Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ekstensi Chrome dengan 1,4 juta pemasangan mencuri data penjelajahan

by

Analis ancaman di McAfee menemukan lima ekstensi Google Chrome yang mencuri aktivitas penelusuran pengguna yang telah diunduh lebih dari 1,4 juta kali.

Tujuan dari ekstensi jahat adalah untuk memantau saat pengguna mengunjungi situs web e-niaga dan untuk mengubah cookie pengunjung agar tampak seolah-olah mereka datang melalui tautan perujuk. Untuk ini, penulis ekstensi mendapatkan biaya afiliasi untuk setiap pembelian di toko elektronik.

Lima ekstensi berbahaya yang ditemukan oleh peneliti McAfee adalah sebagai berikut:

  • Netflix Party (mmnbenehknklpbendgmgneaignppnbe) – 800.000 unduhan
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 unduhan
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 unduhan
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 unduhan
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 unduhan
Empat dari ekstensi berbahaya (McAfee)

Kelima ekstensi yang ditemukan oleh McAfee memiliki perilaku yang serupa. Manifes aplikasi web (file “manifest.json”), yang menentukan bagaimana ekstensi harus berperilaku pada sistem, memuat skrip multifungsi (B0.js) yang mengirimkan data penelusuran ke domain yang dikontrol penyerang (“langhort[.] com”).

Data dikirimkan melalui permintaan POST setiap kali pengguna mengunjungi URL baru. Info yang menjangkau penipu termasuk URL dalam bentuk base64, ID pengguna, lokasi perangkat (negara, kota, kode pos), dan URL rujukan yang disandikan.

Jika situs web yang dikunjungi cocok dengan entri apa pun pada daftar situs web yang pembuat ekstensinya memiliki afiliasi aktif, server akan merespons B0.js dengan salah satu dari dua kemungkinan fungsi.

Yang pertama, “Result[‘c’] – passf_url “, memerintahkan skrip untuk memasukkan URL yang disediakan (tautan rujukan) sebagai iframe di situs web yang dikunjungi.

Yang kedua, “Result[‘e’] setCookie”, memerintahkan B0.js untuk memodifikasi cookie atau menggantinya dengan cookie yang disediakan jika ekstensi telah diberikan izin terkait untuk melakukan tindakan ini.

Untuk menghindari deteksi, analisis, dan untuk membingungkan peneliti atau pengguna yang waspada, beberapa ekstensi menampilkan penundaan 15 hari sejak pemasangannya sebelum mulai mengirimkan aktivitas browser.

Pada saat penulisan ini, “Full Page Screenshot Capture – Screenshotting” dan “FlipShope – Price Tracker Extension” masih tersedia di Toko Web Chrome.

Kedua ekstensi Netflix Party telah dihapus dari toko, tetapi ini tidak menghapusnya dari browser web, jadi pengguna harus mengambil tindakan manual untuk mencopot pemasangannya.

Sumber: Bleeping Computer

Nitrokod Crypto Miner Menginfeksi Lebih dari 111.000 Pengguna dengan Salinan Perangkat Lunak Populer

by

Kampanye malware baru yang menyamar sebagai program pengunduh Google Translate atau MP3 ditemukan mendistribusikan malware penambangan cryptocurrency di 11 negara.

Menurut laporan Check Point, malware tersebut dibuat oleh pengembang bernama ‘Nitrokod’, yang pada awalnya tampak bersih dari malware dan menyediakan fungsionalitas yang diiklankan.

Namun, Check Point mengatakan perangkat lunak itu sengaja menunda pemasangan komponen malware berbahaya hingga satu bulan untuk menghindari deteksi.

Beranda situs web Nitrokod

Sayangnya, penawaran Nitrokod berperingkat tinggi dalam hasil Google Penelusuran, sehingga situs web tersebut bertindak sebagai jebakan yang sangat baik bagi pengguna yang mencari utilitas tertentu.

Selain itu, applet Google Terjemahan Nitrokod juga diunggah di Softpedia, yang mencapai lebih dari 112.000 unduhan.

Aplikasi malware di Softpedia (Check Point)

Terlepas dari program mana yang diunduh dari situs web Nitrokod, pengguna menerima RAR yang dilindungi kata sandi yang menghindari deteksi AV dan berisi executable yang dinamai sesuai dengan aplikasi yang dipilih.

