TEMPO.CO, Jakarta - Layanan keamanan dan intelijen teknis Ukraina memperingatkan adanya gelombang baru serangan siber yang menyasar akses akun pengguna Telegram. Modusnya adalah mengirim pesan dengan tautan jahat ke situs web Telegram untuk mendapatkan akses tidak sah.

"Termasuk mentransfer kode satu kali dari SMS," bunyi peringatan dari Layanan Negara untuk Perlindungan Komunikasi dan Informasi Khusus (SSSCIP) Ukraina.

Didetailkan bahwa asal serangan tersebut terhubung dengan kelompok yang dilabeli sebagai UAC-0094. Isi pesan palsu itu adalah memperingatkan penerimanya bahwa login telah terdeteksi dari perangkat baru yang berlokasi di Rusia, dan mendesak pengguna untuk mengkonfirmasi akun mereka dengan mengklik tautan yang disediakan.

URL tersebut pada kenyataannya adalah domain phishing. Pelaku meminta para korban untuk memasukkan nomor telepon mereka serta kata sandi satu kali yang dikirim melalui SMS yang kemudian digunakan oleh pelaku ancaman untuk mengambil alih akun.

Modus yang dipakai memang memanfaatkan situasi tekanan karena perang Rusia-Ukraina yang menyelimuti korbannya. Modus itu juga mencerminkan serangan phishing sebelumnya yang terungkap pada awal Maret. Saat itu pelaku memanfaatkan kotak masuk yang disusupi milik entitas India yang berbeda untuk mengirim email phishing ke pengguna Ukr.net untuk membajak akun.

Dalam kampanye rekayasa sosial lain yang teramati oleh Tim Tanggap Darurat Komputer Ukraina (CERT-UA), umpan email terkait perang juga dikirim ke lembaga pemerintah Ukraina untuk menyebarkan malware spionase. Email datang dengan lampiran file HTML (Penjahat Perang Federasi Rusia.htm) yang memuncak pada pengunduhan dan pelaksanaan implan berbasis PowerShell pada host yang terinfeksi.

CERT-UA mengaitkan serangan itu dengan Armageddon, aktor ancaman yang berbasis di Rusia yang memiliki hubungan dengan Layanan Keamanan Federal (FSB). Kelompok ini disebut memiliki sejarah menyerang entitas Ukraina setidaknya sejak 2013.

Pada Februari 2022, kelompok peretas itu diduga berada di balik serangan spionase yang menargetkan pemerintah, militer, organisasi non-pemerintah (LSM), peradilan, penegakan hukum, dan organisasi nirlaba di Ukraina. Tujuan utamanya mengekstrak informasi sensitif.

Armageddon, dikenal dengan moniker Gamaredon, juga diyakini telah memilih pejabat pemerintah Latvia sebagai bagian dari serangan phishing yang terbaru. Caranya dengan menggunakan arsip RAR bertema perang untuk mengirimkan malware.

Kampanye phishing lain yang didokumentasikan oleh CERT-UA dalam beberapa minggu terakhir adalah penyebaran berbagai malware, termasuk GraphSteel, GrimPlant, HeaderTip, LoadEdge, dan SPECTR. Belum lagi operasi yang dipelopori oleh Ghostwriter untuk menginstal kerangka kerja pasca-eksploitasi Cobalt Strike.

Serangan GrimPlant dan GraphSteel, terkait dengan aktor ancaman yang disebut UAC-0056 (alias SaintBear, UNC2589, TA471), diyakini telah dimulai pada awal Februari 2022. SaintBear juga dinilai berada di balik aktivitas WhisperGate pada awal Januari 2022 yang berdampak pada lembaga pemerintah di Ukraina.

Pekan lalu, Malwarebytes Labs dan Intezer melibatkan kru peretas dalam serangkaian serangan baru akhir Maret yang ditujukan terhadap organisasi Ukraina, termasuk saluran TV swasta bernama ICTV, melalui umpan spear-phishing. Semua yang berisi dokumen Excel tertanam makro, memimpin hingga distribusi pintu belakang GrimPlant (alias Implan Gajah).

Pengungkapan itu muncul ketika beberapa kelompok ancaman persisten tingkat lanjut (APT) dari Iran, Cina, Korea Utara, dan Rusia telah memanfaatkan perang Rusia-Ukraina yang sedang berlangsung. Dalih perang tersebut sebagai pintu masuk ke korban, kemudian melakukan kegiatan jahat lainnya.

THE HACKER NEWS

Baca juga:
Apple Berani Hadirkan Kembali Aplikasi Lawan Politik Putin di App Store