sebagai target kampanye baru yang menghasilkan versi terbaru dari RomCom RAT yang disebut PEAPOD.

The Hacker News menuliskan, perusahaan keamanan siber Trend Micro mengaitkan serangan tersebut dengan aktor ancaman yang dilacaknya dengan nama Void Rabisu, yang juga dikenal sebagai Storm-0978, Tropical Scorpius, dan UNC2596, dan juga diyakini terkait dengan ransomware Kuba.

Kelompok yang bermusuhan ini merupakan kelompok yang tidak biasa karena mereka melakukan serangan yang bermotif finansial dan spionase, sehingga mengaburkan batas antara cara operasi mereka. Ini juga secara eksklusif terkait dengan penggunaan RomCom RAT.

Serangan yang melibatkan penggunaan backdoor telah menargetkan Ukraina dan negara-negara yang mendukung Ukraina dalam perang melawan Rusia selama setahun terakhir.

Awal Juli ini, Microsoft melibatkan Void Rabisu dalam eksploitasi CVE-2023-36884, kelemahan eksekusi kode jarak jauh di Office dan Windows HTML, dengan menggunakan umpan dokumen Microsoft Office yang dibuat khusus terkait dengan Kongres Dunia Ukraina.

RomCom RAT mampu berinteraksi dengan server perintah-dan-kontrol (C&C) untuk menerima perintah dan menjalankannya di mesin korban, sekaligus mengemas teknik penghindaran pertahanan, menandai evolusi yang stabil dalam kecanggihannya.

Malware ini biasanya didistribusikan melalui email spear-phishing yang sangat bertarget dan iklan palsu di mesin pencari seperti Google dan Bing untuk mengelabui pengguna agar mengunjungi situs-situs yang menghosting versi aplikasi sah yang telah di-trojan.

“Void Rabisu adalah salah satu contoh paling jelas di mana kita melihat perpaduan antara taktik, teknik, dan prosedur (TTP) yang umum digunakan oleh pelaku ancaman kejahatan dunia maya dan TTP yang digunakan oleh pelaku ancaman yang disponsori negara yang termotivasi terutama oleh tujuan spionase,” kata Trend Micro kepada The Hacker News.

Rangkaian serangan terbaru yang terdeteksi oleh perusahaan pada bulan Agustus 2023 juga menghasilkan RomCom RAT, hanya saja ini merupakan versi malware yang diperbarui dan diperkecil yang didistribusikan melalui situs web bernama wplsummit[.]com, yang merupakan replika dari wplsummit[.]org  domain yang sah.

Di situs web tersebut terdapat tautan ke folder Microsoft OneDrive yang menampung file executable bernama "Gambar Tidak Dipublikasikan 1-20230802T122531-002-sfx.exe," file berukuran 21,6 MB yang bertujuan untuk meniru folder berisi foto dari Women Political Leaders (WPL ) KTT yang berlangsung pada Juni 2023.

Biner adalah pengunduh yang menjatuhkan 56 gambar ke sistem target sebagai umpan, sambil mengambil file DLL dari server jauh. Foto-foto ini dikatakan bersumber dari aktor jahat tersebut dari postingan individu di berbagai platform media sosial seperti LinkedIn, X (sebelumnya dikenal sebagai Twitter), dan Instagram.

File DLL, pada bagiannya, menjalin kontak dengan domain lain untuk mengambil artefak PEAPOD tahap ketiga, yang mendukung total 10 perintah, turun dari 42 perintah yang didukung oleh pendahulunya.

Versi revisi dilengkapi untuk menjalankan perintah sewenang-wenang, mengunduh dan mengunggah file, mendapatkan informasi sistem, dan bahkan menghapus instalan dirinya sendiri dari host yang disusupi.

Dengan menghilangkan malware hingga ke fitur-fitur yang paling penting, tujuannya adalah untuk membatasi jejak digitalnya dan mempersulit upaya pendeteksiannya.

“Meskipun kami tidak memiliki bukti bahwa Void Rabisu disponsori oleh negara, ada kemungkinan bahwa ia adalah salah satu aktor ancaman bermotivasi finansial dari kelompok kriminal bawah tanah yang terlibat dalam kegiatan spionase dunia maya karena keadaan geopolitik luar biasa yang disebabkan oleh perang di Ukraina," kata Trend Micro.[]