Setelah menjalankan file, perangkat lunak diinstal pada sistem pengguna bersama dengan dua kunci registri.

Untuk menghindari kecurigaan dan untuk menggagalkan analisis Sandbox, perangkat lunak mengaktifkan penetes dari file RAR terenkripsi lain yang diambil melalui Wget pada hari kelima infeksi.

Selanjutnya, perangkat lunak menghapus semua log sistem menggunakan perintah PowerShell dan, setelah 15 hari, mengambil RAR terenkripsi berikutnya dari “intelserviceupdate[.]com.”

Garis waktu tahap infeksi (Check Point)

Dropper tahap berikutnya memeriksa keberadaan perangkat lunak antivirus, mencari proses yang mungkin dimiliki oleh mesin virtual, dan akhirnya menambahkan aturan firewall dan pengecualian ke Windows Defender.

Sekarang perangkat telah disiapkan untuk muatan terakhir, program memuat penetes terakhir, yang mengambil file RAR lain yang berisi malware penambangan XMRig, pengontrolnya, dan file “.sys” yang memiliki pengaturannya.

Malware menentukan apakah itu berjalan di desktop atau laptop, kemudian terhubung ke C2-nya (“nvidiacenter[.]com”) dan mengirimkan laporan sistem host lengkap melalui permintaan HTTP POST.

Akhirnya, C2 merespons dengan instruksi seperti apakah akan mengaktifkan, berapa banyak daya CPU yang digunakan, kapan harus melakukan ping ke C2 lagi, atau program apa yang harus diperiksa dan keluar jika ditemukan.

Diagram rantai serangan lengkap (Check Point)

Malware penambangan kripto dapat menjadi risiko karena dapat merusak perangkat keras dengan menyebabkan tekanan dan panas berlebih pada perangkat keras, dan dapat memengaruhi kinerja komputer Anda dengan menggunakan sumber daya CPU tambahan.

Selain itu, malware dropper yang ditemukan oleh Check Point dapat menukar muatan akhir dengan sesuatu yang jauh lebih berbahaya kapan saja.

Untuk melindungi diri Anda, hindari mengunduh aplikasi yang menjanjikan fungsionalitas yang tidak dirilis secara resmi oleh pengembang asli, seperti versi desktop dari alat terjemahan Google.

Sumber: Bleeping Computer

Peretas mengadopsi toolkit Sliver sebagai alternatif Cobalt Strike

by

Pelaku ancaman membuang suite pengujian penetrasi Cobalt Strike demi kerangka kerja serupa yang kurang dikenal. Setelah Brute Ratel, kit lintas platform open-source yang disebut Sliver menjadi alternatif yang menarik.

Namun, aktivitas jahat menggunakan Sliver dapat dideteksi menggunakan kueri perburuan yang diambil dari analisis toolkit, cara kerjanya, dan komponennya.

Selama beberapa tahun terakhir, Cobalt Strike semakin populer sebagai alat serangan untuk berbagai pelaku ancaman, termasuk operasi ransomware, untuk menjatuhkan “suar” jaringan yang disusupi yang memungkinkan bergerak secara lateral ke sistem bernilai tinggi.

Karena para pembela HAM telah belajar untuk mendeteksi dan menghentikan serangan dengan mengandalkan toolkit ini, para peretas mencoba opsi lain yang dapat menghindari Endpoint Detection and Response (EDR) dan solusi antivirus.

Menghadapi pertahanan yang lebih kuat terhadap Cobalt Strike, aktor ancaman telah menemukan alternatif. Palo Alto Networks mengamati mereka beralih ke Brute Ratel, alat simulasi serangan permusuhan yang dirancang untuk menghindari produk keamanan.

Sebuah laporan dari Microsoft mencatat bahwa peretas, dari kelompok yang disponsori negara hingga geng kejahatan dunia maya, semakin banyak menggunakan alat pengujian keamanan Sliver berbasis Go yang dikembangkan oleh para peneliti di perusahaan keamanan siber BishopFox dalam serangan.

Satu grup yang mengadopsi Sliver dilacak sebagai DEV-0237 oleh Microsoft. Juga dikenal sebagai FIN12, geng tersebut telah dikaitkan dengan berbagai operator ransomware.

