March 29, 2023


Rusia

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan peretas negara Rusia telah meretas beberapa situs web pemerintah minggu ini menggunakan pintu belakang yang dipasang sejak Desember 2021.

CERT-UA melihat serangan tersebut setelah menemukan web shell pada Kamis pagi di salah satu situs web yang diretas yang digunakan oleh pelaku ancaman (dilacak sebagai UAC-0056, Ember Bear, atau Lorec53) untuk menginstal malware tambahan.

Shell web ini dibuat pada Desember 2021 dan digunakan untuk menerapkan backdoor CredPump, HoaxPen, dan HoaxApe satu tahun lalu, pada Februari 2022, menurut CERT-UA.

Pelaku ancaman juga menggunakan GOST (Go Simple Tunnel) dan alat Ngrok selama tahap awal serangan mereka untuk menyebarkan backdoor HoaxPen.

“Hari ini, pada tanggal 23 Februari, sebuah serangan terdeteksi di sejumlah situs web otoritas pusat dan lokal Ukraina, mengakibatkan modifikasi konten beberapa halaman web mereka,” badan pertahanan dan keamanan cybersecurity Ukraina SSSCIP dikatakan pada hari Kamis.

“Saat ini, dalam kerangka Tim Tanggap Bersatu di bawah Pusat Koordinasi Keamanan Siber Nasional, para ahli dari SSSCIP, Dinas Keamanan Ukraina dan Polisi Siber bekerja sama untuk mengisolasi dan menyelidiki insiden siber.

SSSCIP menambahkan bahwa insiden tersebut tidak menyebabkan “kegagalan atau gangguan sistem penting” yang akan mempengaruhi operasi otoritas publik Ukraina.

Tweet pintu belakang CERT-UA

Beruang Barakelompok di balik insiden minggu ini, telah aktif setidaknya sejak Maret 2021 dan berfokus untuk menargetkan entitas Ukraina dengan pintu belakang, pencuri informasiDan ransomware palsu terutama dikirim melalui email phishing.

Namun, operatornya juga diduga mendalangi serangan terhadap organisasi Amerika Utara dan Eropa Barat.

Grup APT terlihat meningkatkan kampanye phishing dan upaya kompromi jaringan di Ukraina mulai Desember 2021.

Mereka juga terlihat menargetkan lembaga pemerintah Georgia dengan email phishing, dan serangan mereka telah menunjukkan koordinasi dan keselarasan dengan kepentingan negara Rusia.

Bulan lalu, CERT-UA mengungkapkan hal lain serangan siber terkait dengan kelompok peretasan militer Sandworm Rusia melawan kantor berita nasional negara itu (Ukrinform) dengan malware penghapus data CaddyWiper, yang gagal memengaruhi operasinya.

Grup yang sama menggunakan malware CaddyWiper serangan lain yang gagal dari April 2022 melawan penyedia energi besar Ukraina.



Leave a Reply

Your email address will not be published. Required fields are marked *