Peretas Rusia Eksploitasi Kerentanan Microsoft Follina untuk Serang Ukraina

Serangan Rusia terhadap Ukraina tidak hanya terjadi di daratan, tapi juga di dunia maya melalui peretas (hacker).

Hal ini terungkap setelah adanya peringatan dari Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengenai serangkaian serangan spear-phishing baru yang mengeksploitasi kelemahan “Follina” di sistem operasi Windows untuk menyebarkan malware pencuri kata sandi.

Badan tersebut mengatakan serangan dimulai dengan dokumen iming-iming berjudul “Terorisme Nuklir Ancaman Sangat Nyata.rtf”.

Ketika dibuka, keluarlah bawaannya yang berbahaya, yang baru ketahuan belakangan ini.

Dokumen jebakan itu berisi kerentanan untuk mengunduh dan menjalankan malware bernama CredoMap.

Serangan diketahui berhubungan dengan gangguan dari kelompok negara-bangsa Rusia yang dilacak sebagai APT28 (alias Fancy Bear atau Sofacy) Follina (CVE-2022-30190, skor CVSS: 7.8), yang menyangkut kasus eksekusi kode jarak jauh yang mempengaruhi Alat Diagnostik Dukungan Windows (MSDT), ditangani oleh Microsoft pada 14 Juni 2022, sebagai bagian dari pembaruan Patch Tuesday.

Menurut laporan independen yang diterbitkan oleh Malwarebytes, CredoMap adalah varian dari pencuri kredensial berbasis .NET yang dibocorkan oleh Google Threat Analysis Group (TAG) bulan lalu karena telah digunakan terhadap pengguna di Ukraina.

Tujuan utama malware adalah untuk menyedot data, termasuk kata sandi dan cookie yang disimpan, dari beberapa browser populer, seperti Google Chrome, Microsoft Edge, dan Mozilla Firefox.

“Meskipun merampok browser mungkin terlihat seperti pencurian kecil-kecilan, kata sandi adalah kunci untuk mengakses informasi dan intelijen sensitif,” kata Malwarebytes.

“Target, dan keterlibatan APT28, sebuah divisi intelijen militer Rusia, menunjukkan bahwa kampanye tersebut adalah bagian dari konflik di Ukraina, atau setidaknya terkait dengan kebijakan luar negeri dan tujuan militer negara Rusia.” Peringatan ini bukan hanya terhadap APT28.

CERT-UA telah lebih jauh memperingatkan serangan serupa yang dipasang oleh Sandworm dan aktor yang dijuluki UAC-0098 yang memanfaatkan rantai infeksi berbasis Follina untuk menyebarkan CrescentImp dan Cobalt Strike Beacons ke host yang ditargetkan.

Perkembangan itu terjadi saat Ukraina terus menjadi target serangan siber di tengah perang yang sedang berlangsung di negara itu dengan Rusia, dengan peretas Armageddon juga terlihat mendistribusikan malware GammaLoad.PS1_v2 pada Mei 2022.

THE HACKER NEWS