idNSA.id - Google Threat Analysis Group (TAG) memberikan
pembaruan tentang nation-state attacks terkait invasi Rusia yang sedang
berlangsung ke Ukraina, para ahli melihat serangan phishing dan malware yang
menargetkan negara-negara Eropa Timur dan NATO, termasuk Ukraina.
Para peneliti mengungkap kampanye phishing yang dilakukan
oleh pelaku terkait Rusia yang dilacak sebagai COLDRIVER (alias Calisto)
terhadap NATO Center of Excellence dan Eastern
European militaries. Serangan kelompok itu juga ditujukan kepada kontraktor
pertahanan Ukraina dan beberapa lembaga swadaya masyarakat (LSM) dan think tank
yang berbasis di AS, dikutip dari postingan securityaffairs.
Pakar Google menunjukkan bahwa ini adalah pertama kalinya
mata-mata siber menargetkan NATO dan militer beberapa negara Eropa Timur.
“Namun, untuk pertama kalinya, TAG mengamati kampanye
COLDRIVER yang menargetkan militer beberapa negara Eropa Timur, serta NATO Center
of Excellence.” membaca laporan yang diterbitkan oleh tim TAG. “Kampanye ini
dikirim menggunakan akun Gmail yang baru dibuat ke akun non-Google, sehingga
tingkat keberhasilan kampanye ini tidak diketahui. Kami belum menemukan akun
Gmail yang berhasil disusupi selama kampanye ini.”
Penyerang membuat akun Gmail khusus untuk kampanye ini dan
menggunakannya untuk mengirim pesan phishing ke akun non-Google. Google
menyatakan bahwa tidak mungkin untuk menentukan tingkat keberhasilan kampanye
ini karena pesan mencapai akun non-Google. Raksasa TI menyatakan bahwa mereka
tidak mengetahui adanya akun Gmail yang berhasil disusupi selama serangan ini.
TAG juga melaporkan aktivitas grup APT yang terkait dengan
China, dilacak sebagai Curious Gorge yang ditujukan untuk organisasi pemerintah
dan militer dari Ukraina, Rusia, Kazakhstan, dan Mongolia.
“Curious Gorge ,
sebuah grup TAG yang dikaitkan dengan PLA SSF China, telah melakukan
kampanye melawan organisasi pemerintah dan militer di Ukraina, Rusia,
Kazakhstan, dan Mongolia. Meskipun aktivitas ini sebagian besar tidak
memengaruhi produk Google, kami tetap terlibat dan memberikan pemberitahuan
kepada organisasi korban.” melanjutkan laporannya.
Para peneliti juga mengamati APT Ghostwriter yang terhubung
dengan Belarusia menggunakan teknik phishing baru yang dikenal sebagai Browser in the Browser (BitB) phishing, yang
diungkapkan kepada publik pada pertengahan Maret.
“Ghostwriter dengan cepat mengadopsi teknik baru ini, menggabungkannya dengan teknik yang diamati sebelumnya, menghosting halaman arahan phishing kredensial di situs yang disusupi. Teknik baru, ditampilkan di bawah, menggambar halaman login yang tampaknya berada di domain passport.i.ua, di atas halaman yang dihosting di situs yang disusupi.” melanjutkan laporannya. “Setelah pengguna memberikan kredensial dalam dialog, mereka diposting ke domain yang dikendalikan penyerang.”
Pakar Google mengonfirmasi bahwa pelaku kriminal dan bermotif
finansial juga berusaha mengeksploitasi minat pada peristiwa terkini dalam
kampanye mereka. Dalam satu kasus yang diamati oleh tim TAG. seorang pelaku yang
menyamar sebagai personel militer memeras uang karena menyelamatkan kerabat di
Ukraina.
“TAG juga terus mengamati beberapa broker ransomware yang
terus beroperasi dalam bisnis seperti biasa.” Google menyimpulkan.
