Peretas Sandworm Rusia Meniru Telekomunikasi Ukraina untuk Mendistribusikan Malware

  • Bagikan
Russian Sandworm Hackers

Beritaini.top Peretas Sandworm Rusia Meniru Telekomunikasi Ukraina untuk Mendistribusikan Malware

Peretas Cacing Pasir Rusia

Sebuah cluster ancaman yang terkait dengan aktor negara-bangsa Rusia yang dilacak sebagai Sandworm telah melanjutkan penargetannya ke Ukraina dengan malware komoditas dengan menyamar sebagai penyedia telekomunikasi, temuan baru menunjukkan.

Recorded Future mengatakan telah menemukan infrastruktur baru milik UAC-0113 yang meniru operator seperti Datagroup dan EuroTransTelecom untuk mengirimkan muatan seperti loader Colibri dan RAT zona perang.

Serangan tersebut dikatakan sebagai perluasan dari kampanye yang sama yang sebelumnya mendistribusikan DCRat (atau DarkCrystal RAT) menggunakan email phishing dengan umpan bertema bantuan hukum terhadap penyedia telekomunikasi di Ukraina.

Keamanan cyber

Sandworm adalah kelompok ancaman Rusia yang merusak yang terkenal karena melakukan serangan seperti penargetan jaringan listrik Ukraina tahun 2015 dan 2016 dan serangan NotPetya tahun 2017. Itu dikonfirmasi sebagai Unit 74455 dari badan intelijen militer GRU Rusia.

Kelompok musuh, juga dikenal sebagai Voodoo Bear, berusaha merusak gardu listrik bertegangan tinggi, komputer dan peralatan jaringan untuk ketiga kalinya di Ukraina awal April ini melalui varian baru dari malware yang dikenal sebagai Industroyer.

Telekomunikasi Ukraina

Invasi Rusia ke Ukraina juga membuat kelompok itu melepaskan banyak serangan lain, termasuk memanfaatkan kerentanan Follina (CVE-2022-30190) di Alat Diagnostik Dukungan Microsoft Windows (MSDT) untuk menembus entitas media di negara Eropa Timur.

Selain itu, ia terungkap sebagai dalang di balik botnet modular baru bernama Cyclops Blink yang memperbudak perangkat firewall dan router yang terhubung ke internet dari WatchGuard dan ASUS.

Pemerintah AS, pada bagiannya, telah mengumumkan hadiah hingga $10 juta untuk informasi tentang enam peretas yang terkait dengan grup APT karena berpartisipasi dalam aktivitas siber berbahaya terhadap infrastruktur penting di negara tersebut.

Peretas Cacing Pasir Rusia

“Transisi dari DarkCrystal RAT ke Colibri Loader dan Warzone RAT menunjukkan perluasan UAC-0113 tetapi terus menggunakan malware komoditas yang tersedia untuk umum,” Recorded Future dikatakan.

Serangan tersebut melibatkan domain penipuan yang menghosting halaman web yang konon tentang “Administrasi Militer Daerah Odesa,” sementara muatan gambar ISO yang dikodekan secara diam-diam digunakan melalui teknik yang disebut sebagai penyelundupan HTML.

Keamanan cyber

Penyelundupan HTML, seperti namanya, adalah teknik pengiriman malware yang mengelak yang memanfaatkan fitur HTML dan JavaScript yang sah untuk mendistribusikan malware dan menyiasati kontrol keamanan konvensional.

Recorded Future juga mengatakan telah mengidentifikasi titik kesamaan dengan lampiran penetes HTML lain yang digunakan oleh aktor ancaman APT29 dalam kampanye yang ditujukan untuk misi diplomatik Barat antara Mei dan Juni 2022.

Tertanam dalam file ISO, yang dibuat pada 5 Agustus 2022, tiga file, termasuk file LNK yang menipu korban untuk mengaktifkan urutan infeksi, yang mengakibatkan penyebaran loader Colibri dan Warzone RAT ke mesin target.

Eksekusi file LNK juga meluncurkan dokumen umpan yang tidak berbahaya – aplikasi bagi warga Ukraina untuk meminta kompensasi moneter dan diskon bahan bakar – dalam upaya untuk menyembunyikan operasi jahat.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.