Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Malware yang hampir tidak terdeteksi terkait dengan Cozy Bear Rusia

by

Tim intelijen ancaman Unit 42 Palo Alto Networks mengklaim bahwa sepotong malware yang tidak dapat dideteksi oleh 56 produk antivirus adalah bukti bahwa penyerang yang didukung negara telah menemukan cara baru untuk menjalankan bisnis jahat.

Analis Unit 42 menegaskan bahwa malware itu terlihat pada Mei 2022 dan berisi muatan berbahaya yang menunjukkan bahwa itu dibuat menggunakan alat yang disebut Brute Rate (BRC4).

Di situs webnya, BRC4 digambarkan sebagai “Pusat Komando dan Kontrol Khusus untuk Tim Merah dan Simulasi Musuh”. Pembuat alat ini bahkan mengklaim bahwa mereka merekayasa balik perangkat lunak antivirus untuk membuat BRC4 lebih sulit dideteksi.

Malware Unit 42 yang diamati mulai hidup sebagai file yang berpura-pura menjadi curriculum vitae seorang pria bernama Roshan Bandara. Luar biasa, CV Bandara ditawarkan sebagai file ISO format file gambar disk. Jika pengguna mengklik ISO, itu dipasang sebagai drive Windows dan menampilkan jendela File Manager dengan satu-satunya file: “Roshan-Bandara_CV_Dialog”.

File tersebut terlihat seperti file Microsoft Word tetapi yang mengejutkan sebenarnya bukan CV. Ketika diklik dua kali, CMD.EXE akan terbuka dan menjalankan OneDrive Updater, yang mengambil dan menginstal BRC4.

Setelah malware berjalan, banyak hal buruk dapat terjadi pada mesin yang terinfeksi.

Tapi Unit 42 tidak peduli dengan hal-hal buruk itu. Teknik yang digunakan untuk menjalankan BRC4 inilah yang menarik perhatian tim, karena sangat licik sehingga menunjukkan bahwa aktor negara-bangsa berada di balik pengembangannya.

Bahkan mungkin APT29 geng yang terkait dengan Moskow juga dikenal sebagai Cozy Bear dan diduga terlibat dalam serangan terhadap Solar Winds dan banyak serangan lainnya. APT29 telah menggunakan ISO beracun di masa lalu.

Unit 42 juga mencatat bahwa ISO yang digunakan dalam serangan ini dibuat pada hari yang sama saat versi baru BRC4 muncul, menunjukkan bahwa aktor yang didukung negara dapat mengawasi dunia yang suram dari malware komersial dan dengan cepat menjalankannya sementara dunia mencoba untuk mengejar.

Sumber: The Register

Pemerintah AS peringatkan serangan ransomware Maui terhadap organisasi Health Services

by

FBI, CISA, dan Departemen Keuangan A.S. hari ini mengeluarkan peringatan bersama tentang aktor ancaman yang didukung Korea Utara yang menggunakan ransomware Maui dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

Mulai Mei 2021, FBI telah menanggapi dan mendeteksi beberapa serangan ransomware Maui yang berdampak pada organisasi Sektor HPH di seluruh AS.

Menurut laporan ancaman yang ditulis oleh reverse engineer utama Stairwell Silas Cutler, ransomware Maui disebarkan secara manual di seluruh jaringan korban yang disusupi, dengan operator jarak jauh menargetkan file tertentu yang ingin mereka enkripsi.

Sementara Stairwell mengumpulkan sampel Maui pertama pada awal April 2022, semua sampel ransomware Maui memiliki stempel waktu kompilasi yang sama pada 15 April 2021.

Maui juga menonjol dibandingkan dengan jenis ransomware lainnya dengan tidak menjatuhkan catatan tebusan pada sistem terenkripsi untuk memberikan instruksi pemulihan data kepada korban.

File enkripsi ransomware Maui (BleepingComputer)

Tiga agen federal AS juga memberikan indikator kompromi (IOC) yang diperoleh FBI saat menanggapi serangan ransomware Maui sejak Mei 2021.

