Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Pemerintah AS peringatkan serangan ransomware Maui terhadap organisasi Health Services

by

FBI, CISA, dan Departemen Keuangan A.S. hari ini mengeluarkan peringatan bersama tentang aktor ancaman yang didukung Korea Utara yang menggunakan ransomware Maui dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

Mulai Mei 2021, FBI telah menanggapi dan mendeteksi beberapa serangan ransomware Maui yang berdampak pada organisasi Sektor HPH di seluruh AS.

Menurut laporan ancaman yang ditulis oleh reverse engineer utama Stairwell Silas Cutler, ransomware Maui disebarkan secara manual di seluruh jaringan korban yang disusupi, dengan operator jarak jauh menargetkan file tertentu yang ingin mereka enkripsi.

Sementara Stairwell mengumpulkan sampel Maui pertama pada awal April 2022, semua sampel ransomware Maui memiliki stempel waktu kompilasi yang sama pada 15 April 2021.

Maui juga menonjol dibandingkan dengan jenis ransomware lainnya dengan tidak menjatuhkan catatan tebusan pada sistem terenkripsi untuk memberikan instruksi pemulihan data kepada korban.

File enkripsi ransomware Maui (BleepingComputer)

Tiga agen federal AS juga memberikan indikator kompromi (IOC) yang diperoleh FBI saat menanggapi serangan ransomware Maui sejak Mei 2021.

Mereka juga mendesak organisasi Sektor HPH untuk menerapkan mitigasi dan menerapkan serangkaian tindakan yang dibagikan dalam penasihat bersama untuk mempersiapkan, mencegah, dan menanggapi insiden ransomware.

Paling tidak, pembela jaringan disarankan untuk melatih pengguna untuk menemukan dan melaporkan upaya phishing, mengaktifkan dan menerapkan otentikasi multi-faktor di seluruh organisasi mereka, dan selalu memperbarui perangkat lunak antivirus dan antimalware di semua host.

Agen federal juga “sangat tidak menganjurkan” korban untuk membayar tuntutan tebusan dari pelaku ancaman di balik serangan ransomware Maui dan mengingatkan organisasi HPH tentang nasihat yang dikeluarkan oleh Departemen Keuangan mengenai risiko sanksi yang terkait dengan pembayaran ransomware.

Aktivitas ransomware Maui (ID-Ransomware)

OpenSSL memperbaiki dua bug crypto “one-liner”

by

OpenSSL telah merilis pembaruan keamanan untuk mengatasi kerentanan mempengaruhi OpenSSL 3.0.4. Seorang penyerang dapat mengeksploitasi kerentanan ini untukmengambil kendali dari sistem yang terpengaruh.

Beberapa headlines menggambarkan bug itu sebagai kemungkinan “cacat yang lebih buruk dari Heartbleed flaw”. Heartbleed, adalah bug kebocoran data profil tinggi yang mengintai tanpa diketahui di OpenSSL selama beberapa tahun sebelum akhirnya dipublikasikan publisitas pada tahun 2014

Faktanya, Heartbleed mungkin dapat dianggap sebagai contoh awal dari aproses BWAIN (Bug With An Impressive Name)

Heartbleed adalah bug yang mengekspos banyak situs public-facing web ke lalu lintas berbahaya dan mengatakan “Hei”! Beri tahu saya jika Anda masih di sana dengan mengirimkan kembali pesan ini: ROGER. Omong-omong, kirim kembali teks dalam buffer memori yang panjangnya 64.000 byte.”

Server yang belum ditambal akan patuh membalas dengan sesuatu seperti: ROGER [ditambah 64000 minus 5 byte dari apa pun yang kebetulan mengikuti di memori, mungkin termasuk permintaan web orang lain atau bahkan kata sandi dan kunci pribadi].

Menariknya, kedua bug yang diperbaiki dalam rilis ini dsebut sebagai “one-liners”, artinya mengubah atau menambahkan hanya satu baris kode akan menambal setiap lubang.

