Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / APT

APT

Peretas APT41 yang Didukung China Menargetkan 13 Organisasi di Seluruh Dunia Tahun Lalu

by

Aktor ancaman persisten lanjutan (APT) China yang dilacak sebagai Winnti telah menargetkan setidaknya 13 organisasi yang secara geografis tersebar di AS, Taiwan, India, Vietnam, dan China dengan latar belakang empat kampanye berbeda pada tahun 2021.

“Industri yang ditargetkan termasuk sektor publik, manufaktur, perawatan kesehatan, logistik, perhotelan, pendidikan, serta media dan penerbangan,” kata perusahaan keamanan siber Group-IB dalam sebuah laporan yang dibagikan kepada The Hacker News.

Ini juga termasuk serangan terhadap Air India yang terungkap pada Juni 2021 sebagai bagian dari kampanye dengan nama kode ColunmTK. Tiga kampanye lainnya telah diberi moniker DelayLinkTK, Mute-Pond, dan Gentle-Voice berdasarkan nama domain yang digunakan dalam serangan.

APT41, juga dikenal sebagai Barium, Bronze Atlas, Double Dragon, Wicked Panda, atau Winnti, adalah kelompok ancaman dunia maya Tiongkok yang dikenal melakukan aktivitas spionase yang disponsori negara secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2007.

Menggambarkan tahun 2021 sebagai “tahun yang intens untuk APT41,” serangan yang dilakukan oleh musuh terutama melibatkan penggunaan injeksi SQL pada domain yang ditargetkan sebagai vektor akses awal untuk menyusup ke jaringan korban, diikuti dengan mengirimkan suar Cobalt Strike kustom ke titik akhir.

Namun dalam pendekatan yang agak tidak biasa, Cobalt Strike Beacon diunggah dalam potongan yang lebih kecil dari string yang dikodekan Base64 sebagai taktik kebingungan untuk terbang di bawah radar, sebelum menuliskan seluruh muatan ke file di host yang terinfeksi.

“Anggota APT41 biasanya menggunakan phishing, mengeksploitasi berbagai kerentanan (termasuk Proxylogon), dan melakukan serangan lubang air atau rantai pasokan untuk awalnya membahayakan korban mereka,” kata para peneliti.

Tindakan lain yang dilakukan pasca-eksploitasi berkisar dari membangun kegigihan hingga pencurian kredensial dan melakukan pengintaian melalui teknik living-off-the-land (LotL) untuk mengumpulkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.

Perusahaan yang bermarkas di Singapura itu mengatakan telah mengidentifikasi 106 server Cobalt Strike unik yang secara eksklusif digunakan oleh APT41 antara awal 2020 dan akhir 2021 untuk perintah-dan-kontrol. Sebagian besar server tidak lagi aktif.

Temuan ini menandai penyalahgunaan berkelanjutan dari kerangka simulasi musuh yang sah oleh aktor ancaman yang berbeda untuk aktivitas berbahaya pasca-intrusi.

“Di masa lalu, alat ini dihargai oleh geng penjahat dunia maya yang menargetkan bank, sementara hari ini populer di antara berbagai pelaku ancaman terlepas dari motivasi mereka, termasuk operator ransomware yang terkenal,” Analis Ancaman Grup-IB, Nikita Rostovtsev, mengatakan.

Sumber: The Hacker News

Peretas Cina Mengalihkan Aplikasi Obrolan MiMi untuk Menargetkan Pengguna Windows, Linux, macOS

by

Sepasang laporan dari perusahaan keamanan siber SEKOIA dan Trend Micro menyoroti kampanye baru yang dilakukan oleh aktor ancaman China bernama Lucky Mouse yang melibatkan pemanfaatan versi trojan dari aplikasi perpesanan lintas platform ke sistem pintu belakang.

Rantai infeksi memanfaatkan aplikasi obrolan yang disebut MiMi, dengan file penginstalnya dikompromikan untuk mengunduh dan menginstal sampel HyperBro untuk sistem operasi Windows dan artefak rshell untuk Linux dan macOS.

Sebanyak 13 entitas berbeda yang berlokasi di Taiwan dan Filipina telah menerima serangan, delapan di antaranya terkena rshell. Korban pertama rshell dilaporkan pada pertengahan Juli 2021.

Lucky Mouse, juga disebut APT27, Bronze Union, Utusan Panda, dan Iron Tiger, diketahui aktif sejak 2013 dan memiliki sejarah mendapatkan akses ke jaringan yang ditargetkan dalam mengejar tujuan pengumpulan intelijen politik dan militer yang selaras dengan China.

