Aktor ancaman yang baru lahir dikenal sebagai Ghoul Ruang Bawah Tanah telah dikaitkan dengan serangkaian serangan dunia maya yang menargetkan bisnis Rusia dan lembaga pemerintah dengan ransomware dengan tujuan ganda yaitu mengganggu operasi bisnis dan keuntungan finansial.
“Kelompok yang ditinjau memiliki toolkit yang mencakup utilitas seperti Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec, dan lainnya,” kata Kaspersky. “Sebagai muatan terakhir, kelompok tersebut menggunakan ransomware terkenal LockBit 3.0 dan Babuk.”
Korban serangan jahat ini mencakup lembaga pemerintah, serta perusahaan pertambangan, energi, keuangan, dan ritel yang berlokasi di Rusia.
Vendor keamanan siber asal Rusia tersebut mengatakan pihaknya mampu menentukan vektor intrusi awal hanya dalam dua kasus, dimana pelaku ancaman memanfaatkan kredensial login kontraktor untuk terhubung ke sistem internal melalui VPN.
Koneksi VPN dikatakan berasal dari alamat IP yang terkait dengan jaringan penyedia hosting Rusia dan jaringan kontraktor, yang mengindikasikan adanya upaya untuk tidak terdeteksi radar dengan mempersenjatai hubungan tepercaya. Jaringan kontraktor diyakini telah dibobol melalui layanan VPN atau kelemahan keamanan yang belum ditambal.
Fase akses awal digantikan dengan penggunaan utilitas NSSM dan Localtonet untuk mempertahankan akses jarak jauh, dengan eksploitasi lanjutan yang difasilitasi oleh alat-alat seperti berikut –
- XenAllPasswordPro untuk mengambil data otentikasi
- Pintu belakang CobInt
- Mimikatz untuk mengekstrak kredensial korban
- dumper.ps1 untuk membuang tiket Kerberos dari cache LSA
- MiniDump untuk mengekstrak kredensial login dari memori lsass.exe
- cmd.exe untuk menyalin kredensial yang disimpan di browser Google Chrome dan Microsoft Edge
- PingCastle untuk pengintaian jaringan
- PAExec untuk menjalankan perintah jarak jauh
- AnyDesk dan mengisi ulang proksi SOCKS5 untuk akses jarak jauh
Serangan diakhiri dengan enkripsi data sistem menggunakan versi LockBit 3.0 yang tersedia untuk umum untuk Windows dan Babuk untuk Linux/ESXi, sekaligus mengambil langkah untuk mengenkripsi data yang ada di Recycle Bin untuk menghambat pemulihan.
“Para penyerang meninggalkan catatan tebusan dengan tautan yang berisi ID mereka di layanan pesan Session untuk kontak di masa mendatang,” kata Kaspersky. “Mereka akan terhubung ke server ESXi melalui SSH, mengunggah Babuk, dan memulai proses enkripsi untuk file di dalam mesin virtual.”
Pilihan alat dan infrastruktur Crypt Ghouls dalam serangan ini tumpang tindih dengan kampanye serupa yang dilakukan oleh kelompok lain yang menargetkan Rusia dalam beberapa bulan terakhir, termasuk MorLock, BlackJack, Twelve, Shedding Zmiy (alias ExCobalt)
“Penjahat dunia maya memanfaatkan kredensial yang disusupi, seringkali milik subkontraktor, dan alat sumber terbuka yang populer,” kata perusahaan itu. “Perangkat bersama yang digunakan dalam serangan terhadap Rusia menyulitkan untuk menentukan dengan tepat kelompok hacktivist tertentu yang terlibat.”
“Hal ini menunjukkan bahwa para aktor yang ada saat ini tidak hanya berbagi pengetahuan namun juga perangkat mereka. Semua ini hanya membuat lebih sulit untuk mengidentifikasi aktor-aktor jahat tertentu di balik gelombang serangan yang ditujukan pada organisasi-organisasi Rusia.”
