Sebuah kelompok hacktivist yang dikenal sebagai Kepala Kuda Betina telah dikaitkan dengan serangan cyber yang secara eksklusif menargetkan organisasi yang berlokasi di Rusia dan Belarus.
“Head Mare menggunakan metode yang lebih mutakhir untuk mendapatkan akses awal,” kata Kaspersky dalam analisisnya pada hari Senin mengenai taktik dan alat kelompok tersebut.
“Misalnya, para penyerang memanfaatkan kerentanan CVE-2023-38831 yang relatif baru di WinRAR, yang memungkinkan penyerang untuk mengeksekusi kode sembarangan pada sistem melalui arsip yang disiapkan secara khusus. Pendekatan ini memungkinkan kelompok tersebut untuk mengirimkan dan menyamarkan muatan berbahaya secara lebih efektif.”
Head Mare, aktif sejak 2023, adalah salah satu kelompok hacktivist yang menyerang organisasi Rusia dalam konteks konflik Rusia-Ukraina yang dimulai setahun sebelumnya.
Kelompok ini juga memiliki kehadiran di X, tempat mereka membocorkan informasi sensitif dan dokumentasi internal dari para korban. Sasaran serangan kelompok ini meliputi sektor pemerintahan, transportasi, energi, manufaktur, dan lingkungan.
Berbeda dengan para peretas aktivis lainnya yang mungkin beroperasi dengan tujuan untuk menimbulkan “kerusakan maksimum” terhadap perusahaan-perusahaan di kedua negara, Head Mare juga mengenkripsi perangkat korban menggunakan LockBit untuk Windows dan Babuk untuk Linux (ESXi), dan meminta tebusan untuk dekripsi data.
Perangkatnya juga termasuk PhantomDL dan PhantomCore, yang pertama merupakan pintu belakang berbasis Go yang mampu mengirimkan muatan tambahan dan mengunggah berkas yang diinginkan ke server perintah-dan-kendali (C2).
PhantomCore (alias PhantomRAT), pendahulu PhantomDL, adalah trojan akses jarak jauh dengan fitur serupa, yang memungkinkan pengunduhan berkas dari server C2, pengunggahan berkas dari host yang disusupi ke server C2, serta mengeksekusi perintah dalam interpreter baris perintah cmd.exe.
“Para penyerang membuat tugas terjadwal dan nilai registri bernama MicrosoftUpdateCore dan MicrosoftUpdateCoree untuk menyamarkan aktivitas mereka sebagai tugas yang terkait dengan perangkat lunak Microsoft,” kata Kaspersky.
“Kami juga menemukan bahwa beberapa sampel LockBit yang digunakan oleh kelompok tersebut memiliki nama berikut: OneDrive.exe [and] VLC.exe. Sampel-sampel ini terletak di direktori C:\ProgramData, menyamar sebagai aplikasi OneDrive dan VLC yang sah.”
Kedua artefak tersebut diketahui didistribusikan melalui kampanye phishing dalam bentuk dokumen bisnis dengan ekstensi ganda (misalnya, решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe atau тз на разработку.pdf.exe).
Komponen penting lainnya dari persenjataan serangannya adalah Sliver, kerangka kerja C2 sumber terbuka, dan kumpulan berbagai alat yang tersedia untuk umum seperti rsockstun, ngrok, dan Mimikatz yang memfasilitasi penemuan, pergerakan lateral, dan pengumpulan kredensial.
Intrusi tersebut berpuncak pada penerapan LockBit atau Babuk tergantung pada lingkungan target, diikuti dengan pengiriman catatan tebusan yang menuntut pembayaran sebagai ganti dekripsi untuk membuka kunci file.
“Taktik, metode, prosedur, dan alat yang digunakan oleh kelompok Head Mare secara umum serupa dengan kelompok lain yang terkait dengan kelompok yang menargetkan organisasi di Rusia dan Belarus dalam konteks konflik Rusia-Ukraina,” kata vendor keamanan siber Rusia tersebut.
“Namun, kelompok ini membedakan dirinya dengan menggunakan malware yang dibuat khusus seperti PhantomDL dan PhantomCore, serta mengeksploitasi kerentanan yang relatif baru, CVE-2023-38831, untuk menyusup ke infrastruktur korbannya dalam kampanye phishing.”