Geng telah mendistribusikan muatan ransomware dari berbagai operator ransomware di masa lalu (Ryuk, Conti, Hive, Conti, dan BlackCat) melalui berbagai malware, termasuk BazarLoader dan TrickBot.

Geng FIN12 menyebarkan berbagai muatan ransomware
sumber: Microsoft

Menurut laporan dari Government Communications Headquarters (GCHQ) Inggris, aktor yang disponsori negara di Rusia, khususnya APT29 (alias Cozy Bear, The Dukes, Grizzly Steppe) juga telah menggunakan Sliver untuk mempertahankan akses ke lingkungan yang disusupi.

Microsoft mencatat bahwa Sliver telah digunakan dalam serangan yang lebih baru menggunakan pemuat malware Bumblebee (Coldtrain), yang dikaitkan dengan sindikat Conti sebagai pengganti BazarLoader.

Microsoft menyediakan seperangkat taktik, teknik, dan prosedur (TTP) yang dapat digunakan para defender untuk mengidentifikasi Sliver dan kerangka kerja C2 lainnya yang muncul.

Karena jaringan Sliver C2 mendukung banyak protokol (DNS, HTTP/TLS, MTLS, TCP) dan menerima koneksi implan/operator, dan dapat meng-host file untuk meniru server web yang sah, pemburu ancaman dapat mengatur pendengar untuk mengidentifikasi anomali pada jaringan untuk Infrastruktur sliver.

Microsoft juga berbagi informasi tentang cara mendeteksi payload Sliver (shellcode, executable, shared library/DLL, dan layanan) yang dihasilkan menggunakan basis kode resmi yang tidak disesuaikan untuk kerangka kerja C2.

Insinyur deteksi dapat membuat deteksi khusus pemuat [mis. Bumblebee] atau, jika shellcode tidak di-obfuscate, aturan untuk payload shellcode yang disematkan di loader.

Untuk muatan malware Sliver yang tidak memiliki banyak konteks, Microsoft merekomendasikan untuk mengekstrak konfigurasi ketika dimuat ke dalam memori karena kerangka kerja harus menghilangkan penyamaran dan mendekripsinya agar dapat menggunakannya.

Memindai memori dapat memungkinkan peneliti untuk mengekstrak detail seperti data konfigurasi:

Ekstraksi konfigurasi dari implan uji Sliver
sumber: Microsoft

Pemburu ancaman juga dapat mencari perintah yang digunakan untuk injeksi proses, yang dicapai oleh kode Sliver default tanpa menyimpang dari implementasi umum. Di antara perintah yang digunakan untuk ini adalah:

  • migrasi (perintah) – migrasi ke proses jarak jauh
  • spawndll (perintah) – memuat dan menjalankan DLL reflektif dalam proses jarak jauh
  • sideload (perintah) – memuat dan menjalankan objek bersama (pustaka bersama/DLL) dalam proses jarak jauh
  • msf-inject (perintah) – menyuntikkan muatan Metasploit Framework ke dalam proses
  • execute-assembly (command) – memuat dan menjalankan .NET assembly dalam proses anak
  • getsystem (command) – memunculkan sesi Sliver baru sebagai Pengguna NT AUTHORITY\SYSTEM

      • Microsoft mencatat bahwa toolkit ini juga bergantung pada ekstensi dan alias (Beacon Object Files (BFO), aplikasi .NET, dan peralatan pihak ketiga lainnya) untuk injeksi perintah.

      Kerangka kerja ini juga menggunakan PsExect untuk menjalankan perintah yang memungkinkan gerakan lateral.

      Untuk mempermudah perusahaan yang dilindungi oleh Defender untuk mengidentifikasi aktivitas Sliver di lingkungan mereka, Microsoft telah membuat untuk perintah yang disebutkan di atas sekumpulan kueri berburu yang dapat dijalankan di portal Microsoft 365 Defender.

      Microsoft menggarisbawahi bahwa kumpulan aturan deteksi dan panduan berburu yang disediakan adalah untuk basis kode Sliver yang saat ini tersedia untuk umum. Penggunaan varian yang disesuaikan kemungkinan akan memengaruhi deteksi berdasarkan kueri Microsoft.

