APT

Peretas yang didukung negara semakin banyak menggunakan injeksi RTF untuk phishing

December 2, 2021 by Mally

Tiga grup peretas APT dari India, Rusia, dan China, diamati menggunakan teknik injeksi template RTF (rich text format) baru dalam kampanye phishing mereka.

Teknik ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh, dan analis ancaman menduga ini akan segera menjangkau audiens yang lebih luas dari pelaku ancaman.

Para peneliti di Proofpoint melihat kasus pertama injeksi weaponized template RTF pada Maret 2021, dan sejak itu, para aktor terus mengoptimalkan teknik tersebut.

File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, WordPad, dan aplikasi lain yang ditemukan di hampir semua sistem operasi.

Saat membuat file RTF, Anda dapat menyertakan Template RTF yang menentukan bagaimana teks dalam dokumen harus diformat. Template ini adalah file lokal yang diimpor ke RTF viewer sebelum menampilkan konten file untuk memformatnya dengan benar.

Sementara Template RTF dimaksudkan untuk dihosting secara lokal, pelaku ancaman sekarang menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL alih-alih sumber daya file lokal.

Substitusi ini memungkinkan pelaku ancaman untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word atau melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows. Selain itu, karena file-file ini ditransfer sebagai Template RTF, mereka lebih cenderung untuk melewati umpan deteksi phishing karena awalnya tidak ada dalam file RTF.

Proofpoint telah mengamati metode pengambilan muatan ini pada kampanye phishing oleh kelompok peretas pro-India, Tim DoNot, kelompok peretasan Gamaredon yang terkait dengan Rusia, dan aktor ancaman TA423.

Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Penyerang Lazarus Beralih ke Rantai Pasokan TI

October 29, 2021 by Mally

Lazarus – kelompok ancaman persisten tingkat lanjut (APT) Korea Utara – sedang berupaya meluncurkan serangan yang berfokus pada spionase siber pada rantai pasokan dengan framework MATA multi-platformnya.

Kerangka kerja malware MATA dapat menargetkan tiga sistem operasi: Windows, Linux, dan macOS. MATA secara historis telah digunakan untuk mencuri database pelanggan dan menyebarkan ransomware di berbagai industri, tetapi pada bulan Juni, peneliti Kaspersky melacak Lazarus menggunakan MATA untuk spionase cyber.

Para peneliti juga telah melihat Lazarus membangun kemampuan serangan rantai pasokan dengan kluster malware DeathNote (alias Operation Dream Job) yang diperbarui yang terdiri dari varian yang sedikit diperbarui dari trojan akses jarak jauh (RAT) Korea Utara yang dikenal sebagai BlindingCan.

Para peneliti menganggap Lazarus, yang telah aktif setidaknya sejak 2009, sebagai salah satu aktor ancaman paling aktif di dunia.

“Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar cryptocurrency,” catat para peneliti Kaspersky. “Dengan berbagai alat canggih yang mereka miliki, mereka tampaknya menerapkannya pada tujuan baru.”

Serangan Lazarus terhadap militer termasuk kampanye yang ditemukan pada bulan Juli, di mana APT menyebarkan dokumen jahat kepada para insinyur yang mencari pekerjaan dengan menyamar sebagai kontraktor pertahanan yang mencari kandidat pekerja.

Sebagai bagian dari rantai infeksi terhadap vendor alat pemantau aset Latvia, Lazarus menggunakan pengunduh bernama Racket yang ditandatangani oleh pelaku ancaman dengan sertifikat curian.

Ariel Jungheit, peneliti keamanan senior untuk Tim Penelitian dan Analisis Global (GReAT) Kaspersky, mengatakan dalam ringkasan bahwa penemuan baru-baru ini menunjukkan bahwa Lazarus masih tertarik untuk menyusup ke industri pertahanan, tetapi juga ingin memperluas ke serangan rantai pasokan.

Selengkapnya: Threat Post

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

October 22, 2021 by Mally

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Router rumah dan kantor diserang oleh peretas negara China, Prancis memperingatkan

July 23, 2021 by Mally

Peretas negara bagian China mengkompromikan sejumlah besar router rumah dan kantor untuk digunakan dalam serangan besar-besaran dan berkelanjutan terhadap organisasi di Prancis, kata pihak berwenang dari daerah itu.

Kelompok peretas—dikenal di kalangan keamanan sebagai APT31, Zirkonium, Panda, dan nama lainnya—secara historis melakukan kampanye spionase yang menargetkan organisasi pemerintah, keuangan, kedirgantaraan, dan pertahanan serta bisnis di bidang teknologi, konstruksi, teknik, telekomunikasi, media, dan industri asuransi, kata perusahaan keamanan FireEye. APT31 juga merupakan salah satu dari tiga kelompok peretas yang disponsori oleh pemerintah China yang berpartisipasi dalam peretasan server Microsoft Exchange baru-baru ini, Pusat Keamanan Siber Nasional Inggris mengatakan pada hari Senin.

Pada hari Rabu, Badan Nasional Keamanan Sistem Informasi Prancis — disingkat ANSSI — memperingatkan bisnis dan organisasi nasional bahwa kelompok itu berada di balik kampanye serangan besar-besaran yang menggunakan router yang diretas sebelum melakukan pengintaian dan serangan sebagai sarana untuk menutupi intrusi.

“ANSSI saat ini sedang menangani kampanye penyusupan besar yang berdampak pada banyak entitas Prancis,” sebuah penasehat ANSSI memperingatkan. “Serangan masih berlangsung dan dipimpin oleh kelompok penyusup yang secara publik disebut sebagai APT31. Tampaknya dari penyelidikan kami bahwa aktor ancaman menggunakan jaringan router rumah yang disusupi sebagai kotak relai operasional untuk melakukan pengintaian siluman serta serangan.”

Penasihat berisi indikator kompromi yang dapat digunakan organisasi untuk menentukan apakah mereka diretas atau ditargetkan dalam kampanye. Indikatornya mencakup 161 alamat IP, meskipun tidak sepenuhnya jelas apakah itu milik router yang disusupi atau jenis perangkat lain yang terhubung ke Internet yang digunakan dalam serangan.

selengkapnya :arstechnica.com

Anggota kelompok peretasan ‘Pen tester’ FIN7 mendapatkan hukuman penjara tujuh tahun

June 27, 2021 by Mally

Pada hari Kamis, Departemen Kehakiman AS (DoJ) menyebut Andrii Kolpakov, 33 tahun dari Ukraina, sebagai mantan anggota FIN7 yang menjabat sebagai penyerang yang secara internal dirujuk sebagai penguji penetrasi.

Menurut jaksa AS, Kolpakov terlibat dalam FIN7 setidaknya dari April 2016 hingga penangkapannya pada Juni 2018, ketika ia ditangkap oleh penegak hukum di Spanyol dan diekstradisi ke Amerika Serikat setahun kemudian.

Mantan peretas mengelola tim penyerang yang bertanggung jawab untuk membahayakan keamanan sistem target, termasuk bisnis di AS.

FIN7, juga kadang-kadang disebut sebagai Carbanak, mengkhususkan diri dalam pencurian dan penjualan catatan konsumen dari sistem Point-of-Sale (PoS) dari perusahaan. Malware yang digunakan oleh kelompok akan digunakan untuk mengambil rincian kartu pembayaran yang kemudian digunakan untuk melakukan transaksi penipuan atau dijual.

Salah satu metode serangan umum yang digunakan oleh FIN7 adalah Business Email Compromise (BEC), di mana email phishing dikirim ke karyawan perusahaan target yang berisi file berbahaya. Lampiran ini berisi varian malware Carbanak.

selengkapnya : www.zdnet.com

Peretas Molerat Kembali Dengan Serangan Baru yang Menargetkan Pemerintah Timur Tengah

June 18, 2021 by Mally

Kelompok ancaman persisten lanjutan (APT) Timur Tengah telah muncul kembali setelah jeda dua bulan untuk menargetkan lembaga pemerintah di Timur Tengah dan entitas pemerintah global yang terkait dengan geopolitik di kawasan itu dalam serangkaian kampanye baru yang diamati awal bulan ini.

Firma keamanan perusahaan yang berbasis di Sunnyvale, Proofpoint, mengaitkan aktivitas tersebut dengan aktor ancaman bermotivasi politik yang dilacaknya sebagai TA402, dan dikenal oleh moniker lain seperti Molerats dan GazaHackerTeam.

Berdasarkan penargetan dan kampanye sebelumnya, TA402 diduga beroperasi dengan motif yang sejalan dengan tujuan militer atau negara Palestina. Pelaku ancaman diyakini aktif selama satu dekade, dengan sejarah organisasi penyerang yang berlokasi di Israel dan Palestina, dan mencakup berbagai bidang vertikal seperti teknologi, telekomunikasi, keuangan, akademisi, militer, media, dan pemerintah.

Tidak jelas apa yang mendorong kolektif untuk menghentikan operasinya selama dua bulan, tetapi peneliti Proofpoint berspekulasi bahwa baik bulan suci Ramadhan atau gejolak saat ini di wilayah tersebut dan kekerasan berikutnya pada bulan Mei mungkin telah berperan.