Mereka juga mendesak organisasi Sektor HPH untuk menerapkan mitigasi dan menerapkan serangkaian tindakan yang dibagikan dalam penasihat bersama untuk mempersiapkan, mencegah, dan menanggapi insiden ransomware.

Paling tidak, pembela jaringan disarankan untuk melatih pengguna untuk menemukan dan melaporkan upaya phishing, mengaktifkan dan menerapkan otentikasi multi-faktor di seluruh organisasi mereka, dan selalu memperbarui perangkat lunak antivirus dan antimalware di semua host.

Agen federal juga “sangat tidak menganjurkan” korban untuk membayar tuntutan tebusan dari pelaku ancaman di balik serangan ransomware Maui dan mengingatkan organisasi HPH tentang nasihat yang dikeluarkan oleh Departemen Keuangan mengenai risiko sanksi yang terkait dengan pembayaran ransomware.

Aktivitas ransomware Maui (ID-Ransomware)

Cyberattack Mematikan Layanan Pengangguran Di Seluruh AS

by

Serangan siber yang menargetkan vendor pihak ketiga telah menutup layanan pengangguran online di beberapa negara bagian AS.

Insiden tersebut melibatkan sebuah perusahaan yang berbasis di Florida bernama Geographic Solutions Inc. (GSI), yang memasarkan dirinya sebagai penyedia terkemuka perangkat lunak ketenagakerjaan untuk instansi pemerintah.

Mulai hari Selasa, banyak departemen tenaga kerja negara bagian termasuk di California(Buka di jendela baru), Louisiana(Buka di jendela baru) dan Tennessee(Buka di jendela baru) melaporkan bahwa pemadaman di Geographic Solutions telah memaksa mereka untuk mengambil layanan pengangguran online offline.

Dalam sebuah pernyataan (Buka di jendela baru) kepada pejabat Tennessee, Geographic Solutions mengatakan baru-baru ini “mengidentifikasi aktivitas anomali” di jaringan perusahaan. Namun, departemen tenaga kerja Louisiana menawarkan lebih spesifik dan mengatakan perusahaan itu benar-benar menemukan “usaha serangan malware”, yang mengharuskan Geographic Solutions untuk mematikan sistemnya.

“​Pemadaman akibat serangan itu juga berdampak pada 40 negara bagian lain dan Washington, D.C., yang menggunakan GSI,” tambah departemen tenaga kerja Louisiana.

Akibatnya, serangan siber berisiko mencegah ribuan orang Amerika mengklaim tunjangan pengangguran mereka tepat waktu. Departemen tenaga kerja Louisiana mencatat bahwa 11.000 orang saat ini mengandalkan sistem online untuk mengajukan klaim pengangguran, tetapi berencana mengeluarkan pembayaran hanya setelah sistem pengarsipan pengangguran departemen kembali online.

Masih belum jelas jenis malware apa yang menyerang jaringan TI Geographic Solutions, dan apakah ransomware terlibat. Tetapi departemen tenaga kerja Nebraska mengatakan: “GSI telah mengindikasikan serangan ini hanya mempengaruhi akses ke sistem online GSI dan tidak ada bukti data pengguna dikompromikan.”

Sumber: Bleeping Computer

Google memblokir lusinan domain yang digunakan oleh grup hack-for-hire

by

Grup Analisis Ancaman (TAG) Google telah memblokir lusinan domain dan situs web berbahaya yang digunakan oleh grup peretasan dalam serangan yang menargetkan target berisiko tinggi di seluruh dunia.

Tidak seperti vendor pengawasan komersial yang alatnya digunakan dalam serangan oleh klien, operator hack-for-hire terlibat langsung dalam serangan dan biasanya dipekerjakan oleh perusahaan yang menawarkan layanan tersebut. Dalam beberapa kasus, mereka juga bisa menjadi aktor ancaman “bebas”.

