Cyberthreat.id- Perusahaan kemanan siber, Anomali, yang berbasis di Amerika Serikat (AS) mengungkapkan,kelompok peretas yang disponsori Rusia, yang dikenal sebagai Gamaredon telah menargetkan berbagai diplomat Ukraina, pejabat pemerintah dan militer, dan penegak hukum di negara tersebut. Bahkan, kelompok peretas tersebut sudah beraksi sejak pertengahan Oktober 2019.

Dikutip dari SecurityWeek, Sabtu, (7 Desember 2019), pada pertengahan Oktober 2019, para peretas memulai kampanye melawan berbagai individu dan entitas di Ukraina. Termasuk diplomat, pejabat pemerintah dan karyawan, jurnalis, penegak hukum, pejabat dan personel militer, Lembaga Swadaya Masyarakat (LSM), dan Kementerian Luar Negeri Ukraina.

“Kemampuan cyber yang disponsori Rusia telah didokumentasikan dengan baik atas berbagai kampanye jahat yang ditemukan dan dikaitkan oleh komunitas keamanan, dan aktivitas ini,” tulis Anomali.

Disebutkan, dokumen weaponized digunakan sebagai vektor infeksi awal dalam kampanye ini, sehingga kemungkinan dikirim melalui phishing tombak. Analisis dokumen-dokumen ini mengungkapkan aktivitas berbahaya dimulai pada September dan berlanjut hingga 25 November 2019.

Para peneliti mengambil tiga dokumen iming-iming, satu ditujukan ke Sistem Kontrol Dnipro dan membahas hal-hal yang berkaitan dengan militer, yang lain diproduksi oleh media pengawas Media Detector Media, dan yang ketiga menargetkan Kementerian Luar Negeri Ukraina.

“Dokumen awal terhubung ke server jarak jauh untuk mengunduh template dokumen (.dot) yang berisi makro VBA. Dot dieksekusi di latar belakang, sementara makro VBA menulis file VBScript ke folder startup,” ungkap peneliti Anomali.

Peneliti menjelaskan, saat reboot, VBScript melakukan permintaan GET HTTP untuk mengambil tahap terenkripsi dari domain DNS dinamis. Namun, payload hanya dikirim jika target dianggap menarik.

Jika dikirimkan, file tahap kedua tampaknya merupakan file yang dapat dieksekusi yang disimpan langsung di folder startup, untuk memastikannya berjalan saat sistem dinyalakan kembali. Namun, para peneliti Anomali tidak mengamati muatan yang dikirim dari server.

Kampanye jahat tampaknya sedang berlangsung, dengan target yang dimaksudkan dan Taktik, Teknik, dan Prosedur (TTP) jatuh sejalan dengan kegiatan sebelumnya yang terkait dengan kelompok peretasan Rusia Gamaredon.

“Pemerintah di seluruh dunia menggunakan kampanye untuk tujuan strategis, dan dalam kasus Rusia, kadang-kadang bertepatan dengan aktivitas angkatan bersenjata,” ungkap peneliti Anomali.