Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

AS memperingatkan peretas Lazarus yang menggunakan aplikasi cryptocurrency berbahaya

by

CISA, FBI, dan Departemen Keuangan AS hari ini memperingatkan bahwa kelompok peretasan Lazarus Korea Utara menargetkan organisasi di industri cryptocurrency dan blockchain dengan aplikasi cryptocurrency tertrojan.

Penyerang menggunakan rekayasa sosial untuk mengelabui karyawan perusahaan cryptocurrency agar mengunduh dan menjalankan aplikasi cryptocurrency Windows dan macOS yang berbahaya.

Operator Lazarus kemudian menggunakan alat trojan ini untuk mendapatkan akses ke komputer target, menyebarkan malware ke seluruh jaringan mereka, dan mencuri kunci pribadi yang memungkinkan memulai transaksi blockchain palsu dan mencuri aset kripto korban dari dompet mereka.

“Penyusupan dimulai dengan sejumlah besar pesan spearphishing yang dikirim ke karyawan perusahaan cryptocurrency—seringkali bekerja di administrasi sistem atau pengembangan perangkat lunak/operasi TI (DevOps)—pada berbagai platform komunikasi,” demikian bunyi penasihat bersama yang diterbitkan pada hari Senin.

Aplikasi TraderTraitor yang tertrojan adalah utilitas berbasis Elektron dan lintas platform yang dikembangkan menggunakan JavaScript dan lingkungan runtime Node.js.

Aplikasi TraderTraitor hampir selalu didorong melalui situs web yang menampilkan desain modern yang mengiklankan fitur dugaan aplikasi kripto palsu.

Situs web CryptAIS (CISA)

“Muatan yang diamati termasuk macOS dan Windows varian Manuscrypt yang diperbarui, trojan akses jarak jauh khusus (RAT), yang mengumpulkan informasi sistem dan memiliki kemampuan untuk menjalankan perintah sewenang-wenang dan mengunduh muatan tambahan,” tambah agen federal.

Di antara aplikasi cryptocurrency TraderTraitor berbahaya yang digunakan dalam kampanye ini, saran bersama menyoroti:

DAFOM: “aplikasi portofolio cryptocurrency” (macOS)
TokenAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” untuk cryptocurrency (macOS)
CryptAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” (macOS)
AlticGO: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (Windows)
Esilet: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (macOS)
CreAI Deck: mengklaim sebagai platform untuk “kecerdasan buatan dan pembelajaran mendalam” (Windows dan macOS)

Tahun lalu, FBI, CISA, dan Departemen Keuangan AS juga berbagi informasi tentang aplikasi perdagangan crypto jahat dan palsu yang disuntik dengan malware AppleJeus yang digunakan oleh Lazarus untuk mencuri cryptocurrency dari individu dan perusahaan di seluruh dunia.

Daftar aplikasi yang di-trojan menggunakan AppleJeus termasuk Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio, dan Ants2Whale.

Departemen Kehakiman A.S. mendakwa tiga anggota Lazarus Group karena mencuri $1,3 miliar uang dan cryptocurrency dalam beberapa serangan terhadap bank, industri hiburan, perusahaan cryptocurrency, dan organisasi lain di seluruh dunia.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas Korea Utara (Lazarus Group, Bluenoroff, dan Andariel) karena menyalurkan aset keuangan yang mereka curi dalam serangan siber kepada pemerintah Korea Utara.

Sumber : Bleeping Computer

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

by

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Peretas mengeksploitasi bug penting VMware CVE-2022-22954, tambal sekarang

by

Eksploitasi proof-of-concept telah dirilis secara online untuk kerentanan eksekusi kode jarak jauh VMware CVE-2022-22954, yang telah digunakan dalam serangan aktif yang menginfeksi server dengan penambang koin.

Kerentanan adalah kritis (CVSS: 9.8) eksekusi kode jarak jauh (RCE) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager, dua produk perangkat lunak yang banyak digunakan.

Vendor perangkat lunak merilis penasehat keamanan untuk kerentanan pada tanggal 6 April 2022, memperingatkan tentang kemungkinan aktor ancaman dengan akses jaringan memicu injeksi template sisi server yang menghasilkan RCE.

VMware telah merilis pembaruan keamanan untuk produk yang terpengaruh dan petunjuk penyelesaian untuk membantu mengatasi risiko penerapan yang tidak dapat segera diperbarui oleh admin.

Pada saat yang sama, ini menggarisbawahi pentingnya mengatasi kerentanan tertentu: “Kerentanan kritis ini harus segera ditambal atau dikurangi sesuai instruksi di VMSA-2021-0011. Konsekuensi dari kerentanan ini serius.”

Meskipun merilis eksploitasi publik meningkatkan risiko bahwa aktor ancaman akan mengeksploitasi mereka dalam serangan, mereka juga dimaksudkan untuk membantu mengamankan sistem melalui pengujian dan berfungsi sebagai validator perbaikan/tambalan yang ada.

Saat ini, pelaku ancaman secara aktif memindai host yang rentan, dengan firma intelijen keamanan siber Bad Packets memberi tahu bahwa mereka mendeteksi upaya untuk mengeksploitasi kerentanan di alam liar.

Alamat IP, 106.246.224.219, yang digunakan dalam payload, baru-baru ini terlihat menjatuhkan pintu belakang Tsunami Linux dalam serangan lain. Namun, tidak jelas apa ‘satu’ yang dapat dieksekusi, karena tidak lagi dapat diakses.

Peneliti keamanan Daniel Card juga berbagi di Twitter bahwa kerentanan sedang dieksploitasi untuk menjatuhkan muatan coinminer, umumnya serangan pertama yang kita lihat ketika pelaku ancaman menargetkan kerentanan baru.

Beberapa pelaku ancaman ini kemudian menutup kerentanan setelah mereka menguasai server.

Karena eksploitasi aktifnya, jika Anda belum menerapkan pembaruan atau mitigasi keamanan VMware, sangat disarankan untuk melakukannya sesegera mungkin.

Untuk pengguna produk VMware, perlu diperhatikan bahwa saran vendor mencantumkan beberapa kelemahan tingkat tinggi selain dari RCE yang disebutkan di atas, yang memengaruhi produk tambahan selain Workspace One Access dan Identity Manager, jadi pastikan Anda menggunakan versi terbaru yang tersedia.

Sumber : Bleeping Computer

Botnet Fodcha DDoS baru menargetkan lebih dari 100 korban setiap hari

by

Botnet yang berkembang pesat menjerat router, DVR, dan server di seluruh Internet untuk menargetkan lebih dari 100 korban setiap hari dalam serangan penolakan layanan (DDoS) terdistribusi.

Malware yang baru ditemukan ini, dinamai Fodcha oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), telah menyebar ke lebih dari 62.000 perangkat antara 29 Maret dan 10 April.

Jumlah alamat IP unik yang ditautkan ke botnet juga berosilasi, dengan 360 Netlab mengatakan bahwa mereka melacak 10.000 pasukan bot Fodcha menggunakan alamat IP China setiap hari, kebanyakan dari mereka menggunakan layanan China Unicom (59,9%) dan China Telecom (39,4%).

Bot langsung harian dengan alamat IP Cina (Netlab)

Fodcha menginfeksi perangkat baru menggunakan eksploitasi yang dirancang untuk menyalahgunakan kerentanan n-hari di beberapa perangkat dan alat cracking brute force yang dijuluki Crazyfia.

Daftar perangkat dan layanan yang ditargetkan oleh botnet Fodcha termasuk tetapi tidak terbatas pada:

  • Android: Android ADB Debug Server RCE
  • GitLab: CVE-2021-22205
  • SDK Hutan Realtek: CVE-2021-35394
  • MVPower DVR: JAWS Webserver eksekusi perintah shell yang tidak diautentikasi
  • LILIN DVR: LILIN DVR RCE
  • Router TOTOLINK: Router TOTOLINK Pintu Belakang
  • Router ZHONE: Router Web RCE ZHONE

Operator Fodcha menggunakan hasil pemindaian Crazyfia untuk menyebarkan muatan malware setelah berhasil mendapatkan akses ke sampel perangkat yang rentan terkena Internet di perangkat yang rentan.

Saat 360 Netlab ditemukan lebih lanjut, sampel botnet menargetkan MIPS, MPSL, ARM, x86, dan arsitektur CPU lainnya.

Sejak Januari 2022, botnet telah menggunakan domain fold[.]in command-and-control (C2) hingga 19 Maret saat beralih ke refrigeratorxperts[.]cc setelah vendor cloud menghapus domain C2 awal.

Sakelar domain Fodcha C2 (Netlab)

“Pergeseran dari v1 ke v2 adalah karena fakta bahwa server C2 yang sesuai dengan versi v1 dimatikan oleh vendor cloud mereka, jadi operator Fodcha tidak punya pilihan selain meluncurkan kembali v2 dan memperbarui C2,” para peneliti menyimpulkan.

