Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / APT

APT

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Peretas China terkait dengan serangan berbulan-bulan di sektor keuangan Taiwan

by

Sebuah kelompok peretas yang berafiliasi dengan pemerintah China diyakini telah melakukan serangan selama berbulan-bulan terhadap sektor keuangan Taiwan dengan memanfaatkan kerentanan dalam solusi perangkat lunak keamanan yang digunakan oleh sekitar 80% dari semua organisasi keuangan lokal.

Serangan itu diyakini telah dimulai pada akhir November 2021 dan masih berlangsung bulan ini, Perusahaan menghubungkan penyusupan—yang dilacak dengan nama sandi Operation Cache Panda—dengan kelompok spionase siber China yang terkenal di industri keamanan siber sebagai APT10.

Perusahaan keamanan mengatakan bahwa mereka tidak dapat membagikan nama produk yang dieksploitasi dalam serangan saat ini karena penyelidikan penegakan hukum yang sedang berlangsung dan karena upaya untuk merilis dan memasang patch di seluruh keuangan lokal.

Sebaliknya, perusahaan mengatakan bahwa serangan awalnya tidak terdeteksi karena salah klasifikasi.

Investigasi terhadap serangan November 2021 melewatkan bagian di mana peretas mengeksploitasi kerentanan perangkat lunak dan hanya melihat serangan isian kredensial yang digunakan APT10 sebagai kedok dan cara untuk mendapatkan akses ke beberapa akun perdagangan, yang mereka gunakan untuk melakukan transaksi besar di Hong Kong. pasar saham.

Namun peneliti CyCraft mengatakan bahwa serangan credential stuffing hanya digunakan sebagai kedok. Pada kenyataannya, APT10 mengeksploitasi kerentanan di antarmuka web dari alat keamanan, menanam versi shell web ASPXCSharp, dan kemudian menggunakan alat yang disebut Impacket untuk memindai jaringan internal perusahaan target.

Penyerang kemudian menggunakan teknik yang disebut pemuatan kode reflektif untuk menjalankan kode berbahaya pada sistem lokal dan menginstal versi Quasar RAT yang memungkinkan penyerang terus-menerus mengakses sistem yang terinfeksi menggunakan terowongan RDP terbalik.

CyCraft mengatakan dapat mengungkap kebenaran di balik serangan November 2021 setelah salah satu pelanggannya diserang pada Februari 2022.

“Tujuan dari serangan itu tampaknya bukan untuk keuntungan finansial, melainkan pemusnahan informasi perantara, data PII, dan gangguan investasi selama periode pertumbuhan ekonomi untuk Taiwan,” tambahnya.

Serangan itu tidak mengejutkan, karena kelompok spionase siber China telah mengincar Taiwan selama bertahun-tahun, setelah berulang kali dan tanpa henti menyerang hampir semua sektor pemerintah lokal dan ekonominya.

Sumber : The Record Media

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

by

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News

Grup Peretasan ‘White Tur’ Meminjam Teknik Dari Beberapa APT

by

Seorang aktor ancaman baru yang terperinci telah diamati menggunakan berbagai teknik yang dipinjam dari beberapa aktor ancaman persisten tingkat lanjut (APT), tim intelijen ancaman dunia maya PwC melaporkan.

Dijuluki White Tur, advisory ini belum dikaitkan dengan geografi tertentu, meskipun tampaknya telah aktif setidaknya sejak 2017.

Sebagai bagian dari serangan yang diidentifikasi pada Januari 2021, grup tersebut mendaftarkan subdomain mail[.]mod[.]qov[.]rs untuk mengelabui kredensial login pegawai Kementerian Pertahanan Serbia.

Domain phishing memiliki sertifikat TLS menggunakan istilah ‘qov’, yang meniru kata ‘gov’. Teknik spoofing .gov sebelumnya digunakan oleh aktor APT seperti Sofacy yang terkait dengan Rusia (juga dikenal sebagai APT28).

White Tur juga terlihat menyalahgunakan proyek open source OpenHardwareMonitor untuk eksekusi payload. Untuk itu, ia menyuntikkan kode ke alat yang sah, menggunakan teknik yang sebelumnya digunakan oleh aktor ancaman ZINC yang berbasis di Korea Utara.

Pelaku ancaman juga diamati menggunakan paket pintu belakang sebagai DLL, yang memungkinkannya mengelola file, mengunggah dan mengunduh file, menjalankan perintah, dan mengatur waktu tidur malware. Ini, kata PwC, adalah “pintu belakang paling fungsional” di gudang senjata White Tur.

Selengkapnya: Security Week

Malware Tersembunyi Hacker APT29 Rusia Tidak Terdeteksi Selama Bertahun-tahun

by Leave a Comment

Eksklusif: Peretas yang terkait dengan Dinas Intelijen Asing Federasi Rusia (SVR) melanjutkan serangan mereka pada jaringan beberapa organisasi setelah kompromi rantai pasokan SolarWinds menggunakan dua ancaman canggih yang baru-baru ini ditemukan.

Implan berbahaya adalah varian dari backdoor GoldMax untuk sistem Linux dan keluarga malware yang sama sekali baru yang sekarang dilacak oleh perusahaan cybersecurity CrowdStrike sebagai TrailBlazer.

Kedua ancaman telah digunakan dalam kampanye StellarParticle setidaknya sejak pertengahan 2019 tetapi diidentifikasi dua tahun kemudian, selama penyelidikan respons insiden.

Serangan StellarParticle telah dikaitkan dengan kelompok peretas APT29 telah menjalankan kampanye spionase cyber selama lebih dari 12 tahun dan juga dikenal sebagai CozyBear, The Dukes, dan Yttrium.

Mencuri cookie untuk bypass MFA

Dalam sebuah laporan yang dibagikan secara eksklusif dengan BleepingComputer, perusahaan cybersecurity CrowdStrike hari ini menjelaskan secara rinci taktik, teknik, dan prosedur terbaru (TTP) yang diamati dalam serangan cyber dari peretas yang disponsori negara Cozy Bear.

Sementara beberapa teknik agak umum saat ini, Cozy Bear telah menggunakannya jauh sebelum menjadi populer:

  • hopping kredensial
  • membajak Office 365 (O365) Service Principal dan Aplikasi
  • melewati autentikasi multi-faktor (MFA) dengan mencuri cookie browser
  • mencuri kredensial menggunakan Get-ADReplAccount

Credential hopping adalah tahap pertama serangan, memungkinkan aktor ancaman untuk masuk ke Office 365 dari server internal yang dijangkau peretas melalui sistem yang dihadapi publik yang dikompromikan.

CrowdStrike mengatakan bahwa teknik ini sulit dikenali di lingkungan dengan sedikit visibilitas ke dalam penggunaan identitas karena peretas dapat menggunakan lebih dari satu akun administrator domain.

Melewati MFA untuk mengakses sumber daya cloud dengan mencuri cookie browser telah digunakan sejak sebelum 2020. CrowdStrike mengatakan bahwa APT29 tetap low profile setelah mendekripsi cookie otentikasi, kemungkinan offline, dengan menggunakan ekstensi Editor Cookie untuk Chrome untuk memutar ulang; mereka menghapus ekstensi setelah itu.

Hal ini memungkinkan mereka untuk bergerak lateral di jaringan dan mencapai tahap berikutnya dari serangan, menghubungkan ke penyewa O365 korban untuk tahap berikutnya dari serangan.

Laporan CrowdStrike menjelaskan langkah-langkah yang diambil APT29 untuk mencapai kegigihan dalam posisi yang memungkinkan mereka membaca email dan file SharePoint atau OneDrive dari organisasi yang dikompromikan.

Selengkapnya: Bleepingcomputer

Penyerang Mengeksploitasi Kelemahan Log4j dalam Serangan Hands-on-Keyboard untuk Menjatuhkan Kerang Terbalik

by

Microsoft minggu ini memperingatkan organisasi tentang potensi tinggi pelaku ancaman untuk memperluas penggunaan kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan dalam kerangka logging Apache Log4j untuk melakukan berbagai serangan.

Banyak kelompok penyerang termasuk aktor negara-bangsa dan kelompok ransomware telah menambahkan eksploitasi untuk kerentanan ke kit serangan mereka dan menggunakannya untuk membuat cangkang terbalik, menjatuhkan toolkit akses jarak jauh, dan melakukan serangan langsung pada keyboard pada sistem yang rentan.

Backdoors dan reverse shell yang telah diamati Microsoft digunakan melalui kelemahan Log4j termasuk Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike, dan PowerShell.

Pada 9 Desember, Apache Software Foundation mengungkapkan kerentanan kritis RCE (CVE-2021-44228) dalam komponen yang memberi penyerang cara yang relatif sepele untuk mendapatkan kendali penuh atas sistem yang rentan. Kurang dari seminggu setelah cacat pertama diungkapkan, Apache Foundation mengungkapkan cacat kedua di Log4j (CVE-2021-45046) dan kemudian beberapa hari kemudian, yang ketiga (CVE-2021-45105).

Prevalensi luas dari cacat dan kemudahannya untuk dieksploitasi elah menarik minat berbagai aktor ancaman. banyak vendor telah melaporkan mengamati operator ransomware; penambang cryptocurrency; aktor negara-bangsa dari negara-negara termasuk Iran, Turki, dan Cina; dan orang lain mencoba untuk mengeksploitasi kekurangan.

Pelaku ancaman persisten tingkat lanjut (APT) yang telah diamati mengeksploitasi kelemahan termasuk kelompok Hafnium yang berbasis di China yang bertanggung jawab untuk melakukan serangan zero-day terhadap apa yang disebut set ProxyLogon dari kelemahan Exchange Server tahun lalu. Aktor APT lain yang mengeksploitasi kelemahan Log4j termasuk Phosphorous, operator ransomware Iran, dan Aquatic Panda, aktor berbasis di China yang digagalkan CrowdStrike di tengah serangan yang ditargetkan pada organisasi akademik besar beberapa hari setelah kelemahan pertama terungkap.

CrowdStrike mengamati, pelaku ancaman berusaha mengeksekusi perintah Linux pada host Windows organisasi korban, kata Param Singh, wakil presiden layanan perburuan ancaman Falcon OverWatch CrowdStrike. Ketika upaya untuk mengeksekusi perintah Linux gagal, aktor ancaman dengan cepat beralih menggunakan layanan asli Windows atau yang disebut binari hidup di luar negeri (LOLBins).

Menurut Microsoft, Banyak aktivitas tampaknya berasal dari peneliti keamanan dan tim merah yang mencari kelemahan di jaringan mereka, namun di antara mereka yang memindai kelemahan adalah aktor ancaman, termasuk operator botnet seperti Mirai, mereka yang menargetkan sistem Elasticsearch yang rentan untuk menyebarkan penambang cryptocurrency, dan penyerang yang ingin menyebarkan pintu belakang Tsunami di sistem Linux.

Dalam banyak kampanye ini, penyerang menjalankan pemindaian bersamaan untuk sistem Windows dan sistem Linux yang rentan. Penyerang menggunakan perintah Base 64 yang disertakan dalam JDNI:ldap:// untuk meluncurkan perintah bash pada sistem Linux dan PowerShell pada Windows, kata Microsoft.

Microsoft dan banyak pakar keamanan lainnya telah mendesak organisasi untuk menyebarkan alat pemindaian dan skrip untuk mengidentifikasi kerentanan Log4j di lingkungan mereka. Tetapi karena cara kerja pengepakan Java, kerentanan dapat terkubur beberapa lapisan jauh di dalam aplikasi dan tidak mudah terlihat oleh pemindai, kata pakar keamanan.

Rezilion, misalnya, baru-baru ini menguji beberapa alat pemindaian sumber terbuka dan komersial untuk melihat seberapa efektif mereka dalam mendeteksi file Java di mana Log4j disarangkan dan dikemas dalam berbagai format. Alat pemindaian yang diuji termasuk dari Google, Palantir, Aqua Security, Mergebase, dan JFrog. Latihan menunjukkan bahwa sementara beberapa pemindai lebih baik daripada yang lain, tidak satu pun dari mereka yang mampu mendeteksi Log4j dalam semua format.

Sumber : Dark Reading

Peretas China menargetkan negara-negara Asia Tenggara

by

Peretas China, kemungkinan disponsori negara, telah secara luas menargetkan organisasi pemerintah dan sektor swasta di seluruh Asia Tenggara, termasuk mereka yang terlibat erat dengan Beijing dalam proyek pembangunan infrastruktur, menurut sebuah laporan yang dirilis hari Rabu oleh perusahaan keamanan siber swasta yang berbasis di AS.

Target khusus termasuk kantor perdana menteri Thailand dan tentara Thailand, angkatan laut Indonesia dan Filipina, majelis nasional Vietnam dan kantor pusat Partai Komunis, dan Kementerian Pertahanan Malaysia, menurut Insikt Group, divisi penelitian ancaman Massachusetts- berdasarkan Recorded Future.