Faktanya, seperti yang akan kita lihat, salah satu tambalan melibatkan perubahan satu instruksi assembler, yang pada akhirnya menghasilkan hanya dua bit yang ditukar dalam kode yang dikompilasi.

Bug-bug tersebut adalah sebagai berikut:

  • CVE-2022-2274: Memori overflow di eksponensial modular RSA.
  • CVE-2022-2097: Kebocoran data di enkripsi AES-OCB.

Kode eksponensial modular sekarang mengubah hitungan bit menjadi hitungan bilangan bulat, dengan membagi jumlah bit dengan jumlah byte dalam bilangan bulat dikalikan dengan 8 (jumlah bit dalam satu byte).

Kode enkripsi AES-OCB sekarang menggunakan tes JBE (lompat jika di bawah atau sama dengan) di akhir loopnya alih-alih JB (lompat jika di bawah), yang merupakan jenis perubahan yang sama seperti mengubah loop C untuk mengatakan ( i = 1; i <= n; i++) {…} bukan untuk (i = 1; i < n; i++) {…}.

Dalam kode yang dikompilasi, ini hanya mengubah satu bit dari satu byte, yaitu dengan mengganti nilai opcode biner 0111 0010 (lompat jika di bawah) menjadi 0111 0100 (lompat jika di bawah atau sama).

Untungnya, kami tidak mengetahui mode enkripsi khusus AES-OCB yang banyak digunakan (setara modernnya adalah AES-GCM, jika Anda terbiasa dengan banyak varian enkripsi AES).

Khususnya, seperti yang ditunjukkan oleh tim OpenSSL, “OpenSSL tidak mendukung rangkaian sandi berbasis OCB untuk TLS dan DTLS,” sehingga keamanan jaringan koneksi SSL/TLS tidak terpengaruh oleh bug ini.

Apa solusinya?
OpenSSL versi 3.0 dipengaruhi oleh kedua bug ini, dan mendapat pembaruan dari 3.0.4 ke 3.0.5. Sedangkan OpenSSL versi 1.1.1 dipengaruhi oleh bug kebocoran teks biasa AES-OCB, dan mendapat pembaruan dari 1.1.1p ke 1.1.1q. Dari dua bug tersebut, bug eksponensial modular adalah yang lebih parah.

Jika Anda menggunakan OpenSSL 3 dan Anda tidak dapat memutakhirkan source code Anda, tetapi Anda dapat mengkompilasi ulang sumber yang sudah Anda gunakan, maka solusi lainnya adalah membangun kembali OpenSSL Anda saat ini menggunakan pengaturan konfigurasi no-asm.

Untuk menekan code alone AES-OCB, Anda dapat mengkompilasi ulang dengan pengaturan konfigurasi no-ocb, yang seharusnya menjadi intervensi yang tidak berbahaya jika Anda tidak sengaja menggunakan mode OCB di perangkat lunak Anda sendiri.

Sumber: Naked Security

Jerman mengumumkan rencana untuk mengatasi serangan siber pada satelit

by

Kantor Federal Jerman untuk Keamanan Informasi (BSI) telah mengeluarkan profil perlindungan dasar TI untuk infrastruktur ruang angkasa di tengah kekhawatiran bahwa penyerang dapat mengalihkan pandangan mereka ke angkasa.

Dokumen tersebut, yang diterbitkan minggu lalu, adalah hasil kerja selama setahun antara Airbus Defence and Space, Badan Antariksa Jerman di German Aerospace Center (DLR), dan BSI.

Ini difokuskan untuk menentukan persyaratan minimum untuk keamanan dunia maya untuk satelit dan, mungkin dikatakan sinis, sedikit terlambat untuk pesta mengingat seberapa cepat perusahaan seperti SpaceX mengayunkan pesawat ruang angkasa ke orbit.

Panduan ini mengkategorikan persyaratan perlindungan berbagai misi satelit dari “Normal” hingga “Sangat Tinggi” dengan tujuan mencakup misi sebanyak mungkin. Hal ini juga dimaksudkan untuk mencakup keamanan informasi dari pembuatan hingga pengoperasian satelit.

