Peretas pro-Rusia menargetkan pejabat AS terpilih yang mendukung Ukraina
Pelaku ancaman yang bersekutu dengan Rusia dan Belarusia menargetkan pejabat AS terpilih yang mendukung Ukraina, menggunakan serangan yang mencoba untuk mengkompromikan akun e-mail mereka, kata peneliti dari perusahaan keamanan Proofpoint.
Kampanye, yang juga menargetkan pejabat negara-negara Eropa, menggunakan JavaScript berbahaya yang disesuaikan untuk masing-masing portal webmail milik berbagai organisasi yang selaras dengan NATO, sebuah laporan Proofpoint yang diterbitkan Kamis mengatakan. Pelaku ancaman—yang telah dilacak Proofpoint sejak 2021 dengan nama TA473—melakukan pengintaian berkelanjutan dan penelitian yang telaten untuk memastikan skrip mencuri nama pengguna, kata sandi, dan kredensial login sensitif goal lainnya seperti yang dimaksudkan pada setiap portal e-mail net yang diekspos secara publik yang menjadi goal.
Penargetan yang ulet
“Aktor ini gigih dalam menargetkan pejabat Amerika dan Eropa serta personel militer dan diplomatik di Eropa,” tulis peneliti ancaman Proofpoint Michael Raggi dalam e-mail. “Sejak akhir 2022, TA473 telah menginvestasikan banyak waktu untuk mempelajari portal webmail entitas pemerintah Eropa dan memindai infrastruktur yang menghadap publik untuk mencari kerentanan, semuanya dalam upaya untuk mendapatkan akses ke e-mail dari mereka yang terlibat erat dalam urusan pemerintahan dan Rusia-Ukraina perang.”
Raggi menolak untuk mengidentifikasi goal kecuali mengatakan mereka termasuk pejabat dan staf AS terpilih di tingkat pemerintah federal serta entitas Eropa. “Dalam beberapa kasus di antara entitas yang ditargetkan AS dan Eropa, individu yang ditargetkan oleh kampanye phishing ini adalah pendukung vokal Ukraina dalam Perang Rusia/Ukraina dan/atau terlibat dalam inisiatif yang berkaitan dengan dukungan Ukraina di panggung internasional,” tambahnya .
Sebagian besar serangan baru-baru ini yang diamati oleh Proofpoint mengeksploitasi kerentanan di Zimbra Collaboration versi lama, sebuah paket perangkat lunak yang digunakan untuk menghosting portal webmail. Dilacak sebagai CVE-2022-27926 dan ditambal Maret lalu, kerentanan tersebut adalah cacat skrip lintas situs yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi skrip Net berbahaya di server dengan mengirimkan permintaan yang dibuat khusus. Serangan hanya bekerja terhadap server Zimbra yang belum memasang tambalan.
Kampanye dimulai dengan penggunaan alat pemindaian seperti Acunetix untuk mengidentifikasi portal yang belum ditambal milik kelompok kepentingan. Anggota TA473 kemudian mengirimkan e-mail phishing yang mengaku berisi informasi yang menarik bagi penerima.
Titik bukti