Aktor ancaman persisten (APT) tingkat lanjut juga mahir dalam mengekstrak informasi bernilai tinggi menggunakan berbagai macam implan khusus seperti SysUpdate, HyperBro, dan PlugX.

Perkembangan terbaru sangat signifikan, paling tidak karena menandai upaya pengenalan aktor ancaman untuk menargetkan macOS bersama Windows dan Linux.

Kampanye ini memiliki semua keunggulan serangan rantai pasokan di mana server backend yang menghosting penginstal aplikasi MiMi dikendalikan oleh Lucky Mouse, sehingga memungkinkan untuk men-tweak aplikasi untuk mengambil backdoors dari server jarak jauh.

Ini dibuktikan dengan fakta bahwa macOS versi 2.3.0 aplikasi telah dirusak untuk memasukkan kode JavaScript berbahaya pada 26 Mei 2022. Meskipun ini mungkin merupakan varian macOS pertama yang disusupi, versi 2.2.0 dan 2.2.1 dibuat untuk Windows telah ditemukan untuk memasukkan tambahan serupa pada 23 November 2021.

rshell, pada bagiannya, adalah pintu belakang standar yang dilengkapi dengan semua lonceng dan peluit biasa, memungkinkan eksekusi perintah arbitrer yang diterima dari server command-and-control (C2) dan mengirimkan hasil eksekusi kembali ke server.

Tidak segera jelas apakah MiMi adalah program obrolan yang sah, atau apakah itu “dirancang atau digunakan kembali sebagai alat pengawasan,” meskipun aplikasi tersebut telah digunakan oleh aktor berbahasa Cina lainnya yang dijuluki Earth Berberoka (alias GamblingPuppet) yang ditujukan untuk situs perjudian online. – sekali lagi menunjukkan pembagian alat yang lazim di antara grup APT Cina.

Koneksi operasi ke Lucky Mouse berasal dari tautan ke infrastruktur yang sebelumnya diidentifikasi seperti yang digunakan oleh perangkat intrusi China-nexus dan penyebaran HyperBro, pintu belakang yang secara eksklusif digunakan oleh kelompok peretas.

Seperti yang ditunjukkan SEKOIA, ini bukan pertama kalinya musuh menggunakan aplikasi perpesanan sebagai titik awal dalam serangannya. Pada akhir 2020, ESET mengungkapkan bahwa perangkat lunak obrolan populer bernama Able Desktop disalahgunakan untuk mengirimkan HyperBro, PlugX, dan trojan akses jarak jauh bernama Tmanger yang menargetkan Mongolia.

Sumber: The Hackernews

Peretas Korea Utara menyerang target UE dengan malware Konni RAT

by

Analis ancaman telah menemukan kampanye baru yang dikaitkan dengan APT37, kelompok peretas Korea Utara, yang menargetkan organisasi bernilai tinggi di Republik Ceko, Polandia, dan negara-negara Eropa lainnya.

Dalam kampanye ini, peretas menggunakan malware yang dikenal sebagai Konni, trojan akses jarak jauh (RAT) yang mampu membangun kegigihan dan melakukan eskalasi hak istimewa pada host.

Konni telah dikaitkan dengan serangan siber Korea Utara sejak 2014, dan baru-baru ini, terlihat dalam kampanye spear-phishing yang menargetkan Kementerian Luar Negeri Rusia.

Kampanye terbaru dan masih berlangsung diamati dan dianalisis oleh para peneliti di Securonix, yang menyebutnya STIFF#BIZON, dan menyerupai taktik dan metode yang sesuai dengan kecanggihan operasional APT (ancaman persisten lanjutan).

Serangan dimulai dengan datangnya email phishing dengan lampiran arsip yang berisi dokumen Word (missile.docx) dan file Windows Shortcut (_weapons.doc.lnk.lnk).

Ketika file LNK dibuka, kode berjalan untuk menemukan skrip PowerShell yang disandikan base64 dalam file DOCX untuk membangun komunikasi C2 dan mengunduh dua file tambahan, ‘weapons.doc’ dan ‘wp.vbs’.

Properti file pintasan berbahaya

Dokumen yang diunduh adalah umpan, konon laporan dari Olga Bozheva, seorang koresponden perang Rusia. Pada saat yang sama, file VBS berjalan tanpa suara di latar belakang untuk membuat tugas terjadwal di host.

