Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / APT

APT

APT37 Menggunakan Internet Explorer Zero-Day untuk Menyebarkan Malware

by

Grup ancaman Korea Utara APT37 dapat mengeksploitasi kerentanan zero-day Internet Explorer untuk menyebarkan dokumen yang sarat dengan malware sebagai bagian dari kampanye yang menargetkan pengguna di Korea Selatan, termasuk pembelot, jurnalis, dan kelompok hak asasi manusia.

Threat Analysis Group (TAG) milik google menemukan kelemahan zero-day di mesin JScript Internet Explorer pada akhir Oktober, dilacak di bawah CVE-2022-41128, dan sekarang melaporkan bahwa Microsoft responsif dan telah mengeluarkan tambalan yang sesuai.

Untuk memikat calon korban, dokumen jahat tersebut merujuk pada insiden penghancuran massa yang mematikan di Seoul yang terjadi selama perayaan Halloween pada 29 Oktober.

“Insiden ini dilaporkan secara luas, dan iming-iming tersebut memanfaatkan minat publik yang luas terhadap kecelakaan tersebut,” lapor tim TAG. “Ini bukan pertama kalinya APT37 menggunakan eksploitasi 0 hari Internet Explorer untuk menargetkan pengguna.”

sumber : dark reading

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

by

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Peretas Tiongkok Menggunakan Rantai Infeksi Tersembunyi untuk Menyebarkan Malware LODEINFO

by

Aktor ancaman China yang dikenal sebagai Stone Panda telah diamati menggunakan rantai infeksi tersembunyi baru dalam serangannya yang ditujukan pada entitas Jepang.

Target termasuk media, diplomatik, pemerintah dan organisasi sektor publik dan think-tank di Jepang, menurut laporan kembar yang diterbitkan oleh Kaspersky.

Stone Panda, juga disebut APT10, Bronze Riverside, Cicada, dan Potassium, adalah kelompok spionase dunia maya yang dikenal karena intrusinya terhadap organisasi yang diidentifikasi secara strategis signifikan bagi China. Pelaku ancaman diyakini telah aktif setidaknya sejak 2009.

Grup tersebut juga telah dikaitkan dengan serangan menggunakan keluarga malware seperti SigLoader, SodaMaster, dan web shell yang disebut Jackpot terhadap beberapa organisasi domestik Jepang sejak April 2021, menurut perusahaan keamanan siber Trend Micro, yang melacak grup tersebut dengan nama Earth Tengshe.

Serangkaian serangan terbaru, diamati antara Maret dan Juni 2022, melibatkan penggunaan file Microsoft Word palsu dan file arsip self-extracting (SFX) dalam format RAR yang disebarkan melalui email spear-phishing, yang mengarah ke eksekusi pintu belakang yang disebut LODEINFO.

Sementara maldoc mengharuskan pengguna untuk mengaktifkan makro untuk mengaktifkan killchain, kampanye Juni 2022 ditemukan untuk menjatuhkan metode ini demi file SFX yang, ketika dijalankan, menampilkan dokumen Word umpan yang tidak berbahaya untuk menyembunyikan aktivitas jahat.

Makro, setelah diaktifkan, menjatuhkan arsip ZIP yang berisi dua file, salah satunya (“NRTOLF.exe”) adalah executable yang sah dari perangkat lunak K7Security Suite yang kemudian digunakan untuk memuat DLL jahat (“K7SysMn1.dll”) melalui DLL pemuatan samping.

Kaspersky juga menemukan metode infeksi awal lain pada Juni 2022, di mana file Microsoft Word yang dilindungi kata sandi bertindak sebagai saluran untuk mengirimkan pengunduh tanpa file yang dijuluki DOWNIISSA setelah mengaktifkan makro.

DOWNIISSA dikonfigurasi untuk berkomunikasi dengan server jarak jauh berkode keras, menggunakannya untuk mengambil muatan BLOB terenkripsi dari LODEINFO, pintu belakang yang mampu mengeksekusi kode shell sewenang-wenang, mengambil tangkapan layar, dan mengekstrak file kembali ke server.

Malware tersebut, pertama kali terlihat pada tahun 2019, telah mengalami banyak peningkatan, dengan Kaspersky mengidentifikasi enam versi berbeda pada bulan Maret, April, Juni, dan September 2022.

