Contact Information

Alamat: Komplek Rumah Susun Petamburan Blok 1 Lantai Dasar, Tanah Abang - Jakpus 10260

We're Available 24/ 7. Call Now.
Shuckworm Spionase Malware Kembali Beraksi Ancam Keamanan Ukraina
SHARE:

Technologue.id, Jakarta - Sebuah kelompok ancaman yang ada di Rusia kembali menargetkan warga sipil Ukraina sejak pertama kali muncul pada tahun 2014. Diketahui kelompok ini menyebarkan beberapa varian muatan malware pada sistem di Ukraina.

Geng Shuckworm atau dikenal juga sebagai Armageddon dan Gamaredon, menggunakan setidaknya empat varian berbeda dari pintu belakang Pterodo yang dirancang untuk melakukan tugas dan sekaligus berkomunikasi dengan server perintah dan kontrol (C2).

"Alasan yang paling mungkin untuk menggunakan beberapa varian adalah bahwa hal itu dapat memberikan cara yang belum sempurna untuk mempertahankan kegigihan pada komputer yang terinfeksi," menurut Tim Pemburu Ancaman Symantec.

Serangan Shuckworm adalah bagian dari kampanye berkelanjutan oleh kelompok ancaman yang disponsori negara Rusia yang meningkatkan upaya mereka menjelang invasi ke Ukraina pada akhir Februari.

Baca Juga:
GridTimeTM 3000 GNSS Time Server Tawarkan Ketahanan Baru untuk Gardu Induk Pembangkit Listrik

Hal itu terus pun terus berlanjut. Perang siber aktif yang paralel dengan serangan militer Rusia telah mengkhawatirkan banyak pihak tidak terkecuali perusahaan-perusahaan di AS dan pihak ketiga.

Geng tersebut telah aktif selama bertahun-tahun. Dinas Keamanan Ukraina (SSU) mengatakan kelompok Shuckworm bertanggung jawab atas lebih dari 5.000 serangan terhadap lembaga publik atau infrastruktur penting. SSU mengatakan kelompok itu menargetkan lebih dari 1.500 sistem komputer pemerintah selama tujuh tahun.

Mereka mencatat bahwa Shuckworm tampaknya sebagian besar berfokus pada spionase dan pengumpulan intelijen tetapi mengatakan serangan itu bisa menjadi pendahulu dari insiden yang lebih serius jika kelompok itu menyerahkan akses yang didapatnya ke organisasi Ukraina ke aktor ancaman lain yang disponsori Rusia.

Empat varian yang diamati dari malware Pterodo kustom semuanya menggunakan dropper Visual Basic Script (VBS) dengan fungsi serupa.

Mereka menjatuhkan file VBScripts, menggunakan Tugas Terjadwal (shtasks.exe) untuk memastikan ketekunan, dan mengunduh kode dari server C2.

Shuckworm sangat bergantung pada email phishing untuk memikat pengguna yang ditargetkan agar tanpa disadari mengeksekusi kode berbahaya.

Varian Pterodo.B adalah arsip self-extracting yang dimodifikasi yang menyertakan VBScript yang dikaburkan dalam sumber daya yang dibongkar oleh 7-Zip, pengarsip file open-source. Varian ini dirancang untuk mengumpulkan informasi seperti nomor seri drive C – yang dikirim ke server C2 – dan memastikan kegigihan.

Baca Juga:
NASA Akan Menyelidiki ‘Pesta Geologi’ di Delta Sungai

Tidak hanya itu, Pterodo.C juga menjatuhkan VBScript di komputer yang ditargetkan tetapi pertama-tama akan membuat beberapa panggilan API dan tidak berarti untuk memastikannya tidak berjalan di kotak pasir.

Ini menggunakan skrip PowerShell dari domain acak. Pterodo.D adalah penetes VBScript lain yang membuat dan mengeksekusi dua file, dengan skrip kedua menggunakan dua lapisan kebingungan.

Seiring dengan pintu belakang Pterodo, Shuckworm menggunakan alat lain termasuk UltraVNC, administrasi jarak jauh sumber terbuka dan utilitas perangkat lunak desktop jarak jauh yang telah digunakan oleh geng dalam serangan sebelumnya, dan Process Explorer, alat dengan Sysinternals Microsoft untuk mengelola pegangan dan proses DLL.

SHARE:

Menkomdigi: Warisan Budaya Jadi Elemen Strategis Perkuat Indonesia di Tingkat Global

Sederet Inovasi yang Dikembangkan Nvidia, GPU hingga Ray Tracing