Pelaku ancaman baru dilacak saat TA886 menargetkan organisasi di Amerika Serikat dan Jerman dengan malware khusus baru untuk melakukan pengawasan dan pencurian data pada sistem yang terinfeksi.
Kumpulan aktivitas yang sebelumnya tidak diketahui pertama kali ditemukan oleh Proofpoint pada Oktober 2022, bersama perusahaan keamanan pelaporan bahwa itu berlanjut hingga 2023.
Pelaku ancaman tampaknya memiliki motivasi finansial, melakukan evaluasi awal terhadap sistem yang dilanggar untuk menentukan apakah target cukup berharga untuk disusupi lebih lanjut.
Mengawasi korban sebelum mencuri data
Pelaku ancaman menargetkan korban menggunakan email phishing yang menyertakan lampiran Microsoft Publisher (.pub) dengan makro berbahaya, URL yang tertaut ke file .pub dengan makro, atau PDF berisi URL yang mengunduh file JavaScript berbahaya.
Proofpoint mengatakan jumlah email yang dikirim di TA886 meningkat secara eksponensial pada Desember 2022 dan terus meningkat pada Januari 2023, dengan email yang ditulis dalam bahasa Inggris atau Jerman, tergantung targetnya.
Jika penerima email ini mengklik URL, rantai serangan multi-langkah dipicu, mengakibatkan pengunduhan dan eksekusi “Screenshotter”, salah satu alat malware khusus TA886.
Alat ini mengambil tangkapan layar JPG dari mesin korban dan mengirimkannya kembali ke server pelaku ancaman untuk ditinjau.
Penyerang kemudian secara manual memeriksa tangkapan layar ini dan memutuskan apakah korban berharga. Evaluasi ini mungkin termasuk membuat malware Screenshotter mengambil lebih banyak tangkapan layar atau menjatuhkan muatan khusus tambahan seperti:
- Skrip profiler domain yang mengirimkan detail domain AD (Active Directory) ke C2
- Skrip pemuat malware (AHK Bot loader) yang memuat pencuri info ke dalam memori
Pencuri yang dimuat dalam memori bernama Rhadamanthys, keluarga malware yang terlihat dipromosikan di forum bawah tanah sejak saat itu musim panas terakhir dan menjadi lebih umum digunakan dalam serangan.
Kemampuannya termasuk mencuri dompet cryptocurrency, kredensial, dan cookie yang disimpan di browser web, klien FTP, akun Steam, akun Telegram dan Discord, konfigurasi VPN, dan klien email.
Selain itu, Rhadamanthys juga mampu mencuri file dari sistem yang dilanggar.
Membuat profil TA886
Proofpoint mengatakan TA886 secara aktif terlibat dalam serangan, memeriksa data yang dicuri dan mengirimkan perintah ke malware-nya pada waktu yang menyerupai hari kerja biasa di zona waktu UTC+2 atau UCT+3.
Jika digabungkan dengan keberadaan nama variabel bahasa Rusia dan komentar dalam kode pemuat AHK Bot, petunjuk menunjukkan bahwa TA886 kemungkinan besar adalah aktor ancaman Rusia.
Proofpoint telah berusaha untuk menemukan tumpang tindih dan kesamaan dengan laporan sebelumnya yang menggambarkan TTP serupa (teknik, taktik, dan prosedur), tetapi tidak dapat membuat hubungan yang pasti.
Namun, ada tanda-tanda alat Bot AHK digunakan dalam kampanye spionase sebelumnya.
“Proofpoint menilai dengan keyakinan rendah hingga sedang bahwa kampanye ini kemungkinan dilakukan oleh TA866 mengingat kesamaan dalam TTP tetapi kemungkinan alat tersebut digunakan oleh lebih dari satu aktor tidak dapat sepenuhnya dikesampingkan. Investigasi atribusi sedang berlangsung.” – Titik bukti.
Serangan TA886 masih berlangsung, dan Proofpoint memperingatkan bahwa profil Direktori Aktif harus menjadi perhatian, karena dapat membahayakan semua host yang bergabung dengan domain dengan malware pencuri informasi.
