Aktor ancaman terkait Rusia yang dikenal sebagai GAMAREDON (AKA Shuckworm) telah dikaitkan dengan serangan dunia maya yang menargetkan misi militer asing yang berbasis di Ukraina dengan tujuan untuk memberikan versi terbaru dari malware yang diketahui bernama Gammasteel.
Kelompok ini menargetkan misi militer negara barat, sesuai dengan tim pemburu ancaman Symantec, dengan tanda -tanda pertama dari kegiatan jahat yang terdeteksi pada 26 Februari 2025.
“Vektor infeksi awal yang digunakan oleh para penyerang tampaknya merupakan dorongan yang dapat dilepas yang terinfeksi,” kata Divisi Intelijen Ancaman milik Broadcom dalam sebuah laporan yang dibagikan kepada Hacker News.
Serangan dimulai dengan pembuatan nilai registri Windows di bawah kunci UserAssist, diikuti dengan meluncurkan “mshta.exe” menggunakan “Explorer.exe” untuk memulai rantai infeksi multi-tahap dan meluncurkan dua file.
File pertama, bernama “ntuser.dat.tmcontainer00000000000000000001.regtrans-ms,” digunakan untuk membangun komunikasi dengan server perintah-dan-kontrol (C2) yang diperoleh dengan menjangkau URL spesifik yang terkait dengan layanan yang sah seperti telegram, telegram, dan telegaf, di antara lainnya.
File kedua yang dimaksud, “ntuser.dat.tmcontainer00000000000000000002.Regtrans-ms,” dirancang untuk menginfeksi drive dan drive jaringan yang dapat dilepas dengan membuat file pintas untuk setiap folder untuk menjalankan perintah “mshta.exe” yang jahat dan menyembunyikannya.
Selanjutnya pada 1 Maret 2025, skrip dieksekusi untuk menghubungi server C2, metadata sistem exfiltrate, dan menerima, sebagai imbalannya, muatan yang dikodekan base64, yang kemudian digunakan untuk menjalankan perintah PowerShell yang direkayasa untuk mengunduh versi baru yang dikaburkan dari skrip yang sama.
Skrip, untuk bagiannya, terhubung ke server C2 yang dikodekan untuk mengambil dua skrip PowerShell lagi, yang pertama adalah utilitas pengintaian yang mampu menangkap tangkapan layar, menjalankan perintah SystemInfo, mendapatkan detail perangkat lunak keamanan yang berjalan pada host, menyebutkan file dan folder di desktop, dan daftar proses berjalan.
Skrip PowerShell kedua adalah versi Gammasteel yang lebih baik, pencuri informasi yang diketahui yang mampu mengeluarkan file dari korban berdasarkan daftar ekstensi dari desktop dan folder dokumen.
“Serangan ini memang menandai peningkatan kecanggihan bagi Shuckworm, yang tampaknya kurang terampil daripada aktor Rusia lainnya, meskipun itu mengimbangi hal ini dengan fokus tanpa henti pada target di Ukraina,” kata Symantec.
“Sementara grup tampaknya tidak memiliki akses ke keterampilan yang sama dengan beberapa kelompok Rusia lainnya, Shuckworm sekarang tampaknya mencoba untuk mengkompensasi ini dengan terus -menerus membuat modifikasi kecil pada kode yang digunakannya, menambahkan kebingungan, dan memanfaatkan layanan web yang sah, semuanya untuk mencoba menurunkan risiko deteksi.”
