Beberapa entitas di Ukraina telah menjadi target dalam kampanye phishing yang dirancang untuk menyebarkan trojan akses jarak jauh bernama Remcos RAT.

“Nama file menggunakan kata-kata dalam bahasa Rusia yang berkaitan dengan pergerakan pasukan di Ukraina sebagai umpan,” ungkap peneliti Cisco Talos, Guilherme Venere, dalam laporan yang diterbitkan minggu lalu. “PowerShell downloader yang digunakan akan menghubungi server yang dibatasi berdasarkan lokasi (geo-fenced) di Rusia dan Jerman untuk mengunduh file ZIP tahap kedua yang berisi backdoor Remcos.”

Aktivitas ini telah dikaitkan dengan tingkat keyakinan sedang terhadap kelompok peretas Rusia yang dikenal sebagai Gamaredon. Kelompok ini juga memiliki beberapa nama lain, termasuk Aqua Blizzard, Armageddon, Blue Otso, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530, dan Winterflounder.

Kelompok ini diyakini memiliki keterkaitan dengan Dinas Keamanan Federal Rusia (FSB) dan dikenal karena sering menargetkan organisasi di Ukraina untuk spionase dan pencurian data. Mereka telah beroperasi sejak setidaknya tahun 2013.

Modus Operandi Kampanye Terbaru

Dalam kampanye terbaru ini, para pelaku menyebarkan file pintasan Windows (LNK) yang dikompresi dalam arsip ZIP. File ini dikamuflase sebagai dokumen Microsoft Office yang berhubungan dengan perang Rusia-Ukraina yang sedang berlangsung. Taktik ini dirancang untuk menipu korban agar membuka file tersebut. Para peneliti meyakini bahwa arsip ZIP ini dikirim melalui email phishing.

Bukti yang mengarah ke Gamaredon berasal dari dua mesin yang digunakan untuk membuat file pintasan berbahaya. Mesin yang sama sebelumnya telah digunakan oleh kelompok ini untuk serangan serupa.

File LNK ini mengandung kode PowerShell yang bertugas mengunduh dan menjalankan payload tahap berikutnya dengan cmdlet Get-Command. Selain itu, kode ini juga mengunduh file umpan yang akan ditampilkan kepada korban agar mereka tidak curiga.

Tahap kedua dari serangan ini adalah file ZIP lain yang berisi DLL berbahaya. File ini dieksekusi menggunakan teknik yang dikenal sebagai DLL side-loading. DLL tersebut berfungsi sebagai pemuat (loader) yang akan mendekripsi dan menjalankan payload Remcos terakhir dari file terenkripsi dalam arsip tersebut.

Serangan Phishing Lain yang Ditujukan untuk Mengumpulkan Informasi

Pengungkapan ini muncul di saat Silent Push mengidentifikasi kampanye phishing lain yang menggunakan situs web sebagai umpan untuk mengumpulkan informasi dari individu Rusia yang bersimpati pada Ukraina. Aktivitas ini diyakini dilakukan oleh Dinas Intelijen Rusia atau kelompok ancaman yang sejalan dengan kepentingan Rusia.

Kampanye ini terdiri dari empat klaster phishing utama yang menyamar sebagai:

  1. Badan Intelijen Pusat Amerika Serikat (CIA)

  2. Korps Relawan Rusia

  3. Legion Liberty

  4. Hochuzhit (“Saya Ingin Hidup”), layanan hotline bagi anggota militer Rusia yang ingin menyerahkan diri kepada Angkatan Bersenjata Ukraina.

Para pelaku diketahui menghosting halaman phishing ini di penyedia hosting bulletproof, Nybula LLC. Mereka menggunakan Google Forms dan tanggapan email untuk mengumpulkan informasi pribadi dari korban, termasuk pandangan politik, kebiasaan buruk, dan kondisi fisik mereka.

“Semua kampanye yang diamati memiliki pola serupa dan tujuan yang sama: mengumpulkan informasi pribadi dari korban yang mengunjungi situs,” ungkap Silent Push. “Serangan phishing ini kemungkinan besar dilakukan oleh Dinas Intelijen Rusia atau kelompok ancaman yang berpihak pada kepentingan Rusia.”