“C2 baru dipetakan ke lebih dari selusin IP dan didistribusikan di beberapa negara termasuk AS, Korea, Jepang, dan India, melibatkan lebih banyak penyedia cloud seperti Amazon, DediPath, DigitalOcean, Linode, dan banyak lainnya.”

Selengkapnya : Bleeping Computer

Bank-bank Afrika sangat ditargetkan dalam kampanye malware RemcosRAT

by

Bank-bank Afrika semakin menjadi sasaran kampanye distribusi malware yang menggunakan trik penyelundupan HTML dan domain salah ketik untuk menjatuhkan trojan akses jarak jauh (RAT).

Penjahat dunia maya yang tertarik dengan keuntungan finansial yang cepat adalah sumber masalah yang konstan bagi bank-bank di Afrika, yang terpaksa menerapkan kontrol keamanan gerbang yang ketat.

Ini telah memaksa para pelaku ancaman untuk membuat serangan yang lebih pintar yang dapat melewati langkah-langkah perlindungan, dan pada tahun 2022, kampanye penargetan bank terlihat menggunakan kombinasi trik.

Serangan dimulai dengan email phishing yang dikirim ke karyawan bank dari domain salah ketik yang menyerupai URL perusahaan yang sah, biasanya bank pesaing.

Email tersebut memberi penerima tawaran pekerjaan yang menggiurkan dan tautan ke detail di situs tersebut. Mengikuti tautan itu membawa korban ke halaman web yang berisi instruksi aplikasi.

Domain yang salah ketik menghosting konten curian (HP)

Situs-situs ini tidak melakukan phishing atau menghosting malware, jadi satu-satunya tujuan mereka adalah mengarahkan korban ke jalur infeksi.

Payload tiba dalam bentuk lampiran HTML pada pesan email tersebut, yang merupakan file arsip ISO yang disandikan base64 yang didekodekan dengan cepat dan ditawarkan untuk diunduh melalui gumpalan JavaScript di browser.

File ISO yang disandikan base64 (HP)

Teknik menyelinap format file berisiko tanpa meningkatkan alarm dari produk keamanan email disebut penyelundupan HTML, dan ini adalah metode distribusi muatan yang mapan dan sedang tren.

File ISO berisi file Visual Basic Script (VBS), yang dijalankan setelah klik dua kali untuk membuat kunci Registry baru dan menjalankan perintah PowerShell yang memanggil berbagai fungsi Windows API.

Setelah serangkaian eksekusi kode berbahaya dan penyalahgunaan Windows API, GuLoader dipasang di sistem dan dieksekusi untuk mengunduh dan menjalankan malware RemcosRAT.

Menurut analis ancaman HP, GuLoader memiliki dua URL unduhan dalam konfigurasinya, satu mengarah ke Dropbox dan satu lagi ke OneDrive, jadi ada beberapa redundansi yang diterapkan pada tahap ini.

Penting juga untuk dicatat bahwa GuLoader dijalankan melalui PowerShell yang disimpan di registri, dan berjalan di memori sistem, sehingga sebagian besar alat anti-virus tidak akan mendeteksinya.

Seperti yang ditunjukkan HP, satu-satunya cara untuk memutus rantai infeksi adalah dengan mengatur aplikasi default untuk file skrip dari Windows Script Host ke Notepad, yang akan mengungkapkan sifat sebenarnya dari file VBS.

Isi file VBS seperti yang terlihat di Notepad (HP)

Remcos adalah alat akses jarak jauh komersial (RAT) yang sah yang telah digunakan oleh penjahat dunia maya untuk tujuan jahat selama beberapa tahun sekarang.

Ini adalah alat canggih yang mendukung eksekusi perintah jarak jauh, pengambilan tangkapan layar, pencatatan penekanan tombol, perekaman webcam dan mikrofon, dan banyak lagi.

Pelaku ancaman menggunakan Remcos untuk mengendus detail transaksi, mencuri kredensial berharga, bergerak secara lateral di jaringan bank, atau mencuri informasi yang diperlukan untuk serangan BEC.

Pemerasan finansial melalui eksfiltrasi data atau penyebaran ransomware juga mungkin terjadi, sementara pelaku ancaman selalu dapat memilih untuk menjual akses jaringan mereka ke peretas lain dan menghasilkan uang dengan cepat tanpa mempertaruhkan masalah penegakan hukum.

Sumber : Bleeping Computer

Geng ransomware LockBit mengintai di jaringan pemerintah AS selama berbulan-bulan

by

Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.

Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.

Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.

Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.

Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.

Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.

Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.

Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.

Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.

Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.

Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.

Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.

Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.

Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.

Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.

Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.

Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.

Sumber : Bleeping Computer