Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah memperingatkan serangkaian serangan spear-phishing baru yang mengeksploitasi kelemahan “Follina” di sistem operasi Windows untuk menyebarkan malware pencuri kata sandi.
Menghubungkan intrusi ke kelompok negara-bangsa Rusia yang dilacak sebagai APT28 (alias Fancy Bear atau Sofacy), badan tersebut mengatakan serangan dimulai dengan dokumen iming-iming berjudul “Terorisme Nuklir Ancaman Sangat Nyata.rtf” yang, ketika dibuka, mengeksploitasi baru-baru ini. mengungkapkan kerentanan untuk mengunduh dan menjalankan malware bernama CredoMap.
Follina (CVE-2022-30190, skor CVSS: 7.8), yang menyangkut kasus eksekusi kode jarak jauh yang memengaruhi Alat Diagnostik Dukungan Windows (MSDT), ditangani oleh Microsoft pada 14 Juni 2022, sebagai bagian dari pembaruan Patch Tuesday.
Menurut laporan independen yang diterbitkan oleh Malwarebytes, CredoMap adalah varian dari pencuri kredensial berbasis .NET yang dibocorkan oleh Google Threat Analysis Group bulan lalu karena telah digunakan terhadap pengguna di Ukraina.
Tujuan utama malware adalah untuk menyedot data, termasuk kata sandi dan cookie yang disimpan, dari beberapa browser populer seperti Google Chrome, Microsoft Edge, dan Mozilla Firefox.
“Meskipun merampok browser mungkin terlihat seperti pencurian kecil-kecilan, kata sandi adalah kunci untuk mengakses informasi dan intelijen sensitif,” kata Malwarebytes. “Target, dan keterlibatan APT28, sebuah divisi intelijen militer Rusia), menunjukkan bahwa kampanye tersebut adalah bagian dari konflik di Ukraina, atau setidaknya terkait dengan kebijakan luar negeri dan tujuan militer negara Rusia.”
Ini bukan hanya APT28. CERT-UA telah lebih jauh memperingatkan serangan serupa yang dipasang oleh Sandworm dan aktor yang dijuluki UAC-0098 yang memanfaatkan rantai infeksi berbasis Follina untuk menyebarkan CrescentImp dan Cobalt Strike Beacons ke host yang ditargetkan.
Perkembangan itu terjadi saat Ukraina terus menjadi target serangan siber di tengah perang yang sedang berlangsung di negara itu dengan Rusia, dengan peretas Armageddon juga terlihat mendistribusikan malware GammaLoad.PS1_v2 pada Mei 2022.