Kelompok ancaman persisten lanjutan (APT) yang tidak diketahui telah dikaitkan dengan serangkaian serangan spear-phishing yang menargetkan entitas pemerintah Rusia sejak awal perang Rusia-Ukraina pada akhir Februari 2022.
“Kampanye […] dirancang untuk menanamkan Remote Access Trojan (RAT) yang dapat digunakan untuk mengawasi komputer yang terinfeksi, dan menjalankan perintah pada mereka dari jarak jauh,” kata Malwarebytes dalam laporan teknis yang diterbitkan Selasa.
Perusahaan keamanan siber menghubungkan serangan dengan tingkat kepercayaan yang rendah ke kelompok peretasan China, dengan alasan infrastruktur tumpang tindih antara RAT dan malware Sakula Rat yang digunakan oleh aktor ancaman yang dikenal sebagai Deep Panda.
Rantai serangan, sambil memanfaatkan umpan yang berbeda selama dua bulan, semua menggunakan malware yang sama kecuali perbedaan kecil dalam kode sumber.
Kampanye tersebut dikatakan telah dimulai sekitar 26 Februari, beberapa hari setelah invasi militer Rusia ke Ukraina, dengan email yang mendistribusikan RAT dengan kedok peta interaktif Ukraina (“interactive_map_UA.exe”).
Perkembangan ini sekali lagi menunjukkan kemampuan aktor ancaman untuk beradaptasi dan menyesuaikan serangan mereka dengan peristiwa dunia, menggunakan umpan yang paling relevan dan terkini untuk memaksimalkan peluang keberhasilan mereka.
Gelombang serangan awal Maret kedua terutama menargetkan RT TV yang dikendalikan negara dan melibatkan penggunaan perbaikan perangkat lunak jahat untuk kerentanan Log4Shell yang menjadi berita utama pada akhir tahun 2021.
Selain menyertakan tambalan dalam bentuk file TAR terkompresi, pesan email juga datang dengan dokumen PDF dengan instruksi untuk menginstal tambalan dan mencantumkan praktik keamanan terbaik yang harus diikuti, termasuk mengaktifkan otentikasi dua faktor, menggunakan antivirus Kaspersky, dan menahan diri. dari membuka atau membalas email yang mencurigakan.
Dalam upaya lebih lanjut untuk meningkatkan keaslian email, dokumen tersebut juga berisi URL VirusTotal yang menunjuk ke file yang tidak terkait untuk memberi kesan bahwa file patch Log4j tidak berbahaya.
Terlebih lagi, email tersebut menampilkan tautan ke domain yang dikendalikan penyerang “rostec[.]digital” bersama dengan profil penipuan yang dibuat di Facebook dan Instagram yang menyinggung konglomerat pertahanan Rusia.
“Menariknya, pelaku ancaman membuat halaman Facebook pada Juni 2021, sembilan bulan sebelum digunakan dalam kampanye ini,” kata para peneliti. “Ini mungkin upaya untuk menarik pengikut, untuk membuat halaman terlihat lebih sah, dan itu menunjukkan kelompok APT merencanakan kampanye ini jauh sebelum invasi ke Ukraina.”
Serangan ketiga yang mengikutinya menggunakan file executable berbahaya lainnya — kali ini “build_rosteh4.exe” — dalam upaya untuk menyebarkan malware seolah-olah itu dari Rostec.
Terakhir, pada pertengahan April 2022, para penyerang beralih ke umpan phishing bertema pekerjaan untuk Saudi Aramco, perusahaan minyak dan gas alam Arab Saudi, dokumen Microsoft Word yang dipersenjatai yang bertindak sebagai pemicu urutan infeksi untuk menyebarkan RAT.
Payload DLL menggunakan berbagai trik canggih untuk menggagalkan analisis, termasuk perataan aliran kontrol dan pengaburan string, sementara juga menggabungkan fitur yang memungkinkannya untuk mengubah file yang dikirim dari server jauh ke host yang terinfeksi dan menjalankan instruksi baris perintah.
Temuan ini mengikuti temuan dari Check Point bahwa kelompok musuh China yang memiliki koneksi ke Stone Panda dan Mustang Panda menargetkan setidaknya dua lembaga penelitian yang berlokasi di Rusia dengan pintu belakang yang sebelumnya tidak terdokumentasi bernama Spinner.