Kategori “Normal” berkorelasi dengan kerusakan yang terbatas dan dapat dikelola. “Tinggi” adalah kerusakan akibat tinggi yang “dapat secara signifikan membatasi pengoperasian sistem satelit.” Adapun “Sangat Tinggi”, serangan itu dapat mengakibatkan penghentian dan “mencapai tingkat yang mengancam secara eksistensial, bencana bagi operator atau pabrikan.”

Detailnya mengesankan, meskipun dokumen ini lebih merupakan dasar dari apa yang memerlukan perhatian (melalui daftar periksa) daripada serangkaian instruksi langsung. Fase siklus hidup satelit termasuk desain, pengujian, transportasi, operasi commissioning, dan akhirnya dekomisioning. Lalu ada jaringan dan aplikasi yang digunakan untuk mendukung pesawat ruang angkasa itu sendiri, sampai ke tingkat subnet atau ruang server.

Saat satelit menjadi lebih pintar, area permukaan serangannya meningkat. Selain itu, mengganggu konstelasi dan komunikasi bisa dibilang merupakan front lain untuk konflik. Badan Antariksa Eropa (ESA) mengundang para peretas untuk membobol pesawat ruang angkasa OPS-SAT (dalam lingkungan yang terkendali) awal tahun ini dengan maksud untuk memahami dan menangani kerentanan.

Keamanan siber di luar angkasa semakin penting. Lebih dari satu dekade yang lalu, sepasang satelit pemantau lingkungan yang dikelola AS mengalami “gangguan” dan sementara persenjataan anti-satelit dapat menyebabkan kerusakan yang tak terhitung, perang dunia maya terus menyebar. Lagi pula, mengapa mengarahkan rudal ke satelit jika penyerang bisa membengkokkannya sesuai keinginan mereka?

Adapun dokumen BSI, sejauh ini mempertimbangkan apa yang dilakukan dengan satelit yang melewati akhir masa pakainya. Pesawat ruang angkasa mungkin berisi segala macam rahasia kripto dan akan memerlukan pemantauan jika dikirim ke orbit kuburan.

Selengkapnya: The Register

ZuoRAT Malware dengan Keunggulan Threat Actor yang Didukung Negara

by

Baru-baru ini, Black Lotus Labs mengamati kampanye canggih, yang mungkin dilakukan oleh organisasi yang disponsori negara. Kampanye ini mendistribusikan RAT multistage, dijuluki ZuoRAT, yang dikembangkan khusus untuk router kantor kecil/rumah (SOHO).

ZuoRAT dan aktivitas terkait mewakili kampanye yang sangat bertarget terhadap organisasi Amerika Utara dan Eropa.
Kampanye ini menargetkan banyak router SOHO yang diproduksi oleh ASUS, Cisco, DrayTek, dan NETGEAR.

Malware disebarkan di router, setelah mengeksploitasi kerentanan yang diketahui (CVE-2020-26878 dan CVE-2020-26879, dalam beberapa kasus), dengan bantuan skrip eksploit bypass otentikasi.

Kampanye ini menggunakan infrastruktur pihak ketiga yang berbasis di China seperti platform Yuque Alibaba untuk infrastruktur komando dan kontrol rahasia dan platform Tencent sebagai redirector untuk perintah dan kontrol.

ZuoRAT tampaknya merupakan versi botnet Mirai yang sangat dimodifikasi. Fungsionalitasnya dapat dibagi menjadi dua komponen: dijalankan otomatis saat dieksekusi (komponen inti) dan fungsi ekspor yang disematkan secara eksplisit (perintah bantu).
Komponen fungsionalitas inti mengumpulkan informasi tentang router dan LAN, memungkinkan pengambilan paket lalu lintas jaringan, dan mengirimkan informasi kembali ke C2.

Perintah bantu fokus pada kemampuan enumerasi LAN, yang menyediakan aktor dengan informasi penargetan tambahan untuk lingkungan LAN, kemampuan pembajakan DNS dan HTTP berikutnya, kegigihan dan pemeliharaan agen, dan gaya serangan yang secara tradisional sulit dideteksi oleh pembela HAM.

Kampanye malware ZuoRAT telah diamati menggunakan pemuat Windows untuk mendapatkan sumber daya jarak jauh dan menjalankannya di mesin host. Selanjutnya, itu digunakan untuk memuat salah satu agen tahap kedua yang berfungsi penuh.

Kemampuan yang ditunjukkan oleh ZuoRAT menunjukkan aktor yang sangat canggih yang mungkin telah hidup tanpa terdeteksi di tepi jaringan yang ditargetkan selama bertahun-tahun. Untuk mitigasi, organisasi harus memastikan perencanaan patch untuk router dan memastikan perangkat ini menjalankan perangkat lunak terbaru yang tersedia.

Sumber: CYWARE

Security advisory secara tidak sengaja mengekspos sistem yang rentan

by

Security advisory untuk kerentanan (CVE) yang diterbitkan oleh MITRE secara tidak sengaja telah mengekspos tautan ke konsol admin jarak jauh dari lebih dari selusin perangkat IP yang rentan setidaknya sejak April 2022.

Penasihat CVE yang diterbitkan oleh MITRE mendapatkan sindikasi kata demi kata di sejumlah besar sumber publik, umpan, situs berita infosec, dan vendor yang menyediakan data tersebut kepada pelanggan mereka.

Bagian “referensi” dari nasihat ini biasanya mencantumkan tautan ke sumber asli (tulisan, posting blog, demo PoC) yang menjelaskan kerentanan. Namun, menyertakan tautan ke sistem yang belum ditambal secara publik berpotensi memungkinkan pelaku ancaman untuk sekarang menargetkan sistem ini dan melakukan aktivitas jahat mereka.

Penasihat kerentanan yang diterbitkan oleh MITRE untuk kerentanan pengungkapan informasi dengan tingkat keparahan tinggi pada bulan April secara ironis mengungkapkan tautan ke lebih dari selusin perangkat IoT langsung yang rentan terhadap kelemahan tersebut.

Bukan hal yang aneh jika penasihat keamanan menyertakan bagian “referensi” dengan beberapa tautan yang memvalidasi keberadaan kerentanan. Namun, tautan semacam itu biasanya mengarah pada demonstrasi atau penulisan bukti konsep (PoC) yang menjelaskan kerentanan daripada sistem yang rentan itu sendiri.

Setelah kerentanan dipublikasikan, penyerang menggunakan mesin pencari IoT publik seperti Shodan atau Censys untuk memburu dan menargetkan perangkat yang rentan.

Semua ini membuat kasus yang sangat luar biasa untuk buletin keamanan publik untuk mencantumkan bukan hanya satu tetapi lokasi dari beberapa perangkat rentan yang masih terhubung ke internet.

Karena sejumlah besar sumber bergantung pada MITER dan NVD/NIST untuk menerima umpan kerentanan, penasihat CVE (dihapus di bawah) telah disindikasikan oleh beberapa vendor, sumber publik, dan layanan yang menyediakan data CVE, seperti yang diamati oleh BleepingComputer.

Penasihat MITRE CVE mencantumkan lebih dari selusin tautan ke kamera IP yang rentan (BleepingComputer)

Mengklik salah satu tautan “referensi” di atas akan mengarahkan pengguna ke dasbor administrasi jarak jauh dari kamera IP atau perangkat video (rentan), yang berpotensi memungkinkan mereka untuk melihat umpan kamera langsung atau mengeksploitasi kerentanan.

Will Dormann, seorang analis kerentanan di Pusat Koordinasi CERT (CERT/CC) menyebut ini “hal yang tidak normal dan sangat BURUK” untuk dilakukan. Dan, peneliti keamanan Jonathan Leitschuh mengatakan hal yang sama dalam sebuah pernyataan kepada BleepingComputer.

Memang benar, penasehat CVE itu sendiri diterbitkan oleh MITRE, organisasi induk dari proyek CVE yang sering kali menjadi titik kontak pertama bagi pengguna yang melaporkan kerentanan keamanan dalam sistem pihak ketiga dan meminta pengidentifikasi CVE.

