Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Attack technique

Attack technique

Royal Ransomware Memperluas Serangan dengan Menargetkan Server ESXi Linux

by

Royal Ransomware mengikuti jalur yang sama, varian baru yang menargetkan sistem Linux muncul, Trend Micro memberikan analisis teknis varian tersebut.

Pelaku ransomware telah diamati memperluas target mereka dengan semakin mengembangkan versi berbasis Linux. Ini diperkirakan setelah terdeteksinya peningkatan serangan dua digit year-on-year (YoY) pada sistem di paruh pertama tahun 2022.

Mitra Linux Royal juga menargetkan server ESXi, perluasan target yang dapat berdampak besar pada pusat data perusahaan yang menjadi korban dan penyimpanan virtual.

Menurut data dari situs kebocoran kelompok ransomware, 10,7% dikaitkan dengan Royal, dengan hanya LockBit dan BlackCat di depannya, masing-masing menyumbang 22,3% dan 11,7%. Aktor ancamannya yang merupakan cabang dari Conti mungkin menjadi alasan klaim ketenarannya yang cepat segera setelah menjadi berita utama di lanskap ransomware.

Serangan ransomware ini menggabungkan teknik lama dan baru, yang mendukung teori bahwa pelaku di baliknya memiliki pengetahuan luas tentang adegan ransomware.

Ransomware Royal menargetkan bisnis kecil hingga menengah pada kuartal keempat tahun 2022: 51,9% korbannya adalah bisnis kecil, sementara 26,8% berukuran sedang. Hanya 11,3% dari korbannya untuk periode ini adalah perusahaan besar.

Berdasarkan hasil analisis teknis oleh Trend Micro, varian baru dari ransomware Royal memperluas serangan mereka untuk menargetkan server ESXi, menyebabkan kerusakan besar pada korbannya.

Melindungi sistem dari serangan ransomware, Trend Micro menyarankan pengguna menerapkan perlindungan data, pencadangan, dan tindakan pemulihan untuk mengamankan data dari kemungkinan enkripsi atau penghapusan, dan praktik terbaik lainnya.

Selengkapnya: Trend Micro

Iklan Pekerjaan Cybercrime di dark web membayar hingga $20rb per bulan

by

200.000 iklan pekerjaan diposting di 155 situs web gelap antara Maret 2020 dan Juni 2022, grup peretasan dan grup APT berusaha untuk mempekerjakan sebagian besar pengembang perangkat lunak (61% dari semua iklan), menawarkan paket yang sangat kompetitif untuk memikat mereka.

Pekerjaan bergaji tertinggi yang dilihat oleh analis Kaspersky termasuk gaji bulanan sebesar $20.000, sementara iklan untuk spesialis serangan yang cakap mencapai $15.000/per bulan.

Peran yang dalam iklan pekerjaan darknet (Kaspersky)

Dalam beberapa kasus, perekrut juga melihat CV atau portofolio yang disediakan, dan dalam satu dari empat posting, ada sesi wawancara yang dilakukan dengan pencari kerja.

Dalam contoh karakteristik yang ditemukan oleh Kaspersky, satu posting pekerjaan berjanji untuk membayar kandidat sekitar $300 dalam BTC untuk tugas tes.

Tawaran pekerjaan lain mengatur proses penyaringan multi-langkah di mana kandidat akan diminta untuk mengenkripsi DLL uji dalam 24 jam, membuatnya sepenuhnya tidak terdeteksi oleh AV (maksimal 3 pendeteksian runtime AV minor).

Saat perusahaan kejahatan dunia maya mengadopsi operasi seperti bisnis, kami akan terus melihat web gelap sebagai alat perekrutan bagi pelaku ancaman yang mencari penghasilan stabil.

Beberapa pengembang perangkat lunak mungkin melihat peluang ini sebagai penyelamat selama masa sulit kerusuhan politik, ekonomi yang buruk, atau kurangnya kesempatan kerja di wilayah mereka.

