Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Pertukaran crypto terbesar di dunia diretas dengan kemungkinan kerugian $500 juta

by

Binance, pertukaran mata uang kripto terbesar di dunia, mungkin telah kehilangan setengah miliar dolar setelah meretas jaringannya.

Perusahaan untuk sementara menangguhkan transaksi dan transfer dana setelah mendeteksi eksploitasi antara dua blockchain, sebuah metode pencurian digital yang telah digunakan baru-baru ini di setidaknya satu peretasan besar lainnya.

“Masalahnya sudah tertangani sekarang. Dana Anda aman. Kami mohon maaf atas ketidaknyamanan ini dan akan memberikan pembaruan lebih lanjut,” kata CEO Binance, Changpeng Zhao, dalam sebuah tweet.

Binance awalnya mengatakan bahwa dana $100 juta hingga $110 juta telah diambil. Sejak itu, CNBC melaporkan bahwa perusahaan crypto telah kehilangan $570 juta.

Dalam sebuah posting blog pada hari Jumat, Binance mengatakan sedang bekerja untuk mengunci semua area kerentanan. “Pertama, kami ingin meminta maaf kepada masyarakat atas eksploitasi yang terjadi. Kami memiliki ini,” tulis perusahaan itu. “Berkat bantuan semua pakar keamanan, proyek, dan validator, sebagian besar dana tetap terkendali.”

Tahun lalu Binance mengatakan bahwa sudah waktunya bagi regulator global untuk menetapkan aturan untuk pasar kripto. Perusahaan mengakui pada saat itu bahwa platform crypto memiliki kewajiban untuk melindungi pengguna dan menerapkan proses untuk mencegah kejahatan keuangan, bersama dengan tanggung jawab untuk bekerja dengan regulator dan pembuat kebijakan untuk menetapkan standar agar pengguna tetap aman.

Selengkapnya: The Guardian

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Peretas Lazarus menyalahgunakan bug driver Dell menggunakan rootkit FudModule baru

    by

    Peretas ‘Lazarus’ memasang rootkit Windows yang menyalahgunakan driver perangkat keras Dell dalam serangan Bring Your Own Vulnerable Driver. Kampanye tersebut ditargetkan untuk pakar kedirgantaraan di Belanda dan jurnalis politik di Belgia.

    Menurut ESET, yang menerbitkan laporan kampanye hari ini, tujuan utamanya adalah spionase dan pencurian data.

    Target berbasis UE dari kampanye ini dikirimi email tawaran pekerjaan palsu, kali ini untuk Amazon, trik rekayasa sosial yang umum dan umum digunakan oleh para peretas pada tahun 2022.

    Membuka dokumen ini akan mengunduh template jarak jauh dari alamat hardcode, diikuti oleh infeksi yang melibatkan pemuat malware, dropper, backdoor khusus, dan banyak lagi.

    ESET melaporkan bahwa di antara alat yang digunakan dalam kampanye ini, yang paling menarik adalah rootkit FudModule baru yang menyalahgunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mengeksploitasi kerentanan pada driver perangkat keras Dell untuk pertama kalinya.

    Serangan Bring Your Own Vulnerable Driver (BYOVD) adalah saat pelaku ancaman memuat driver yang sah dan ditandatangani di Windows yang juga mengandung kerentanan yang diketahui. Saat driver kernel ditandatangani, Windows akan mengizinkan driver untuk diinstal di sistem operasi.

    Namun, pelaku ancaman sekarang dapat mengeksploitasi kerentanan driver untuk meluncurkan perintah dengan hak tingkat kernel.

    Dalam serangan ini, Lazarus mengeksploitasi kerentanan CVE-2021-21551 di driver perangkat keras Dell (“dbutil_2_3.sys”), yang sesuai dengan serangkaian lima kelemahan yang tetap dapat dieksploitasi selama 12 tahun sebelum vendor komputer akhirnya mendorong pembaruan keamanan untuk dia.

