TEMPO.CO, Jakarta - Laporan perusahaan keamanan siber, Malwarebytes, baru-baru ini mengungkap adanya kelompok ancaman persisten lanjutan (APT) yang tidak diketahui namanya, telah dikaitkan dengan serangkaian serangan spear-phishing yang menargetkan entitas pemerintah Rusia. Usaha serangan terpantau sejak awal perang Rusia-Ukraina pada akhir Februari 2022.

"Aktivitas [...] dirancang untuk menanamkan Remote Access Trojan (RAT) yang dapat digunakan untuk mengawasi komputer yang terinfeksi, dan menjalankan perintah mereka dari jarak jauh," tulis Malwarebytes sebagaimana dikutip The Hacker News, Rabu, 25 Mei 2022.

Perusahaan keamanan siber tersebut menghubungkan serangan dengan tingkat kepercayaan yang rendah ke kelompok peretas Cina. Alasan dugaan karena berasal dari infrastruktur tumpang tindih antara RAT dan malware Sakula Rat yang digunakan oleh aktor ancaman yang dikenal sebagai Deep Panda.

Trik yang digunakan pada rantai serangan, yaitu memanfaatkan umpan yang berbeda selama dua bulan. Semua serangan menggunakan malware yang sama kecuali adanya perbedaan kecil dalam kode sumber.

Aktivitas tersebut dikatakan telah dimulai sekitar 26 Februari, beberapa hari setelah invasi militer Rusia ke Ukraina, dengan email yang mendistribusikan RAT dengan kedok peta interaktif Ukraina ("interactive_map_UA.exe").

Perkembangan ini, sekali lagi menunjukkan kemampuan aktor ancaman untuk beradaptasi dan menyesuaikan serangan mereka dengan peristiwa dunia dan menggunakan umpan yang paling relevan dan terkini untuk memaksimalkan peluang keberhasilan mereka.

Gelombang serangan kedua pada awal Maret lebih menargetkan RT TV yang dikendalikan negara. Serangan juga melibatkan penggunaan Log4Shell, yang pernah menjadi berita utama pada akhir tahun 2021.

Pada serangan itu, selain menyertakan tambalan dalam bentuk file TAR terkompresi, pesan email juga datang dengan dokumen PDF dengan instruksi untuk menginstal tambalan dan mencantumkan praktik keamanan terbaik yang harus diikuti, termasuk mengaktifkan autentikasi dua faktor, menggunakan antivirus Kaspersky, dan menahan diri dari membuka atau membalas email yang mencurigakan.

Dalam upaya lebih lanjut untuk meningkatkan keaslian email, dokumen tersebut juga berisi URL VirusTotal yang menunjuk ke file yang tidak terkait untuk memberi kesan bahwa file patch Log4j tidak berbahaya.

Terlebih lagi, email tersebut menampilkan tautan ke domain yang dikendalikan penyerang "rostec[.]digital" bersama dengan profil penipuan yang dibuat di Facebook dan Instagram yang mengacu pada konglomerat pertahanan Rusia.

"Menariknya, pelaku ancaman membuat halaman Facebook pada Juni 2021, sembilan bulan sebelum digunakan dalam serangan ini," kata para peneliti. "Ini mungkin upaya untuk menarik pengikut dan untuk membuat halaman terlihat lebih sah. Berarti, hal ini menunjukkan kelompok APT ini merencanakan kampanye ini jauh sebelum invasi ke Ukraina."

Kemudian serangan ketiga, yang menggunakan file executable berbahaya lainnya — kali ini "build_rosteh4.exe" — dalam upaya untuk menyebarkan malware seolah-olah itu dari Rostec.

Terakhir, pada pertengahan April 2022, para penyerang beralih ke umpan phishing bertema pekerjaan untuk Saudi Aramco, perusahaan minyak dan gas alam Arab Saudi, dokumen Microsoft Word yang dipersenjatai yang bertindak sebagai pemicu urutan infeksi untuk menyebarkan RAT.

Payload DLL menggunakan berbagai trik canggih untuk menggagalkan analisis, termasuk perataan aliran kontrol dan pengaburan string, sementara juga menggabungkan fitur yang memungkinkannya untuk mengubah file yang dikirim dari server jauh ke host yang terinfeksi dan menjalankan instruksi baris perintah.

Payload.dll adalah file yang dapat dieksekusi di hard drive komputer. File ini berisi kode mesin. Jika pengguna memulai pusat perangkat lunak AppUp di PC, perintah yang terdapat dalam payload.dll akan dijalankan di PC tersebut. Untuk tujuan ini, file dimuat ke dalam memori utama (RAM) dan berjalan di sana sebagai proses pusat AppUp (juga disebut tugas).

Payload.dll milik pusat Intel AppUp, kumpulan semua aplikasi PC terbaru di satu tempat. Proses non-sistem seperti payload.dll berasal dari perangkat lunak yang diinstal di sistem. Karena sebagian besar aplikasi menyimpan data di hard disk dan di registri sistem, kemungkinan komputer mengalami fragmentasi dan akumulasi entri yang tidak valid yang dapat memengaruhi kinerja PC Anda.

Temuan ini mengikuti temuan dari Check Point bahwa kelompok musuh Cina yang memiliki koneksi ke Stone Panda dan Mustang Panda menargetkan setidaknya dua lembaga penelitian yang berlokasi di Rusia dengan pintu belakang yang sebelumnya tidak terdokumentasi bernama Spinner.

Baca:
Segera Hapus Aplikasi Android Ini Karena Mengandung Malware

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.