A yang menargetkan warga negara Rusia dan entitas pemerintah yang tidak selaras dengan tindakan pemerintah Rusia adalah yang terbaru dari berbagai ancaman yang muncul sejak Rusia menginvasi Ukraina pada Februari.
Peneliti dari MalwareBytes mengidentifikasi kampanye minggu lalu yang menargetkan entitas menggunakan situs web , jejaring sosial, pesan instan, dan layanan VPN yang dilarang oleh Kremlin, menurut posting blog yang diterbitkan Selasa oleh Hossein Jazi, manajer, analis intelijen ancaman di MalwareBytes.
Target menerima berbagai email yang akan mereka hadapi karena aktivitas ini, dengan memikat untuk membuka lampiran atau tautan berbahaya untuk mengetahui lebih lanjut, tulis Jazi. Pesan yang dimaksudkan berasal dari “Kementerian Pengembangan Digital, Telekomunikasi dan Komunikasi Massa Federasi Rusia” dan “Layanan Federal untuk Pengawasan Komunikasi, Teknologi Informasi, dan Komunikasi Massa,” katanya.
MalwareBytes mengamati dua dokumen yang terkait dengan kampanye tersebut. menggunakan cacat diidentifikasi sebelumnya dijuluki MSHTML dan dilacak sebagai CVE-2021-40444. Cacatnya, yang telah ditambal, adalah kerentanan eksekusi kode jarak jauh (RCE) di Windows yang memungkinkan penyerang membuat dokumen Microsoft Office berbahaya.
“Meskipun CVE-2021-40444 telah digunakan dalam beberapa serangan di masa lalu, sepengetahuan kami, ini adalah pertama kalinya kami mengamati penyerang menggunakan file RTF alih-alih dokumen Word untuk mengeksploitasi kerentanan ini,” tulis Jazi.
Selain itu, pelaku ancaman menggunakan varian baru dari eksploitasi MSHTML yang disebut CABLESS dalam kampanye, kata peneliti. Sophos sebelumnya melaporkan serangan yang menggunakan varian ini; Namun, dalam kasus aktor tersebut tidak menggunakan file RTF, Jazi mengamati di post.
Kampanye ini juga menyimpang dari sebagian besar ancaman dunia maya lainnya yang muncul sejak Rusia menginvasi Ukraina pada 24 Februari, yang biasanya cenderung menyerang target di Ukraina atau yang lain bersimpati pada tujuan negara yang dilanda perang.
Attack Sequence
Para peneliti mencegat sejumlah email yang digunakan dalam kampanye, yang semuanya dalam bahasa Rusia. Salah satu yang secara khusus mereka amati adalah surat kepada target tentang pembatasan akses ke aplikasi Telegram di Rusia, menurut post.
Email tersebut menyertakan RTF dengan url tertanam yang mengunduh file HTML yang mengeksploitasi bug MSHTML, kata para peneliti . File HTML berisi skrip yang mengeksekusi skrip dalam data Windows Script Host (WSF) yang disematkan dalam file RTF, yang berisi kode JavaScript yang dapat diakses dari lokasi jarak jauh.
“Dalam hal ini, data ini telah diakses menggunakan file eksploitasi HTML yang diunduh,” jelas Jazi. “Mengeksekusi skrip ini mengarah ke pemijahan PowerShell untuk mengunduh suar CobaltStrike dari server jarak jauh dan mengeksekusinya di mesin korban.”
Berpotensi CarbonSpider di Tempat Kerja?
Peneliti tidak yakin siapa yang berada di balik kampanye tetapi mencatat kesamaan umpan seperti yang digunakan sebelumnya dan terkait dengan kelompok ancaman CarbonSpider, yang di masa lalu telah menargetkan lembaga keuangan Rusia.
Kampanye CarbonSpider sebelumnya juga menggunakan template email yang mengaku berasal dari Layanan Federal untuk Pengawasan Komunikasi, Teknologi Informasi, dan Komunikasi Massa sebagai iming-iming, menurut pos. Dalam kampanye itu, aktor ancaman menyebarkan trojan akses jarak jauh (RAT) berbasis PowerShell dalam skrip PowerShell yang dikaburkan yang menggunakan kombinasi Base64 dan kebingungan kustom, menurut post.
Tersembunyi di dalam skrip adalah RAT yang dapat memindahkan menyerang ke tahap berikutnya dan mengeksekusi berbagai muatan, termasuk JavaScript, PowerShell, Executable atau DLL.
“RAT ini memulai aktivitasnya dengan menyiapkan beberapa konfigurasi yang mencakup URL [command-and-control, atau C2], interval, debug mode dan grup bernama parameter yang diinisialisasi dengan 'Madagaskar' yang kemungkinan merupakan alias dari aktor ancaman,” tulis Jazi. organisasi pemerintah, termasuk: otoritas portal internet resmi Chuvash Republic; Kementerian Dalam Negeri Rusia; Kementerian Pendidikan dan Ilmu Pengetahuan Republik Altai; Kementerian Pendidikan Wilayah Stavropol; Menteri Pendidikan dan Ilmu Pengetahuan Republik Ossetia Utara-Alania; dan Kementerian Sains dan Pendidikan Tinggi Federasi Rusia.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