Namun, BleepingComputer menemukan bahwa sumber asli dari kesalahan tersebut adalah catatan keamanan yang diterbitkan oleh satu atau lebih peneliti keamanan China di GitHub sementara entri CVE MITRE untuk kerentanan telah “dipesan” dan menunggu produksi.

Dalam versi saran GitHub inilah beberapa tautan ke perangkat yang rentan terdaftar sebagai “contoh”. Dan informasi ini tampaknya telah disalin-tempel di entri CVE MITRE yang kemudian disindikasikan di beberapa situs:

Original security advisory di publis ke GitHub tetapi sekarang sudah dihapus (BleepingComputer)

Ironisnya, nasihat asli yang diterbitkan ke GitHub telah lama dihapus.

Perhatikan, dalam beberapa jam setelah email kami ke MITRE, saran CVE diperbarui dengan cepat untuk menghapus semua tautan “referensi” yang menunjuk ke perangkat IoT yang rentan, baik dari repo CVEProject GitHub MITRE dan database. Tetapi pembaruan ini mungkin tidak menghapus informasi ini dari sumber pihak ketiga yang telah mengambil dan menerbitkan salinan entri sebelumnya.

Sumber: Bleeping Computer

Mode Lockdown baru Apple bertahan dari spyware pemerintah

by

Apple mengumumkan bahwa fitur keamanan baru yang dikenal sebagai Lockdown Mode akan diluncurkan dengan iOS 16, iPadOS 16, dan macOS Ventura untuk melindungi individu berisiko tinggi seperti pembela hak asasi manusia, jurnalis, dan pembangkang dari serangan spyware yang ditargetkan.

Setelah diaktifkan, Mode Penguncian akan memberi pelanggan Apple perpesanan, penelusuran web, dan perlindungan konektivitas yang dirancang untuk memblokir spyware tentara bayaran (seperti Pegasus NSO Group) yang digunakan oleh peretas yang didukung pemerintah untuk memantau perangkat Apple mereka setelah menginfeksi mereka dengan malware.

Upaya penyerang untuk berkompromi dengan perangkat Apple menggunakan eksploitasi tanpa klik yang menargetkan aplikasi perpesanan seperti WhatsApp dan Facetime atau browser web akan diblokir secara otomatis, melihat bahwa fitur rentan seperti pratinjau tautan akan dinonaktifkan.

Versi pertama dari Mode Lockdown akan mencakup perlindungan untuk beberapa fitur sistem operasi yang terkena serangan, termasuk:

Pesan: Sebagian besar jenis lampiran pesan selain gambar diblokir. Beberapa fitur, seperti pratinjau tautan, dinonaktifkan.
Penjelajahan web: Teknologi web kompleks tertentu, seperti kompilasi JavaScript just-in-time (JIT), dinonaktifkan kecuali pengguna mengecualikan situs tepercaya dari Mode Penguncian.

Layanan Apple: Undangan masuk dan permintaan layanan, termasuk panggilan FaceTime, diblokir jika pengguna belum pernah mengirim panggilan atau permintaan kepada pemrakarsa sebelumnya.

Koneksi kabel dengan komputer atau aksesori diblokir saat iPhone terkunci.
Profil konfigurasi tidak dapat dipasang, dan perangkat tidak dapat mendaftar ke manajemen perangkat seluler (MDM) saat Mode Penguncian diaktifkan.

Mode Penguncian Apple (Apple)

Pengumuman hari ini datang setelah Apple menggugat pembuat spyware Pegasus NSO Group pada November 2021 karena menargetkan dan dan memata-matai pengguna Apple menggunakan teknologi pengawasan NSO.

Apple mengatakan pada saat itu bahwa serangan yang disponsori negara menggunakan spyware NSO hanya menargetkan “sejumlah kecil” individu, di berbagai platform, termasuk Android dan iOS Apple.

Para penyerang menyebarkan perangkat lunak pengawasan NSO pada perangkat target profil tinggi yang disusupi, termasuk pejabat pemerintah, diplomat, pembangkang, akademisi, dan jurnalis di seluruh dunia.

