Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan peretas Rusia menargetkan berbagai badan pemerintah di negara itu dengan email jahat yang diduga berisi petunjuk tentang cara memperbarui Windows sebagai pertahanan terhadap serangan dunia maya.
CERT-UA percaya bahwa grup peretasan yang disponsori negara Rusia APT28 (alias Fancy Bear) mengirim email ini dan menyamar sebagai administrator sistem dari entitas pemerintah yang ditargetkan untuk mempermudah mengelabui target mereka.
Untuk tujuan ini, penyerang membuat alamat email @outlook.com menggunakan nama karyawan asli yang diperoleh melalui cara yang tidak diketahui pada tahap persiapan serangan.
Alih-alih instruksi yang sah untuk memutakhirkan sistem Windows, email jahat menyarankan penerima untuk menjalankan perintah PowerShell.
Perintah ini mengunduh skrip PowerShell di komputer, mensimulasikan proses pembaruan Windows sambil mengunduh muatan PowerShell kedua di latar belakang.
Muatan tahap kedua adalah alat pemanen informasi dasar yang menyalahgunakan perintah ‘daftar tugas’ dan ‘info sistem’ untuk mengumpulkan data dan mengirimkannya ke API layanan Mocky melalui permintaan HTTP.
Mengejek adalah aplikasi sah yang membantu pengguna menghasilkan respons HTTP khusus, yang disalahgunakan APT28 dalam hal ini untuk eksfiltrasi data.
CERT-UA merekomendasikan bahwa administrator sistem membatasi kemampuan untuk meluncurkan PowerShell pada komputer kritis dan memantau lalu lintas jaringan untuk koneksi ke API layanan Mocky.
Serangan APT28 di Ukraina
Grup Analisis Ancaman Google melaporkan baru-baru ini secara kasar 60% dari semua email phishing menargetkan Ukraina pada kuartal pertama tahun 2023 berasal dari aktor ancaman Rusia, menyoroti APT28 sebagai kontributor utama aktivitas jahat ini.
Awal bulan ini, badan intelijen AS dan Inggris serta Cisco memperingatkan tentang APT28 yang secara aktif mengeksploitasi kelemahan zero-day yang memengaruhi router perusahaan untuk menyebarkan malware bernama ‘Gigi Jaguar’ untuk mengumpulkan intelijen dari target yang berbasis di AS dan UE.
Pada Maret 2023, Microsoft menambal kerentanan Outlook zero-day yang dilacak sebagai CVE-2023-23397yang telah dieksploitasi APT28 sejak April 2022 untuk menembus jaringan organisasi pemerintah, militer, energi, dan transportasi Eropa.
Menariknya, hacker Cina juga digunakan Pembaruan Windows sebagai iming-iming untuk menjatuhkan executable berbahaya dalam serangan terhadap lembaga pemerintah Rusia tahun lalu.