      Sumber: Bleeping Computer

    Geng ransomware LockBit menjadi agresif dengan taktik pemerasan tiga kali

    by

    Geng ransomware LockBit mengumumkan bahwa mereka meningkatkan pertahanan terhadap serangan denial-of-service (DDoS) terdistribusi dan bekerja untuk membawa operasi ke tingkat pemerasan tiga kali lipat.

    Geng baru-baru ini mengalami serangan DDoS, diduga atas nama raksasa keamanan digital Entrust, yang mencegah akses ke data yang dipublikasikan di situs kebocoran perusahaannya.

    Data dari Entrust dicuri oleh ransomware LockBit dalam serangan pada 18 Juni. Perusahaan mengkonfirmasi insiden tersebut dan memberitahu bahwa data telah dicuri.

    Entrust tidak membayar uang tebusan dan LockBit mengumumkan bahwa mereka akan mempublikasikan semua data yang dicuri pada 19 Agustus. Namun, ini tidak terjadi, karena situs kebocoran geng tersebut terkena serangan DDoS yang diyakini terhubung ke Entrust.

    Awal pekan ini, LockBitSupp, figur publik dari operasi ransomware LockBit, mengumumkan bahwa grup tersebut kembali berbisnis dengan infrastruktur yang lebih besar untuk memberikan akses ke kebocoran yang tidak terpengaruh oleh serangan DDoS.

    Serangan DDoS akhir pekan lalu yang menghentikan sementara kebocoran data Entrust dipandang sebagai peluang untuk mengeksplorasi taktik pemerasan rangkap tiga untuk menerapkan lebih banyak tekanan pada korban untuk membayar uang tebusan.

    LockBitSupp mengatakan bahwa operator ransomware sekarang ingin menambahkan DDoS sebagai taktik pemerasan selain mengenkripsi data dan membocorkannya.

    Geng juga berjanji untuk membagikan lebih dari 300GB data yang dicuri dari Entrust sehingga “seluruh dunia akan tahu rahasia Anda.”

    Juru bicara LockBit mengatakan bahwa mereka akan membagikan kebocoran data Entrust secara pribadi dengan siapa pun yang menghubungi mereka sebelum membuatnya tersedia melalui torrent.

    Tampaknya LockBit telah menepati janjinya dan merilis torrent akhir pekan ini yang disebut “entrust.com” dengan file 343GB.

    Lockbit ransomware bocor Entrust data
    sumber: Artie Yamamoto

    Operator ingin memastikan bahwa data Entrust tersedia dari berbagai sumber dan, selain mempublikasikannya di situs mereka, mereka juga membagikan torrent melalui setidaknya dua layanan penyimpanan file, dengan salah satunya tidak lagi tersedia.

    Salah satu metode yang sudah diterapkan untuk mencegah serangan DDoS lebih lanjut adalah dengan menggunakan tautan unik dalam catatan tebusan untuk para korban.

    Mereka juga mengumumkan peningkatan jumlah mirror dan server duplikat, dan rencana untuk meningkatkan ketersediaan data yang dicuri dengan membuatnya dapat diakses melalui clearnet juga, melalui layanan penyimpanan antipeluru.

    Lockbit ransomware changes after suffering DDoS attack
    source: BleepingComputer

    Operasi ransomware LockBit telah aktif selama hampir tiga tahun, sejak September 2019. Pada saat penulisan, situs kebocoran data LockBit aktif dan berjalan.

    Geng itu mendaftarkan lebih dari 700 korban dan Entrust adalah salah satunya, dengan data perusahaan bocor pada 27 Agustus.

    Sumber: Bleeping Computer

    Lebih dari 80.000 kamera Hikvision yang dapat dieksploitasi diekspos secara online

    by

    Peneliti keamanan telah menemukan lebih dari 80.000 kamera Hikvision rentan terhadap cacat injeksi perintah kritis yang mudah dieksploitasi melalui pesan yang dibuat khusus yang dikirim ke server web yang rentan.

    Cacat tersebut dilacak sebagai CVE-2021-36260 dan telah diatasi oleh Hikvision melalui pembaruan firmware pada September 2021.

