Berita Rumah* Sebuah grup siber canggih bernama Rare Werewolf telah melakukan serangan di Rusia dan Negara-Negara Persemakmuran (CIS), terutama menargetkan sektor industri dan pendidikan.
Para penyerang menggunakan alat pihak ketiga yang sah dan skrip PowerShell alih-alih Malware buatan sendiri, membuat deteksi menjadi lebih sulit.
Email phishing mengirimkan malware yang tersembunyi di dalam arsip yang dilindungi kata sandi, yang menyebarkan perangkat lunak penambangan cryptocurrency dan mencuri data pengguna.
Ratusan pengguna Rusia, termasuk yang ada di Belarus dan Kazakhstan, terpengaruh. Para penyerang fokus pada pencurian kredensial dan memungkinkan akses jarak jauh.
Grup terpisah, DarkGaboon, telah menggunakan LockBit 3.0 Ransomware dalam serangan bermotif finansial yang menargetkan organisasi Rusia sejak 2023.
Sebuah kelompok siber yang dikenal sebagai Rare Werewolf telah dikaitkan dengan serangkaian serangan siber yang menargetkan Rusia dan negara-negara CIS lainnya. Para penyerang menggunakan email phishing untuk mengirimkan file berbahaya, yang bertujuan untuk mendapatkan akses jarak jauh, mencuri kredensial, dan menginstal perangkat lunak penambangan cryptocurrency yang disebut XMRig. Serangan ini telah memengaruhi beberapa ratus pengguna, termasuk mereka yang berada di perusahaan industri dan sekolah teknik di Rusia, Belarusia, dan Kazakhstan.
Iklan - Menurut para peneliti di Kaspersky, kelompok ini menghindari malware tradisional, alih-alih menggunakan file perintah dan skrip PowerShell yang dikombinasikan dengan perangkat lunak yang sah untuk melakukan serangan mereka. "Fitur khas dari ancaman ini adalah bahwa penyerang lebih suka menggunakan perangkat lunak pihak ketiga yang sah daripada mengembangkan biner berbahaya mereka sendiri," kata Kaspersky. Penyerang mengirim email phishing dengan arsip yang dilindungi kata sandi yang berisi file yang dapat dieksekusi, sering kali disamarkan sebagai dokumen seperti perintah pembayaran.
Begitu berada di dalam sistem korban, penyerang menginstal perangkat lunak seperti 4t Tray Minimizer, yang menyembunyikan aplikasi yang sedang berjalan di baki sistem. Mereka juga menggunakan alat untuk menonaktifkan perangkat lunak antivirus dan mengirim data yang dicuri ke akun email yang dikendalikan penyerang menggunakan program sah Blat. Tim menggunakan perangkat lunak desktop jarak jauh AnyDesk dan skrip terjadwal untuk mempertahankan akses selama jam-jam tertentu. *"Semua fungsionalitas berbahaya masih bergantung pada penginstal, perintah, dan skrip PowerShell," kata Kaspersky.
Rare Werewolf—juga dikenal sebagai Librarian Ghouls dan Rezet—sebelumnya telah menargetkan organisasi di Rusia dan Ukraina, dengan aktivitas yang mencolok sejak 2019. Strategi mereka melibatkan pemanfaatan utilitas yang dikenal luas untuk membuat deteksi dan atribusi menjadi lebih sulit.
Dalam perkembangan terpisah, Positive Technologies melaporkan bahwa grup bermotivasi finansial DarkGaboon telah menargetkan organisasi Rusia sejak pertengahan 2023. Kelompok ini menggunakan email phishing yang membawa file arsip atau file screensaver Windows untuk mengaktifkan ransomware LockBit 3.0 dan trojan akses jarak jauh lainnya, seperti XWorm dan Revenge RAT. Seperti yang dicatat oleh peneliti Positive Technologies' Victor Kazakov, "DarkGaboon bukan klien layanan LockBit RaaS dan bertindak secara independen..." Grup ini menggunakan versi publik LockBit dan mengancam akan membocorkan data yang dicuri secara online.
Kegiatan ini menyoroti ancaman yang terus-menerus terhadap organisasi di Rusia dan wilayah sekitarnya, dengan penyerang mengandalkan alat perangkat lunak yang umum dan sah untuk menghindari deteksi dan memperumit atribusi.
Artikel Sebelumnya:
Ant International, Deutsche Bank Bermitra untuk Menjelajahi Peluncuran Stablecoin
SG Forge dari SocGen Meluncurkan Stablecoin Dolar AS di Ethereum, Solana
Canary Capital Membentuk Trust Delaware Untuk Potensi Injective (INJ) ETF
Wanita Kehilangan $50K dalam Penipuan Crypto Setelah Mengklik Iklan Facebook PM
SEC Mengusulkan 'Pengecualian Inovasi' untuk Mendorong Produk Crypto Onchain
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Serangan APT Serigala Langka Melanda Rusia Dengan Penambangan Kripto dan Pencurian Data
Berita Rumah* Sebuah grup siber canggih bernama Rare Werewolf telah melakukan serangan di Rusia dan Negara-Negara Persemakmuran (CIS), terutama menargetkan sektor industri dan pendidikan.
Begitu berada di dalam sistem korban, penyerang menginstal perangkat lunak seperti 4t Tray Minimizer, yang menyembunyikan aplikasi yang sedang berjalan di baki sistem. Mereka juga menggunakan alat untuk menonaktifkan perangkat lunak antivirus dan mengirim data yang dicuri ke akun email yang dikendalikan penyerang menggunakan program sah Blat. Tim menggunakan perangkat lunak desktop jarak jauh AnyDesk dan skrip terjadwal untuk mempertahankan akses selama jam-jam tertentu. *"Semua fungsionalitas berbahaya masih bergantung pada penginstal, perintah, dan skrip PowerShell," kata Kaspersky.
Rare Werewolf—juga dikenal sebagai Librarian Ghouls dan Rezet—sebelumnya telah menargetkan organisasi di Rusia dan Ukraina, dengan aktivitas yang mencolok sejak 2019. Strategi mereka melibatkan pemanfaatan utilitas yang dikenal luas untuk membuat deteksi dan atribusi menjadi lebih sulit.
Dalam perkembangan terpisah, Positive Technologies melaporkan bahwa grup bermotivasi finansial DarkGaboon telah menargetkan organisasi Rusia sejak pertengahan 2023. Kelompok ini menggunakan email phishing yang membawa file arsip atau file screensaver Windows untuk mengaktifkan ransomware LockBit 3.0 dan trojan akses jarak jauh lainnya, seperti XWorm dan Revenge RAT. Seperti yang dicatat oleh peneliti Positive Technologies' Victor Kazakov, "DarkGaboon bukan klien layanan LockBit RaaS dan bertindak secara independen..." Grup ini menggunakan versi publik LockBit dan mengancam akan membocorkan data yang dicuri secara online.
Kegiatan ini menyoroti ancaman yang terus-menerus terhadap organisasi di Rusia dan wilayah sekitarnya, dengan penyerang mengandalkan alat perangkat lunak yang umum dan sah untuk menghindari deteksi dan memperumit atribusi.
Artikel Sebelumnya: