Kelompok Ukraina memperingatkan serangan peretasan menggunakan malware CredoMap, suar Cobalt Strike

Kelompok Ukraina telah mengalami peretasan baru yang bertujuan menjatuhkan malware dan suar Cobalt Strike berbahaya ke jaringan mereka.

Pada tanggal 20 Juni, Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengeluarkan dua buletin tentang insiden peretasan yang diduga dilakukan oleh kelompok ancaman APT28 (juga dikenal sebagai Fancy Bear) dan UAC-0098.

Ini Kampanye phishingDilakukan oleh Advanced Persistent Threat (APT) APT28 Rusia, yang ditemukan berusaha menyebarkan dokumen berbahaya berjudul “Ancaman Sangat Nyata dari Terorisme Nuklir,” distribusinya diduga terjadi pada 10 Juni.

UAC-0098’s serangan peretas Juga dimulai dengan email berbahaya. Email phishing disertai dengan dokumen malware “Imposition ofpension.docx,” yang distribusinya digambarkan sebagai “persisten”, dengan tanggal kompilasi asli 16 Juni.

Dokumen tersebut juga disebarluaskan melalui file yang dilindungi kata sandi yang menyamar sebagai komunikasi dari Layanan Pajak Ukraina dengan subjek: “Pemberitahuan Pajak yang Belum Dibayar.”

Saat dibuka, kedua dokumen secara otomatis mengunduh file HTML yang meluncurkan kode JavaScript berbahaya yang berisi exploit Untuk CVE-2022-30190.

Skor keparahan CVSS adalah 7,8, CVE-2022-30190 adalah kerentanan eksekusi kode jauh (RCE) di Alat Diagnostik Dukungan Microsoft Windows (MSDT). Ditambal tetapi dieksploitasi di alam liar, kerentanan pertama kali muncul sebagai zero-day di bulan Mei.

Korban serangan Fancy Bear akan menemukan sistem mereka terinfeksi malware CredoMap jika sistem target tidak terlindungi.

berdasarkan ke Malwarebytes, CredoMap adalah pencuri informasi yang mampu mencuri data browser, cookie, dan kredensial akun.Varian malware yang lebih lama dulu digunakan Menargetkan Ukraina melalui APT28.

Namun, dokumen terkait pajak menyebarkan suar Cobalt Strike. Serangan kobalt adalah alat pengujian penetrasi komersial yang sah yang sayangnya telah digunakan oleh penyerang cyber untuk tujuan jahat selama bertahun-tahun. Fungsi suar alat ini memfasilitasi koneksi jarak jauh dan dapat digunakan untuk menyebarkan shellcode dan malware.

Sejak Rusia memulai invasinya ke Ukraina, CERT-UA telah mengalihkan fokusnya ke peringatan tentang dampak ancaman dunia maya terhadap bisnis dan penduduk Ukraina. Banyak kampanye telah berusaha untuk mengeksploitasi situasi ini, baik atas nama negara Rusia atau hanya sebagai penyerang umum yang mencoba mencari keuntungan.

Badan tersebut sebelumnya telah memperingatkan tentang kampanye phishing Ghostwriter, kampanye Invisimole yang terkait dengan APT Gamaredon Rusia, dan skema informasi yang salah yang sering menargetkan penduduk Ukraina.

CERT-UA juga mengingatkan Ukraina agensi media Kampanye phishing, kemungkinan diluncurkan oleh kelompok peretas Sandworm Rusia, untuk menyebarkan malware CrescentImp.

Laporan sebelumnya dan terkait


Apakah ada tip? Hubungi dengan aman melalui WhatsApp | +447713 025 499 atau Sinyal di Keybase: charlie0


Bandwidth vs Kecepatan Data Dijelaskan 2023 [Guide to VPN…

Jika Anda pernah mencoba membeli paket data atau VPN, Anda mungkin pernah melihat istilah “bandwidth” dan “laju data” sebelumnya, dan Anda bahkan mungkin melihatnya...
Ngademin
4 min read