Insikt mengatakan telah menetapkan bahwa organisasi militer dan pemerintah tingkat tinggi di Asia Tenggara telah disusupi selama sembilan bulan terakhir oleh peretas yang menggunakan keluarga malware khusus seperti FunnyDream dan Chinoxy.

Alat khusus itu tidak tersedia untuk umum dan digunakan oleh banyak kelompok yang diyakini disponsori negara China, kata kelompok itu.

Penargetan itu juga sejalan dengan tujuan politik dan ekonomi pemerintah China, memperkuat kecurigaan bahwa itu disponsori negara, kata Insikt.

Kementerian Luar Negeri China tidak segera menanggapi permintaan komentar atas tuduhan tersebut.

Di masa lalu, otoritas China secara konsisten membantah segala bentuk peretasan yang disponsori negara, sebaliknya mengatakan China sendiri adalah target utama serangan siber.

Dari intrusi dunia maya yang dilacaknya, Insikt Group mengatakan Malaysia, Indonesia, dan Vietnam adalah tiga negara sasaran teratas. Negara lain yang juga ditargetkan adalah Myanmar, Filipina, Laos, Thailand, Singapura dan Kamboja.

Semua negara telah diberitahu pada bulan Oktober tentang temuan tersebut, meskipun diperkirakan bahwa setidaknya beberapa aktivitas sedang berlangsung, kata perusahaan itu.

Beberapa informasi tentang Indonesia diungkapkan dalam laporan sebelumnya dari Grup Insikt pada bulan September, dan pihak berwenang Indonesia mengatakan pada saat itu mereka tidak menemukan bukti bahwa komputer mereka telah disusupi.

Grup Insikt mengatakan aktivitas sebelumnya yang diarahkan ke Indonesia dari server malware yang dioperasikan oleh grup “Mustang Panda” secara bertahap berhenti pada pertengahan Agustus, menyusul pemberitahuan kedua yang diberikan perusahaan kepada otoritas negara.

Juru bicara Kementerian Luar Negeri RI Teuku Faizasyah mengaku belum mendapatkan informasi apapun terkait temuan baru Insikt Group yang juga menjadikan Kementerian Luar Negeri sebagai sasaran.

Selengkapnya: AP News

Peretas SolarWinds memiliki banyak trik baru untuk serangan kompromi massal

by

Hampir tepat setahun yang lalu, peneliti keamanan menemukan salah satu pelanggaran data terburuk dalam sejarah modern: kampanye peretasan yang didukung Kremlin yang membahayakan server penyedia manajemen jaringan SolarWinds dan, dari sana, 100 jaringan tertinggi -profil pelanggan, termasuk sembilan agen federal AS.

Pengingat terbaru tentang kemahiran kelompok Nobelium datang dari firma keamanan Mandiant, yang pada hari Senin menerbitkan penelitian yang merinci banyak prestasi Nobelium—dan beberapa kesalahan—karena terus menembus jaringan beberapa target bernilai tertingginya.

Salah satu hal yang membuat Nobelium begitu tangguh adalah kreativitas TTP-nya. Alih-alih membobol setiap target satu per satu, grup tersebut meretas jaringan SolarWinds dan menggunakan akses, dan kepercayaan yang dimiliki pelanggan di perusahaan, untuk mendorong pembaruan berbahaya ke sekitar 18.000 pelanggannya.

Laporan Mandiant menunjukkan bahwa kecerdikan Nobelium tidak goyah. Sejak tahun lalu, peneliti perusahaan mengatakan dua kelompok peretasan yang terkait dengan peretasan SolarWinds—satu disebut UNC3004 dan lainnya UNC2652—terus merancang cara baru untuk mengkompromikan sejumlah besar target dengan cara yang efisien.

Alih-alih meracuni rantai pasokan SolarWinds, kelompok tersebut mengkompromikan jaringan penyedia solusi cloud dan penyedia layanan terkelola, atau CSP, yang merupakan perusahaan pihak ketiga yang diandalkan oleh banyak perusahaan besar untuk berbagai layanan TI. Peretas kemudian menemukan cara cerdas untuk menggunakan penyedia yang dikompromikan itu untuk mengganggu pelanggan mereka.

Selengkapnya: Ars Technica