Namun, sangat penting untuk memahami potensi risiko bekerja untuk pemberi kerja web gelap, mulai dari penipuan hingga dijebak, ditangkap, dituntut, dan dipenjara.

selengkapnya : bleepingcomputer

Bluebottle: Kampanye Memukul Bank di Negara-negara berbahasa Prancis di Afrika

by

Bluebottle, kelompok kejahatan dunia maya yang berspesialisasi dalam serangan bertarget terhadap sektor keuangan, terus meningkatkan serangan terhadap bank-bank di negara-negara berbahasa Prancis. Grup ini memanfaatkan hidup dari tanah secara ekstensif, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang diterapkan dalam kampanye ini.

Aktivitas yang diamati oleh Symantec, sebuah divisi dari Broadcom Software, tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan dalam laporan Grup-IB dari November 2022. Aktivitas yang didokumentasikan oleh Grup-IB berlangsung dari pertengahan 2019 hingga 2021, dan dikatakan bahwa selama periode itu kelompok ini, yang disebut OPERA1ER, mencuri setidaknya $11 juta selama 30 serangan yang ditargetkan.

Kemiripan dalam taktik, teknik, dan prosedur (TTP) antara aktivitas yang didokumentasikan oleh Group-IB dan aktivitas yang dilihat oleh Symantec meliputi:

  • Domain yang sama terlihat di kedua rangkaian aktivitas: personel[.]bdm-sa[.]fr
  • Beberapa alat yang digunakan sama: Ngrok; PsExec; RDPBungkus; Keylogger Pengungkap; Cobalt Strike Beacon
  • Tidak ada malware khusus yang ditemukan di salah satu rangkaian aktivitas
  • Crossover dalam penargetan negara-negara berbahasa Perancis di Afrika
  • Kedua rangkaian aktivitas tersebut juga menampilkan penggunaan nama domain khusus industri dan khusus kawasan

Meskipun ini tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan oleh Group-IB, aktivitas yang dilihat oleh Symantec lebih baru, berjalan setidaknya dari Juli 2022 hingga September 2022, meskipun beberapa aktivitas mungkin telah dimulai sejak Mei 2022 .

Selengkapnya: Symantec

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

by

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Peretas licik membalikkan mitigasi pertahanan saat terdeteksi

by

Pelaku ancaman meretas penyedia layanan telekomunikasi dan perusahaan outsourcing proses bisnis, dan secara aktif membalikkan mitigasi defensif yang diterapkan saat pelanggaran terdeteksi.

Kampanye tersebut ditemukan oleh Crowdstrike, yang mengatakan serangan dimulai pada Juni 2022 dan masih berlangsung, dengan peneliti keamanan dapat mengidentifikasi lima intrusi berbeda.

Serangan tersebut dikaitkan dengan peretas yang dilacak sebagai ‘Scattered Spider‘ yang menunjukkan persisten dalam mempertahankan akses, membalikkan mitigasi, menghindari deteksi, dan berputar ke target valid lainnya jika digagalkan.

Tujuan utama kampanye ini adalah untuk menembus sistem jaringan telekomunikasi, mengakses informasi pelanggan, dan melakukan operasi seperti pertukaran SIM.

Lima peristiwa intrusi yang dikaitkan dengan Scattered Spider (Crowdstrike)

Pelaku ancaman mendapatkan akses awal ke jaringan perusahaan menggunakan berbagai taktik rekayasa sosial.

Taktik ini termasuk memanggil karyawan dan menyamar sebagai staf TI untuk mengambil kredensial atau menggunakan pesan Telegram dan SMS untuk mengalihkan target ke situs phishing yang dibuat khusus yang menampilkan logo perusahaan.

Jika MFA melindungi akun target, penyerang menggunakan taktik push-notification MFA kelelahan atau terlibat dalam rekayasa sosial untuk mendapatkan kode dari para korban.

Dalam satu kasus, musuh mengeksploitasi CVE-2021-35464, sebuah kelemahan di server ForgeRock AM yang diperbaiki pada Oktober 2021, untuk menjalankan kode dan meningkatkan hak istimewa mereka pada instans AWS.

Setelah peretas mendapatkan akses ke sistem, mereka mencoba menambahkan perangkat mereka sendiri ke daftar perangkat MFA (otentikasi multi-faktor) tepercaya menggunakan akun pengguna yang disusupi.