Mereka dipekerjakan karena keterampilan meretas mereka oleh klien yang tidak memilikinya atau yang ingin menyembunyikan identitas mereka jika serangan terdeteksi dan diselidiki.

Kelompok hack-for-hire menargetkan individu dan organisasi dalam pencurian data dan kampanye spionase perusahaan, dengan korban masa lalu termasuk politisi, jurnalis, aktivis hak asasi manusia dan politik, dan berbagai pengguna berisiko tinggi lainnya dari seluruh dunia.

Saat ini, Google TAG melacak beberapa perusahaan hack-for-hire dari beberapa negara dan kampanye mereka, termasuk India, Rusia, dan Uni Emirat Arab.

Misalnya, satu kelompok mata-mata sewaan dari India yang terkait dengan penyedia keamanan ofensif Appin dan Belltrox dan dilacak selama dekade terakhir telah mengatur kampanye phishing kredensial terhadap organisasi di sektor pemerintah, perawatan kesehatan, dan telekomunikasi di Arab Saudi, Uni Emirat Arab (UEA). ), dan Bahrain.

Reuters juga melaporkan hari ini bahwa tentara bayaran dunia maya India juga telah mencoba meretas “setidaknya 75 perusahaan AS dan Eropa, tiga lusin kelompok advokasi dan media dan banyak eksekutif bisnis Barat,” serta ke kotak masuk email milik pengacara target, ” sekitar 1.000 pengacara di 108 firma hukum yang berbeda.”

Aktor ancaman hack-for-hire lainnya dari Rusia (dikenal sebagai Void Balaur) dikaitkan dengan serangan phishing kredensial terhadap jurnalis, politisi, dan berbagai LSM dan organisasi nirlaba di seluruh Eropa (termasuk Rusia).

Daftar harga Void Balaur (Google TAG)

Last but not least, kelompok hack-for-hire berbasis di UEA yang terkait dengan pengembang H-Worm dan yang aktivitasnya juga terlihat oleh Amnesty International, terutama memfokuskan serangannya pada pemerintah, pendidikan, dan organisasi politik di Timur Tengah dan Utara. Afrika.

Huntley juga membagikan daftar lengkap domain berbahaya yang diblokir oleh Google saat menyelidiki aktivitas kelompok peretasan dari India, Rusia, dan UEA.

Tim pakar keamanan Google TAG juga melacak daftar panjang pelaku ancaman yang didukung negara dan bermotivasi finansial, termasuk lusinan vendor pengawasan yang menjual spyware mereka kepada pemerintah di seluruh dunia.

“TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah,” kata anggota Google TAG Clement Lecigne dan Christian Resell baru-baru ini.

Sumber: Bleeping Computer

New YTStealer malware steals accounts from YouTube Creators

by

Malware pencuri informasi baru bernama YTStealer menargetkan pembuat konten YouTube dan mencoba mencuri token autentikasi mereka dan membajak saluran mereka.

Menurut sebuah laporan yang diterbitkan hari ini oleh Intezer, fokus pada satu tujuan telah memberi penulis YTStealer kemampuan untuk membuat operasi pencurian tokennya menjadi sangat efektif, menggabungkan trik khusus yang canggih.

Karena malware YTStealer menargetkan pembuat konten YouTube, sebagian besar distribusinya menggunakan perangkat lunak yang meniru umpan yang mengedit video atau bertindak sebagai konten untuk video baru.

Contoh perangkat lunak tiruan yang berisi penginstal YTStealer berbahaya termasuk OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, dan Filmora.

Dalam kasus lain yang menargetkan pembuat konten game, YTStealer meniru mod untuk Grand Theft Auto V, cheat untuk Counter-Strike Go dan Call of Duty, game Valorant, atau peretasan untuk Roblox.

Para peneliti juga melihat celah dan generator token untuk Discord Nitro dan Spotify Premium yang membawa malware baru.

Menurut Intezer, YTStealer biasanya dibundel dengan pencuri informasi lainnya seperti RedLine dan Vidar yang terkenal. Dengan demikian, sebagian besar diperlakukan sebagai “bonus” khusus yang dijatuhkan bersama malware yang menargetkan pencurian kata sandi dari cakupan perangkat lunak yang lebih luas.

Malware YTStealer menjalankan beberapa pemeriksaan anti-kotak pasir sebelum dijalankan di host, menggunakan alat Chacal sumber terbuka untuk tujuan ini.

Jika mesin yang terinfeksi dianggap sebagai target yang valid, malware akan memeriksa file database SQL browser untuk menemukan token autentikasi YouTube.

Selanjutnya, ia memvalidasinya dengan meluncurkan browser web dalam mode tanpa kepala dan menambahkan cookie yang dicuri ke tokonya. Jika valid, YTStealer juga mengumpulkan informasi tambahan seperti:

  • Nama saluran YouTube
  • Jumlah pelanggan
  • Tanggal pembuatan
  • Status monetisasi
  • Status saluran artis resmi

Meluncurkan browser web dalam mode tanpa kepala membuat seluruh operasi tersembunyi bagi korban, yang tidak akan melihat sesuatu yang aneh kecuali mereka meneliti proses yang sedang berjalan.

Untuk mengontrol browser, YTStealer menggunakan perpustakaan yang disebut Rod, sebuah utilitas yang banyak digunakan untuk otomatisasi web dan scraping. Oleh karena itu, pemusnahan informasi saluran YouTube terjadi tanpa intervensi manual dari pelaku ancaman.

YTStealer sepenuhnya otomatis dan tidak membedakan antara akun YouTube kecil atau besar, mencuri semuanya dan membiarkan operatornya mengevaluasi tangkapan mereka nanti.

Intezer percaya bahwa akun YouTube yang dicuri dijual di web gelap, dengan harga tergantung pada ukuran saluran. Jelas, semakin besar dan lebih berpengaruh saluran YouTube, semakin mahal untuk membeli di pasar web gelap.

Pembeli akun tersebut biasanya menggunakan cookie otentikasi curian ini untuk membajak saluran YouTube untuk berbagai penipuan, biasanya cryptocurrency, atau meminta uang tebusan dari pemilik sebenarnya.

Ini sangat berbahaya bagi pembuat konten YouTube karena meskipun akun mereka aman dengan autentikasi multi-faktor, token autentikasi akan melewati MFA dan memungkinkan pelaku ancaman untuk masuk ke akun mereka.

Oleh karena itu, kreator YouTube disarankan untuk keluar dari akunnya secara berkala untuk membatalkan semua token autentikasi yang mungkin telah dibuat atau dicuri sebelumnya.

Sumber: Bleeping Computer

Peretas yang Didukung Negara Menggunakan Ransomware sebagai Umpan untuk Serangan Spionase

by

Sebuah kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di China mungkin menyebarkan keluarga ransomware berumur pendek sebagai umpan untuk menutupi tujuan operasional dan taktis yang sebenarnya di balik kampanyenya.

Cluster aktivitas, yang dikaitkan dengan grup peretasan yang dijuluki Bronze Starlight oleh Secureworks, melibatkan penyebaran ransomware pasca-intrusi seperti LockFile, Atom Silo, Rook, Night Sky, Pandora, dan LockBit 2.0.

“Ransomware dapat mengalihkan perhatian responden insiden dari mengidentifikasi maksud sebenarnya dari pelaku ancaman dan mengurangi kemungkinan mengaitkan aktivitas jahat dengan kelompok ancaman China yang disponsori pemerintah,” kata para peneliti dalam sebuah laporan baru. “Dalam setiap kasus, ransomware menargetkan sejumlah kecil korban selama periode waktu yang relatif singkat sebelum berhenti beroperasi, tampaknya secara permanen.”

Bronze Starlight, aktif sejak pertengahan 2021, juga dilacak oleh Microsoft di bawah klaster ancaman yang muncul DEV-0401, dengan raksasa teknologi itu menekankan keterlibatannya dalam semua tahap siklus serangan ransomware langsung dari akses awal hingga penyebaran muatan.

