Perusahaan Rusia telah ditargetkan sebagai bagian dari kampanye phishing berskala besar yang dirancang untuk memberikan malware yang diketahui bernama Darkwatchman.
Target serangan meliputi entitas di media, pariwisata, keuangan dan asuransi, manufaktur, ritel, energi, telekomunikasi, transportasi, dan sektor bioteknologi, kata perusahaan cybersecurity Rusia F6.
Kegiatan ini dinilai sebagai pekerjaan kelompok yang termotivasi secara finansial yang disebut Hive0117, yang telah disebabkan oleh IBM X-Force dengan serangan yang ditujukan untuk pengguna di sektor Lithuania, Estonia, dan Rusia yang mencakup telekomunikasi, elektronik, dan sektor industri.
Kemudian pada bulan September 2023, malware Darkwatchman sekali lagi digunakan dalam kampanye phishing yang menargetkan energi, keuangan, transportasi, dan industri keamanan perangkat lunak yang berbasis di Rusia, Kazakhstan, Latvia, dan Estonia.
Bank-bank Rusia, pengecer dan pasar, operator telekomunikasi, perusahaan agroindustri, perusahaan bahan bakar dan energi, bisnis logistik, dan perusahaan TI dipilih lagi pada November 2023 dengan Darkwatchman menggunakan umpan bertema pengiriman kurir.
Trojan akses jarak jauh berbasis JavaScript, Darkwatchman mampu mengunci, mengumpulkan informasi sistem, dan menggunakan muatan sekunder. Ini pertama kali didokumentasikan pada Desember 2021.
“Sifat tanpa fileless dari malware Darkwatchman, dan penggunaan JavaScript dan keylogger yang ditulis dalam C#, serta kemampuan untuk menghilangkan jejak keberadaannya pada sistem yang dikompromikan ketika diinstruksikan, adalah bukti kemampuan yang agak canggih,” kata IBM pada tahun 2023.
Serangkaian serangan terbaru melibatkan pengiriman email phishing yang berisi arsip berbahaya yang dilindungi kata sandi yang, setelah dibuka, memberikan varian Darkwatchman dengan kemampuan yang lebih baik untuk menghindari deteksi.
Ukraina yang ditargetkan oleh New Sheriff Backdoor
Pengungkapan itu datang ketika IBM X-Force mengatakan entitas yang tidak ditentukan dalam sektor pertahanan Ukraina ditargetkan pada paruh pertama tahun 2024 dengan backdoor Windows yang sebelumnya tidak berdokumen dipanggil Sheriff.
“Aktor Ancaman menggunakan portal berita populer di Ukraina, Ukr.net, untuk menjadi tuan rumah sheriff backdoor,” kata peneliti keamanan Golo Mühr dalam sebuah laporan yang diterbitkan pada akhir Maret 2025. “Modular Backdoor dapat mengeksekusi perintah yang diarahkan pada aktor, dan kumparan kantung piring, dan menampung data korban yang diarahkan oleh aktor”.
“Malware berfokus pada data exfiltrating dan mengambil tangkapan layar sambil mempertahankan profil rendah yang dirancang untuk kompromi yang berkepanjangan.”
Diduga bahwa situs web tersebut mungkin telah dilanggar untuk menggelar malware pada awal Maret 2024. Sheriff dilengkapi untuk mengunduh dan mengelola banyak komponen, termasuk modul tangkapan layar, dengan perintah dan nilai konfigurasi yang diterima sebagai komentar file zip.
“Akses aktor ancaman ke portal berita terbesar Ukraina akan memposisikan mereka untuk melakukan serangkaian serangan berdampak tinggi dan beroperasi dengan peningkatan kebingungan,” kata Mühr. “Dalam insiden khusus ini, aktor ancaman mungkin telah menyalahgunakan domain tepercaya untuk menggelar malware tanpa menimbulkan kecurigaan.”
Backdoor juga dilengkapi dengan fungsi “bunuh diri” yang, ketika dipanggil dari jarak jauh oleh operator, berhenti semua aktivitas dan menghapus direktori yang berisi malware dan folder pada dropbox yang digunakan untuk komunikasi perintah-dan-kontrol (C2).
IBM menunjukkan bahwa aspek -aspek tertentu dari malware tumpang tindih dengan Kazuar dan Crutch Turla, serta Prikormka Operasi Groundbait dan CloudWizard Magic Bad.
“Baik CloudWizard dan Sheriff berisi fungsi 'mendapat tempat” https://thehackernews.com/ “get_settings' untuk mengambil konfigurasi masing -masing modul,” kata perusahaan itu. “CloudWizard, Prikormka, dan Sheriff berbagi screenshot yang sama dengan interval 15 menit. Modul listing file CloudWizard dan Prikormka disebut 'Tree,' yang merupakan nama yang digunakan sheriff untuk exfiltrasi dari daftar file.”
Penemuan backdoor mengikuti laporan dari Ukraina Layanan Negara untuk Komunikasi dan Perlindungan Informasi Khusus (SSSCIP), peringatan peningkatan 48% dalam jumlah insiden pada paruh kedua 2024 (2.576), dibandingkan dengan periode enam bulan sebelumnya (1.739).
Secara total, 4.315 insiden cyber terdaftar pada tahun 2024, naik dari 1.350 pada tahun 2021, 2.194 pada tahun 2022, dan 2.543 pada tahun 2023. Jumlah insiden kritis dan tingkat tinggi, di sisi lain, turun secara signifikan menjadi 59, penurunan dari 1.048 pada 2022 dan 367 di 2023.
“Peretas Rusia secara aktif menerapkan otomatisasi, menggunakan serangan rantai pasokan untuk infiltrasi melalui vendor perangkat lunak, dan menggabungkan teknik spionase dan sabotase,” kata SSSCIP. “Fokus utama serangan adalah kumpulan intelijen yang dapat mempengaruhi situasi operasional di depan. Secara khusus, musuh menargetkan sistem kesadaran situasional dan perusahaan pertahanan khusus.”
