Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / APT

APT

Peretas mencuri data yang tidak terdeteksi dari AS dan organisasi Eropa sejak 2019

by

Kelompok peretas China yang dikenal sebagai ‘Winnti’ telah secara diam-diam mencuri aset kekayaan intelektual seperti paten, hak cipta, merek dagang, dan data perusahaan lainnya – dan tetap tidak terdeteksi oleh peneliti keamanan serta target sejak 2019.

Winnti, juga dilacak sebagai APT41, adalah kelompok spionase dunia maya yang canggih dan sulit dipahami yang diyakini didukung oleh negara Tiongkok dan beroperasi atas nama kepentingan nasionalnya.

Kampanye kejahatan dunia maya yang ditemukan telah berlangsung setidaknya sejak 2019 dan menargetkan perusahaan teknologi dan manufaktur di Asia Timur, Eropa Barat, dan Amerika Utara.

Operasi kriminal ini dikenal sebagai ‘Operasi CuckooBees’ dan ditemukan oleh analis di Cybereason, yang mengungkapkan malware baru yang disebarkan oleh kelompok peretas terkenal, mekanisme yang mereka manfaatkan untuk penyusupan, dan metode pengiriman muatan rumit yang mereka gunakan.

Yang menjadi highlight dalam laporan Cybereason adalah malware Winnti baru yang dijuluki “DEPLOYLOG” dan metode penyalahgunaan mekanisme Windows CLFS (Common Log File System) untuk penyembunyian muatan.

Malware DEPLOYLOG, yang belum didokumentasikan sebelumnya, adalah DLL 64-bit (disamarkan sebagai “dbghelp.dll”) yang mengekstrak dan mengeksekusi payload terakhir Winnti, rootkit WINNKIT, dan kemudian membuat dua saluran komunikasi dengan remote C2 dan rootkit tingkat kernel.

Cybereason percaya bahwa karena kompleksitas, tersembunyi, dan kecanggihan Operasi CuckooBees, kemungkinan besar Winnti telah menginfeksi lebih banyak sistem perusahaan daripada yang dapat mereka verifikasi.

Selengkapnya: Bleeping Computer

Serangan Keamanan Siber Melonjak saat Perang Ukraina-Rusia Berkecamuk

by

Apa yang dilihat orang adalah perang antara tentara Rusia dan Ukraina, yang kurang diketahui adalah skala perang hibrida. Sebuah istilah yang diciptakan oleh NATO untuk menggambarkan kombinasi perang kinetik dan informasi. Realitas yang sedang berlangsung adalah campuran ampuh dari serangan kinetik dengan senjata dan amunisi, yang digunakan dalam kombinasi dengan serangan dunia maya, dan kampanye disinformasi. Hal ini sangat melegakan bagaimana hubungan internasional bekerja telah berubah dalam dekade terakhir. Sebagian besar pakar hubungan internasional dan diplomat setuju bahwa revolusi ini merupakan komponen penting dari transformasi digital yang sedang berlangsung di seluruh masyarakat, dan oleh karena itu perang dunia maya menjadi lebih menjadi kenyataan daripada teori.

Dari segi sosiologis, kesatuan negara, masyarakat, dan ekonomi tidak bisa lagi dianggap remeh, karena tidak ada batasan geografis dalam perang siber. Lingkungan ini dicirikan oleh signifikansi yang diberikan pada informasi, pengetahuan, dan gagasan sebagai sumber daya dalam hubungan internasional, dan dengan perluasan – informasi yang menyebabkan kemungkinan dampak kinetik, atau non-kinetik dalam konflik bersenjata.

Dalam beberapa minggu terakhir, Rusia telah menggunakan perang kinetik disertai dengan kampanye disinformasi yang diatur dengan baik. Kampanye disinformasi yang khas dapat merusak kebenaran, membingungkan orang-orang dari kedua belah pihak dan menarik narasi palsu, menabur benih perselisihan dan ketidakpercayaan di antara masyarakat luas. Menggunakan operasi psikologis dan/atau perang informasi membutuhkan kerja sama dari entitas sektor publik dan swasta dari pihak Rusia untuk mencapai massa kritis agar kampanye disinformasi menjadi nyata.