Tidak seperti grup RaaS lain yang membeli akses dari broker akses awal (IAB) untuk memasuki jaringan, serangan yang dipasang oleh aktor ditandai dengan penggunaan kerentanan yang belum ditambal yang memengaruhi Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (termasuk kelemahan yang baru diungkapkan), dan Apache Log4j.

Dalam waktu kurang dari satu tahun, kelompok tersebut dikatakan telah melewati sebanyak enam jenis ransomware yang berbeda seperti LockFile (Agustus 2021), Atom Silo (Oktober), Rook (November), Night Sky (Desember), Pandora (Februari 2022 ), dan yang terbaru LockBit 2.0 (April).

Terlebih lagi, kesamaan telah ditemukan antara LockFile dan Atom Silo serta antara Rook, Night Sky, dan Pandora — tiga yang terakhir berasal dari ransomware Babuk, yang kode sumbernya bocor pada September 2021 — menunjukkan pekerjaan aktor yang sama.

“Karena DEV-0401 memelihara dan sering mengubah nama muatan ransomware mereka sendiri, mereka dapat muncul sebagai kelompok yang berbeda dalam pelaporan berbasis muatan dan menghindari deteksi dan tindakan terhadap mereka,” Microsoft mencatat bulan lalu.

Setelah mendapatkan pijakan di dalam jaringan, Bronze Starlight diketahui mengandalkan teknik seperti menggunakan Cobalt Strike dan Windows Management Instrumentation (WMI) untuk gerakan lateral, meskipun mulai bulan ini, grup tersebut mulai mengganti Cobalt Strike dengan kerangka Sliver dalam serangan mereka. .

Tradecraft lain yang diamati terkait dengan penggunaan HUI Loader untuk meluncurkan payload terenkripsi tahap berikutnya seperti PlugX dan Cobalt Strike Beacons, yang terakhir digunakan untuk mengirimkan ransomware, tetapi tidak sebelum mendapatkan kredensial Administrator Domain istimewa.

“Penggunaan HUI Loader untuk memuat Cobalt Strike Beacon, informasi konfigurasi Cobalt Strike Beacon, infrastruktur C2, dan kode yang tumpang tindih menunjukkan bahwa kelompok ancaman yang sama dikaitkan dengan lima keluarga ransomware ini,” jelas para peneliti.

Perlu ditunjukkan bahwa baik HUI Loader dan PlugX, bersama ShadowPad, adalah malware yang secara historis digunakan oleh kolektif musuh negara-bangsa China, memberikan kepercayaan pada kemungkinan bahwa Bronze Starlight lebih diarahkan untuk spionase daripada keuntungan moneter langsung.

Selain itu, pola viktimologi yang mencakup berbagai jenis ransomware menunjukkan bahwa sebagian besar target cenderung lebih menarik bagi kelompok yang disponsori pemerintah China yang berfokus pada pengumpulan intelijen jangka panjang.

Korban utama mencakup perusahaan farmasi di Brasil dan AS, organisasi media yang berbasis di AS dengan kantor di China dan Hong Kong, perancang dan produsen komponen elektronik di Lituania dan Jepang, firma hukum di AS, dan divisi kedirgantaraan dan pertahanan dari seorang konglomerat India.

Untuk itu, operasi ransomware, selain menyediakan sarana untuk mengekstrak data sebagai bagian dari skema pemerasan ganda “nama-dan-malu”, juga menawarkan keuntungan ganda karena memungkinkan pelaku ancaman untuk menghancurkan bukti forensik dari aktivitas jahat mereka dan bertindak sebagai pengalih perhatian dari pencurian data.

“Masuk akal bahwa Bronze Starlight menyebarkan ransomware sebagai tabir asap daripada untuk keuntungan finansial, dengan motivasi yang mendasari mencuri kekayaan intelektual atau melakukan spionase,” kata para peneliti.