Perubahan termasuk teknik penghindaran yang ditingkatkan untuk terbang di bawah radar, menghentikan eksekusi pada mesin dengan lokal “en_US,” merevisi daftar perintah yang didukung, dan memperluas dukungan untuk arsitektur Intel 64-bit.

Sumber: The Hackernews

Peretas mengkompromikan jaringan agen pemerintah Hong Kong selama setahun

by

Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.

Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.

Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.

Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.

Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.

Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:

  • menggunakan perpustakaan CryptoPP C++
  • penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
  • dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)

Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”

Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.

Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”

Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.

Sumber: Bleeping Computer

Peneliti Merinci Alat Berbahaya yang Digunakan oleh Kelompok Siber Spionase Earth Aughisky

by

Sebuah penelitian baru telah merinci sifat perangkat malware yang semakin canggih yang digunakan oleh kelompok ancaman persisten tingkat lanjut (APT) bernama Earth Aughisky.

“Selama dekade terakhir, grup ini terus melakukan penyesuaian dalam alat dan penyebaran malware pada target tertentu yang berlokasi di Taiwan dan, baru-baru ini, Jepang,” ungkap Trend Micro dalam profil teknis minggu lalu.

Earth Aughisky, juga dikenal sebagai Taidoor, adalah kelompok siber spionase yang dikenal karena kemampuannya untuk menyalahgunakan akun, perangkat lunak, aplikasi, dan kelemahan lain yang sah dalam desain dan infrastruktur jaringan untuk tujuan mereka sendiri.

Vertikal industri yang paling sering ditargetkan termasuk pemerintah, telekomunikasi, manufaktur, alat berat, teknologi, transportasi, dan perawatan kesehatan.

Rantai serangan yang dipasang oleh grup biasanya memanfaatkan spear-phishing sebagai metode awal masuk, menggunakannya untuk menyebarkan backdoor tahap berikutnya. Yang utama di antara alat-alatnya adalah trojan akses jarak jauh yang disebut Taidoor (alias Roudan).

Beberapa pintu backdoor terkenal lainnya yang digunakan oleh Earth Aughisky selama bertahun-tahun adalah sebagai berikut:

  • SiyBot, backdoor dasar yang menggunakan layanan publik seperti Gubb dan 30 Box untuk command-and-control (C2)
  • TWTRAT, yang menyalahgunakan fitur pesan langsung Twitter untuk C2
  • DropNetClient (alias Buxzop), yang memanfaatkan API Dropbox untuk C2

Selengkapnya: The Hacker News

Optus, perusahaan telekomunikasi terbesar kedua di Australia, mengatakan data pelanggan terekspos dalam pelanggaran data

by

Raksasa telekomunikasi Australia Optus mengatakan data pelanggan saat ini dan sebelumnya diakses setelah serangan siber pada sistemnya.

Optus mengatakan dalam siaran pers pada hari Kamis bahwa sejumlah nama pelanggan, tanggal lahir, nomor telepon, alamat email, dan alamat dan nomor dokumen identitas yang tidak ditentukan, seperti SIM atau nomor paspor, diambil dalam pelanggaran tersebut.

Perusahaan telekomunikasi itu tidak mengatakan kapan pelanggaran itu terjadi, tetapi mereka yakin insiden itu telah berakhir.

Optus adalah anak perusahaan Singtel milik Singapura dan merupakan perusahaan telekomunikasi terbesar kedua di Australia, dengan sekitar 10 juta pelanggan.

Direktorat Sinyal Australia, yang setara dengan Badan Keamanan Nasional AS, diberitahu tentang insiden tersebut.

Raksasa telekomunikasi, telepon, dan seluler sering menjadi target karena peran mereka dalam infrastruktur penting negara mana pun. Peretas yang didukung negara diketahui membobol perusahaan telekomunikasi mencari catatan telepon untuk memata-matai kritik dan melakukan spionase, sementara peretas kriminal, seperti penukar SIM, sering mengandalkan data yang dilanggar dan akses orang dalam untuk melakukan serangan rekayasa sosial yang meyakinkan dukungan pelanggan atau karyawan untuk menyerahkan akses ke sistem mereka.

Sumber: TechCrunch

Peretas Iran Menargetkan Target Bernilai Tinggi dalam Keamanan Nuklir dan Riset Genomik

by

Peretas yang terkait dengan pemerintah Iran telah menargetkan individu yang berspesialisasi dalam urusan Timur Tengah, keamanan nuklir, dan penelitian genom sebagai bagian dari kampanye rekayasa sosial baru yang dirancang untuk berburu informasi sensitif.