Dalam konteks perang Rusia-Ukraina, aktor ancaman muncul dari web gelap, mencoba mengambil keuntungan finansial dari situasi kacau. Jaringan perusahaan dan akses basis data ditawarkan oleh pelaku ancaman dengan imbalan uang. Serangan Hermetic Wiper yang merusak lebih lanjut diamati sebagai yang paling umum selama perang Rusia Ukraina yang sedang berlangsung serta menjelang perang kinetik.

Apa dampak dari serangan cyber?

Para peneliti telah memperkirakan serangan siber sebagai komponen utama dalam perang di masa depan. Komponen ini dikatakan sebagai domain konflik kelima setelah darat, udara, laut, dan ruang angkasa.

Efek yang paling menonjol dari operasi cyber, menurut peneliti akan mengganggu operasi militer. Misalnya, peretas dapat mengganggu saluran komunikasi untuk menghentikan komando tinggi mengirim perintah ke pasukan garis depan. Ini akan menyebabkan tindakan tertunda dalam situasi perang. Metode serangan lain bagi peretas adalah memalsukan pesan dengan instruksi palsu untuk menggunakan situasi demi kepentingan mereka.

Dalam perang ini, serangan siber digunakan untuk menciptakan kepanikan dan menurunkan kemampuan lawan untuk bertarung, operasi informasi mematahkan tekad untuk merespons dan mendorong narasi yang kondusif bagi pasukan penyerang, bahkan melegitimasi agresi. Operasi kinetik dengan demikian sesuai dibantu dengan pelunakan medan perang. Ketika NATO menuduh Rusia melakukan perang hibrida, inilah yang mereka maksud.

Hermetic Wiper

Target: Bisnis di Ukraina
Motivasi: mengenkripsi data komputer dengan cara yang tidak dapat dipulihkan
Hasil: Hingga saat ini telah menyebabkan kerugian finansial sebesar $10 miliar secara global
Deskripsi: Nama Hermetic Wiper diberikan berdasarkan sertifikat digital yang dicuri dari sebuah perusahaan bernama Hermetic Digital Ltd. Malware tersebut memecah-mecah file pada disk dan menimpanya melalui utilitas master boot recovery (MBR) untuk membuat pemulihan menjadi tidak mungkin. Secara praktis, malware memperoleh akses tulis ke struktur data tingkat rendah pada disk. Karena sifat fungsionalnya, ia juga dikenal sebagai malware penghapus disk atau hanya disebut sebagai penghapus. Serangan cyber menyebarkan malware yang terutama menghapus data ditemukan hanya beberapa jam sebelum pasukan Rusia memasuki Ukraina, ini dapat dianggap sebagai serangan pertama Moskow terhadap Ukraina.
Hermetic Wiper IOC’s

  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
  • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
  • A64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e

MITRE ATT&CK Mapping for Hermetic Wiper

Selengkapnya: LMNTRIX

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Kelompok spionase dunia maya China Moshen Dragon menargetkan perusahaan telekomunikasi Asia

by

Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.

Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.

Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.

Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.

Rantai operasi keseluruhan Moshen Dragon (Laboratorium Sentinel)

Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.

Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.

Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).

Fitur gerakan lateral Impacket (Lab Sentinel)

Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.

Filter kata sandi yang digunakan untuk mencuri kredensial (Sentinel Labs)

Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.

Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.

Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).

Fungsi yang diekspor loader (Lab Sentinel)

Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.

Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.

Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.

Sumber: Bleeping Computer

Grup APT Baru Earth Berberoka Menargetkan Situs Web Perjudian Dengan Malware Lama dan Baru

by

Peneliti baru-baru ini menemukan grup ancaman persisten tingkat lanjut (APT) baru yang kami beri nama Bumi Berberoka (alias Boneka Perjudian). Berdasarkan analisis kami, grup ini menargetkan situs web perjudian.

