Ancaman dunia maya bermotivasi politik yang hampir tidak dibahas di ruang publik telah muncul kembali dalam beberapa bulan terakhir, dengan kampanye melawan lembaga pemerintah dan individu di Italia, India, Polandia, dan Ukraina.
"Winter Vivern" (alias UAC-0114) telah aktif setidaknya sejak Desember 2020. Analis melacak aktivitas awalnya pada tahun 2021, tetapi grup tersebut tetap tidak terlihat oleh publik selama bertahun-tahun sejak itu. Begitulah, sampai serangan terhadap target pemerintah Ukraina dan Polandia mengilhami laporan tentang aktivitas kebangkitan kembali awal tahun ini dari Biro Kejahatan Dunia Maya Pusat Polandia, Dan Pusat Perlindungan Siber Negara Layanan Negara Komunikasi Khusus dan Perlindungan Informasi Ukraina.
Di sebuah analisis lanjutan yang diterbitkan minggu ini, Tom Hegel, peneliti ancaman senior di SentinelOne, menjelaskan lebih lanjut TTP kelompok tersebut dan menekankan keselarasannya yang erat โdengan tujuan global yang mendukung kepentingan pemerintah Belarus dan Rusia,โ mencatat bahwa itu harus diklasifikasikan sebagai ancaman persisten tingkat lanjut (APT) bahkan meskipun sumber dayanya tidak setara dengan rekan-rekan berbahasa Rusia lainnya.
Winter Vivern, Aktor Ancaman 'Scrappy'
Winter Vivern, yang namanya merupakan turunan dari wyvern, sejenis naga berkaki dua dengan ekor runcing beracun, "masuk ke dalam kategori aktor ancaman yang suka berkelahi," tulis Hegel. Mereka "cukup banyak akal dan mampu mencapai banyak hal dengan sumber daya yang berpotensi terbatas, sementara bersedia menjadi fleksibel dan kreatif dalam pendekatan mereka untuk pemecahan masalah."
Karakteristik grup yang paling menentukan adalah umpan phishingnya โ biasanya dokumen yang meniru literatur pemerintah yang sah dan tersedia untuk umum, yang menjatuhkan muatan berbahaya saat dibuka. Baru-baru ini, grup tersebut telah meniru situs web pemerintah untuk mendistribusikan kejahatan mereka. Vivern memiliki selera humor, meniru beranda milik badan pertahanan dunia maya utama Ukraina dan Polandia, seperti yang terlihat di bawah ini.
Namun, taktik grup yang paling licik adalah menyamarkan malware-nya sebagai perangkat lunak antivirus. Seperti banyak kampanye mereka yang lain, "pemindai palsu dikirimkan melalui email ke target sebagai pemberitahuan pemerintah," kata Hegel kepada Dark Reading.
Pemberitahuan ini menginstruksikan penerima untuk memindai mesin mereka dengan perangkat lunak antivirus yang seharusnya ini. Korban yang mengunduh perangkat lunak palsu dari domain pemerintah palsu akan melihat apa yang tampak sebagai antivirus yang sebenarnya sedang berjalan, padahal muatan berbahaya sedang diunduh di latar belakang.
Muatan itu, dalam beberapa bulan terakhir, biasanya begitu minuman beralkohol, sebuah Trojan yang mengumpulkan detail tentang korban, menetapkan kegigihan pada mesin target, dan memberi suar ke server perintah-dan-kontrol yang dikendalikan penyerang (C2).
Kelompok ini juga menggunakan banyak taktik dan teknik lainnya. Dalam kampanye baru-baru ini melawan Ukraina Saya Ingin Hidup hotline, mereka beralih ke favorit lama: file Microsoft Excel yang diaktifkan makro.
Dan "ketika aktor ancaman berusaha untuk mengkompromikan organisasi di luar pencurian kredensial yang sah," tulis Hegel dalam postingannya, "Winter Vivern cenderung mengandalkan perangkat bersama dan penyalahgunaan alat Windows yang sah."
Winter Vivern, APT, atau Hacktivist?
Kisah Winter Vivern tersebar dan mengarah ke profil yang agak membingungkan.
Targetnya murni APT: Awal 2021, peneliti dari DomainTools sedang mem-parsing dokumen Microsoft Excel menggunakan makro ketika mereka menemukan satu dengan nama yang agak tidak berbahaya: "kontak". Makro kontak menjatuhkan skrip PowerShell yang menghubungi domain yang telah aktif sejak Desember 2020. Setelah penyelidikan lebih lanjut, para peneliti menemukan lebih dari yang mereka duga: dokumen berbahaya lainnya yang menargetkan entitas di Azerbaijan, Siprus, India, Italia, Lituania , Ukraina, dan bahkan Vatikan.
Grup itu jelas masih aktif pada musim panas, ketika Lab52 menerbitkan berita tentang kampanye yang sedang berlangsung cocok dengan profil yang sama. Namun baru pada Januari 2023, hal itu muncul kembali di mata publik, menyusul kampanye melawan anggota individu dari pemerintah India, Kementerian Luar Negeri Ukraina, Kementerian Luar Negeri Italia, dan lembaga pemerintah Eropa lainnya.
โYang menarik,โ tulis Hegel dalam posting blognya, โadalah penargetan APT terhadap bisnis swasta, termasuk organisasi telekomunikasi yang mendukung Ukraina dalam perang yang sedang berlangsung.โ
Penekanan khusus pada Ukraina ini menambah intrik cerita karena, baru-baru ini pada bulan Februari, pemerintah Ukraina hanya dapat menyimpulkan "dengan tingkat kepercayaan yang tinggi" bahwa "anggota berbahasa Rusia hadir" di dalam grup. Hegel kini melangkah lebih jauh, dengan secara langsung menghubungkan kelompok tersebut dengan kepentingan negara Rusia dan Belarusia.