Sejak Desember 2021, spyware NSO Group juga ditemukan di iPhone milik politisi, jurnalis, dan aktivis Catalan, diplomat Finlandia, pegawai pemerintah Inggris, dan pegawai Departemen Luar Negeri AS.

Biro Industri dan Keamanan (BIS) Departemen Perdagangan AS juga memberi sanksi kepada NSO Group dan tiga perusahaan lain dari Israel, Rusia, dan Singapura pada November atas pengembangan spyware dan penjualan alat peretasan yang digunakan oleh kelompok peretas yang didukung pemerintah.

Sumber: Bleeping Computer

Marriott terkena data breach baru dan upaya pemerasan yang gagal

by

Raksasa hotel Marriott International mengonfirmasi bahwa mereka terkena pelanggaran data lain setelah aktor ancaman yang tidak dikenal melanggar salah satu propertinya dan mencuri 20GB file.

Para penyerang hanya dapat menembus salah satu properti rantai, BWI Airport Marriott, dan hanya memiliki akses ke jaringannya untuk waktu yang terbatas.

Meskipun perusahaan tidak membagikan informasi apa pun tentang data yang dicuri dengan BleepingComputer, ia mengatakan kepada DataBreaches (yang pertama kali melaporkan insiden tersebut) bahwa dokumen senilai 20GB yang dicuri selama pelanggaran berisi file bisnis internal yang tidak sensitif dan beberapa informasi kartu kredit.

Namun, pihak Marriott belum mau membeberkan apakah pelaku pembobolan informasi milik tamu hotel, karyawannya, atau keduanya.

Para penyerang juga berusaha memeras Marriot di bawah ancaman membocorkan file yang dicuri secara online. Namun, grup hotel mengatakan kepada BleepingComputer bahwa mereka “tidak melakukan pembayaran atau memberikan apa pun kepada pelaku ancaman.”

Marriott mengatakan bahwa mereka memberi tahu FBI dan menyewa perusahaan keamanan pihak ketiga untuk menyelidiki insiden tersebut.

Raksasa hotel menambahkan bahwa mereka akan memberi tahu regulator data yang relevan dan sekitar 300-400 orang yang terkena dampak pelanggaran data ini.

Ini adalah pelanggaran data ketiga yang dikonfirmasi Marriott sejak 2018 setelah mengungkap informasi pribadi 5,2 juta tamu hotel (termasuk kontak dan detail pribadi) dalam pelanggaran data yang diungkapkan pada 2020.

Perusahaan juga mengumumkan pada November 2018 bahwa database reservasi tamu Starwood Hotels yang berisi info tentang ratusan juta tamu telah diretas.

Marriott menemukan insiden tersebut dua tahun setelah akuisisi Starwood dan mengatakan informasi yang dicuri dalam insiden tersebut termasuk nama tamu, info pribadi, alamat, nomor paspor tak terenkripsi, dan informasi pembayaran terenkripsi AES-128.

Seperti yang ditambahkan Marriott pada saat itu, tanda-tanda akses tidak sah terdeteksi sejak tahun 2014, mengorbankan informasi pribadi sekitar 339 juta catatan tamu secara global.

Kantor Komisaris Informasi Inggris (ICO) mendenda Marriott International £14,4 juta (sekitar $24 juta) karena melanggar Peraturan Perlindungan Data Umum (GDPR).

Sumber: Bleeping Computer

Ransomware, kelompok peretas berpindah dari Cobalt Strike ke Brute Rate

by

Grup peretasan dan operasi ransomware beralih dari Cobalt Strike ke toolkit pasca-eksploitasi Brute Ratel yang lebih baru untuk menghindari deteksi oleh solusi EDR dan antivirus.

Tim keamanan siber perusahaan biasanya terdiri dari karyawan yang berusaha menembus jaringan perusahaan (tim merah) dan mereka yang secara aktif membela mereka (tim biru). Kedua tim kemudian berbagi catatan setelah pertemuan untuk memperkuat pertahanan keamanan siber jaringan.