PowerShell yang disandikan Base64 menambahkan tugas terjadwal (Securonix)

Pada fase serangan ini, aktor telah memuat RAT dan membuat tautan pertukaran data, dan mampu melakukan tindakan berikut:

  • Screenshot menggunakan Win32 GDI API dan ekstrak dalam bentuk GZIP.
  • Ekstrak kunci status yang disimpan dalam file Status Lokal untuk dekripsi basis data cookie, berguna dalam melewati MFA.
  • Ekstrak kredensial yang disimpan dari browser web korban.
  • Luncurkan shell interaktif jarak jauh yang dapat menjalankan perintah setiap 10 detik.

Pada tahap keempat serangan, seperti yang ditunjukkan pada diagram di bawah, peretas mengunduh file tambahan yang mendukung fungsi sampel Konni yang dimodifikasi, mengambilnya sebagai arsip “.cab” terkompresi.

Diagram rantai infeksi (Securonix)

Ini termasuk DLL yang menggantikan perpustakaan layanan Windows yang sah seperti “wpcsvc” di System32, yang dimanfaatkan untuk menjalankan perintah di OS dengan hak pengguna yang lebih tinggi.

Sementara taktik dan toolset menunjuk ke APT37, Securonix menggarisbawahi kemungkinan APT28 (alias FancyBear) berada di balik kampanye STIFF#BIZON.

Kelompok ancaman yang disponsori negara sering mencoba untuk meniru TTP dari APT terampil lainnya untuk mengaburkan jejak mereka dan menyesatkan analis ancaman, sehingga kemungkinan kesalahan atribusi, dalam hal ini, adalah signifikan.

Sumber: Bleeping Computer

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

by

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

by

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Peretas yang Didukung Negara Menggunakan Ransomware sebagai Umpan untuk Serangan Spionase

by

Sebuah kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di China mungkin menyebarkan keluarga ransomware berumur pendek sebagai umpan untuk menutupi tujuan operasional dan taktis yang sebenarnya di balik kampanyenya.

Cluster aktivitas, yang dikaitkan dengan grup peretasan yang dijuluki Bronze Starlight oleh Secureworks, melibatkan penyebaran ransomware pasca-intrusi seperti LockFile, Atom Silo, Rook, Night Sky, Pandora, dan LockBit 2.0.

“Ransomware dapat mengalihkan perhatian responden insiden dari mengidentifikasi maksud sebenarnya dari pelaku ancaman dan mengurangi kemungkinan mengaitkan aktivitas jahat dengan kelompok ancaman China yang disponsori pemerintah,” kata para peneliti dalam sebuah laporan baru. “Dalam setiap kasus, ransomware menargetkan sejumlah kecil korban selama periode waktu yang relatif singkat sebelum berhenti beroperasi, tampaknya secara permanen.”

Bronze Starlight, aktif sejak pertengahan 2021, juga dilacak oleh Microsoft di bawah klaster ancaman yang muncul DEV-0401, dengan raksasa teknologi itu menekankan keterlibatannya dalam semua tahap siklus serangan ransomware langsung dari akses awal hingga penyebaran muatan.

Tidak seperti grup RaaS lain yang membeli akses dari broker akses awal (IAB) untuk memasuki jaringan, serangan yang dipasang oleh aktor ditandai dengan penggunaan kerentanan yang belum ditambal yang memengaruhi Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (termasuk kelemahan yang baru diungkapkan), dan Apache Log4j.

Dalam waktu kurang dari satu tahun, kelompok tersebut dikatakan telah melewati sebanyak enam jenis ransomware yang berbeda seperti LockFile (Agustus 2021), Atom Silo (Oktober), Rook (November), Night Sky (Desember), Pandora (Februari 2022 ), dan yang terbaru LockBit 2.0 (April).

Terlebih lagi, kesamaan telah ditemukan antara LockFile dan Atom Silo serta antara Rook, Night Sky, dan Pandora — tiga yang terakhir berasal dari ransomware Babuk, yang kode sumbernya bocor pada September 2021 — menunjukkan pekerjaan aktor yang sama.

“Karena DEV-0401 memelihara dan sering mengubah nama muatan ransomware mereka sendiri, mereka dapat muncul sebagai kelompok yang berbeda dalam pelaporan berbasis muatan dan menghindari deteksi dan tindakan terhadap mereka,” Microsoft mencatat bulan lalu.

Setelah mendapatkan pijakan di dalam jaringan, Bronze Starlight diketahui mengandalkan teknik seperti menggunakan Cobalt Strike dan Windows Management Instrumentation (WMI) untuk gerakan lateral, meskipun mulai bulan ini, grup tersebut mulai mengganti Cobalt Strike dengan kerangka Sliver dalam serangan mereka. .