    Driver dbutil_2_3.sys yang ditandatangani Dell digunakan dalam serangan
    Sumber: BleepingComputer

    Pada bulan Desember 2021, para peneliti di Rapid 7 memperingatkan tentang driver khusus ini sebagai kandidat yang sangat baik untuk serangan BYOVD karena perbaikan Dell yang tidak memadai, yang memungkinkan eksekusi kode kernel bahkan pada versi terbaru yang ditandatangani.

    Tampaknya Lazarus sudah sangat menyadari potensi penyalahgunaan ini dan mengeksploitasi driver Dell jauh sebelum analis keamanan mengeluarkan peringatan publik mereka.

    ESET menambahkan bahwa grup tersebut menggunakan backdoor HTTP(S) khusus merek dagangnya ‘BLINDINGCAN,’ yang pertama kali ditemukan oleh intelijen AS pada Agustus 2020 dan dikaitkan dengan Lazarus oleh Kaspersky pada Oktober 2021.

    Trojan akses jarak jauh (RAT) ‘BLINDINGCAN’ yang diambil sampelnya oleh ESET tampaknya berjalan dengan dukungan signifikan dari dasbor sisi server tidak berdokumen yang melakukan validasi parameter.

    Backdoor mendukung serangkaian 25 perintah yang ekstensif, mencakup tindakan file, eksekusi perintah, konfigurasi komunikasi C2, pengambilan tangkapan layar, pembuatan dan penghentian proses, dan eksfiltrasi info sistem.

    Alat lain yang digunakan dalam kampanye yang disajikan adalah FudModule Rootkit, pengunggah HTTP(S) yang digunakan untuk eksfiltrasi data yang aman, dan berbagai aplikasi sumber terbuka yang di-trojan seperti wolfSSL dan FingerText.

    Trojanizing alat open-source adalah sesuatu yang Lazarus terus lakukan, karena laporan Microsoft kemarin menyebutkan teknik ini digunakan dengan Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording.

    Sumber:

    Mitigasi server zero-day Microsoft Exchange dapat dilewati

    by

    Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

    Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

    Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

    Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

    • Buka Manajer IIS.
    • Pilih Situs Web Default.
    • Di** Feature View**, klik URL Rewrite.
    • Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
    • Pilih** Permintaan Pemblokiran** dan klik OK.
    • Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
    • Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
    • Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

    Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

    Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

    Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

    Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

    Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

    .*autodiscover\.json.*Powershell.*

    Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

    Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

    Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

    Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

    Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

    Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

    Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

    Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

    CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

    Selengkapnya: Bleeping Computer

    Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

    by

    Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

    Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

    Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

    Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

    “Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

    Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

    Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

    Selengkapnya: The Hacker News

    Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

    by

    Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

    Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

    GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

    Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

    Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

    Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

    Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

    GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

    Eksploitasi bekerja dalam dua tahap:

    • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
    • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

    GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

    • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
    • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
    • Condition input: Pilih {REQUEST_URI}

    Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

    Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

    Sumber: Bleeping Computer

    Malware Prilex ditingkatkan untuk melewati keamanan kartu kredit

    by

    Analis keamanan telah mengamati tiga versi baru malware penargetan Prilex PoS tahun ini, yang menunjukkan bahwa pembuat dan operatornya kembali beraksi.

    Prilex dimulai sebagai malware yang berfokus pada ATM pada tahun 2014 dan beralih ke perangkat PoS (point of sale) pada tahun 2016. Disaat pengembangan dan distribusi mencapai puncaknya pada tahun 2020, malware tersebut menghilang pada tahun 2021.

    Analis Kaspersky sekarang melaporkan bahwa Prilex telah kembali, dan jeda operasional tahun lalu tampaknya menjadi jeda untuk fokus mengembangkan versi yang lebih canggih dan kuat.

    Angsuran terbaru mampu menghasilkan kriptogram EMV (Europay, MasterCard, dan Visa), yang diperkenalkan pada tahun 2019 oleh VISA sebagai sistem validasi transaksi untuk membantu mendeteksi dan memblokir penipuan pembayaran.

    Hal tersebut juga memungkinkan pelaku ancaman untuk menggunakan kriptogram EMV (pesan terenkripsi antara kartu dan pembaca yang berisi detail transaksi) untuk melakukan ‘transaksi GHOST’ bahkan menggunakan kartu kredit yang dilindungi dengan teknologi CHIP dan PIN.

    Rantai serangan malware Prilex (Kaspersky)

    Infeksi dimulai dengan email spear phishing yang menyamar sebagai teknisi dari vendor PoS, menuduh bahwa perusahaan perlu memperbarui perangkat lunak PoS-nya.

    Selanjutnya, teknisi palsu mengunjungi lokasi target secara langsung dan menginstal pembaruan berbahaya di terminal PoS.

    Atau, penyerang mengarahkan korban untuk menginstal alat akses jarak jauh AnyDesk di komputer mereka dan kemudian menggunakannya untuk mengganti firmware PoS dengan versi yang dicampur.

    Setelah infeksi, operator akan mengevaluasi mesin untuk menentukan apakah target cukup produktif dalam hal volume transaksi keuangan atau tidak sepadan dengan waktu mereka.

    Versi Prilex baru telah menambahkan pintu belakang untuk komunikasi, pencuri untuk mencegat semua pertukaran data, dan modul pengunggah untuk eksfiltrasi.

    Modul pencurinya menggunakan pengait pada beberapa API Windows untuk mengintip saluran komunikasi antara bantalan PIN dan perangkat lunak PoS dan dapat memodifikasi konten transaksi, menangkap informasi kartu, dan meminta kriptogram EMV baru dari kartu.

    Informasi yang diambil disimpan dalam bentuk terenkripsi secara lokal di komputer yang disusupi dan secara berkala diunggah ke server command and control (C2) malware melalui permintaan HTTP POST.

    “Grup Prilex telah menunjukkan tingkat pengetahuan yang tinggi tentang transaksi kartu kredit dan debit, dan bagaimana perangkat lunak yang digunakan untuk pemrosesan pembayaran bekerja,” Kaspersky menyimpulkan.

    “Ini memungkinkan penyerang untuk terus memperbarui alat mereka untuk menemukan cara untuk menghindari kebijakan otorisasi, memungkinkan mereka untuk melakukan serangan mereka.”

    Sumber: Bleeping Computer

    Peneliti Mengungkap APT Baru “Metador ” yang Menargetkan Telco, ISP, dan Universitas

    by

    Seorang aktor ancaman yang sebelumnya tidak terdokumentasi dengan asal tidak diketahui telah dikaitkan dengan serangan yang menargetkan telekomunikasi, penyedia layanan internet, dan universitas di berbagai negara di Timur Tengah dan Afrika.

    “Operator sangat menyadari keamanan operasi, mengelola infrastruktur yang tersegmentasi dengan hati-hati per korban, dan dengan cepat menerapkan tindakan pencegahan yang rumit dengan adanya solusi keamanan,” kata peneliti dari SentinelOne dalam sebuah laporan baru.

    Perusahaan keamanan siber menamai grup Metador dengan mengacu pada string “Saya meta” di salah satu sampel malware mereka dan karena respons bahasa Spanyol dari server command-and-control (C2).

    Aktor ancaman dikatakan telah terutama berfokus pada pengembangan malware lintas platform dalam mengejar tujuan spionase. Keunggulan lain dari kampanye ini adalah jumlah gangguan yang terbatas dan akses jangka panjang ke target.

    Ini termasuk dua platform malware Windows yang berbeda yang disebut metaMain dan Mafalda yang secara tegas dirancang untuk beroperasi di dalam memori dan menghindari deteksi. metaMain juga bertindak sebagai saluran untuk menyebarkan Mafalda, implan interaktif fleksibel yang mendukung 67 perintah.

    metaMain, pada bagiannya, kaya fitur sendiri, memungkinkan musuh untuk mempertahankan akses jangka panjang, mencatat penekanan tombol, mengunduh dan mengunggah file arbitrer, dan mengeksekusi shellcode.

    Sebagai tanda bahwa Mafalda secara aktif dikelola oleh pengembangnya, malware tersebut memperoleh dukungan untuk 13 perintah baru antara dua varian yang dikompilasi pada bulan April dan Desember 2021, menambahkan opsi untuk pencurian kredensial, pengintaian jaringan, dan manipulasi sistem file.

    Selengkapnya: The Hacker News