Intelijen Rusia Menargetkan Korban di Seluruh Dunia dalam Serangan Siber Cepat

Peretas negara Rusia melakukan kampanye phishing yang ditargetkan di setidaknya sembilan negara yang tersebar di empat benua. Email mereka memuji urusan resmi pemerintah dan, jika berhasil, tidak hanya mengancam data sensitif organisasi, tetapi juga intelijen geopolitik yang memiliki kepentingan strategis.

Plot yang canggih dan memiliki banyak cabang seperti itu hanya dapat dilakukan oleh kelompok yang produktif Beruang mewah (alias APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028, dan masih banyak lagi alias lainnya), yang dilacak oleh IBM X-Force sebagai ITG05 di sebuah laporan baru.

Selain umpan-umpan bertema pemerintah yang meyakinkan dan tiga varian baru dari pintu belakang khusus, kampanye ini paling menonjol karena informasi yang ditargetkan: Fancy Bear tampaknya bertujuan untuk memberikan informasi yang sangat spesifik yang dapat digunakan oleh pemerintah Rusia.

Umpan Phishing Pemerintah

Fancy Bear telah menggunakan setidaknya 11 umpan unik dalam kampanye yang menargetkan organisasi di Argentina, Ukraina, Georgia, Belarus, Kazakhstan, Polandia, Armenia, Azerbaijan, dan Amerika Serikat.

Iming-iming tersebut tampak seperti dokumen resmi yang terkait dengan pemerintah internasional, yang mencakup tema-tema luas seperti keuangan, infrastruktur penting, keterlibatan eksekutif, keamanan siber, keamanan maritim, layanan kesehatan, dan produksi industri pertahanan.

Beberapa di antaranya merupakan dokumen sah dan dapat diakses publik. Menariknya, program lainnya tampaknya bersifat internal pada lembaga pemerintah tertentu, sehingga menimbulkan pertanyaan tentang bagaimana Fancy Bear bisa mendapatkan lembaga tersebut.

“X-Force tidak mengetahui apakah ITG05 telah berhasil menyusupi organisasi yang ditiru,” kata Claire Zaboeva, pemburu ancaman untuk IBM X-Force. “Karena ITG05 mungkin memanfaatkan akses tidak sah untuk mengumpulkan dokumen internal, kami telah memberi tahu semua pihak yang meniru aktivitas tersebut sebelum dipublikasikan sebagai bagian dari Kebijakan Pengungkapan yang Bertanggung Jawab.”

Alternatifnya, Fancy Bear/ITGO5 mungkin hanya meniru file asli. “Misalnya, beberapa dokumen yang ditemukan menampilkan kesalahan nyata seperti salah mengeja nama pihak-pihak utama dalam kontrak resmi pemerintah,” katanya.

Motif Potensial?

Kualitas penting lainnya dari umpan ini adalah cukup spesifik.

Contoh dalam bahasa Inggris mencakup makalah kebijakan keamanan siber dari sebuah LSM Georgia, dan rencana perjalanan bulan Januari yang merinci Pertemuan dan Latihan Bell Buoy (XBB2024) tahun 24 untuk peserta Kelompok Kerja Pengiriman Samudera Hindia Pasifik (PACIOSWG) Angkatan Laut AS.

Dan terdapat pula daya tarik yang bertemakan keuangan: sebuah dokumen Belarusia yang berisi rekomendasi untuk menciptakan kondisi komersial guna memfasilitasi perusahaan antarnegara pada tahun 2025, sejalan dengan inisiatif Uni Ekonomi Eurasia, sebuah dokumen kebijakan anggaran Kementerian Perekonomian Argentina yang menawarkan “pedoman strategis” untuk membantu negara-negara tersebut. presiden dengan kebijakan ekonomi nasional, dan lebih banyak lagi yang sejalan dengan hal ini.

“Kemungkinan pengumpulan informasi sensitif mengenai masalah anggaran dan postur keamanan entitas global merupakan target prioritas tinggi mengingat ruang misi ITG05 yang sudah ditetapkan,” kata X-Force dalam laporan kampanyenya.

Argentina, misalnya, baru-baru ini menolak undangan untuk bergabung dengan organisasi perdagangan BRICS (Brasil, Rusia, India, Tiongkok, Afrika Selatan), sehingga “ITG05 mungkin berupaya mendapatkan akses yang dapat memberikan wawasan mengenai prioritas pemerintah Argentina. , ”kata X-Force.

Aktivitas Pasca Eksploitasi

Selain kekhususan dan kesan legitimasi, para penyerang menggunakan satu lagi trik psikologis untuk menjerat korban: awalnya hanya menampilkan versi dokumen yang kabur. Seperti pada gambar di bawah, penerima dapat melihat detail secukupnya untuk menunjukkan bahwa dokumen-dokumen ini tampak resmi dan penting, namun tidak cukup untuk menghindari keharusan mengkliknya.

Contoh dokumen iming-iming; Sumber: IBM

Ketika korban di situs yang dikendalikan penyerang mengeklik untuk melihat dokumen umpan, mereka mengunduh pintu belakang Python yang disebut “Masepie.” Pertama kali ditemukan pada bulan Desember, ia mampu membangun persistensi di mesin Windows, dan memungkinkan pengunduhan dan pengunggahan file serta eksekusi perintah sewenang-wenang.

Salah satu file yang diunduh Masepie ke mesin yang terinfeksi adalah “Oceanmap,” alat berbasis C# untuk mengeksekusi perintah melalui Internet Message Access Protocol (IMAP). Varian asli Oceanmap – bukan yang digunakan di sini – memiliki fungsi mencuri informasi yang telah dihapuskan dan dipindahkan ke “Steelhook,” muatan lain yang diunduh Masepie yang terkait dengan kampanye ini.

Steelhook adalah skrip PowerShell yang tugasnya mengekstraksi data dari Google Chrome dan Microsoft Edge melalui webhook.

Yang lebih menonjol dari malware-nya adalah tindakan cepat Fancy Bear. Sebagai pertama kali dijelaskan oleh Tim Tanggap Darurat Komputer Ukraina (CERT-UA), Fancy Bear menginfeksi pada jam pertama saat mendarat di mesin korban, mengunduh pintu belakang dan melakukan pengintaian dan pergerakan lateral melalui hash NTLMv2 yang dicuri untuk serangan relai.

Jadi calon korban harus bertindak cepat atau, lebih baik lagi, mempersiapkan diri terlebih dahulu untuk menghadapi infeksi yang mereka alami. Mereka dapat melakukannya dengan mengikuti daftar rekomendasi IBM: memantau email dengan URL yang disajikan oleh penyedia hosting Fancy Bear, FirstCloudIT, dan lalu lintas IMAP yang mencurigakan ke server yang tidak dikenal, mengatasi kerentanan yang disukai – seperti CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – dan masih banyak lagi.

“ITG05 akan terus memanfaatkan serangan terhadap pemerintah dunia dan aparat politik mereka untuk memberikan Rusia wawasan lebih lanjut mengenai keputusan kebijakan yang muncul,” para peneliti menyimpulkan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks