Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Seorang Pria Amerika Menghapus Internet Korea Utara Setelah Mereka Meretasnya

by

Selama dua minggu terakhir, Hampir semua situs web terputus secara massal, dari situs pemesanan maskapai Air Koryo hingga Naenara, halaman yang berfungsi sebagai portal resmi untuk diktator Kim. pemerintahan Jong-un.

Beberapa pengamat Korea Utara menunjukkan bahwa negara itu baru saja melakukan serangkaian uji coba rudal, menyiratkan bahwa peretas pemerintah asing mungkin telah meluncurkan serangan siber terhadap negara jahat itu untuk memintanya menghentikan serangan pedang.

Tetapi tanggung jawab atas pemadaman internet yang sedang berlangsung di Korea Utara sebenarnya adalah pekerjaan seorang pria Amerika dengan T-shirt yang secara berkala berjalan ke kantor rumahnya untuk memeriksa kemajuan program yang dia jalankan untuk mengganggu internet di seluruh negara.

P4x mengatakan dia menemukan banyak kerentanan tetapi belum ditambal dalam sistem Korea Utara yang memungkinkan dia untuk meluncurkan serangan “denial-of-service” sendirian di server dan router yang bergantung pada beberapa jaringan yang terhubung ke internet di negara itu. Dia menyebut salah satu contoh, bug yang dikenal di perangkat lunak server web NginX yang salah menangani header HTTP tertentu, memungkinkan server yang menjalankan perangkat lunak kewalahan dan offline. Dia juga menyinggung untuk menemukan versi “kuno” dari perangkat lunak server web Apache, dan mengatakan dia mulai memeriksa sistem operasi homebrew nasional Korea Utara, yang dikenal sebagai Red Star OS, yang dia gambarkan sebagai versi lama dan kemungkinan rentan dari Linux.

P4x mengatakan bahwa dia telah mengotomatiskan serangannya terhadap sistem Korea Utara, secara berkala menjalankan skrip yang menyebutkan sistem mana yang tetap online dan kemudian meluncurkan eksploitasi untuk menjatuhkannya. “Bagi saya, ini seperti ukuran pentest kecil hingga menengah,” kata P4x, menggunakan singkatan dari “penetration test,” jenis peretasan topi putih yang pernah dia lakukan di masa lalu untuk mengungkap kerentanan di jaringan klien .

Catatan dari layanan pengukuran waktu aktif Pingdom menunjukkan bahwa di beberapa titik selama peretasan P4x, hampir setiap situs web Korea Utara down.

Ali mengatakan dia melihat router-router utama untuk negara itu kadang-kadang mati, membawa mereka tidak hanya akses ke situs web negara itu, tetapi juga ke email dan layanan berbasis internet lainnya.

Sebagian besar penduduk terbatas pada intranet negara yang terputus. Williams mengatakan lusinan situs P4x telah berulang kali dihapus sebagian besar digunakan untuk propaganda dan fungsi lain yang ditujukan untuk audiens internasional.

Upaya hacktivistnya dimaksudkan untuk mengirim pesan tidak hanya kepada pemerintah Korea Utara, tetapi juga dirinya sendiri. Serangan sibernya di jaringan Korea Utara, katanya, sebagian merupakan upaya untuk menarik perhatian pada apa yang dia lihat sebagai kurangnya respons pemerintah terhadap Korea Utara yang menargetkan individu AS. “Jika tidak ada yang akan membantu saya, saya akan membantu diri saya sendiri,” katanya.

P4x tahu persis momen tahun lalu ketika dia dipukul oleh mata-mata Korea Utara. Pada akhir Januari 2021, dia membuka file yang dikirim kepadanya oleh sesama peretas, yang menggambarkannya sebagai alat eksploitasi. Hanya 24 jam kemudian, dia melihat posting blog dari Grup Analisis Ancaman Google yang memperingatkan bahwa peretas Korea Utara menargetkan peneliti keamanan. Benar saja, ketika P4x meneliti alat peretasan yang dia terima dari orang asing, dia melihat bahwa itu berisi pintu belakang yang dirancang untuk memberikan pijakan jarak jauh di komputernya. P4x telah membuka file di mesin virtual, secara digital mengkarantinanya dari sisa sistemnya. Tapi dia tetap terkejut dan terkejut dengan kesadaran bahwa dia secara pribadi telah menjadi sasaran Korea Utara.

P4x mengatakan dia dihubungi oleh FBI tetapi tidak pernah ditawari bantuan nyata untuk kerusakan dari peretasan Korea Utara. Dia juga tidak pernah mendengar konsekuensi apa pun bagi peretas yang menargetkannya, penyelidikan terbuka terhadap mereka, atau bahkan pengakuan resmi dari agen AS bahwa Korea Utara bertanggung jawab. Itu mulai terasa, seperti yang dia katakan, seperti “benar-benar tidak ada seorang pun di pihak kita.”

Setelah pengalamannya sebagai target spionase siber yang disponsori negara, P4x menghabiskan sebagian besar tahun berikutnya untuk proyek-proyek lain. Tetapi setelah satu tahun berlalu, masih tanpa pernyataan publik atau swasta dari pemerintah federal tentang penargetan peneliti keamanan dan tidak ada tawaran dukungan dari badan AS mana pun, P4x mengatakan bahwa dia memutuskan sudah waktunya untuk membuat pernyataannya sendiri kepada kedua Korea Utara. dan pemerintah Amerika.

Peretas lain yang ditargetkan oleh Korea Utara tidak semuanya setuju bahwa peretasan P4x adalah cara yang tepat untuk membuat pernyataan itu. Dave Aitel, mantan peretas NSA dan pendiri firma keamanan Imunitas, juga menjadi sasaran dalam kampanye spionase yang sama. Tetapi dia mempertanyakan apakah P4x telah mengambil pendekatan yang produktif untuk membalas dendam, mengingat bahwa dia mungkin sebenarnya menghalangi upaya intelijen tersembunyi yang menargetkan komputer Korea Utara yang sama.

Namun, Aitel setuju bahwa tanggapan pemerintah terhadap kampanye Korea Utara masih kurang. Dia mengatakan dia tidak pernah menerima kontak apa pun dari lembaga pemerintah dan menyalahkan kebisuan itu secara khusus di kaki Badan Keamanan Cybersecurity dan Infrastruktur. “Ini adalah salah satu bola terbesar yang telah dijatuhkan CISA,” kata Aitel. “Amerika Serikat pandai melindungi pemerintah, baik dalam melindungi perusahaan, tetapi tidak melindungi individu.” Dia menunjukkan bahwa banyak peneliti keamanan yang ditargetkan kemungkinan memiliki akses signifikan ke kerentanan perangkat lunak, jaringan perusahaan, dan kode alat yang banyak digunakan. Itu bisa menghasilkan, katanya, di “SolarWinds berikutnya.”

Terlepas dari kritik pemerintah AS, P4x jelas bahwa peretasannya bertujuan terutama untuk mengirim pesan ke rezim Kim, yang ia gambarkan sebagai melakukan “pelanggaran hak asasi manusia yang gila dan kontrol penuh atas populasi mereka.” Meskipun dia mengakui bahwa serangannya kemungkinan melanggar undang-undang penipuan dan peretasan komputer AS, dia berpendapat bahwa dia tidak melakukan kesalahan etis. “Hati nurani saya bersih,” katanya.

Sumber : WIRED

Jembatan token Wormhole kehilangan $321 juta dalam peretasan terbesar sejauh ini pada tahun 2022

by

Jembatan token Wormhole mengalami eksploitasi keamanan pada hari Rabu, mengakibatkan hilangnya 120.000 token Wrapped Ether (wETH) ($321 juta) dari platform.

Wormhole adalah jembatan token yang memungkinkan pengguna untuk mengirim dan menerima kripto antara Ethereum, Solana, Binance Smart Chain (BSC), Polygon, Longsor, Oasis dan Terra tanpa menggunakan pertukaran terpusat.

Ini adalah peretasan crypto terbesar tahun 2022 sejauh ini dan peretasan keuangan terdesentralisasi terbesar kedua hingga saat ini. Tim Wormhole telah menawarkan hadiah bug senilai $10 juta untuk pengembalian dana tersebut.

Peretasan terjadi di sisi jembatan Solana, dan ada kekhawatiran bahwa jembatan Wormhole ke Terra juga rentan.

Peretasan terjadi pada pukul 18:24 UTC pada hari Rabu. Penyerang mencetak 120.000 wETH di Solana, kemudian menukarkan 93.750 weTH dengan ETH senilai $254 juta ke jaringan Ethereum pada pukul 18:28 UTC. Peretas telah menggunakan sejumlah dana untuk membeli SportX (SX), Meta Capital (MCAP), Akhirnya Dapat Digunakan Crypto Karma (FUCK) dan Bored Ape Yacht Club Token (APE).

Sisanya ditukar dengan Solana (SOL) dan USD Coin (USDC) di Solana. Dompet Solana peretas saat ini memegang 432.662 SOL ($44 juta).

Tim Wormhole menghubungi peretas melalui alamat Ethereum mereka, menawarkan untuk membiarkan peretas menyimpan dana senilai $10 juta yang dicuri jika sisa dana dikembalikan.

Pada saat penulisan, token WETH yang dikirim melintasi jembatan belum dapat ditukarkan, sementara tim Wormhole mencoba untuk memperbaiki eksploitasi.

Frekuensi peretasan kontrak pintar pada jembatan token berfungsi untuk memvalidasi peringatan 7 Januari Vitalik Buterin bahwa ada “batas keamanan mendasar jembatan.” Peringatan salah satu pendiri Ethereum berada dalam konteks serangan 51% terhadap Ethereum, tetapi sarannya tepat waktu ketika ia menunjukkan kerentanan umum yang tampak pada jembatan yang mengirim token melintasi blockchain layer-1.

Sumber : Coin Telegraph

Hacker Menggunakan Trik Pendaftaran Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase berskala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kolam infeksi.

Raksasa teknologi itu mengatakan serangan itu dimanifestasikan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk mengambil keuntungan dari kebijakan bring-your-own-device (BYOD) target dan memperkenalkan perangkat nakal mereka sendiri menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang berlokasi terutama di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam sebuah laporan teknis yang diterbitkan minggu ini.

Kredensial yang dicuri kemudian dimanfaatkan pada tahap kedua, di mana penyerang menggunakan akun yang dikompromikan untuk memperluas pijakan mereka dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.

Kampanye dimulai dengan pengguna yang menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah mengklik, mengarahkan penerima ke situs web nakal yang menyamar sebagai halaman login untuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instans Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Dengan menghubungkan perangkat yang dikendalikan penyerang ke jaringan, teknik baru membuatnya layak untuk memperluas pijakan penyerang, diam-diam memperbanyak serangan, dan bergerak lateral di seluruh jaringan yang ditargetkan.

“Untuk meluncurkan gelombang kedua, para penyerang memanfaatkan kotak surat yang dikompromikan pengguna yang ditargetkan untuk mengirim pesan berbahaya ke lebih dari 8.500 pengguna, baik di dalam maupun di luar organisasi korban,” kata Microsoft. Email menggunakan umpan undangan berbagi SharePoint sebagai badan pesan dalam upaya untuk meyakinkan penerima bahwa file ‘Pembayaran.pdf’ yang dibagikan adalah sah.”

Perkembangan ini terjadi ketika serangan rekayasa sosial berbasis email terus menjadi cara paling dominan untuk menyerang perusahaan untuk mendapatkan entri awal dan menjatuhkan malware pada sistem yang dikompromikan.

Awal bulan ini, Netskope Threat Labs mengungkapkan kampanye jahat yang dikaitkan dengan grup OceanLotus yang melewati deteksi berbasis tanda tangan dengan menggunakan jenis file non-standar seperti file arsip web (. MHT) lampiran untuk menyebarkan informasi-mencuri malware.

Selain mengaktifkan MFA, menerapkan praktik terbaik seperti kebersihan kredensial yang baik dan segmentasi jaringan dapat “meningkatkan ‘biaya’ bagi penyerang yang mencoba menyebar melalui jaringan.”

“Praktik terbaik ini dapat membatasi kemampuan penyerang untuk bergerak secara lateral dan membahayakan aset setelah intrusi awal dan harus dilengkapi dengan solusi keamanan canggih yang memberikan visibilitas di seluruh domain dan mengkoordinasikan data ancaman di seluruh komponen perlindungan,” tambah Microsoft.

Sumber: The Hacker News

Peretas Menggunakan Trik Registrasi Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kumpulan infeksi.

Raksasa teknologi itu mengatakan serangan itu diwujudkan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk memanfaatkan kebijakan bawa perangkat Anda sendiri (BYOD) target dan memperkenalkan kebijakan mereka sendiri. perangkat jahat menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang sebagian besar berlokasi di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam laporan teknis yang diterbitkan minggu ini.

“Kredensial yang dicuri kemudian dimanfaatkan pada fase kedua, di mana penyerang menggunakan akun yang disusupi untuk memperluas pijakan mereka di dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.”

Kampanye dimulai dengan pengguna menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah diklik, mengarahkan penerima ke situs web jahat yang menyamar sebagai halaman masuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instance Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Selengkapnya: The Hacker News

Peretas mengambil alih akun CEO dengan aplikasi OAuth jahat

by

Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.

Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.

Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.

OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.

Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.

Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.

Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.

Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.

Selengkapnya: Bleeping Computer

Malware Tersembunyi Hacker APT29 Rusia Tidak Terdeteksi Selama Bertahun-tahun

by Leave a Comment

Eksklusif: Peretas yang terkait dengan Dinas Intelijen Asing Federasi Rusia (SVR) melanjutkan serangan mereka pada jaringan beberapa organisasi setelah kompromi rantai pasokan SolarWinds menggunakan dua ancaman canggih yang baru-baru ini ditemukan.

Implan berbahaya adalah varian dari backdoor GoldMax untuk sistem Linux dan keluarga malware yang sama sekali baru yang sekarang dilacak oleh perusahaan cybersecurity CrowdStrike sebagai TrailBlazer.

Kedua ancaman telah digunakan dalam kampanye StellarParticle setidaknya sejak pertengahan 2019 tetapi diidentifikasi dua tahun kemudian, selama penyelidikan respons insiden.

Serangan StellarParticle telah dikaitkan dengan kelompok peretas APT29 telah menjalankan kampanye spionase cyber selama lebih dari 12 tahun dan juga dikenal sebagai CozyBear, The Dukes, dan Yttrium.

Mencuri cookie untuk bypass MFA

Dalam sebuah laporan yang dibagikan secara eksklusif dengan BleepingComputer, perusahaan cybersecurity CrowdStrike hari ini menjelaskan secara rinci taktik, teknik, dan prosedur terbaru (TTP) yang diamati dalam serangan cyber dari peretas yang disponsori negara Cozy Bear.

Sementara beberapa teknik agak umum saat ini, Cozy Bear telah menggunakannya jauh sebelum menjadi populer:

  • hopping kredensial
  • membajak Office 365 (O365) Service Principal dan Aplikasi
  • melewati autentikasi multi-faktor (MFA) dengan mencuri cookie browser
  • mencuri kredensial menggunakan Get-ADReplAccount

Credential hopping adalah tahap pertama serangan, memungkinkan aktor ancaman untuk masuk ke Office 365 dari server internal yang dijangkau peretas melalui sistem yang dihadapi publik yang dikompromikan.

CrowdStrike mengatakan bahwa teknik ini sulit dikenali di lingkungan dengan sedikit visibilitas ke dalam penggunaan identitas karena peretas dapat menggunakan lebih dari satu akun administrator domain.

Melewati MFA untuk mengakses sumber daya cloud dengan mencuri cookie browser telah digunakan sejak sebelum 2020. CrowdStrike mengatakan bahwa APT29 tetap low profile setelah mendekripsi cookie otentikasi, kemungkinan offline, dengan menggunakan ekstensi Editor Cookie untuk Chrome untuk memutar ulang; mereka menghapus ekstensi setelah itu.

Hal ini memungkinkan mereka untuk bergerak lateral di jaringan dan mencapai tahap berikutnya dari serangan, menghubungkan ke penyewa O365 korban untuk tahap berikutnya dari serangan.

Laporan CrowdStrike menjelaskan langkah-langkah yang diambil APT29 untuk mencapai kegigihan dalam posisi yang memungkinkan mereka membaca email dan file SharePoint atau OneDrive dari organisasi yang dikompromikan.

Selengkapnya: Bleepingcomputer

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

by

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Aliran serangan (Malwarebytes)

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer