
Aktor ancaman yang sebelumnya tidak diketahui telah diamati menyalin tradecraft yang terkait dengan kelompok peretasan Gamaredon yang disejajarkan Kremlin dalam serangan cyber yang menargetkan entitas berbahasa Rusia.
Kampanye ini telah dikaitkan dengan kluster ancaman yang dijuluki Gamacopyyang dinilai berbagi tumpang tindih dengan grup peretasan lain bernama Core Werewolf, juga dilacak sebagai Awaken Likho dan Pseudogamaredon.
Menurut tim intelijen ancaman canggih yang diketahui 404, serangan itu memanfaatkan konten yang terkait dengan fasilitas militer sebagai umpan untuk menjatuhkan ultravnc, yang memungkinkan aktor ancaman untuk mengakses host yang dikompromikan dari jarak jauh.

“TTP (taktik, teknik, dan prosedur) dari organisasi ini meniru bahwa organisasi GameDon yang melakukan serangan terhadap Ukraina,” kata perusahaan itu dalam sebuah laporan yang diterbitkan minggu lalu.
Pengungkapan itu tiba hampir empat bulan setelah Kaspersky mengungkapkan bahwa lembaga pemerintah Rusia dan entitas industri telah menjadi target manusia serigala inti, dengan serangan phishing tombak membuka jalan bagi platform meshcentral alih-alih ultravnc.
Titik awal rantai serangan mencerminkan yang dirinci oleh perusahaan cybersecurity Rusia di mana file arsip pengekspresikan diri (SFX) yang dibuat menggunakan 7-zip Act sebagai saluran untuk menjatuhkan muatan tahap berikutnya. Ini termasuk skrip batch yang bertanggung jawab untuk memberikan Ultravnc, sementara juga menampilkan dokumen PDF umpan.

Eksekusi Ultravnc diberi nama “onedrivers.exe” dalam upaya yang mungkin untuk menghindari deteksi dengan meneruskannya sebagai biner yang terkait dengan Microsoft OneDrive.
Dikenalsec 404 mengatakan aktivitas tersebut berbagi beberapa kesamaan dengan kampanye Core Werewolf, termasuk menggunakan file 7Z-SFX untuk menginstal dan menjalankan Ultravnc, Port 443 untuk terhubung ke server, dan penggunaan perintah ENABLEDElayEdExpansion.
“Sejak paparannya, organisasi ini sering meniru TTP yang digunakan oleh organisasi Gararedon dan dengan cerdik menggunakan alat open-source sebagai perisai untuk mencapai tujuannya sendiri sambil membingungkan masyarakat,” kata perusahaan itu.

Gamacopy adalah salah satu dari banyak aktor ancaman yang menargetkan organisasi Rusia setelah Perang Russo-Ukraina, seperti Sticky Werewolf (alias Phaseshifters), Venture Wolf, dan Paper Werewolf.
“Kelompok -kelompok seperti Phaseshifters, Pseudogamaredon, dan Fluffy Wolf menonjol karena kampanye phishing tanpa henti mereka yang ditujukan untuk pencurian data,” kata Irina Zinovkina yang positif.