MENU
Untuk Anda
Kanal
About Us
SERANGAN digitial memang tengah marak dengan berbagai macam jenis, salah satunya adalah Advanced Persistent Threat (APT). APT sendiri adalah metode serangan siber tingkat lanjut yang bertujuan untuk mencuri data sensitif berjangka waktu lama.
Sebagaimana dihimpun dari siaran pers, Kaspersky menyebut Ukraina Tengah dan Barat menjadi target baru serangan ini lewat CommonMagic menggunakan implan PowerMagic dan CommonMagic untuk melakukan kegiatan spionase. Aktif sejak September 2021, CommonMagic menggunakan malware yang sebelumnya tidak teridentifikasi untuk mengumpulkan data dari entitas yang ditargetkan.
Meskipun pelaku ancaman yang bertanggung jawab atas serangan ini masih belum diketahui, para ahli Kaspersky telah melanjutkan penyelidikan mereka, melacak aktivitas yang tidak diketahui kembali ke kampanye yang terlupakan untuk mengumpulkan informasi lebih lanjut.
Kampanye yang baru-baru ini terungkap menggunakan kerangka kerja modular yang disebut CloudWizard. Riset Kaspersky mengidentifikasi total 9 modul dalam kerangka kerja ini, masing-masing bertanggung jawab atas aktivitas berbahaya yang berbeda seperti mengumpulkan file, keylogging, menangkap tangkapan layar, merekam masukan mikrofon, dan mencuri kata sandi.
Salah satu modul berfokus pada pengelupasan data dari akun Gmail. Dengan mengekstrak cookie Gmail dari database browser, modul ini dapat mengakses dan menyelundupkan log aktivitas, daftar kontak, dan semua pesan email yang terkait dengan akun yang ditargetkan.
Selain itu, para peneliti telah mengungkap distribusi korban yang semakin luas. Sementara target utama sebelumnya berlokasi di wilayah Donetsk, Luhansk, dan Krimea, cakupannya kini telah diperluas untuk mencakup individu, entitas diplomatik, dan organisasi penelitian di Ukraina Barat dan Tengah.
Setelah penelitian ekstensif terhadap CloudWizard, para ahli Kaspersky turut membuat kemajuan signifikan dalam keterkaitannya dengan aktor ancaman yang dikenal. Mereka telah mengamati kesamaan penting antara CloudWizard dan dua kampanye yang didokumentasikan sebelumnya, Operasi Groundbait dan Operasi BugDrop.
Kesamaan ini termasuk kesamaan kode, penamaan file dan pola daftar, hosting oleh layanan hosting Ukraina, dan pembagian profil korban di Ukraina Barat dan Tengah, serta wilayah konflik di Eropa Timur. Selain itu, CloudWizard juga menunjukkan kemiripan dengan kampanye CommonMagic yang baru-baru ini dilaporkan.
Beberapa bagian kode identik, mereka menggunakan perpustakaan enkripsi yang sama, mengikuti format penamaan file yang serupa, dan berbagi lokasi korban di wilayah konflik Eropa Timur. Berdasarkan temuan ini, pakar Kaspersky telah menyimpulkan bahwa kampanye berbahaya Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic, dan CloudWizard semuanya dapat dikaitkan dengan aktor ancaman aktif yang sama.