Peneliti keamanan siber pada hari Senin mengatakan mereka menemukan bukti percobaan serangan oleh operasi peretasan terkait Rusia yang menargetkan entitas Ukraina pada Juli 2021.
Symantec milik Broadcom, dalam sebuah laporan baru yang diterbitkan Senin, mengaitkan serangan itu dengan seorang aktor yang dilacak sebagai Gamaredon (alias Shuckworm atau Armageddon), sebuah kolektif spionase dunia maya yang diketahui aktif setidaknya sejak 2013.
Pada November 2021, badan intelijen Ukraina mencap kelompok itu sebagai "proyek khusus" dari Layanan Keamanan Federal Rusia (FSB), selain menudingnya karena melakukan lebih dari 5.000 serangan siber terhadap otoritas publik dan infrastruktur penting yang terletak di negara itu.
Serangan Gamaredon biasanya berasal dari email phishing yang mengelabui penerima agar menginstal trojan akses jarak jauh khusus yang disebut Pterodo. Symantec mengungkapkan bahwa, antara 14 Juli 2021 dan 18 Agustus 2021, aktor tersebut memasang beberapa varian pintu belakang serta menggunakan skrip dan alat tambahan.
"Rantai serangan dimulai dengan dokumen berbahaya, kemungkinan dikirim melalui email phishing, yang dibuka oleh pengguna mesin yang terinfeksi," para peneliti . Identitas organisasi yang terkena dampak tidak diungkapkan.
Menjelang akhir Juli, musuh memanfaatkan implan untuk mengunduh dan menjalankan file yang dapat dieksekusi yang bertindak sebagai penetes untuk klien VNC sebelum membuat koneksi dengan server perintah-dan-kontrol jarak jauh di bawah kendali mereka.
"Klien VNC ini tampaknya menjadi muatan utama untuk serangan ini," catat para peneliti, menambahkan instalasi diikuti dengan mengakses sejumlah dokumen mulai dari deskripsi pekerjaan hingga informasi sensitif perusahaan pada mesin yang disusupi.
selanjutnya terhadap malware tersebut telah bahwa kode yang digunakan dalam wiper itu bertujuan ulang dari kampanye ransomware palsu yang disebut WhiteBlackCrypt yang ditujukan untuk korban Rusia pada Maret 2021.
Menariknya, ransomware diketahui menyertakan simbol trisula — yang merupakan bagian dari — dalam catatan tebusan yang ditampilkan kepada para korbannya, membuat Ukraina curiga bahwa ini mungkin operasi bendera palsu yang sengaja dimaksudkan untuk menyalahkan " palsu" kelompok pro-Ukraina karena melancarkan serangan terhadap pemerintah mereka sendiri.
Symantec milik Broadcom, dalam sebuah laporan baru yang diterbitkan Senin, mengaitkan serangan itu dengan seorang aktor yang dilacak sebagai Gamaredon (alias Shuckworm atau Armageddon), sebuah kolektif spionase dunia maya yang diketahui aktif setidaknya sejak 2013.
Pada November 2021, badan intelijen Ukraina mencap kelompok itu sebagai "proyek khusus" dari Layanan Keamanan Federal Rusia (FSB), selain menudingnya karena melakukan lebih dari 5.000 serangan siber terhadap otoritas publik dan infrastruktur penting yang terletak di negara itu.
Serangan Gamaredon biasanya berasal dari email phishing yang mengelabui penerima agar menginstal trojan akses jarak jauh khusus yang disebut Pterodo. Symantec mengungkapkan bahwa, antara 14 Juli 2021 dan 18 Agustus 2021, aktor tersebut memasang beberapa varian pintu belakang serta menggunakan skrip dan alat tambahan.
"Rantai serangan dimulai dengan dokumen berbahaya, kemungkinan dikirim melalui email phishing, yang dibuka oleh pengguna mesin yang terinfeksi," para peneliti . Identitas organisasi yang terkena dampak tidak diungkapkan.
Menjelang akhir Juli, musuh memanfaatkan implan untuk mengunduh dan menjalankan file yang dapat dieksekusi yang bertindak sebagai penetes untuk klien VNC sebelum membuat koneksi dengan server perintah-dan-kontrol jarak jauh di bawah kendali mereka.
"Klien VNC ini tampaknya menjadi muatan utama untuk serangan ini," catat para peneliti, menambahkan instalasi diikuti dengan mengakses sejumlah dokumen mulai dari deskripsi pekerjaan hingga informasi sensitif perusahaan pada mesin yang disusupi.
Ukraina Menyerukan Operasi Bendera Palsu dalam Serangan Wiper
Temuan itu muncul di tengah gelombang serangan yang mengganggu dan merusak yang dikenakan terhadap entitas Ukraina oleh aktor yang diduga disponsori negara Rusia, yang mengakibatkan penyebaran penghapus file yang dijuluki WhisperGate , pada saat yang sama beberapa situs web milik pemerintah dirusak.selanjutnya terhadap malware tersebut telah bahwa kode yang digunakan dalam wiper itu bertujuan ulang dari kampanye ransomware palsu yang disebut WhiteBlackCrypt yang ditujukan untuk korban Rusia pada Maret 2021.
Menariknya, ransomware diketahui menyertakan simbol trisula — yang merupakan bagian dari — dalam catatan tebusan yang ditampilkan kepada para korbannya, membuat Ukraina curiga bahwa ini mungkin operasi bendera palsu yang sengaja dimaksudkan untuk menyalahkan " palsu" kelompok pro-Ukraina karena melancarkan serangan terhadap pemerintah mereka sendiri.