Selama bertahun-tahun, salah satu alat paling populer dalam keterlibatan tim merah adalah Cobalt Strike, alat yang memungkinkan penyerang untuk menyebarkan “suar” pada perangkat yang disusupi untuk melakukan pengawasan jaringan jarak jauh atau menjalankan perintah.

Sementara Cobalt Strike adalah perangkat lunak yang sah, para pelaku ancaman telah membagikan versi crack secara online, menjadikannya salah satu alat paling populer yang digunakan oleh peretas dan operasi ransomware untuk menyebar secara lateral melalui jaringan perusahaan yang dilanggar.

Pada tahun 2020, Chetan Nayak, mantan tim merah di Mandiant dan CrowdStrike, merilis Pusat Komando dan Kontrol Brute Ratel (BRc4) sebagai alternatif Cobalt Strike untuk keterlibatan pengujian penetrasi tim merah.

Seperti Cobalt Strike, Brute Ratel adalah alat simulasi serangan permusuhan yang memungkinkan tim merah untuk menyebarkan ‘Badgers’ (mirip dengan suar di Cobalt Strike) pada host jarak jauh. Badger ini terhubung kembali ke server Command and Control penyerang untuk menerima perintah untuk mengeksekusi atau mengirimkan output dari perintah yang dijalankan sebelumnya.

Dalam laporan baru oleh Palo Alto Unit 42, para peneliti telah melihat aktor ancaman pindah dari Cobalt Strike menggunakan Brute Ratel sebagai toolkit pilihan pasca-eksploitasi mereka.

Perubahan taktik ini signifikan karena BRc4 dirancang untuk menghindari deteksi oleh EDR dan solusi antivirus, dengan hampir semua perangkat lunak keamanan tidak mendeteksinya sebagai berbahaya saat pertama kali terlihat di alam liar.

Dalam serangan yang diduga terkait dengan kelompok peretas yang disponsori negara Rusia APT29 (alias CozyBear and Dukes), pelaku ancaman mendistribusikan ISO berbahaya yang diduga berisi resume (CV) yang dikirimkan.

Isi file ISO berbahaya
Sumber: BleepingComputer

Namun, file resume ‘Roshan-Bandara_CV_Dialog’ sebenarnya adalah pintasan Windows yang akan meluncurkan file OneDriveUpdater.exe yang dibundel, seperti yang ditunjukkan pada properti file di bawah ini.

Pintasan Windows menyamar sebagai CV untuk meluncurkan program
Sumber: BleepingComputer

Sementara OneDriveUpdater.exe adalah sah Microsoft executable, termasuk version.dll yang dimuat oleh program telah dimodifikasi untuk bertindak sebagai loader untuk Brute Ratel badger, yang dimuat ke dalam proses RuntimeBroker.exe.

Setelah badger Brute Ratel dimuat, pelaku ancaman dapat mengakses perangkat yang disusupi dari jarak jauh untuk menjalankan perintah dan menyebar lebih jauh di jaringan yang sekarang dilanggar.

Brute Rate saat ini berharga $2.500 per pengguna untuk lisensi satu tahun, dengan pelanggan diharuskan memberikan alamat email bisnis dan diverifikasi sebelum lisensi diterbitkan.

Karena ini adalah proses verifikasi manual, ini menimbulkan pertanyaan tentang bagaimana pelaku ancaman menerima lisensi perangkat lunak.

Pengembang Brute Ratel Chetan Nayak mengatakan bahwa lisensi yang digunakan dalam serangan yang dilaporkan oleh Unit 42 dibocorkan oleh karyawan yang tidak puas dari salah satu pelanggannya.

Karena muatan memungkinkan Nayak untuk melihat kepada siapa mereka dilisensikan, dia dapat mengidentifikasi dan mencabut lisensi tersebut.

Namun, menurut CEO AdvIntel Vitali Kremez, mantan anggota ransomware Conti juga mulai memperoleh lisensi dengan membuat perusahaan AS palsu untuk melewati sistem verifikasi lisensi.

Sumber: Bleeping Computer