Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Detail tentang kode JS berbahaya (CERT-UA)

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Beberapa situs yang ditargetkan adalah: Selengkapnya

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

CERT-UA bekerja sama dengan Bank Nasional Ukraina untuk menerapkan langkah-langkah defensif terhadap kampanye DDoS ini.

Agensi telah memberi tahu pemilik, pendaftar, dan penyedia layanan hosting situs web yang disusupi tentang situasi tersebut dan telah memberikan instruksi tentang cara mendeteksi dan menghapus JavaScript berbahaya dari situs mereka.

Tanda kompromi dalam log (CERT-UA)

Saat ini, setidaknya 36 situs web yang dikonfirmasi menyalurkan permintaan sampah berbahaya ke URL target, tetapi daftar ini dapat berubah atau diperbarui kapan saja.

Untuk alasan ini, CERT-UA telah menyertakan alat pendeteksi dalam laporan untuk membantu semua administrator situs web memindai situs mereka sekarang dan di masa mendatang.

Selain itu, penting untuk selalu memperbarui sistem manajemen konten (CMS) situs Anda, menggunakan versi terbaru yang tersedia dari semua plugin aktif, dan membatasi akses ke halaman manajemen situs web.

Sumber: Bleeping Computer

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

by

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Aliran serangan APT35 (Morphisec)

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Peretas Korea Utara menargetkan jurnalis dengan malware baru

by

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Proses infeksi dua tahap (Stairwell)

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer

Server Microsoft Exchange diretas untuk menyebarkan ransomware Hive

by

Afiliasi ransomware Hive telah menargetkan server Microsoft Exchange yang rentan terhadap masalah keamanan ProxyShell untuk menyebarkan berbagai pintu belakang, termasuk suar Cobalt Strike.

Dari sana, pelaku ancaman melakukan pengintaian jaringan, mencuri kredensial akun admin, mengekstrak data berharga, dan akhirnya menyebarkan muatan enkripsi file.

ProxyShell adalah kumpulan tiga kerentanan di Microsoft Exchange Server yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi pada penyebaran yang rentan. Cacat telah digunakan oleh beberapa pelaku ancaman, termasuk ransomware seperti Conti, BlackByte, Babuk, Kuba, dan LockFile, setelah eksploitasi tersedia.

Cacat dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31297, dan peringkat keparahannya berkisar dari 7,2 (tinggi) hingga 9,8 (kritis).

Kerentanan keamanan dianggap sepenuhnya ditambal pada Mei 2021, tetapi detail teknis ekstensif tentang mereka hanya tersedia pada Agustus 2021, dan segera setelah itu, eksploitasi berbahaya dimulai [1, 2].

Fakta bahwa afiliasi Hive berhasil mengeksploitasi ProxyShell dalam serangan baru-baru ini menunjukkan bahwa masih ada ruang untuk menargetkan server yang rentan.

Setelah eksploitasi ProxyShell, para peretas menanam empat web shell di direktori Exchange yang dapat diakses, dan mengeksekusi kode PowerShell dengan hak istimewa tinggi untuk mengunduh stager Cobalt Strike.

Shell web yang digunakan dalam serangan khusus ini bersumber dari repositori Git publik dan hanya diganti namanya untuk menghindari deteksi selama kemungkinan inspeksi manual.

Web shell dengan nama acak (Varonis)

Dari sana, penyusup menggunakan Mimikatz, pencuri kredensial, untuk mengambil kata sandi akun admin domain dan melakukan gerakan lateral, mengakses lebih banyak aset di jaringan.

Meluncurkan prompt perintah baru pada sistem yang terpengaruh (Varonis)

Selanjutnya, pelaku ancaman melakukan operasi pencarian file ekstensif untuk menemukan data paling berharga untuk menekan korban agar membayar uang tebusan yang lebih besar.

Analis Varonis telah melihat sisa-sisa pemindai jaringan yang hilang, daftar alamat IP, enumerasi perangkat dan direktori, RDP ke server cadangan, pemindaian database SQL, dan banyak lagi.

Salah satu kasus penting penyalahgunaan perangkat lunak pemindaian jaringan adalah “SoftPerfect”, alat ringan yang digunakan aktor ancaman untuk menghitung host langsung dengan melakukan ping ke mereka dan menyimpan hasilnya pada file teks.

Akhirnya, dan setelah semua file dieksfiltrasi, muatan ransomware bernama “Windows.exe” dijatuhkan dan dijalankan di banyak perangkat.

Sebelum mengenkripsi file organisasi, muatan Golang menghapus salinan bayangan, menonaktifkan Windows Defender, menghapus log peristiwa Windows, menghentikan proses pengikatan file, dan menghentikan Manajer Akun Keamanan untuk menonaktifkan peringatan.

Perintah yang dijalankan oleh muatan akhir (Varonis)

Hive telah berjalan jauh sejak pertama kali diamati di alam liar pada Juni 2021, memiliki awal yang sukses yang mendorong FBI untuk merilis laporan khusus tentang taktik dan indikator komprominya.

Pada Oktober 2021, geng Hive menambahkan varian Linux dan FreeBSD, dan pada Desember menjadi salah satu operasi ransomware paling aktif dalam frekuensi serangan.

Sumber : Bleeping Computer

Okta: Pelanggaran Lapsus$ hanya berlangsung 25 menit, mengenai 2 pelanggan

by

Perusahaan manajemen identitas dan akses Okta mengatakan penyelidikan atas pelanggaran Lapsus$ Januari menyimpulkan dampak insiden itu secara signifikan lebih kecil dari yang diperkirakan.

Berdasarkan laporan forensik akhir, Chief Security Officer Okta David Bradbury mengatakan penyerang hanya mengakses dua penyewa pelanggan aktif setelah menguasai satu stasiun kerja yang digunakan oleh seorang insinyur yang bekerja untuk Sitel, penyedia layanan dukungan pelanggan pihak ketiga di pusat kecelakaan.

Dampak terbatas yang tak terduga ini berasal dari jendela waktu yang sempit hanya 25 menit berturut-turut yang dikendalikan oleh aktor ancaman atas workstation yang disusupi pada 21 Januari 2022.

“Selama jangka waktu terbatas itu, pelaku ancaman mengakses dua penyewa pelanggan aktif dalam aplikasi SuperUser (yang telah kami beri tahu secara terpisah), dan melihat informasi tambahan terbatas di aplikasi tertentu lainnya seperti Slack dan Jira yang tidak dapat digunakan untuk melakukan tindakan di Okta penyewa pelanggan,” jelas Bradbury, Selasa.

“Aktor ancaman tidak berhasil melakukan perubahan konfigurasi apa pun, pengaturan ulang MFA atau kata sandi, atau peristiwa ‘peniruan identitas’ dukungan pelanggan.”

CSO Okta menambahkan bahwa perusahaan akan memastikan bahwa penyedia layanannya mematuhi persyaratan keamanan baru, termasuk mengadopsi arsitektur keamanan Zero Trust dan mengautentikasi melalui solusi IDAM Okta untuk semua aplikasi tempat kerja.

Okta juga mengakhiri hubungannya dengan Sitel dan sekarang secara langsung mengelola semua perangkat pihak ketiga dengan akses ke alat dukungan pelanggannya.

Okta mengaku bulan lalu melakukan kesalahan dengan menunda pengungkapan pelanggaran Januari dari kelompok pemerasan data Lapsus$, kesalahan yang disebabkan oleh perusahaan yang tidak mengetahui sejauh mana insiden itu dan dampaknya terhadap pelanggan.

Seperti dilansir BleepingComputer, Okta mulai menyelidiki klaim peretasan setelah Lapsus$ membagikan tangkapan layar di saluran Telegram yang menyiratkan bahwa mereka telah melanggar jaringan pelanggan Okta.

Awalnya, Okta mengatakan bahwa peretas Lapsus$ memperoleh akses Remote Desktop (RDP) ke laptop teknisi dukungan Situs melalui “jendela lima hari” antara 16 Januari dan 21 Januari.

Sitel kemudian menyalahkan pelanggaran pada infrastruktur “warisan” di Sykes yang baru diakuisisi, yang berkontribusi pada insiden itu dan memungkinkan penyerang mengakses sistem insinyur

Sehari setelah itu diungkapkan, CEO Okta Todd McKinnon melabeli brach sebagai “upaya” untuk mengkompromikan akun seorang insinyur dukungan tunggal. Namun, Okta kemudian mengatakan bahwa 366 pelanggannya terkena dampak insiden tersebut.

Okta adalah perusahaan publik yang bernilai lebih dari $6 miliar dan mempekerjakan lebih dari 5.000 orang di seluruh dunia yang menyediakan layanan manajemen identitas dan otentikasi ke lebih dari 15.000 organisasi di seluruh dunia.

Sumber : Bleeping Computer

Peretas negara Rusia menyerang Ukraina dengan varian malware baru

by

Analis ancaman melaporkan bahwa kelompok ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon (alias Armageddon/Shuckworm) meluncurkan serangan terhadap target di Ukraina menggunakan varian baru dari pintu belakang kustom Pteredo.

Gamaredon telah meluncurkan kampanye spionase dunia maya yang menargetkan pemerintah Ukraina dan entitas penting lainnya setidaknya sejak 2014.

