Pelaku ancaman yang terkait dengan Rusia menggunakan PysOps dan tombak-phishing untuk menargetkan pengguna selama beberapa bulan pada akhir tahun 2023 dalam kampanye multi-gelombang yang bertujuan menyebarkan misinformasi di Ukraina dan mencuri kredensial Microsoft 365 di seluruh Eropa.
Operasi tersebut โ yang dijuluki Operasi Texonto โ dilakukan dalam dua gelombang berbeda, gelombang pertama pada Oktober-November 2023 dan gelombang kedua pada November-Desember 2023, demikian temuan para peneliti dari ESET. Kampanye tersebut menggunakan beragam taktik pysop dan email spam sebagai metode distribusi utamanya, ungkap mereka dalam posting blog diterbitkan 22 Februari.
Secara kronologis, kampanye pertama adalah serangan spear-phishing yang menargetkan perusahaan pertahanan Ukraina pada bulan Oktober 2023 dan lembaga Uni Eropa pada bulan November 2023. Kampanye kedua adalah kampanye disinformasi yang terutama berfokus pada target Ukraina dengan menggunakan topik terkait gangguan pemanasan, kekurangan obat-obatan, dan kekurangan pangan โ โtema khas kampanye yang berhubungan dengan propaganda Rusia,โ kata para peneliti.
Meskipun memiliki tujuan yang berbeda, keduanya menggunakan infrastruktur jaringan yang serupa, dan itulah cara ESET menghubungkan keduanya. Kemudian, dalam sedikit alur cerita, URL yang terkait dengan Operasi Texonto adalah mengirimkan spam apotek khas Kanada dalam kampanye terpisah yang terjadi pada bulan Januari.
Perang Hibrida Rusia-Ukraina
Kampanye ancaman telah dilakukan oleh aktor ancaman yang berpihak pada Rusia seperti Sandworm dan Gamaredon in perang dunia maya dengan Ukraina itu berjalan secara bersamaan dengan operasi darat selama dua tahun, menurut ESET. Khususnya cacing pasir wiper bekas untuk mengganggu infrastruktur TI Ukraina pada awal perang, sementara Gamaredon baru-baru ini meningkatkan operasi spionase dunia maya.
โOperasi Texonto menunjukkan penggunaan teknologi lain untuk mencoba mempengaruhi perang,โ tulis para peneliti dalam postingan tersebut, meskipun mereka tidak mengaitkan operasi tersebut dengan aktor tertentu. โKami menemukan beberapa halaman login Microsoft palsu, tetapi yang paling penting, ada dua gelombang pysops melalui email yang mungkin mencoba mempengaruhi warga Ukraina dan membuat mereka percaya bahwa Rusia akan menang.โ
Operasi Texonto juga menunjukkan penyimpangan penting lainnya dari aktivitas jahat pada umumnya, kata Matthieu Faou, peneliti ESET yang memimpin penyelidikan, dalam email ke Dark Reading.
โHal yang menarik dalam kasus Operasi Texonto adalah bahwa pelaku ancaman yang sama terlibat dalam disinformasi dan kampanye spear-phishing, sementara sebagian besar pelaku ancaman melakukan salah satu tindakan tersebut,โ pengamatannya. โDengan demikian, jelas bahwa ini adalah pysop yang direncanakan dan bukan hanya seseorang yang memposting informasi yang salah di Internet.โ
Kampanye ini juga menunjukkan peralihan dari penggunaan saluran umum seperti Telegram atau situs web palsu untuk menyampaikan pesan jahat, kata para peneliti.
Dua Gelombang Berbeda
Tanda pertama dari operasi tersebut terjadi pada bulan Oktober ketika karyawan yang bekerja di sebuah perusahaan pertahanan besar Ukraina menerima a email phishing konon dari departemen IT. Pesan tersebut memperingatkan bahwa kotak surat mereka mungkin dihapus dan untuk masuk, mereka harus mengeklik tautan ke versi Web kotak surat tersebut dan masuk menggunakan kredensial mereka.
Tautan tersebut malah mengarah ke halaman phishing, yang oleh peneliti ESET diduga dari domain lain milik operasi yang dikirimkan ke VirusTotal bahwa itu adalah halaman login Microsoft palsu untuk mencuri kredensial Microsoft 365, meskipun mereka tidak dapat mengambil halaman phishing itu sendiri.
