Ukraina Peringatkan Serangan Phising yang Mengambil Alih Akun Telegram

Mark Teknologi
Mark Teknologi
November 30, 2023

Serangan Phising Telegram

Layanan keamanan dan intelijen teknis Ukraina telah mengeluarkan peringatan tentang gelombang baru serangan dunia maya yang bertujuan untuk mendapatkan akses ke akun Telegram pengguna.


"Para cyber criminal mengirim pesan dengan tautan jahat ke situs web Telegram untuk mendapatkan akses ilegal ke catatan, termasuk opsi untuk mentransfer kode satu kali melalui SMS," kata State Service of Special Communication and Information Protection of Ukraine (SSSCIP) dalam sebuah peringatan.


Serangan, yang telah dikaitkan dengan kelompok ancaman "UAC-0094," dimulai dengan pesan Telegram yang memberi tahu penerima bahwa login telah terdeteksi dari perangkat baru di Rusia dan mendorong mereka untuk mengautentikasi akun mereka dengan mengklik tautan.


URL yang sebenarnya merupakan domain phishing ini mengajak para korban untuk mengirimkan nomor telepon dan password satu kali yang diberikan melalui SMS, yang kemudian digunakan oleh pelaku ancaman untuk mengambil alih akun mereka.


Metode operasinya mirip dengan modus phishing sebelumnya yang terungkap pada awal Maret, yang menggunakan kotak masuk yang dibajak milik beberapa bisnis India untuk mengirim email phishing ke pelanggan Ukr.net untuk membajak akun mereka.


Kampanye rekayasa sosial lainnya yang terdeteksi oleh Computer Emergency Response Team of Ukraine (CERT-UA) melibatkan pengiriman umpan email terkait perang ke organisasi pemerintah Ukraina untuk menanamkan perangkat lunak spionase.


Contoh Serangan Phising Telegram
Contoh Serangan Phising Telegram


Email tersebut menyertakan lampiran file HTML ("War Criminals of the Russian Federation.htm") yang ketika dibuka menghasilkan pengunduhan dan eksekusi implan berbasis PowerShell pada sistem yang terpengaruh.


Serangan itu dilakukan oleh Armageddon, aktor ancaman yang berbasis di Rusia dengan koneksi ke Layanan Keamanan Federal (FSB) yang telah menargetkan bisnis Ukraina setidaknya sejak 2013.


Pada Februari 2022, kelompok peretas tersebut dikaitkan dengan serangan spionase yang ditujukan kepada pemerintah, militer, organisasi non-pemerintah (LSM), peradilan, penegak hukum, dan organisasi nirlaba, dengan tujuan untuk mengekstrak materi sensitif.


Armageddon, juga dikenal sebagai Gamaredon, diduga menargetkan pejabat pemerintah Latvia sebagai bagian dari upaya phishing serupa sekitar akhir Maret 2022, menggunakan file RAR bertema perang untuk mengirimkan malware.


Upaya phishing terbaru lainnya yang dijelaskan oleh CERT-UA telah menyertakan serangkaian malware, termasuk GraphSteel, GrimPlant, HeaderTip, LoadEdge, dan SPECTR, serta operasi yang dipimpin Ghostwriter untuk menginstal kerangka kerja pasca-eksploitasi Cobalt Strike.


Pengungkapan itu muncul ketika berbagai organisasi ancaman persisten tingkat lanjut (APT) dari Iran, Cina, Korea Utara, dan Rusia telah memanfaatkan perang Rusia-Ukraina yang sedang berlangsung untuk menutup jaringan target dan melakukan tindakan jahat lainnya.