Tim tanggap darurat komputer Ukraina (CERT-AA) telah mengungkapkan bahwa tidak kurang dari tiga serangan cyber dicatat terhadap badan administrasi negara dan fasilitas infrastruktur penting di negara itu dengan tujuan untuk mencuri data sensitif.
Kampanye itu, kata agensi, melibatkan penggunaan akun email yang dikompromikan untuk mengirim pesan phishing yang berisi tautan yang menunjuk ke layanan yang sah seperti DropMefiles dan Google Drive. Dalam beberapa kasus, tautan tertanam dalam lampiran PDF.
Digital Missives berusaha untuk mendorong rasa urgensi yang salah dengan mengklaim bahwa agen pemerintah Ukraina berencana untuk memotong gaji, mendesak penerima untuk mengklik tautan untuk melihat daftar karyawan yang terkena dampak.
Mengunjungi tautan ini mengarah pada pengunduhan loader visual basic script (VBS) yang dirancang untuk mengambil dan menjalankan skrip PowerShell yang mampu memanen file yang sesuai dengan serangkaian ekstensi tertentu dan menangkap tangkapan layar.
Kegiatan tersebut, yang dikaitkan dengan kluster ancaman yang dilacak sebagai UAC-0219, dikatakan telah berlangsung sejak setidaknya musim gugur 2024, dengan iterasi awal menggunakan kombinasi exe binari, pencuri VBS, dan perangkat lunak editor gambar yang sah yang disebut Irfanview untuk mewujudkan tujuannya.
CERT-UA telah memberikan VBS Loader dan PowerShell Malware The Moniker Wrecksteel. Serangan belum dikaitkan dengan negara mana pun.
Pengembangan datang ketika Kaspersky memperingatkan bahwa aktor ancaman yang dikenal sebagai Head Mare telah menargetkan beberapa entitas Rusia dengan malware yang dikenal sebagai phantompyramid yang mampu memproses instruksi yang dikeluarkan oleh operator melalui server perintah-dan-kontrol (C2), serta mengunduh dan menjalankan muatan tambahan seperti meshent.
Perusahaan energi Rusia, perusahaan industri, dan pemasok dan pengembang organisasi komponen elektronik juga telah berada di ujung penerima serangan phishing yang dipasang oleh aktor ancaman dengan kode unicorn yang menjatuhkan VBS Trojan yang dirancang untuk menyedot file dan gambar dari host yang terinfeksi.
Akhir bulan lalu, Seqrite Labs mengungkapkan bahwa jaringan akademik, pemerintah, kedirgantaraan, dan pertahanan di Rusia ditargetkan oleh dokumen umpan yang dipersenjatai, kemungkinan dikirim melalui email phishing, sebagai bagian dari kampanye yang dijuluki Operasi Hollowquill. Serangan itu diyakini telah dimulai sekitar Desember 2024.
Kegiatan ini memanfaatkan taktik rekayasa sosial, menyamarkan PDF yang dicatat malware sebagai undangan penelitian dan komunike pemerintah untuk memikat pengguna yang tidak curiga agar memicu rantai serangan.
“Entitas ancaman memberikan file RAR berbahaya yang berisi penetes malware .net, yang selanjutnya menjatuhkan loader shellcode berbasis Golang bersama dengan aplikasi OneDrive yang sah dan PDF berbasis umpan dengan muatan kobalt strike akhir,” kata peneliti keamanan Subhajeet Singha.