Perusahaan keamanan perusahaan Proofpoint mengaitkan serangan yang ditargetkan dengan aktor ancaman bernama TA453, yang secara luas tumpang tindih dengan aktivitas dunia maya yang dipantau di bawah moniker APT42, Charming Kitten, dan Phosphorus.

Semuanya dimulai dengan email phishing yang menyamar sebagai individu yang sah di organisasi penelitian kebijakan luar negeri Barat yang pada akhirnya dirancang untuk mengumpulkan intelijen atas nama Korps Pengawal Revolusi Islam (IRGC) Iran.

Akun sock puppet termasuk orang-orang dari Pew Research Center, Institut Penelitian Kebijakan Luar Negeri (FRPI), Chatham House Inggris, dan jurnal ilmiah Nature. Teknik ini dikatakan telah dikerahkan pada pertengahan Juni 2022.

Namun, yang membedakan ini dari serangan phishing lainnya adalah penggunaan taktik Proofpoint yang disebut Multi-Persona Impersonation (MPI), di mana pelaku ancaman menggunakan tidak hanya satu tetapi beberapa persona yang dikendalikan aktor dalam percakapan email yang sama untuk meningkatkan peluang keberhasilan.

Idenya adalah untuk “memanfaatkan prinsip psikologi dari bukti sosial” dan meningkatkan keaslian korespondensi aktor ancaman sehingga membuat target membeli ke dalam skema, sebuah taktik yang menunjukkan kemampuan musuh yang berkelanjutan untuk meningkatkan permainannya.

Setelah email awal mendapat tanggapan dari target, persona kemudian mengirim pesan tindak lanjut yang berisi tautan OneDrive berbahaya yang mengunduh dokumen Microsoft Office, salah satunya konon menyinggung bentrokan antara Rusia dan AS.

Dokumen ini selanjutnya menggunakan teknik yang disebut injeksi templat jarak jauh untuk mengunduh Korg, templat yang terdiri dari tiga makro yang mampu mengumpulkan nama pengguna, daftar proses yang berjalan, dan alamat IP publik korban.

Selain penggalian informasi suar, tidak ada tindakan pasca-eksploitasi lainnya yang diamati. Kurangnya “abnormal” eksekusi kode dan perilaku perintah-dan-kontrol telah menyebabkan penilaian bahwa pengguna yang disusupi dapat menjadi sasaran serangan lebih lanjut berdasarkan perangkat lunak yang diinstal.

Ini bukan pertama kalinya aktor ancaman melakukan kampanye peniruan identitas. Pada Juli 2021, Proofpoint mengungkapkan operasi phishing yang dijuluki SpoofedScholars yang menargetkan individu yang berfokus pada urusan Timur Tengah di AS dan Inggris dengan kedok sarjana dengan School of Oriental and African Studies (SOAS) Universitas London.

Kemudian pada Juli 2022, perusahaan keamanan siber menemukan upaya dari pihak TA453 untuk menyamar sebagai jurnalis untuk memikat akademisi dan pakar kebijakan agar mengklik tautan jahat yang mengarahkan target ke domain pengambilan kredensial.

Pengungkapan terbaru datang di tengah kesibukan aktivitas dunia maya terkait Iran. Pekan lalu, Microsoft menyelesaikan serangkaian serangan ransomware yang dipasang oleh subkelompok Fosfor yang dijuluki DEV-0270 menggunakan binari yang hidup di luar negeri seperti BitLocker.

Selain itu, perusahaan keamanan siber Mandiant, yang sekarang secara resmi menjadi bagian dari Google Cloud, merinci aktivitas aktor spionase Iran dengan nama sandi APT42 yang telah dikaitkan dengan lebih dari 30 operasi sejak 2015.

Di atas semua itu, Departemen Keuangan mengumumkan sanksi terhadap Kementerian Intelijen dan Keamanan Iran (MOIS) dan Menteri Intelijennya, Esmaeil Khatib, sebagai tanggapan atas “aktivitas yang mendukung dunia maya terhadap Amerika Serikat dan sekutunya.”

Albania, yang telah memutuskan hubungan diplomatik dengan Iran setelah menyalahkannya atas serangkaian serangan dunia maya sejak Juli, menuding “agresor yang sama” selama akhir pekan karena melakukan serangan lain terhadap sistem pemerintah yang digunakan untuk melacak penyeberangan perbatasan.

Sumber: The Hackernews