Gelombang kampanye berikutnya adalah operasi pysops pertama, yang berhasil disinformasi email dengan lampiran PDF kepada setidaknya beberapa ratus orang yang bekerja untuk pemerintah Ukraina dan perusahaan energi, serta warga negara secara perorangan.
Bertentangan dengan kampanye phishing yang dijelaskan sebelumnya, tujuan dari email-email ini tampaknya murni disinformasi untuk menabur keraguan di benak masyarakat Ukraina, daripada menyebarkan tautan jahat.
Email-email dalam kampanye tersebut menginformasikan kepada penerima mengenai potensi kekurangan makanan, pemanas, dan obat-obatan, bahkan ada yang menyarankan agar mereka memakan โrisotto merpatiโ dan bahkan memberikan foto merpati hidup dan merpati matang yang โmenunjukkan bahwa dokumen-dokumen tersebut sengaja dibuat. untuk membuat marah pembaca,โ kata para peneliti.
โSecara keseluruhan, pesan-pesan tersebut selaras dengan tema-tema propaganda umum Rusia,โ tulis mereka. โMereka berusaha membuat rakyat Ukraina percaya bahwa mereka tidak akan mempunyai obat-obatan, makanan, dan pemanas karena perang Rusia-Ukraina.โ
Fase kedua dari gelombang pysops terjadi pada bulan Desember dan diperluas ke negara-negara Eropa lainnya, dengan rangkaian acak beberapa ratus target mulai dari pemerintah Ukraina hingga produsen sepatu Italia, namun masih ditulis dalam bahasa Ukraina. Para peneliti menemukan dua templat email berbeda dalam kampanye yang mengirimkan ucapan selamat hari raya yang sarkastik kepada warga Ukraina sebagai upaya lain untuk meremehkan dan mematahkan semangat mereka.
Domain Berbahaya dan Taktik Pertahanan
Para peneliti terutama melacak domain untuk mengimbangi penjahat dunia maya yang terlibat dalam Operasi Texonto, yang membawa mereka ke jalur yang menarik. Salah satunya adalah kampanye spam apotek Kanada yang tampaknya tidak ada hubungannya namun merupakan hal yang biasa, yang menggunakan server email yang dioperasikan oleh para penyerang, sebuah โkategori bisnis ilegal [yang] sangat populer di komunitas kejahatan dunia maya Rusia,โ kata mereka.
Nama domain lain yang terkait dengan kampanye ini mencerminkan peristiwa terkini seperti kematian Alexei Navalny, pemimpin oposisi terkenal Rusia yang meninggal pada 16 Februari di penjara. Keberadaan domain-domain tersebut โ termasuk navyny-votes[.]net, navyny-votesmart[.]net, dan navyny-voting[.]net โ โberarti Operasi Texonto kemungkinan mencakup spear-phishing atau operasi informasi yang menargetkan para pembangkang Rusia,โ tulis para peneliti.
ESET menyertakan serangkaian indikator kompromi (IOC), termasuk domain, alamat email, dan teknik MITRE ATT&CK dalam laporannya. Para peneliti juga merekomendasikan agar organisasi melakukan pemberdayaan yang kuat otentikasi dua faktor โ seperti aplikasi pengautentikasi ponsel atau kunci fisik โ untuk bertahan dari serangan spear-phishing yang menargetkan Office 365, kata Faou.