Gelombang serangan terbaru dimulai dengan email spear-phishing yang ditulis dalam bahasa Arab dan berisi lampiran PDF yang disematkan dengan URL geofenced berbahaya untuk secara selektif mengarahkan korban ke arsip yang dilindungi kata sandi hanya jika alamat IP sumber milik negara yang ditargetkan di Tengah Timur.

Penerima yang berada di luar kelompok sasaran dialihkan ke situs web umpan yang ramah, biasanya situs berita berbahasa Arab seperti Al Akhbar (www.al-akhbar.com) dan Al Jazeera (www.aljazeera.net).

selengkapnya : thehackernews.com

Bagaimana APT Kimsuky Korea Utara Mengembangkan Taktiknya

May 9, 2021 by Mally

Grup APT Korea Utara Kimsuky mengadopsi taktik, teknik, dan prosedur baru dalam serangan global, lapor peneliti yang temuannya menunjukkan operasi grup memiliki perbedaan yang cukup untuk menjamin pemisahannya menjadi dua subkelompok yang lebih kecil: CloudDragon dan KimDragon.

Kimsuky bukanlah kelompok baru tetapi telah mengadopsi metode baru untuk mendukung misinya dalam mengumpulkan intelijen. Peringatan pemerintah AS yang dikeluarkan pada Oktober 2020 melaporkan bahwa grup tersebut telah beroperasi sejak 2012 dan sering menggunakan rekayasa sosial, spear-phishing, dan serangan lubang air untuk mengumpulkan informasi dari target yang sebagian besar berlokasi di Korea Selatan, Jepang, dan AS.

Sebuah tim peneliti yang mengamati kelompok APT Korea Utara telah mengumpulkan bukti yang menunjukkan ada beberapa perbedaan signifikan dalam cara berbagai aspek Kimsuky beroperasi. Hari ini di acara virtual Black Hat Asia, Jhih-Lin Kuo dan Zin-Cing Lao, keduanya peneliti intelijen ancaman senior di TeamT5, membagi kelompok menjadi dua kelompok kecil berdasarkan target, malware, dan infrastruktur mereka, dan berbagi detail tentang bagaimana operasi kelompok telah berkembang.

Grup Kimsuky yang diungkapkan Kaspersky pada tahun 2013 telah dijuluki KimDragon oleh tim; Kimsuky yang lebih dikenal publik yang terlihat di berita utama dan laporan vendor adalah CloudDragon.

selengkapnya : beta.darkreading.com

Temui Geng Ransomware di Balik Salah Satu Peretasan Rantai Pasokan Terbesar yang Pernah Ada

April 16, 2021 by Mally

Kat Garcia adalah peneliti keamanan siber di Emsisoft, di mana, sebagai bagian dari pekerjaannya, dia melacak geng ransomware bernama Cl0p.

Namun, dia terkejut saat mendapat email di akhir bulan lalu dari para peretas. Dalam pesan tersebut, peretas Cl0p memberitahunya bahwa mereka telah membobol server toko pakaian untuk ibu hamil dan mereka memiliki telepon, email, alamat rumah, informasi kartu kredit, dan nomor Jaminan Sosial.

“Kami memberi tahu Anda bahwa informasi tentang Anda dan pembelian Anda, serta rincian pembayaran Anda, akan dipublikasikan di darknet jika perusahaan tidak menghubungi kami,” tulis para peretas. “Telepon atau kirim surat ke toko ini dan minta untuk melindungi privasi Anda.”

Garcia mengatakan bahwa insiden ini “menunjukkan seberapa jauh pelaku ancaman bersedia untuk menghasilkan uang dari kejahatan mereka.”

Penjahat dunia maya C10p sekarang mencoba merekrut pelanggan dari perusahaan yang dilanggar untuk membantu mereka mendesak perusahaan yang mereka retas. Ini adalah perubahan terbaru dalam upaya kelompok peretas untuk memeras uang dari para korban, dan itulah salah satu alasan mengapa Cl0p telah menjadi salah satu kelompok peretas yang paling menarik — dan menakutkan — di awal tahun 2021.

Cl0p, juga dikenal sebagai TA505 dan FIN11, telah ada setidaknya selama tiga tahun, menurut beberapa perusahaan keamanan yang telah melacak grup tersebut. Namun para peretas baru-baru ini mendapatkan lebih banyak berita utama dan menjadi lebih menonjol setelah mendapatkan akses ke harta karun berupa data sensitif dari lusinan perusahaan — dan semuanya berkat satu peretasan tunggal.

selengkapnya : www.vice.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

APT

Cookies Settings