    Namun, menurut whitepaper yang diterbitkan oleh CYFIRMA, puluhan ribu sistem yang digunakan oleh 2.300 organisasi di 100 negara masih belum menerapkan pembaruan keamanan.

    Ada dua eksploitasi publik yang diketahui untuk CVE-2021-36260, satu diterbitkan pada Oktober 2021 dan yang kedua pada Februari 2022, sehingga aktor ancaman dari semua tingkat keahlian dapat mencari dan mengeksploitasi kamera yang rentan.

    Pada bulan Desember 2021, botnet berbasis Mirai yang disebut ‘Moobot’ menggunakan eksploit tertentu untuk menyebar secara agresif dan mendaftarkan sistem ke kawanan DDoS (distributed denial of service).

    Pada Januari 2022, CISA memperingatkan bahwa CVE-2021-36260 termasuk di antara bug yang dieksploitasi secara aktif dalam daftar yang diterbitkan saat itu, memperingatkan organisasi bahwa penyerang dapat “mengambil alih” perangkat dan segera menambal kelemahannya.

    Dari sampel yang dianalisis dari 285.000 server web Hikvision yang terhubung ke internet, perusahaan keamanan siber menemukan sekitar 80.000 masih rentan terhadap eksploitasi.

    Sebagian besar terletak di Cina dan Amerika Serikat, sementara Vietnam, Inggris, Ukraina, Thailand, Afrika Selatan, Prancis, Belanda, dan Rumania semuanya terhitung di atas 2.000 titik akhir yang rentan.

    Selengkapnya: Bleeping Computer

    Sistem pengembang LastPass diretas untuk mencuri kode sumber

    by

    Perusahaan pengelola kata sandi LastPass diretas dua minggu lalu, memungkinkan pelaku ancaman mencuri kode sumber dan informasi teknis milik perusahaan.

    Sumber mengatakan bahwa karyawan berebut untuk menahan serangan setelah LastPass dilanggar.

    Setelah mengirimkan pertanyaan tentang serangan itu, LastPass merilis peringatan keamanan hari ini yang mengonfirmasi bahwa itu dilanggar melalui akun pengembang yang disusupi yang digunakan peretas untuk mengakses lingkungan pengembang perusahaan.

    Sementara LastPass mengatakan tidak ada bukti bahwa data pelanggan atau brankas kata sandi terenkripsi telah disusupi, pelaku ancaman memang mencuri bagian dari kode sumber mereka dan “informasi teknis hak milik LastPass.”

    LastPass belum memberikan perincian lebih lanjut mengenai serangan itu, bagaimana pelaku ancaman menyusup ke akun pengembang, dan kode sumber apa yang dicuri.

    Penasihat keamanan LastPass dikirim melalui email ke pelanggan

    LastPass adalah salah satu perusahaan pengelola kata sandi terbesar di dunia, mengklaim telah digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis.

    Karena konsumen dan bisnis menggunakan perangkat lunak perusahaan untuk menyimpan kata sandi mereka dengan aman, selalu ada kekhawatiran bahwa jika perusahaan diretas, itu dapat memungkinkan pelaku ancaman mengakses kata sandi yang disimpan.

    Namun, LastPass menyimpan kata sandi di ‘lemari terenkripsi’ yang hanya dapat didekripsi menggunakan kata sandi utama pelanggan, yang menurut LastPass tidak dikompromikan dalam serangan siber ini.

    Tahun lalu, LastPass mengalami serangan isian kredensial yang memungkinkan pelaku ancaman mengonfirmasi kata sandi utama pengguna. Juga terungkap bahwa kata sandi master LastPass dicuri oleh pelaku ancaman yang mendistribusikan malware pencuri kata sandi RedLine.

    Karena itu, sangat penting untuk mengaktifkan otentikasi multi-faktor pada akun LastPass Anda sehingga pelaku ancaman tidak akan dapat mengakses akun Anda meskipun kata sandi Anda disusupi.

    Sumber: Bleeping Computer

    Peretas menyalahgunakan sistem anti-cheat Genshin Impact untuk menonaktifkan antivirus

    by

    Peretas menyalahgunakan driver sistem anti-cheat untuk game Genshin Impact yang sangat populer untuk menonaktifkan perangkat lunak antivirus saat melakukan serangan ransomware.