Investigasi kami juga menemukan bahwa Earth Berberoka menargetkan platform Windows, Linux, dan macOS, dan menggunakan kelompok malware yang secara historis dikaitkan dengan individu berbahasa China.

Dalam entri blog ini, kami memberikan gambaran umum tentang keluarga malware Windows yang digunakan oleh Earth Berberoka dalam kampanyenya.

Jajaran malware ini mencakup keluarga malware yang telah dicoba dan diuji yang telah ditingkatkan, seperti PlugX dan Gh0st RAT, dan keluarga malware multi-tahap baru yang kami beri nama PuppetLoader.

Kami membahas detail teknis lengkap dari keluarga malware Earth Berberoka yang ditujukan untuk Linux dan macOS serta Windows, vektor infeksi, target, dan kemungkinan koneksi dengan grup APT lain dalam makalah penelitian kami “Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Kampanye Penargetan Situs Perjudian Online.”

Selengkapnya: Trend Micro

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Peretas China terkait dengan serangan berbulan-bulan di sektor keuangan Taiwan

by

Sebuah kelompok peretas yang berafiliasi dengan pemerintah China diyakini telah melakukan serangan selama berbulan-bulan terhadap sektor keuangan Taiwan dengan memanfaatkan kerentanan dalam solusi perangkat lunak keamanan yang digunakan oleh sekitar 80% dari semua organisasi keuangan lokal.

Serangan itu diyakini telah dimulai pada akhir November 2021 dan masih berlangsung bulan ini, Perusahaan menghubungkan penyusupan—yang dilacak dengan nama sandi Operation Cache Panda—dengan kelompok spionase siber China yang terkenal di industri keamanan siber sebagai APT10.

Perusahaan keamanan mengatakan bahwa mereka tidak dapat membagikan nama produk yang dieksploitasi dalam serangan saat ini karena penyelidikan penegakan hukum yang sedang berlangsung dan karena upaya untuk merilis dan memasang patch di seluruh keuangan lokal.

Sebaliknya, perusahaan mengatakan bahwa serangan awalnya tidak terdeteksi karena salah klasifikasi.

Investigasi terhadap serangan November 2021 melewatkan bagian di mana peretas mengeksploitasi kerentanan perangkat lunak dan hanya melihat serangan isian kredensial yang digunakan APT10 sebagai kedok dan cara untuk mendapatkan akses ke beberapa akun perdagangan, yang mereka gunakan untuk melakukan transaksi besar di Hong Kong. pasar saham.

Namun peneliti CyCraft mengatakan bahwa serangan credential stuffing hanya digunakan sebagai kedok. Pada kenyataannya, APT10 mengeksploitasi kerentanan di antarmuka web dari alat keamanan, menanam versi shell web ASPXCSharp, dan kemudian menggunakan alat yang disebut Impacket untuk memindai jaringan internal perusahaan target.

Penyerang kemudian menggunakan teknik yang disebut pemuatan kode reflektif untuk menjalankan kode berbahaya pada sistem lokal dan menginstal versi Quasar RAT yang memungkinkan penyerang terus-menerus mengakses sistem yang terinfeksi menggunakan terowongan RDP terbalik.

CyCraft mengatakan dapat mengungkap kebenaran di balik serangan November 2021 setelah salah satu pelanggannya diserang pada Februari 2022.

“Tujuan dari serangan itu tampaknya bukan untuk keuntungan finansial, melainkan pemusnahan informasi perantara, data PII, dan gangguan investasi selama periode pertumbuhan ekonomi untuk Taiwan,” tambahnya.

Serangan itu tidak mengejutkan, karena kelompok spionase siber China telah mengincar Taiwan selama bertahun-tahun, setelah berulang kali dan tanpa henti menyerang hampir semua sektor pemerintah lokal dan ekonominya.

Sumber : The Record Media

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

by

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News