Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah memperingatkan serangkaian serangan siber baru yang menurut mereka ditujukan terhadap perusahaan pertahanan di negara tersebut serta pasukan keamanan dan pertahanannya.
Serangan phishing telah dikaitkan dengan aktor ancaman terkait Rusia bernama UAC-0185 (alias UNC4221), yang telah aktif setidaknya sejak tahun 2022.
“Email phishing tersebut meniru pesan resmi dari Liga Industrialis dan Pengusaha Ukraina,” kata CERT-UA. “Email tersebut mengiklankan konferensi yang diadakan pada tanggal 5 Desember di Kyiv, yang bertujuan untuk menyelaraskan produk perusahaan industri pertahanan dalam negeri dengan standar NATO.”
Pesan email tersebut dilengkapi dengan URL berbahaya yang mendesak penerima untuk mengkliknya untuk melihat “informasi penting” terkait dengan partisipasi mereka dalam konferensi tersebut.
Namun pada kenyataannya, hal ini mengakibatkan pengunduhan file pintasan Windows yang, setelah dibuka, dirancang untuk menjalankan Aplikasi HTML, yang, pada gilirannya, berisi kode JavaScript yang bertanggung jawab untuk menjalankan perintah PowerShell yang mampu memuat muatan tahap berikutnya. .
Ini termasuk file umpan dan arsip ZIP yang berisi skrip batch, Aplikasi HTML lain, dan file yang dapat dieksekusi. Pada langkah terakhir, skrip batch diluncurkan untuk menjalankan file Aplikasi HTML, yang kemudian menjalankan biner MeshAgent di host, memberikan penyerang kendali jarak jauh atas sistem yang disusupi.
CERT-UA mengatakan pelaku ancaman ini terutama berfokus pada pencurian kredensial yang terkait dengan aplikasi perpesanan seperti Signal, Telegram, dan WhatsApp, serta sistem militer Ukraina seperti DELTA, Teneta, dan Kropyva.
“Para peretas juga telah melancarkan sejumlah serangan dunia maya untuk mendapatkan akses tidak sah ke PC para pekerja perusahaan pertahanan dan perwakilan pasukan keamanan dan pertahanan,” kata badan tersebut.
Menurut Mandiant milik Google, yang mengungkap UNC4221 pada konferensi keamanan SentinelLabs LABScon awal September ini, pelaku ancaman ini dikenal karena mengumpulkan “data yang relevan di medan perang melalui penggunaan malware Android, operasi phishing yang menyamar sebagai aplikasi militer Ukraina, dan operasi yang menargetkan platform perpesanan populer seperti Telegram dan WhatsApp.”