โDengan potensi ikatan ke Belarusia, sulit untuk menentukan apakah ini adalah organisasi baru atau hanya penugasan baru dari mereka yang kita kenal dengan baik,โ kata Hegel kepada Dark Reading.
Meski begitu, grup tersebut tidak sesuai dengan profil APT negara-bangsa pada umumnya. Kurangnya sumber daya mereka, "kekotoran" mereka - relatif terhadap rekan-rekan mereka yang tangguh Sandworm, Beruang yang nyaman, menara ini, dan lainnya โ tempatkan mereka dalam kategori yang lebih dekat dengan hacktivism biasa. โMereka memang memiliki keterampilan teknis untuk mencapai akses awal, namun, saat ini mereka tidak sebanding dengan aktor Rusia yang sangat baru,โ kata Hegel.
Di luar kapasitas yang terbatas, โserangkaian aktivitas dan penargetan mereka yang sangat terbatas adalah mengapa mereka begitu tidak dikenal di publik,โ kata Hegel. Ini mungkin menguntungkan Winter Vivern, pada akhirnya. Selama tidak ada gigitan ekstra itu, ia dapat terus terbang di bawah radar.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/low-budget-winter-vivern-apt-awakens-after-2-year-hibernation
- :adalah
- $NAIK
- 2020
- 2021
- 2023
- 7
- a
- Sanggup
- Tentang Kami
- penyalahgunaan
- mengakses
- menyelesaikan
- aktif
- kegiatan
- aktor
- Menambahkan
- maju
- Setelah
- terhadap
- lembaga
- alias
- penjajaran
- analisis
- Analis
- dan
- antivirus
- pendekatan
- APT
- ADALAH
- AS
- At
- Serangan
- tersedia
- Azerbaijan
- latar belakang
- BE
- makhluk
- Belarus
- di bawah
- Luar
- Blog
- Biro
- bisnis
- by
- Kampanye
- Kampanye
- kapasitas
- Kategori
- pusat
- menantang
- ciri
- tergolong
- Jelas
- Penyelesaian
- Kembali
- umum
- Komunikasi
- kompromi
- menyimpulkan
- kepercayaan
- bingung
- kontak
- terus
- berhubungan
- Kreatif
- Surat kepercayaan
- maya
- cybercrime
- Siprus
- gelap
- Bacaan gelap
- Desember
- mendefinisikan
- rincian
- Menentukan
- langsung
- ditemukan
- dibahas
- mendistribusikan
- dokumen
- domain
- Download
- Naga
- Menjatuhkan
- menjatuhkan
- Terdahulu
- Awal
- tekanan
- menekankan
- mempekerjakan
- entitas
- menetapkan
- Eropa
- Bahkan
- Excel
- tambahan
- mata
- gadungan
- Air terjun
- mendukung
- Favorit
- Februari
- File
- cocok
- fleksibel
- berikut
- Untuk
- asing
- dari
- lebih lanjut
- Aksi
- Pemerintah
- Pemerintah
- Kelompok
- hacktivism
- High
- sangat
- Namun
- HTTPS
- humor
- in
- Termasuk
- India
- India
- pemerintah India
- sendiri-sendiri
- individu
- informasi
- mulanya
- terinspirasi
- bunga
- kepentingan
- investigasi
- IT
- Italia
- NYA
- Januari
- Tahu
- Kekurangan
- Memimpin
- Tingkat
- 'like'
- Terbatas
- literatur
- Lithuania
- Panjang
- Lot
- mesin
- Mesin
- Makro
- Macro
- terbuat
- malware
- banyak
- sesuai
- Anggota
- Microsoft
- kementerian
- bulan
- lebih
- paling
- nama
- New
- berita
- terkenal
- novel
- target
- of
- Tua
- on
- ONE
- terus-menerus
- dibuka
- biasa
- organisasi
- organisasi
- Lainnya
- Lainnya
- tertentu
- ketekunan
- Phishing
- bernada
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- Polandia
- semir
- secara politis
- Pos
- potensi
- berpotensi
- PowerShell
- menyajikan
- primer
- swasta
- Masalah
- Profil
- perlindungan
- publik
- di depan umum
- diterbitkan
- radar
- agak
- RE
- Bacaan
- baru
- baru-baru ini
- penerima
- tetap
- laporan
- peneliti
- peneliti
- banyak akal
- Sumber
- berjalan
- Rusia
- Rusia
- s
- sama
- mengatakan
- pemindaian
- Mencari
- senior
- rasa
- layanan
- set
- berbagi
- harus
- hanya
- sejak
- keterampilan
- So
- Perangkat lunak
- Memecahkan
- agak
- khusus
- tumpukan
- Negara
- Langkah
- Masih
- Cerita
- mendukung
- Seharusnya
- taktik
- target
- penargetan
- target
- Teknis
- keterampilan teknis
- teknik
- telekomunikasi
- mengatakan
- bahwa
- Grafik
- Negara
- pencurian
- mereka
- Mereka
- tahun ini
- ancaman
- aktor ancaman
- Melalui
- Dasi
- waktu
- untuk
- terlalu
- alat
- Trojan
- khas
- Ukraina
- Ukraina
- bawah
- biasanya
- korban
- perang
- situs web
- BAIK
- Apa
- yang
- sementara
- SIAPA
- Wikipedia
- akan
- rela
- Windows
- Musim dingin
- dengan
- dalam
- tahun
- tahun
- zephyrnet.dll
