Aktor negara-bangsa Rusia dilacak sebagai Badai Salju Rahasia telah diamati memanfaatkan malware yang terkait dengan pelaku ancaman lain untuk menyebarkan pintu belakang yang disebut Kazuar pada perangkat target yang berlokasi di Ukraina.
Temuan baru ini datang dari tim intelijen ancaman Microsoft, yang mengatakan bahwa mereka mengamati musuh memanfaatkan malware bot Amadey untuk mengunduh malware khusus ke sistem “yang dipilih secara khusus” yang terkait dengan militer Ukraina antara Maret dan April 2024.
Kegiatan ini dinilai menjadi kedua kalinya sejak tahun 2022 Secret Blizzard, juga dikenal sebagai Turla, melakukan kampanye kejahatan dunia maya untuk menyebarkan alatnya sendiri di Ukraina.
“Memerintah akses pelaku ancaman lain menyoroti pendekatan Secret Blizzard dalam mendiversifikasi vektor serangannya,” kata perusahaan itu dalam laporan yang dibagikan kepada The Hacker News.
Beberapa metode lain yang diketahui digunakan oleh kru peretasan termasuk kampanye musuh di tengah (AitM), kompromi web strategis (alias serangan watering hole), dan spear-phishing.
Secret Blizzard memiliki rekam jejak yang menargetkan berbagai sektor untuk memfasilitasi akses rahasia jangka panjang untuk pengumpulan intelijen, namun fokus utama mereka adalah pada kementerian luar negeri, kedutaan besar, kantor pemerintah, departemen pertahanan, dan perusahaan terkait pertahanan di seluruh dunia.
Laporan terbaru muncul seminggu setelah raksasa teknologi tersebut, bersama dengan Lumen Technologies Black Lotus Labs, mengungkapkan pembajakan Turla terhadap 33 server perintah dan kontrol (C2) dari kelompok peretas yang berbasis di Pakistan bernama Storm-0156 untuk menjalankan operasinya sendiri. .
Serangan yang menargetkan entitas Ukraina memerlukan komando bot Amadey untuk menyebarkan pintu belakang yang dikenal sebagai Tavdig, yang kemudian digunakan untuk menginstal versi terbaru Kazuar, yang didokumentasikan oleh Palo Alto Networks Unit 42 pada November 2023.
Aktivitas penjahat dunia maya yang terkait dengan Amadey, yang sering kali mencakup eksekusi penambang mata uang kripto XMRig, sedang dilacak oleh Microsoft dengan nama Storm-1919.
Diyakini bahwa Secret Blizzard menggunakan malware-as-a-service (MaaS) Amadey atau mengakses panel command-and-control (C2) Amadey secara diam-diam untuk mengunduh dropper PowerShell pada perangkat target. Dropper terdiri dari payload Amadey berkode Base64 yang ditambahkan oleh segmen kode, yang memanggil kembali ke server Turla C2.
“Kebutuhan untuk mengkodekan dropper PowerShell dengan URL C2 terpisah yang dikendalikan oleh Secret Blizzard dapat menunjukkan bahwa Secret Blizzard tidak secara langsung mengendalikan mekanisme C2 yang digunakan oleh bot Amadey,” kata Microsoft.
Fase berikutnya melibatkan pengunduhan alat pengintaian khusus yang bertujuan untuk mengumpulkan detail tentang perangkat korban dan kemungkinan memeriksa apakah Microsoft Defender diaktifkan, yang pada akhirnya memungkinkan pelaku ancaman untuk membidik sistem yang lebih diinginkan.
Pada tahap ini, serangan dilanjutkan dengan menyebarkan dropper PowerShell yang berisi pintu belakang Tavdig dan biner Symantec sah yang rentan terhadap pemuatan samping DLL. Tavdig, pada bagiannya, digunakan untuk melakukan pengintaian tambahan dan meluncurkan KazuarV2.
Microsoft mengatakan pihaknya juga mendeteksi pelaku ancaman yang menggunakan kembali pintu belakang PowerShell yang terkait dengan kelompok peretas lain yang berbasis di Rusia bernama Flying Yeti (alias Storm-1837 dan UAC-0149) untuk menyebarkan dropper PowerShell yang menyematkan Tavdig.
Investigasi tentang bagaimana Secret Blizzard menguasai pintu belakang Storm-1837 atau bot Amadey untuk mengunduh alatnya sendiri saat ini sedang berlangsung, kata raksasa teknologi itu.
Tentu saja, temuan ini sekali lagi menyoroti upaya berulang-ulang pelaku ancaman untuk mendapatkan pijakan yang diberikan oleh pihak lain, baik dengan membeli akses atau mencurinya, untuk melakukan kampanye spionase dengan cara yang mengaburkan kehadirannya sendiri.
“Bukan hal yang aneh bagi pelaku untuk menggunakan taktik atau alat yang sama, meskipun kita jarang melihat bukti bahwa mereka membahayakan dan menggunakan infrastruktur pelaku lain,” Sherrod DeGrippo, direktur Threat Intelligence Strategy di Microsoft, mengatakan kepada The Hacker News.
“Sebagian besar pelaku ancaman yang disponsori negara mempunyai tujuan operasional yang bergantung pada infrastruktur khusus atau yang dikompromikan secara hati-hati untuk mempertahankan integritas operasi mereka. Hal ini berpotensi menjadi teknik kebingungan yang efektif untuk membuat frustrasi analis intelijen ancaman dan mempersulit pengaitan ke pelaku ancaman yang tepat.”