Tradecraft lain yang diamati terkait dengan penggunaan HUI Loader untuk meluncurkan payload terenkripsi tahap berikutnya seperti PlugX dan Cobalt Strike Beacons, yang terakhir digunakan untuk mengirimkan ransomware, tetapi tidak sebelum mendapatkan kredensial Administrator Domain istimewa.

“Penggunaan HUI Loader untuk memuat Cobalt Strike Beacon, informasi konfigurasi Cobalt Strike Beacon, infrastruktur C2, dan kode yang tumpang tindih menunjukkan bahwa kelompok ancaman yang sama dikaitkan dengan lima keluarga ransomware ini,” jelas para peneliti.

Perlu ditunjukkan bahwa baik HUI Loader dan PlugX, bersama ShadowPad, adalah malware yang secara historis digunakan oleh kolektif musuh negara-bangsa China, memberikan kepercayaan pada kemungkinan bahwa Bronze Starlight lebih diarahkan untuk spionase daripada keuntungan moneter langsung.

Selain itu, pola viktimologi yang mencakup berbagai jenis ransomware menunjukkan bahwa sebagian besar target cenderung lebih menarik bagi kelompok yang disponsori pemerintah China yang berfokus pada pengumpulan intelijen jangka panjang.

Korban utama mencakup perusahaan farmasi di Brasil dan AS, organisasi media yang berbasis di AS dengan kantor di China dan Hong Kong, perancang dan produsen komponen elektronik di Lituania dan Jepang, firma hukum di AS, dan divisi kedirgantaraan dan pertahanan dari seorang konglomerat India.

Untuk itu, operasi ransomware, selain menyediakan sarana untuk mengekstrak data sebagai bagian dari skema pemerasan ganda “nama-dan-malu”, juga menawarkan keuntungan ganda karena memungkinkan pelaku ancaman untuk menghancurkan bukti forensik dari aktivitas jahat mereka dan bertindak sebagai pengalih perhatian dari pencurian data.

“Masuk akal bahwa Bronze Starlight menyebarkan ransomware sebagai tabir asap daripada untuk keuntungan finansial, dengan motivasi yang mendasari mencuri kekayaan intelektual atau melakukan spionase,” kata para peneliti.

Sumber: The Hacker News

CISA: Eksploitasi Log4Shell masih digunakan untuk meretas server VMware

by

CISA hari ini memperingatkan bahwa pelaku ancaman, termasuk kelompok peretas yang didukung negara, masih menargetkan server VMware Horizon dan Unified Access Gateway (UAG) menggunakan kerentanan eksekusi kode jarak jauh Log4Shell (CVE-2021-44228).

Penyerang dapat mengeksploitasi Log4Shell dari jarak jauh di server rentan yang terpapar akses lokal atau Internet untuk bergerak secara lateral melintasi jaringan sampai mereka mendapatkan akses ke sistem internal yang berisi data sensitif.

Setelah pengungkapannya pada Desember 2021, beberapa pelaku ancaman mulai memindai dan mengeksploitasi sistem yang belum ditambal, termasuk kelompok peretas yang didukung negara dari China, Iran, Korea Utara, dan Turki, serta beberapa perantara akses yang biasa digunakan oleh geng ransomware.

Hari ini, dalam penasehat bersama dengan US Coast Guard Cyber ​​Command (CGCYBER), badan keamanan siber mengatakan bahwa server telah disusupi menggunakan eksploitasi Log4Shell untuk mendapatkan akses awal ke jaringan organisasi yang ditargetkan.

Setelah menembus jaringan, mereka menyebarkan berbagai jenis malware yang memberi mereka akses jarak jauh yang diperlukan untuk menyebarkan muatan tambahan dan mengekstrak ratusan gigabyte informasi sensitif.

“Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” ungkap penasihat tersebut.

“Dalam satu kompromi yang dikonfirmasi, aktor APT ini dapat bergerak secara lateral di dalam jaringan, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data sensitif.”

Organisasi yang belum menambal server VMware mereka disarankan untuk menandai mereka sebagai diretas dan memulai prosedur respons insiden (IR).

Langkah-langkah yang diperlukan untuk respons yang tepat dalam situasi seperti itu mencakup isolasi langsung dari sistem yang berpotensi terpengaruh, pengumpulan dan peninjauan log dan artefak yang relevan, mempekerjakan pakar IR pihak ketiga (jika diperlukan), dan melaporkan insiden tersebut ke CISA.

“CISA dan CGCYBER merekomendasikan semua organisasi dengan sistem yang terpengaruh yang tidak segera menerapkan patch atau solusi yang tersedia untuk mengambil kompromi dan memulai aktivitas berburu ancaman menggunakan IOC yang disediakan dalam CSA ini, Laporan Analisis Malware (MAR)-10382580-1, dan MAR-10382254 -1,” kata kedua agensi.

