Peneliti Menemukan Kampanye Phising Manfaatkan Invasi Rusia ke Ukraina
Cyberthreat.id – Peneliti dari perusahaan keamanan siber Check Point mengungkapkan bahwa beberapa kelompok peretas memanfaatkan invasi Rusia ke Ukraina untuk mendistribusikan malware.
Dikutip dari The Hacker News, dala laporan terbarunya, Check Point menyebutkan setidaknya ada tiga kelompok ancaman persisten lanjutan (APT) dari seluruh dunia telah meluncurkan kampanye spear-phishing pada pertengahan Maret 2022. Dalam kampanye ini mereka menggunakan perang Rusia-Ukraina yang sedang berlangsung sebagai iming-iming untuk mendistribusikan malware dan mencuri informasi sensitif.
“Para penyerang menggunakan umpan mulai dari dokumen yang tampak resmi hingga artikel berita atau bahkan posting pekerjaan, tergantung pada target dan wilayahnya, banyak dari dokumen iming-iming ini menggunakan makro jahat atau injeksi template untuk mendapatkan pijakan awal, dan kemudian meluncurkan serangan malware” ungkap peneliti Check Point.
Kampanye spear-phising ini dilakukan oleh kelompok APT bernama El Machete, Lyceum, dan SideWinder. Mereka menargetkan berbagai sektor, termasuk sektor energi, keuangan, dan pemerintahan di Nikaragua, Venezuela, Israel, Arab Saudi, dan Pakistan.
Peneliti mengatakan, dalam rantai serangan yang dilakukan oleh El Machete, aktor ancaman berbahasa Spanyol, mereka menggunakan dokumen umpan makro untuk menyebarkan trojan akses jarak jauh open-source yang disebut Loki.Rat. Trojan ini yang mampu mengumpulkan penekanan tombol, kredensial dan data clipboard serta menjalankan operasi file dan menjalankan perintah arbitrer.
Sementara itu, dalam kampanye yang dilakukan oleh grup APT Iran yang dikenal sebagai Lyceum, mereka meluncurkan serangan phishing menggunakan email yang berjudul “kejahatan perang Rusia di Ukraina”. Hal ini dilakukan untuk mengirimkan dropper .NET dan Golang tahap pertama, yang kemudian digunakan untuk menyebarkan backdoor untuk menjalankan file yang diambil dari server jauh.
Sedangkan untuk kampanye yang dilakukan oleh kelompok APT yang disponsori India, Side Winer, mereka menggunakan dokumen yang dipersenjatai yang mengeksploitasi kelemahan Editor Persamaan di Microsoft Office (CVE-2017-11882) untuk mendistribusikan malware pencuri informasi.
“Meskipun perhatian publik biasanya tidak tertuju pada satu masalah untuk waktu yang lama, perang Rusia-Ukraina adalah pengecualian yang jelas,” kata para peneliti.
Peneliti menambahkan, temuan mereka tersebut sejalan dengan peringatan yang dikeluarkan oleh Google's Threat Analysis Group (TAG), yang mengungkapkan bahwa kelompok ancaman yang didukung negara-bangsa dari Iran, China, Korea Utara, dan Rusia serta banyak pelaku kriminal. Mereka memiliki motivasi finansial dengan memanfaatkan tema terkait perang dalam phishing. kampanye, upaya pemerasan online, dan aktivitas jahat lainnya.
“Perang ini mempengaruhi banyak wilayah di seluruh dunia dan berpotensi memiliki konsekuensi yang luas. Akibatnya, kita dapat berharap bahwa pelaku ancaman APT akan terus menggunakan krisis ini untuk melakukan kampanye phishing yang ditargetkan untuk tujuan spionase,” tutup peneliti Check Point. []