Mengenai pembelaan terhadap upaya pelaku kejahatan untuk menyebarkan disinformasi secara online, โperlindungan terbaik adalah dengan menggunakan pola pikir kritis kita dan tidak mempercayai informasi apa pun di Internet,โ tambahnya.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :memiliki
- :adalah
- :bukan
- $NAIK
- 16
- 2023
- 22
- 7
- a
- Sanggup
- Menurut
- di seluruh
- kegiatan
- aktor
- alamat
- Menambahkan
- terhadap
- badan
- ditujukan
- bertujuan
- meluruskan
- juga
- an
- dan
- Lain
- Apa pun
- aplikasi
- Muncul
- ADALAH
- susunan
- AS
- terkait
- At
- menyerang
- Serangan
- Mencoba
- jauh
- BE
- karena
- menjadi
- Percaya
- termasuk
- TERBAIK
- Bit
- Blog
- kedua
- bisnis
- tapi
- by
- datang
- Kampanye
- Kampanye
- Kanada
- kasus
- Kategori
- saluran
- Warga
- jelas
- Klik
- Umum
- masyarakat
- Perusahaan
- perusahaan
- kompromi
- matang
- negara
- dibuat
- Surat kepercayaan
- kritis
- terbaru
- maya
- cybercrime
- penjahat cyber
- gelap
- Bacaan gelap
- Kematian
- Desember
- Membela
- Pertahanan
- menunjukkan
- Departemen
- dijelaskan
- MELAKUKAN
- meninggal
- berbeda
- ditemukan
- disinformasi
- meremehkan
- berbeda
- distribusi
- beberapa
- do
- dokumen
- domain
- NAMA DOMAIN
- domain
- meragukan
- turun
- obat
- Obat-obatan
- dijuluki
- Awal
- makan
- usaha
- dipekerjakan
- karyawan
- aktif
- akhir
- energi
- bertunangan
- spionase
- EU
- Eropa
- Eropa
- Negara-negara Eropa
- Bahkan
- peristiwa
- adanya
- diperluas
- gadungan
- jauh
- Februari
- beberapa
- Pertama
- terfokus
- makanan
- Untuk
- ditemukan
- dari
- tujuan
- akan
- Pemerintah
- Salam pembuka
- Tanah
- memiliki
- Memiliki
- he
- Liburan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- ratus
- Hibrida
- liar
- penting
- in
- termasuk
- termasuk
- Termasuk
- indikator
- sendiri-sendiri
- mempengaruhi
- informasi
- informasi
- Infrastruktur
- sebagai gantinya
- menarik
- Internet
- investigasi
- terlibat
- IT
- Italia
- NYA
- Diri
- Januari
- hanya
- Menjaga
- kunci
- jalankan
- memimpin
- pemimpin
- Memimpin
- paling sedikit
- Dipimpin
- LINK
- terkait
- link
- hidup
- mencatat
- masuk
- Utama
- terutama
- utama
- membuat
- jahat
- Pabrikan
- Mungkin..
- cara
- pesan
- pesan
- metode
- Microsoft
- keberatan
- Mindset
- Keterangan yg salah
- bulan
- lebih
- paling
- pindah
- harus
- nama
- jaringan
- berikutnya
- penting
- terutama
- terkenal
- Catatan
- November
- mengamati
- terjadi
- Oktober
- of
- Office
- on
- ONE
- secara online
- dioperasikan
- operasi
- Operasi
- oposisi
- or
- urutan
- organisasi
- Lainnya
- kami
- lebih
- secara keseluruhan
- halaman
- halaman
- jalan
- Konsultan Ahli
- tahap
- Phishing
- kampanye phishing
- telepon
- Foto
- fisik
- berencana
- plato
- Kecerdasan Data Plato
- Data Plato
- alur
- Populer
- Pos
- potensi
- sebelumnya
- penjara
- mungkin
- propaganda
- perlindungan
- menyediakan
- murni
- acak
- jarak
- mulai
- agak
- pembaca
- Bacaan
- diterima
- baru
- baru-baru ini
- penerima
- sarankan
- tercermin
- terkait
- Dihapus
- melaporkan
- peneliti
- peneliti
- Terungkap
- Rusia
- Perang Rusia-Ukraina
- Rusia
- s
- Tersebut
- sama
- mengatakan
- Kedua
- tampaknya
- mengirim
- mengirim
- terpisah
- Server
- beberapa
- kekurangan
- Pertunjukkan
- menandatangani
- mirip
- So
- sejauh ini
- beberapa
- Seseorang
- menabur
- Spam
- tertentu
- Disponsori
- penyebaran
- menyebarkan
- Masih
- kuat
- disampaikan
- seperti itu
- menyarankan
- taktik
- target
- ditargetkan
- penargetan
- target
- teknik
- Teknologi
- Telegram
- template
- dari
- bahwa
- Grafik
- mereka
- Mereka
- tema
- kemudian
- Sana.
- Ini
- mereka
- itu
- meskipun?
- ancaman
- aktor ancaman
- untuk
- Topik
- Kepercayaan
- mencoba
- mencoba
- twist
- dua
- khas
- Ukraina
- Ukraina
- Ukraina
- URL
- menggunakan
- bekas
- Pengguna
- menggunakan
- versi
- sangat
- melalui
- perang
- memperingatkan
- adalah
- Gelombang
- ombak
- we
- jaringan
- situs web
- BAIK
- terkenal
- adalah
- tidak
- Apa
- Apa itu
- ketika
- yang
- sementara
- SIAPA
- akan
- menang
- dengan
- dalam
- Won
- kerja
- tertulis
- menulis
- namun
- zephyrnet.dll