“Jika potensi kompromi terdeteksi, administrator harus menerapkan rekomendasi respons insiden yang disertakan dalam CSA ini dan melaporkan temuan utama ke CISA.”

Anjuran hari ini datang setelah VMware juga mendesak pelanggan pada bulan Januari untuk mengamankan server VMware Horizon yang terpapar Internet dari serangan Log4Shell yang sedang berlangsung.

Sejak awal tahun, server VMware Horizon telah ditargetkan oleh aktor ancaman berbahasa China untuk menyebarkan ransomware Night Sky, APT Lazarus Korea Utara untuk menyebarkan pencuri informasi, dan kelompok peretasan TunnelVision yang selaras dengan Iran untuk menyebarkan pintu belakang.

Hingga Anda dapat menginstal build yang ditambal dengan memperbarui semua server VMware Horizon dan UAG yang terpengaruh ke versi terbaru, Anda dapat mengurangi permukaan serangan “dengan menghosting layanan penting di zona demiliterisasi (DMZ) yang terpisah”, menerapkan firewall aplikasi web (WAF), dan “memastikan kontrol akses perimeter jaringan yang ketat.”

Sumber: Bleeping Computer

Server Microsoft Exchange diretas oleh geng APT ToddyCat baru

by

Grup ancaman persisten tingkat lanjut (APT) yang dijuluki ToddyCat telah menargetkan server Microsoft Exchange di seluruh Asia dan Eropa selama lebih dari setahun, setidaknya sejak Desember 2020.

Saat melacak aktivitas grup, peneliti keamanan dengan Global Research & Analysis Team (GReAT) Kaspersky juga telah menemukan backdoor pasif yang sebelumnya tidak dikenal yang mereka beri nama Samurai dan malware trojan baru yang dijuluki Ninja Trojan.

Kedua jenis malware memungkinkan penyerang untuk mengendalikan sistem yang terinfeksi dan bergerak secara lateral di dalam jaringan korban.

Serangan ToddyCat juga telah terlihat di masa lalu oleh perusahaan keamanan siber Slovakia ESET, yang telah melacaknya sebagai sekelompok aktivitas yang mereka sebut Websiic mulai Maret 2021.

Pada saat itu, kelompok peretas mengeksploitasi kelemahan ProxyLogon Exchange yang memungkinkan mereka mendapatkan eksekusi kode jarak jauh pada server yang rentan untuk menyebarkan cangkang web China Chopper.

Meskipun tidak terlalu aktif hingga Februari 2021, mereka dengan cepat meningkatkan serangan mereka setelah mulai memindai dan menargetkan server Microsoft Exchange yang belum ditambal di seluruh Eropa dan Asia dengan eksploitasi ProxyLogon.

Alur serangan ToddyCat (Kaspersky)

“Bagaimanapun, perlu dicatat bahwa semua mesin yang ditargetkan terinfeksi antara Desember dan Februari adalah server Microsoft Windows Exchange; penyerang mengkompromikan server dengan eksploitasi yang tidak diketahui, dengan sisa rantai serangan sama seperti yang digunakan pada bulan Maret.”

Target favorit kelompok tersebut adalah organisasi tingkat tinggi, termasuk entitas pemerintah dan militer, serta kontraktor militer.

Sementara gelombang serangan pertama (antara Desember 2020 dan Februari 2021) hanya menargetkan sejumlah kecil organisasi pemerintah di Vietnam dan Taiwan, gelombang berikutnya (antara Februari 2021 dan Mei 2021) dengan cepat meluas ke entitas dari daftar panjang negara di seluruh dunia. , termasuk Rusia, India, Iran, dan Inggris.

Pada fase berikutnya (hingga Februari 2022), ToddyCat menargetkan kelompok negara yang sama tetapi juga menambahkan organisasi dari Indonesia, Uzbekistan, dan Kirgistan ke dalam daftar.

Dalam serangan gelombang ketiga ini, grup APT juga memperluas fokus mereka untuk memasukkan sistem desktop, sementara sebelumnya, mereka secara eksklusif menargetkan server Microsoft Exchange.

Kaspersky mengatakan para korban ToddyCat terkait dengan sektor industri dan negara-negara yang juga ditargetkan oleh beberapa kelompok berbahasa China.

Namun, beberapa entitas yang mereka langgar (di tiga negara berbeda) juga diretas pada waktu yang hampir bersamaan oleh peretas yang didukung Tiongkok menggunakan pintu belakang FunnyDream.

Sumber: Bleeping Computer