Crowdstrike memperhatikan para peretas menggunakan utilitas berikut dan alat pemantauan dan manajemen jarak jauh (RMM) dalam kampanye mereka:

  • AnyDesk
  • BeAnywhere
  • Domotz
  • DWservice
  • Fixme.it
  • Fleetdeck.io
  • Itarian Endpoint Manager
  • Level.io
  • Logmein
  • ManageEngine
  • N-Able
  • Pulseway
  • Rport
  • Rsocx
  • ScreenConnect
  • SSH RevShell and RDP Tunnelling via SSH
  • Teamviewer
  • TrendMicro Basecamp
  • Sorillus
  • ZeroTier

Dalam intrusi yang diamati oleh Crowdstrike, musuh tidak henti-hentinya berusaha mempertahankan akses ke jaringan yang dibobol, bahkan setelah terdeteksi.

“Dalam beberapa investigasi, CrowdStrike mengamati musuh menjadi lebih aktif, menyiapkan mekanisme persistensi tambahan, yaitu akses VPN dan/atau beberapa alat RMM, jika tindakan mitigasi diterapkan secara perlahan,” CrowdStrike memperingatkan.

“Dan dalam beberapa kasus, musuh mengembalikan beberapa tindakan mitigasi dengan mengaktifkan kembali akun yang sebelumnya dinonaktifkan oleh organisasi korban.”

Dalam semua intrusi yang diamati oleh Crowdstrike, musuh menggunakan berbagai VPN dan ISP untuk mengakses lingkungan Google Workspace organisasi yang menjadi korban.

Untuk bergerak secara lateral, pelaku ancaman mengekstraksi berbagai jenis informasi pengintaian, mengunduh daftar pengguna dari penyewa yang dilanggar, menyalahgunakan WMI, dan melakukan tunneling SSH dan replikasi domain.

Selengkpanya: Bleeping Computer

Malware-As-A-Service Memberikan Fitur Canggih Untuk Pelaku Ancaman

by

Cyble Research and Intelligence Labs (CRIL) terus memantau keluarga malware yang baru dan aktif di alam bebas. Baru-baru ini, CRIL mengamati jenis malware baru bernama DuckLogs, yang melakukan berbagai aktivitas jahat seperti Stealer, Keylogger, Clipper, Remote access, dll. sekarang.

DuckLogs adalah MaaS (Malware-as-a-Service). Itu mencuri informasi sensitif pengguna, seperti kata sandi, cookie, data login, riwayat, detail dompet crypto, dll., Dan mengekstraksi data yang dicuri dari mesin korban ke server C&C-nya. Gambar di bawah menunjukkan iklan Threat Actors (TAs) di forum cybercrime tentang DuckLogs.

DuckLogs menyediakan panel web canggih yang memungkinkan TA melakukan beberapa operasi, seperti membuat biner malware, memantau, dan mengunduh log korban yang dicuri, dll.

DuckLogs adalah kombinasi unik dari malware Stealer, Keylogger, dan Clipper yang dibundel menjadi satu paket perangkat lunak berbahaya yang tersedia di forum kejahatan dunia maya dengan harga yang relatif rendah, menjadikan ancaman ini berbahaya bagi calon korban yang lebih luas.

Cyble Research and Intelligence Labs akan terus memantau jenis malware baru di alam liar dan memperbarui blog dengan kecerdasan yang dapat ditindaklanjuti untuk melindungi pengguna dari serangan terkenal tersebut.

Selengkapnya: Cyble

Pembeli Berhati-hatilah: Aplikasi Cryptocurrency Palsu Berfungsi sebagai Front untuk Malware AppleJeus

by

Selama beberapa bulan terakhir, Volexity telah mengamati aktivitas baru yang terkait dengan aktor ancaman Korea Utara yang dilacaknya yang secara luas disebut sebagai Grup Lazarus. Aktivitas ini terutama melibatkan kampanye yang kemungkinan besar menargetkan pengguna dan organisasi cryptocurrency dengan varian malware AppleJeus melalui dokumen Microsoft Office yang berbahaya.

Analisis Volexity terhadap kampanye ini mengungkap situs web bertema cryptocurrency langsung dengan konten yang dicuri dari situs web sah lainnya. Analisis teknis lebih lanjut dari malware AppleJeus yang disebarkan menemukan variasi baru dari pemuatan samping DLL yang belum pernah dilihat Volexity sebelumnya didokumentasikan seperti di alam liar.

