Rincian dari kampanye phishing yang disponsori negara-bangsa baru telah terungkap dengan mengarahkan perhatiannya pada entitas pemerintah Eropa dalam apa yang dilihat sebagai upaya untuk mendapatkan intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.
Perusahaan keamanan perusahaan Proofpoint, yang mendeteksi email berbahaya untuk pertama kalinya pada 24 Februari 2022, menjuluki serangan rekayasa sosial " Asylum Ambuscade ."
"Email itu menyertakan lampiran makro berbahaya yang menggunakan tema rekayasa sosial yang berkaitan dengan Pertemuan Darurat Dewan Keamanan NATO yang diadakan pada 23 Februari 2022," kata peneliti Michael Raggi dan Zydeca Cass dalam sebuah laporan yang diterbitkan Selasa.
"Email itu juga berisi lampiran berbahaya yang mencoba mengunduh malware Lua berbahaya bernama SunSeed dan menargetkan personel pemerintah Eropa yang bertugas mengelola transportasi dan pergerakan populasi di Eropa."
Temuan ini didasarkan pada nasihat yang dikeluarkan oleh Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi Ukraina (DSSZZI), yang pekan lalu memperingatkan pesan phishing yang menargetkan personel militernya dengan lampiran file ZIP dengan tujuan mencuri informasi pribadi yang sensitif.
Proofpoint menolak untuk mengaitkan kampanye yang baru diamati dengan aktor ancaman tertentu, tetapi mencatat bahwa tumpang tindih dalam garis waktu dari dua rangkaian serangan, umpan phishing yang digunakan, dan pola viktimologi sejalan dengan kelompok negara-bangsa Belarusia yang disebut UNC1151 (alias TA445 atau Ghostwriter).
Salah satu aspek penting dari Asylum Ambuscade adalah kemungkinan penggunaan akun email anggota layanan bersenjata Ukraina yang disusupi untuk menyiarkan pesan email yang mengandung malware yang berisi file XLS berkemampuan makro yang mengirimkan SunSeed ke host yang terinfeksi, menyiratkan bahwa kampanye terbaru mungkin merupakan kelanjutan dari serangan ini.
"Umpan rekayasa sosial yang digunakan dalam kampanye phishing ini sangat tepat waktu, menyusul pertemuan Dewan Keamanan NATO pada 23 Februari 2022 dan berita tentang 'daftar pembunuhan' pemerintah Rusia yang menargetkan warga Ukraina yang mulai beredar di media Barat pada 21 Februari, 2022," catat para peneliti.
SunSeed, pada bagiannya, berfungsi sebagai pengunduh yang membangun komunikasi dengan server yang dikendalikan aktor untuk mengambil muatan tahap berikutnya untuk dieksekusi.
Perusahaan keamanan siber yang berbasis di Sunnyvale mencatat bahwa serangan itu secara khusus ditujukan kepada individu yang ditugaskan dengan tanggung jawab terkait transportasi, alokasi keuangan dan anggaran, administrasi, dan pergerakan populasi di Eropa.
Pengungkapan itu terjadi ketika invasi militer Rusia yang semakin intensif ke Ukraina telah mempolarisasi dunia maya, dengan para peretas, penjahat dunia maya, peneliti topi putih, dan perusahaan teknologi memihak dalam konflik.
Dalam pembaruan terpisah yang diposting sebelumnya hari ini, Tim Tanggap Darurat Komputer Ukraina (CERT-UA) menggambarkan perkembangan yang sedang berlangsung sebagai "perang informasi dan psikologis," mendesak orang-orang di negara itu untuk hati-hati memantau akun mereka untuk perangkat yang tidak dikenal, mengaktifkan dua faktor otentikasi, dan menggunakan aplikasi perpesanan terenkripsi ujung ke ujung.
Terlebih lagi, perusahaan keamanan email Avanan mengatakan telah menyaksikan peningkatan delapan kali lipat dalam serangan email-borne yang berasal dari Rusia mulai 27 Februari, setidaknya beberapa dari mereka menargetkan perusahaan manufaktur, pengiriman internasional, dan transportasi yang berlokasi di AS dan Eropa.
“Mengingat perang Rusia-Ukraina yang sedang berlangsung, tindakan oleh aktor proksi seperti TA445 akan terus menargetkan pemerintah Eropa untuk mengumpulkan intelijen seputar pergerakan pengungsi dari Ukraina dan tentang isu-isu penting bagi pemerintah Rusia,” kata para peneliti.
source: thehackernews
Posting Komentar