
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) memperingatkan upaya yang sedang berlangsung oleh pelaku ancaman tak dikenal untuk menyamar sebagai badan keamanan siber dengan mengirimkan permintaan koneksi AnyDesk.
Permintaan AnyDesk diklaim untuk melakukan audit guna menilai “tingkat keamanan”, tambah CERT-UA, memperingatkan organisasi untuk mewaspadai upaya rekayasa sosial yang berupaya mengeksploitasi kepercayaan pengguna.
“Penting untuk dicatat bahwa CERT-UA, dalam keadaan tertentu, dapat menggunakan perangkat lunak akses jarak jauh seperti AnyDesk,” kata CERT-UA. Namun, tindakan tersebut diambil hanya setelah persetujuan sebelumnya dengan pemilik objek pertahanan siber melalui saluran komunikasi resmi yang disetujui.
Namun, agar serangan ini berhasil, perangkat lunak akses jarak jauh AnyDesk perlu diinstal dan dioperasikan di komputer target. Hal ini juga mengharuskan penyerang untuk memiliki pengenal AnyDesk target, sehingga menunjukkan bahwa mereka mungkin harus mendapatkan pengenal tersebut terlebih dahulu melalui metode lain.

Untuk memitigasi risiko yang ditimbulkan oleh serangan-serangan ini, program akses jarak jauh harus diaktifkan hanya selama durasi penggunaannya dan akses jarak jauh dikoordinasikan melalui saluran komunikasi resmi.
Berita tentang kampanye ini muncul ketika Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi (SSSCIP) Ukraina mengungkapkan bahwa pusat respons insiden badan siber tersebut mendeteksi lebih dari 1.042 insiden pada tahun 2024, dengan kode berbahaya dan upaya intrusi menyumbang lebih dari 75% dari seluruh kejadian.
“Pada tahun 2024, kelompok ancaman siber yang paling aktif adalah UAC-0010, UAC-0050, dan UAC-0006, yang berspesialisasi dalam spionase siber, pencurian keuangan, dan operasi informasi-psikologis,” kata SSSCIP.
UAC-0010, juga dikenal sebagai Aqua Blizzard dan Gamaredon, diperkirakan berada di balik 277 insiden. UAC-0050 dan UAC-0006 ditemukan masing-masing terkait dengan 99 dan 174 insiden.
Perkembangan ini juga mengikuti penemuan 24 domain tingkat atas .shop yang sebelumnya tidak dilaporkan, kemungkinan terkait dengan kelompok peretas pro-Rusia yang dikenal sebagai GhostWriter (alias TA445, UAC-0057, dan UNC1151) dengan menghubungkan kampanye berbeda yang menargetkan Ukraina pada tahun lalu.
Analisis yang dilakukan oleh peneliti keamanan Will Thomas (@BushidoToken) menemukan bahwa domain yang digunakan dalam kampanye ini menggunakan domain tingkat atas generik (gTLD) yang sama, registrar PublicDomainsRegistry, dan server nama Cloudflare. Semua server yang teridentifikasi juga memiliki direktori robots.txt yang dikonfigurasi.
Saat perang Rusia-Ukraina mendekati akhir tahun ketiganya, serangan siber juga tercatat terjadi di Rusia dengan tujuan mencuri data sensitif dan mengganggu operasi bisnis dengan menyebarkan ransomware.

Pekan lalu, perusahaan keamanan siber FACCT mengaitkan aktor Sticky Werewolf dengan kampanye spear-phishing yang ditujukan terhadap perusahaan penelitian dan produksi Rusia untuk mengirimkan trojan akses jarak jauh yang dikenal sebagai Ozone yang mampu memberikan akses jarak jauh ke sistem Windows yang terinfeksi.
Ia juga menggambarkan Sticky Werewolf sebagai kelompok mata-mata siber pro-Ukraina yang utamanya menargetkan lembaga-lembaga negara, lembaga penelitian, dan perusahaan industri di Rusia. Namun, analisis sebelumnya dari perusahaan keamanan siber Israel, Morphisec, menunjukkan bahwa hubungan ini “masih belum pasti.”
Tidak diketahui seberapa sukses serangan ini. Beberapa kelompok aktivitas ancaman lain yang diamati menargetkan entitas Rusia dalam beberapa bulan terakhir termasuk Core Werewolf, Venture Wolf, dan Paper Werewolf (alias GOFFEE), yang terakhir memanfaatkan modul IIS berbahaya yang disebut Owowa untuk memfasilitasi pencurian kredensial.