Blog ini menguraikan teknik baru yang digunakan oleh Grup Lazarus, menganalisis varian malware AppleJeus terbaru, membagikan indikator dari versi lain malware ini, serta menguraikan tautan antara aktivitas ini dan kampanye bersejarah.

Bagian akhir postingan mencakup peluang deteksi dan mitigasi untuk individu atau organisasi yang mungkin menjadi sasaran aktivitas ini. Seperti semua blog Volexity, indikator terkait dapat ditemukan di sini di Github.

Volexity menemukan situs web BloxHolder palsu setelah mengidentifikasi sampel malware AppleJeus baru yang dibundel sebagai bagian dari file Instalasi Microsoft (MSI). File yang ditemukan ini, “aplikasi BloxHolder”, sebenarnya adalah kasus lain dari AppleJeus yang diinstal bersama aplikasi perdagangan mata uang kripto sumber terbuka QTBitcoinTrader yang tersedia di GitHub.

Aplikasi sah yang sama ini sebelumnya telah digunakan oleh Grup Lazarus, sebagaimana didokumentasikan dalam laporan ini dari CISA. File MSI digunakan untuk menginstal aplikasi jahat dan sah secara bersamaan.

Selengkapnya: Volexity

Serangan DUCKTAIL Memakan Korban Ratusan Ribu Dolar

by Leave a Comment

“DUCKTAIL”, sebuah operasi kejahatan dunia maya yang berbasis di Vietnam yang ditemukan oleh WithSecure™ (sebelumnya dikenal sebagai bisnis F-Secure) awal tahun ini, terus mengembangkan operasinya, menurut sebuah analisis baru.

Sejak 2021, DUCKTAIL telah menggunakan LinkedIn untuk menargetkan individu dan organisasi yang beroperasi di platform Iklan dan Bisnis Facebook untuk membajak akun Facebook Business.

Aktivitas DUCKTAIL baru-baru ini yang diamati sejak awal September menampilkan beberapa perubahan pada mode operasinya, termasuk:

  • Jalan baru untuk menyasar target spear-phish, seperti WhatsApp.
  • Perubahan pada kemampuan malware dengan cara yang lebih kuat untuk mengambil alamat email yang dikontrol penyerang dan membuat malware terlihat lebih sah dengan membuka dokumen dummy dan file video saat diluncurkan.
  • Upaya berkelanjutan untuk penghindaran pertahanan dengan mengubah format dan kompilasi file, serta penandatanganan sertifikat.
  • Pengembangan sumber daya lebih lanjut dan perluasan operasional dengan mendirikan bisnis palsu tambahan di Vietnam dan memasukkan afiliasi ke dalam operasi.

Cara Mengatasi DUCKTAILL
Tim respons insiden WithSecure telah membantu beberapa organisasi korban merespons serangan dari DUCKTAIL dan ancaman lain yang menargetkan platform Iklan & Bisnis Facebook. Kerugian dari serangan ini berkisar antara satu hingga enam ratus ribu dolar kredit iklan.

Pembela dapat mengambil langkah-langkah berikut untuk melindungi diri dari DUCKTAIL dan ancaman serupa:

  • Tingkatkan kesadaran tentang spear-phishing di antara pengguna dengan akses ke akun bisnis Facebook/Meta.
  • Terapkan aplikasi yang diizinkan untuk mencegah eksekusi yang tidak diketahui berjalan.
  • Gunakan solusi EDR/EPP untuk mencegah dan mendeteksi malware pada tahap awal siklus serangan.
  • Pastikan perangkat terkelola atau pribadi yang digunakan dengan akun Facebook perusahaan memiliki kebersihan dan perlindungan dasar.
  • Gunakan penjelajahan pribadi untuk mengautentikasi setiap sesi kerja saat mengakses akun Facebook Business (sehingga sesi dilupakan setelah selesai, yang mencegah cookie dicuri dan disalahgunakan).
  • Follow Meta’s recommended security practices.
  • Unduh dan analisis log yang relevan secepat mungkin saat menanggapi insiden yang dicurigai.

sumber : with secure