Sumber: The Hacker News

CISA: Eksploitasi Log4Shell masih digunakan untuk meretas server VMware

by

CISA hari ini memperingatkan bahwa pelaku ancaman, termasuk kelompok peretas yang didukung negara, masih menargetkan server VMware Horizon dan Unified Access Gateway (UAG) menggunakan kerentanan eksekusi kode jarak jauh Log4Shell (CVE-2021-44228).

Penyerang dapat mengeksploitasi Log4Shell dari jarak jauh di server rentan yang terpapar akses lokal atau Internet untuk bergerak secara lateral melintasi jaringan sampai mereka mendapatkan akses ke sistem internal yang berisi data sensitif.

Setelah pengungkapannya pada Desember 2021, beberapa pelaku ancaman mulai memindai dan mengeksploitasi sistem yang belum ditambal, termasuk kelompok peretas yang didukung negara dari China, Iran, Korea Utara, dan Turki, serta beberapa perantara akses yang biasa digunakan oleh geng ransomware.

Hari ini, dalam penasehat bersama dengan US Coast Guard Cyber ​​Command (CGCYBER), badan keamanan siber mengatakan bahwa server telah disusupi menggunakan eksploitasi Log4Shell untuk mendapatkan akses awal ke jaringan organisasi yang ditargetkan.

Setelah menembus jaringan, mereka menyebarkan berbagai jenis malware yang memberi mereka akses jarak jauh yang diperlukan untuk menyebarkan muatan tambahan dan mengekstrak ratusan gigabyte informasi sensitif.

“Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” ungkap penasihat tersebut.

“Dalam satu kompromi yang dikonfirmasi, aktor APT ini dapat bergerak secara lateral di dalam jaringan, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data sensitif.”

Organisasi yang belum menambal server VMware mereka disarankan untuk menandai mereka sebagai diretas dan memulai prosedur respons insiden (IR).

Langkah-langkah yang diperlukan untuk respons yang tepat dalam situasi seperti itu mencakup isolasi langsung dari sistem yang berpotensi terpengaruh, pengumpulan dan peninjauan log dan artefak yang relevan, mempekerjakan pakar IR pihak ketiga (jika diperlukan), dan melaporkan insiden tersebut ke CISA.

“CISA dan CGCYBER merekomendasikan semua organisasi dengan sistem yang terpengaruh yang tidak segera menerapkan patch atau solusi yang tersedia untuk mengambil kompromi dan memulai aktivitas berburu ancaman menggunakan IOC yang disediakan dalam CSA ini, Laporan Analisis Malware (MAR)-10382580-1, dan MAR-10382254 -1,” kata kedua agensi.

“Jika potensi kompromi terdeteksi, administrator harus menerapkan rekomendasi respons insiden yang disertakan dalam CSA ini dan melaporkan temuan utama ke CISA.”

Anjuran hari ini datang setelah VMware juga mendesak pelanggan pada bulan Januari untuk mengamankan server VMware Horizon yang terpapar Internet dari serangan Log4Shell yang sedang berlangsung.

Sejak awal tahun, server VMware Horizon telah ditargetkan oleh aktor ancaman berbahasa China untuk menyebarkan ransomware Night Sky, APT Lazarus Korea Utara untuk menyebarkan pencuri informasi, dan kelompok peretasan TunnelVision yang selaras dengan Iran untuk menyebarkan pintu belakang.

Hingga Anda dapat menginstal build yang ditambal dengan memperbarui semua server VMware Horizon dan UAG yang terpengaruh ke versi terbaru, Anda dapat mengurangi permukaan serangan “dengan menghosting layanan penting di zona demiliterisasi (DMZ) yang terpisah”, menerapkan firewall aplikasi web (WAF), dan “memastikan kontrol akses perimeter jaringan yang ketat.”

Sumber: Bleeping Computer

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

by

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

  • CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
  • CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
  • CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
  • CVE-2020-9907 secara internal disebut sebagai AveCesare.
  • CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
  • CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer