Dalam apa yang digambarkan sebagai putaran “belum pernah terjadi sebelumnya”, operator malware TrickBot telah secara sistematis menargetkan Ukraina sejak awal perang pada akhir Februari 2022.
Kelompok ini diyakini telah mengatur setidaknya enam kampanye phishing yang ditujukan untuk target yang sejalan dengan kepentingan negara Rusia, dengan email yang bertindak sebagai umpan untuk mengirimkan perangkat lunak berbahaya seperti IcedID, CobaltStrike, AnchorMail, dan Meterpreter.
Dilacak dengan nama ITG23, Gold Blackburn, dan Wizard Spider, geng kejahatan dunia maya yang bermotivasi finansial ini dikenal dengan pengembangan trojan perbankan TrickBot dan dimasukkan ke dalam kartel ransomware Conti yang sekarang dihentikan awal tahun ini.
Tetapi hanya beberapa minggu kemudian, para aktor yang terkait dengan kelompok tersebut muncul kembali dengan versi pintu belakang AnchorDNS yang diubah yang disebut AnchorMail yang menggunakan protokol SMTPS dan IMAP untuk komunikasi perintah-dan-kontrol.
“Kampanye ITG23 melawan Ukraina terkenal karena sejauh mana aktivitas ini berbeda dari preseden historis dan fakta bahwa kampanye ini muncul secara khusus ditujukan ke Ukraina dengan beberapa muatan yang menunjukkan tingkat pemilihan target yang lebih tinggi,” analis IBM Security X-Force Ole Villadsen mengatakan dalam sebuah laporan teknis.
Pergeseran nyata dalam kampanye melibatkan penggunaan pengunduh Microsoft Excel yang belum pernah dilihat sebelumnya dan penyebaran CobaltStrike, Meterpreter, dan AnchorMail sebagai payload tahap pertama. Serangan dikatakan telah dimulai pada pertengahan April 2022.
Menariknya, aktor ancaman memanfaatkan momok perang nuklir dalam tipu muslihat emailnya untuk menyebarkan implan AnchorMail, sebuah taktik yang akan diulang oleh kelompok negara-bangsa Rusia yang dilacak sebagai APT28 dua bulan kemudian untuk menyebarkan malware pencuri data di Ukraina.
Terlebih lagi, sampel Cobalt Strike yang digunakan sebagai bagian dari kampanye Mei 2022 menggunakan crypter baru yang dijuluki Forest untuk menghindari deteksi, yang terakhir juga telah digunakan bersama dengan malware Bumblebee, memberikan kepercayaan pada teori bahwa loader sedang dioperasikan oleh geng TrickBot.
“Perpecahan dan kesetiaan ideologis semakin menjadi jelas dalam ekosistem penjahat dunia maya berbahasa Rusia tahun ini,” kata Villadsen. “Kampanye ini memberikan bukti bahwa Ukraina berada di garis bidik kelompok kriminal dunia maya Rusia yang terkemuka.”
Perkembangan ini terjadi saat media Ukraina menjadi sasaran pesan phishing yang berisi dokumen yang mengandung malware yang mengeksploitasi kerentanan Follina untuk menjatuhkan RAT DarkCrystal pada sistem yang disusupi.
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) juga telah memperingatkan gangguan yang dilakukan oleh kelompok bernama UAC-0056 yang melibatkan organisasi negara yang menyerang dengan umpan bertema staf untuk menjatuhkan Cobalt Strike Beacons pada host.
Badan tersebut, bulan lalu, lebih lanjut menunjukkan penggunaan senjata RTF Royal Road oleh aktor yang berbasis di China dengan nama sandi Tim Tonto (alias Karma Panda) untuk menargetkan perusahaan ilmiah dan teknis dan badan-badan negara yang berlokasi di Rusia dengan malware Bisonal.
Menghubungkan serangan-serangan ini dengan keyakinan menengah ke kelompok ancaman persisten tingkat lanjut (APT), SentinelOne mengatakan temuan itu menunjukkan “upaya berkelanjutan” dari pihak aparat intelijen China untuk menargetkan berbagai organisasi yang terkait dengan Rusia.