Aktor ini dikenal karena fokusnya yang kuat di Ukraina, yang dikaitkan dengan lebih dari 5.000 serangan siber terhadap 1.500 entitas publik dan swasta di negara tersebut.

Menurut laporan Symantec, yang melacak grup tersebut sebagai Shuckworm, aktor tersebut saat ini menggunakan setidaknya empat varian malware “Pteredo”, yang juga dilacak sebagai Pteranodon.

Akar pintu belakang ada di forum peretas Rusia dari 2016 dari mana Shuckworm mengambilnya dan mulai mengembangkannya secara pribadi dengan modul dan fitur DLL khusus untuk mencuri data, akses jarak jauh, dan penghindaran analisis.

Analis Symantec melaporkan bahwa semua muatan berbeda yang dikerahkan terhadap target Ukraina baru-baru ini melakukan tugas serupa, tetapi masing-masing berkomunikasi dengan alamat server server perintah dan kontrol (C2) yang berbeda.

Ini menunjukkan bahwa aktor ancaman menggunakan beberapa muatan berbeda untuk mencapai redundansi dan membangun kegigihan yang tahan terhadap tindakan pembersihan malware.

Tugas terjadwal ditambahkan untuk ketekunan (Symantec)

Di keempat varian yang diamati, pelaku ancaman menggunakan dropper VBS yang dikaburkan yang menambahkan Tugas Terjadwal dan kemudian mengambil modul tambahan dari C2.

Pteredo.B – Arsip 7-Zip self-extracting yang dimodifikasi yang berisi beberapa VBScript yang berfokus pada pengumpulan data dan pembentukan kegigihan.
Pteredo.C – Varian yang menggunakan VBScript yang diluncurkan dengan proses hammering API untuk memastikannya tidak berjalan di sandbox analis. Bergantung pada pengambilan skrip PowerShell dari sumber eksternal dan menjalankannya.

PowerShell digunakan oleh Pteredo.C (Symantec)

Pteredo.D – Penetes VBScript lain yang dikaburkan yang menghapus DNS sebelum mengambil muatan, menjalankan perintah, dan menghapus jejak tahap infeksi awal.
Pteredo.E – Varian lain yang menampilkan campuran dari tiga fitur sebelumnya, seperti kebingungan berat dan palu API.

Alat lain yang digunakan dan disalahgunakan dalam serangan Shuckworm baru-baru ini termasuk alat akses jarak jauh UltraVNC, dan Microsoft Process Explorer untuk menangani proses modul DLL.

Dengan melihat aktivitas Shuckworm terhadap target Ukraina mulai Januari 2022, mudah untuk menyimpulkan bahwa taktik kelompok ancaman tidak berubah secara signifikan.

Dalam serangan sebelumnya, varian backdoor Pteredo dijatuhkan menggunakan file VBS yang bersembunyi di dalam lampiran file DOC pada email spear-phishing.

Binari self-extracting 7-Zip yang meminimalkan interaksi pengguna juga digunakan pada bulan Januari, sementara penyalahgunaan UltraVNC dan Process Explorer juga terlihat.

Meskipun Shuckworm/Gamaredon adalah grup yang cukup canggih, perangkat dan taktik infeksinya belum membaik dalam beberapa bulan terakhir, memungkinkan pendeteksian yang lebih mudah dan taktik pertahanan yang lebih sederhana.

Sumber : Bleeping Computer

CISA memperingatkan penyerang yang sekarang mengeksploitasi bug Windows Print Spooler

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan tiga kelemahan keamanan baru ke daftar bug yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal di Windows Print Spooler.

Kerentanan tingkat keparahan tinggi ini (dilacak sebagai CVE-2022-22718) berdampak pada semua versi Windows sesuai dengan saran Microsoft dan telah ditambal selama Patch Februari 2022 pada hari Selasa.

Satu-satunya informasi yang dibagikan Microsoft tentang kelemahan keamanan ini adalah bahwa pelaku ancaman dapat mengeksploitasinya secara lokal dalam serangan dengan kompleksitas rendah tanpa interaksi pengguna.

Redmond menambal beberapa bug Windows Print Spooler lainnya dalam 12 bulan terakhir, termasuk kerentanan eksekusi kode jarak jauh PrintNightmare yang kritis.

Setelah detail teknis dan eksploitasi proof-of-concept (POC) untuk PrintNightmare secara tidak sengaja bocor, CISA memperingatkan admin untuk menonaktifkan layanan Windows Print Spooler pada Pengontrol Domain dan sistem yang tidak digunakan untuk mencetak untuk memblokir kemungkinan serangan masuk.

Minggu lalu, CISA menambahkan bug eskalasi hak istimewa lainnya di Driver Sistem File Log Umum Windows ke daftar kelemahan yang dieksploitasi di alam liar, bug yang dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA) dan ditambal oleh Microsoft selama Patch Selasa bulan ini. .

Menurut arahan operasional yang mengikat November (BOD 22-01), semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan Tereksploitasi yang Diketahui (KEV).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 10 Mei, untuk menambal kerentanan CVE-2022-22718 yang sekarang aktif dieksploitasi dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan ini hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk memperbaiki elevasi bug hak istimewa Windows Print Spooler ini untuk menggagalkan upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan dua kerentanan keamanan lama ke katalog KEV-nya hari ini, juga disalahgunakan dalam serangan yang sedang berlangsung.

Nama Kerentanan CVE Tanggal Ditambahkan

  • CVE-2022-22718 Microsoft Windows Print Spooler Privilege Eskalasi Kerentanan 2022-04-19
  • CVE-2018-6882 Zimbra Collaboration Suite (ZCS) Skrip Lintas Situs (XSS) 2022-04-19
  • CVE-2019-3568 WhatsApp VOIP Stack Buffer Overflow Kerentanan 2022-04-19

Sejak BOD 22-01 binding directive dikeluarkan, CISA telah menambahkan ratusan bug keamanan ke dalam daftar kerentanan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk mencegah pelanggaran.

Sumber : Bleeping Computer

AS memperingatkan peretas Lazarus yang menggunakan aplikasi cryptocurrency berbahaya

by

CISA, FBI, dan Departemen Keuangan AS hari ini memperingatkan bahwa kelompok peretasan Lazarus Korea Utara menargetkan organisasi di industri cryptocurrency dan blockchain dengan aplikasi cryptocurrency tertrojan.

Penyerang menggunakan rekayasa sosial untuk mengelabui karyawan perusahaan cryptocurrency agar mengunduh dan menjalankan aplikasi cryptocurrency Windows dan macOS yang berbahaya.

Operator Lazarus kemudian menggunakan alat trojan ini untuk mendapatkan akses ke komputer target, menyebarkan malware ke seluruh jaringan mereka, dan mencuri kunci pribadi yang memungkinkan memulai transaksi blockchain palsu dan mencuri aset kripto korban dari dompet mereka.

“Penyusupan dimulai dengan sejumlah besar pesan spearphishing yang dikirim ke karyawan perusahaan cryptocurrency—seringkali bekerja di administrasi sistem atau pengembangan perangkat lunak/operasi TI (DevOps)—pada berbagai platform komunikasi,” demikian bunyi penasihat bersama yang diterbitkan pada hari Senin.

Aplikasi TraderTraitor yang tertrojan adalah utilitas berbasis Elektron dan lintas platform yang dikembangkan menggunakan JavaScript dan lingkungan runtime Node.js.

Aplikasi TraderTraitor hampir selalu didorong melalui situs web yang menampilkan desain modern yang mengiklankan fitur dugaan aplikasi kripto palsu.

Situs web CryptAIS (CISA)

“Muatan yang diamati termasuk macOS dan Windows varian Manuscrypt yang diperbarui, trojan akses jarak jauh khusus (RAT), yang mengumpulkan informasi sistem dan memiliki kemampuan untuk menjalankan perintah sewenang-wenang dan mengunduh muatan tambahan,” tambah agen federal.

Di antara aplikasi cryptocurrency TraderTraitor berbahaya yang digunakan dalam kampanye ini, saran bersama menyoroti:

DAFOM: “aplikasi portofolio cryptocurrency” (macOS)
TokenAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” untuk cryptocurrency (macOS)
CryptAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” (macOS)
AlticGO: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (Windows)
Esilet: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (macOS)
CreAI Deck: mengklaim sebagai platform untuk “kecerdasan buatan dan pembelajaran mendalam” (Windows dan macOS)

Tahun lalu, FBI, CISA, dan Departemen Keuangan AS juga berbagi informasi tentang aplikasi perdagangan crypto jahat dan palsu yang disuntik dengan malware AppleJeus yang digunakan oleh Lazarus untuk mencuri cryptocurrency dari individu dan perusahaan di seluruh dunia.

Daftar aplikasi yang di-trojan menggunakan AppleJeus termasuk Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio, dan Ants2Whale.

Departemen Kehakiman A.S. mendakwa tiga anggota Lazarus Group karena mencuri $1,3 miliar uang dan cryptocurrency dalam beberapa serangan terhadap bank, industri hiburan, perusahaan cryptocurrency, dan organisasi lain di seluruh dunia.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas Korea Utara (Lazarus Group, Bluenoroff, dan Andariel) karena menyalurkan aset keuangan yang mereka curi dalam serangan siber kepada pemerintah Korea Utara.

Sumber : Bleeping Computer