Tim tanggap darurat komputer Ukraina (CERT-AA) telah mengungkapkan serangkaian serangan cyber baru yang menargetkan lembaga-lembaga Ukraina dengan malware mencuri informasi.
Kegiatan ini ditujukan untuk formasi militer, lembaga penegak hukum, dan badan pemerintahan mandiri lokal, terutama yang terletak di dekat perbatasan timur Ukraina, kata agensi itu.
Serangan tersebut melibatkan distribusi email phishing yang berisi microsoft spreadsheet (XLSM) yang diaktifkan makro, yang, ketika dibuka, fasilitas penyebaran dua potong malware, skrip PowerShell yang diambil dari pssw100AVB (“PowerShell skrip dengan Av sebelumnya AV Bypass”) Repositori PSSW1AVB (“PowerShell Script dengan 100% AV Bypass”) Github Repositories yang menggembalakan A AV BREDPASS AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV AV Hadiahcrook.
“Nama file dan jalur subjek email referensi masalah yang relevan dan sensitif seperti demining, denda administratif, produksi UAV, dan kompensasi untuk properti yang hancur,” kata Cert-UA.
“Spreadsheet ini berisi kode berbahaya yang, setelah membuka dokumen dan memungkinkan makro, secara otomatis berubah menjadi malware dan dieksekusi tanpa sepengetahuan pengguna.”
Ditulis dalam C/C ++, Hadiahedcrook memfasilitasi pencurian data sensitif dari browser web seperti Google Chrome, Microsoft Edge, dan Mozilla Firefox, seperti cookie, riwayat penjelajahan, dan data otentikasi.
Pesan email dikirim dari akun yang dikompromikan, seringkali melalui antarmuka web klien email, untuk meminjamkan pesan legitimasi, dan menipu calon korban untuk membuka dokumen. CERT-AA telah mengaitkan kegiatan tersebut dengan kluster ancaman UAC-0226, meskipun belum dikaitkan dengan negara tertentu.
Perkembangan ini terjadi ketika seorang yang dicurigai sebagai aktor spionase Rusia-Nexus dijuluki UNC5837 telah dikaitkan dengan kampanye phishing yang menargetkan pemerintah Eropa dan organisasi militer pada Oktober 2024.
“Kampanye yang digunakan lampiran file .RDP yang ditandatangani untuk membuat koneksi Protokol Desktop Remote (RDP) dari mesin korban,” kata Google Ancaman Intelijen (GTIG).
“Tidak seperti serangan RDP khas yang berfokus pada sesi interaktif, kampanye ini secara kreatif memanfaatkan pengalihan sumber daya (memetakan sistem file korban ke server penyerang) dan RemoteApps (menyajikan aplikasi yang dikendalikan oleh penyerang kepada para korban).”
Perlu dicatat bahwa kampanye RDP sebelumnya didokumentasikan oleh CERT-AA, Amazon Web Services, dan Microsoft pada Oktober 2024 dan kemudian oleh Trend Micro pada bulan Desember. CERT-AA melacak aktivitas dengan nama UAC-0215, sementara yang lain telah menghubungkannya dengan grup peretasan yang disponsori negara Rusia APT29.
Serangan ini juga terkenal karena kemungkinan penggunaan alat open-source yang disebut PyrDP untuk mengotomatisasi aktivitas jahat seperti file exfiltration dan clipboard capture, termasuk data yang berpotensi sensitif seperti kata sandi.
“Kampanye ini kemungkinan memungkinkan penyerang untuk membaca drive korban, mencuri file, menangkap data clipboard (termasuk kata sandi), dan mendapatkan variabel lingkungan korban,” kata GTIG dalam laporan Senin. “Tujuan utama UNC5837 tampaknya adalah spionase dan mencuri file.”
Dalam beberapa bulan terakhir, kampanye phishing juga telah diamati menggunakan captcha palsu dan turnstile Cloudflare untuk mendistribusikan Legion Loader (alias Satacom), yang kemudian berfungsi sebagai saluran untuk menjatuhkan ekstensi browser berbasis kromium berbahaya bernama “Save to Google Drive.”
“Muatan awal disebarkan melalui infeksi unduhan drive-by yang dimulai ketika seorang korban mencari dokumen tertentu dan terpikat ke situs web jahat,” kata Netskope Ancaman Labs. “Dokumen yang diunduh berisi captcha yang, setelah diklik oleh korban, akan mengarahkannya ke Cloudflare Turnstile Captcha dan akhirnya ke halaman pemberitahuan.”
Halaman tersebut meminta pengguna untuk mengizinkan pemberitahuan di situs, setelah itu para korban dialihkan ke Cloudflare Turnstile Captcha kedua yang, setelah selesai, dialihkan lagi ke halaman yang memberikan instruksi gaya clickFix untuk mengunduh dokumen yang mereka cari.
Pada kenyataannya, serangan itu membuka jalan bagi pengiriman dan pelaksanaan file pemasang MSI yang bertanggung jawab untuk meluncurkan Legion Loader, yang, pada gilirannya, melakukan serangkaian langkah untuk mengunduh dan menjalankan skrip PowerShell sementara, pada akhirnya menambahkan ekstensi browser nakal ke browser.
Skrip PowerShell juga mengakhiri sesi browser untuk ekstensi yang akan diaktifkan, menyalakan mode pengembang dalam pengaturan, dan meluncurkan kembali browser. Tujuan akhirnya adalah untuk menangkap berbagai informasi sensitif dan mengeluarkannya kepada para penyerang.