    Driver/modul, “mhypro2.sys,” tidak memerlukan sistem target untuk menginstal game, dan dapat beroperasi secara independen atau bahkan tertanam dalam malware, menawarkan kerentanan kuat kepada pelaku ancaman yang dapat menonaktifkan perangkat lunak keamanan.

    Driver yang rentan telah dikenal sejak tahun 2020 dan memberikan akses ke memori proses/kernel apa pun dan kemampuan untuk menghentikan proses menggunakan hak istimewa tertinggi.

    Peneliti melaporkan masalah ini ke vendor beberapa kali di masa lalu. Namun, sertifikat penandatanganan kode belum dicabut, sehingga program masih dapat diinstal pada Windows tanpa menimbulkan alarm apa pun.

    Lebih buruk lagi, setidaknya ada dua eksploitasi proof-of-concept [1, 2] di GitHub sejak 2020, dengan detail lengkap tentang cara membaca/menulis memori kernel dengan hak istimewa mode kernel dari mode pengguna, menghitung utas, dan mengakhiri proses.

    Dalam laporan baru oleh Trend Micro, para peneliti telah melihat bukti pelaku ancaman menyalahgunakan driver ini sejak akhir Juli 2022, dengan pelaku ransomware menggunakannya untuk menonaktifkan solusi perlindungan titik akhir yang dikonfigurasi dengan benar.

    Pelaku ancaman menggunakan ‘secretsdump’ dan ‘wmiexec’ terhadap titik akhir yang ditargetkan dan kemudian terhubung ke pengontrol domain melalui RDP menggunakan kredensial admin yang diambil.

    Tindakan pertama yang diambil pada mesin yang disusupi adalah mentransfer mhyprot2.sys ke desktop bersama dengan ‘kill_svc.exe’ yang dapat dieksekusi, yang digunakan untuk menginstal driver.

    Selanjutnya, penyusup menjatuhkan ‘avg.msi’, yang pada gilirannya menjatuhkan dan mengeksekusi empat file berikut:

    • logon.bat – Sebuah file batch yang mengeksekusi HelpPane.exe, membunuh antivirus dan layanan lainnya, dan mengeksekusi svchost.exe
    • HelpPane.exe – File berbahaya yang menyamar sebagai Bantuan dan Dukungan Microsoft yang dapat dieksekusi; mirip dengan kill_svc.exe, ia menginstal mhyprot2.sys dan mematikan layanan antivirus
    • mhyprot2.sys – Driver anti-cheat Genshin Impact yang rentan
    • svchost.exe – Payload ransomware

    Trend Micro berkomentar bahwa pelaku ancaman mencoba dan gagal tiga kali untuk mengenkripsi file di workstation yang diserang, tetapi layanan antivirus berhasil dinonaktifkan. Akhirnya, musuh memindahkan “logon.bat” di desktop dan mengeksekusinya secara manual, yang berhasil.

    Peluncuran manual HelpPane.exe (Trend Micro)

    Terakhir, pelaku ancaman memuat driver, ransomware, dan ‘kill_svc.exe’ yang dapat dieksekusi pada jaringan berbagi untuk penyebaran massal, yang bermaksud menginfeksi lebih banyak workstation.

    Ikhtisar serangan aktor Ransomware (Trend Micro)

    Trend Micro memperingatkan bahwa penyebaran modul anti-cheat oleh peretas dapat meningkat, karena bahkan jika vendor merespons dan memperbaiki kekurangannya, versi lama akan terus beredar.

    Riset keamanan Kevin Beaumont menyarankan agar admin dapat mempertahankan diri dari ancaman ini dengan memblokir hash “0466e90bf0e83b776ca8716e01d35a8a2e5f96d3” pada solusi keamanan mereka, yang sesuai dengan driver mhypro2.sys yang rentan.

    Terakhir, pembela harus memantau log peristiwa untuk instalasi layanan tertentu, bernama “mhyprot2.”

    Sumber: Bleeping Computer

    Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

    by

    Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

    Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

    Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

    Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

    Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

    Target potensial yang diturunkan oleh Kaspersky

    Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

    Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

    Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

    Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

    Beberapa dokumen dikirim ke target (Kaspersky)

    Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

    Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

    Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

    Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

    Proses infeksi terbaru Kimsuky (Kaspersky)

    Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

    Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

    Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

    Sumber: