Semakin banyak pelaku ancaman yang menggunakan perang Rusia-Ukraina yang sedang berlangsung sebagai iming-iming dalam berbagai kampanye phishing dan malware, bahkan ketika entitas infrastruktur penting terus menjadi sasaran utama.
“Aktor yang didukung pemerintah dari China, Iran, Korea Utara, dan Rusia, serta berbagai kelompok yang tidak terkait, telah menggunakan berbagai tema terkait perang Ukraina dalam upaya mendapatkan target untuk membuka email jahat atau mengklik tautan berbahaya,” kata Google Threat Analysis Group. (TAG) kata Billy Leonard dalam sebuah laporan.
“Pelaku kriminal dan bermotivasi finansial juga menggunakan peristiwa terkini sebagai sarana untuk menargetkan pengguna,” tambah Leonard.
Salah satu aktor ancaman yang terkenal adalah Curious Gorge, yang telah dikaitkan TAG dengan Pasukan Dukungan Strategis Tentara Pembebasan Rakyat China (PLA SSF) dan telah diamati menyerang organisasi pemerintah, militer, logistik, dan manufaktur di Ukraina, Rusia, dan Asia Tengah.
Serangan yang ditujukan ke Rusia telah memilih beberapa entitas pemerintah, seperti Kementerian Luar Negeri, dengan kompromi tambahan yang berdampak pada kontraktor dan produsen pertahanan Rusia serta perusahaan logistik yang tidak disebutkan namanya.
Temuan ini mengikuti pengungkapan bahwa aktor ancaman yang disponsori pemerintah terkait China yang dikenal sebagai Mustang Panda (alias Presiden Perunggu) mungkin telah menargetkan pejabat pemerintah Rusia dengan versi terbaru dari trojan akses jarak jauh yang disebut PlugX.
Serangkaian serangan phishing lainnya melibatkan peretas APT28 (alias Fancy Bear) yang menargetkan pengguna Ukraina dengan malware .NET yang mampu mencuri cookie dan kata sandi dari browser Chrome, Edge, dan Firefox.
Juga terlibat adalah kelompok ancaman yang berbasis di Rusia, termasuk Turla (alias Beruang Berbisa) dan COLDRIVER (alias Callisto), serta kru peretas Belarusia bernama Ghostwriter dalam berbagai kampanye phishing kredensial yang menargetkan organisasi pertahanan dan keamanan siber di wilayah Baltik dan berisiko tinggi individu di Ukraina.
COLDRIVER, juga disebut Gamaredon, Primitive Bear, Actinium, dan Armageddon, telah dikaitkan dengan beberapa serangan phishing yang menargetkan pejabat pemerintah di Ukraina, selain menyerang militer, organisasi non-pemerintah (LSM), peradilan, penegakan hukum, dan organisasi nirlaba di negara untuk tujuan spionase.
Serangan terbaru Ghostwriter mengarahkan korban ke situs web yang disusupi, dari mana pengguna dikirim ke halaman web yang dikendalikan penyerang untuk mengambil kredensial mereka.
Dalam kampanye phishing yang tidak terkait yang menargetkan entitas di negara-negara Eropa Timur, kelompok peretasan yang sebelumnya tidak dikenal dan bermotivasi finansial telah terlihat menyamar sebagai agen Rusia untuk menyebarkan pintu belakang JavaScript yang disebut DarkWatchman ke komputer yang terinfeksi.
IBM Security X-Force menghubungkan intrusi ke klaster ancaman yang dilacaknya di bawah moniker Hive0117.
“Kampanye itu menyamar sebagai komunikasi resmi dari Layanan Jurusita Federal Pemerintah Rusia, email berbahasa Rusia ditujukan kepada pengguna di Lithuania, Estonia, dan Rusia di sektor Telekomunikasi, Elektronik, dan Industri,” kata perusahaan itu.
Pembaruan aktivitas siber datang ketika Microsoft mengungkapkan bahwa enam aktor berbeda yang bersekutu dengan Rusia meluncurkan setidaknya 237 serangan siber terhadap Ukraina dari 23 Februari hingga 8 April, termasuk 38 serangan destruktif terpisah yang menghancurkan file di ratusan sistem di lusinan organisasi di negara tersebut.
Ketegangan geopolitik dan invasi militer berikutnya ke Ukraina juga telah memicu eskalasi serangan penghapus data yang dimaksudkan untuk melumpuhkan proses kritis misi dan menghancurkan bukti forensik.
Terlebih lagi, Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengungkapkan rincian serangan penolakan layanan (DDoS) terdistribusi yang sedang berlangsung yang ditujukan terhadap pemerintah dan portal berita dengan menyuntikkan JavaScript berbahaya (dijuluki “BrownFlood”) ke dalam situs yang disusupi.
Serangan DDoS telah dilaporkan di luar Ukraina juga. Pekan lalu, Direktorat Keamanan Siber Nasional (DNSC) Rumania mengungkapkan bahwa beberapa situs web milik lembaga publik dan swasta “ditargetkan oleh penyerang yang bertujuan membuat layanan online ini tidak tersedia.”
Serangan tersebut, yang diklaim oleh kelompok pro-Rusia yang disebut Killnet, datang sebagai tanggapan atas keputusan Rumania untuk mendukung Ukraina dalam konflik militer dengan Rusia.