Cyberthreat.id – Serangan siber yang sedang berlangsung menargetkan kementerian luar negeri dari negara-negara yang selaras dengan NATO menunjukkan keterlibatan aktor ancaman Rusia. Demikian laporan The Hacker News.

Serangan phishing menampilkan dokumen PDF dengan umpan diplomatik, beberapa di antaranya disamarkan berasal dari Jerman, untuk mengirimkan varian malware yang disebut Duke, yang dikaitkan dengan APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard, dan The Dukes).

“Aktor ancaman menggunakan Zulip – aplikasi obrolan sumber terbuka – untuk command-and-control, untuk menghindari dan menyembunyikan aktivitasnya di balik lalu lintas web yang sah,” kata perusahaan keamanan siber Belanda EclecticIQ dalam sebuah analisis minggu lalu sebagaimana dikutip The Hacker News.

Urutan infeksi adalah sebagai berikut: Lampiran PDF, bernama "Perpisahan dengan Duta Besar Jerman", disematkan dengan kode JavaScript yang memulai proses multi-tahap untuk meninggalkan pintu belakang terus-menerus pada jaringan yang disusupi.

Penggunaan tema undangan oleh APT29 sebelumnya telah dilaporkan oleh Lab52, yang mendokumentasikan serangan yang meniru kedutaan Norwegia untuk mengirimkan muatan DLL yang mampu menghubungi server jarak jauh untuk mengambil muatan tambahan.

Penggunaan domain "bahamas.gov[.]bs" di kedua set intrusi semakin memperkuat tautan ini. Temuan ini juga menguatkan penelitian sebelumnya dari Anheng Threat Intelligence Center yang dirilis bulan lalu.

Jika target potensial menyerah pada jebakan phishing dengan membuka file PDF, penetes HTML berbahaya yang disebut Invitation_Farewell_DE_EMB diluncurkan untuk mengeksekusi JavaScript yang menjatuhkan file arsip ZIP, yang, pada gilirannya, dikemas dalam file Aplikasi HTML (HTA) yang dirancang untuk digunakan malware Duke.

Command-and-control (C2) difasilitasi dengan memanfaatkan API Zulip untuk mengirim detail korban ke ruang obrolan yang dikontrol aktor (toyy.zulipchat[.]com) serta untuk menyita host yang disusupi dari jarak jauh.

EclecticIQ mengatakan telah mengidentifikasi file PDF kedua, kemungkinan digunakan oleh APT29 untuk pengintaian atau untuk tujuan pengujian.

"Itu tidak berisi muatan, tetapi memberi tahu pelaku jika korban membuka lampiran email dengan menerima pemberitahuan melalui domain edenparkweddings[.]com yang disusupi," kata para peneliti.

Perlu dicatat bahwa penyalahgunaan Zulip setara dengan kursus dengan grup yang disponsori negara, yang memiliki rekam jejak dalam memanfaatkan beragam layanan internet yang sah seperti Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, dan Trello untuk C2.

Target utama APT29 adalah pemerintah dan subkontraktor pemerintah, organisasi politik, firma riset, dan industri penting di AS dan Eropa.

Namun dalam putaran yang menarik, musuh tak dikenal telah diamati menggunakan taktiknya untuk menembus pengguna berbahasa Mandarin dengan Cobalt Strike.

Perkembangan ini terjadi ketika Tim Tanggap Darurat Komputer Ukraina (CERT-UA) memperingatkan tentang serangkaian serangan phishing baru terhadap organisasi negara Ukraina menggunakan toolkit pasca-eksploitasi open-source berbasis Go yang disebut Merlin. Aktivitas sedang dilacak di bawah moniker UAC-0154.

Negara yang dilanda perang itu juga menghadapi serangan dunia maya berkelanjutan dari Sandworm, unit peretasan elit yang berafiliasi dengan intelijen militer Rusia, yang terutama dimaksudkan untuk mengganggu operasi kritis dan mengumpulkan intelijen untuk mendapatkan keuntungan strategis.

Menurut sebuah laporan baru-baru ini dari Dinas Keamanan Ukraina (SBU), pelaku ancaman dikatakan telah gagal untuk mendapatkan akses tidak sah ke tablet Android yang dimiliki oleh personel militer Ukraina untuk merencanakan dan melakukan misi tempur.

"Penangkapan perangkat di medan perang, pemeriksaan mendetail, dan penggunaan akses yang tersedia, serta perangkat lunak menjadi vektor utama untuk akses awal dan distribusi malware," kata badan keamanan tersebut.

Beberapa jenis malware termasuk NETD untuk memastikan persistensi, DROPBEAR untuk membuat akses jarak jauh, STL untuk mengumpulkan data dari sistem satelit Starlink, DEBLIND untuk mengekstraksi data, dan malware botnet Mirai.

Juga digunakan dalam serangan adalah layanan tersembunyi TOR untuk mengakses perangkat di jaringan lokal melalui Internet.[]