Middle East

Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

October 1, 2022 by Søren

Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

“Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

Selengkapnya: The Hacker News

Peretas Iran Menargetkan Target Bernilai Tinggi dalam Keamanan Nuklir dan Riset Genomik

September 15, 2022 by Eevee

Peretas yang terkait dengan pemerintah Iran telah menargetkan individu yang berspesialisasi dalam urusan Timur Tengah, keamanan nuklir, dan penelitian genom sebagai bagian dari kampanye rekayasa sosial baru yang dirancang untuk berburu informasi sensitif.

Perusahaan keamanan perusahaan Proofpoint mengaitkan serangan yang ditargetkan dengan aktor ancaman bernama TA453, yang secara luas tumpang tindih dengan aktivitas dunia maya yang dipantau di bawah moniker APT42, Charming Kitten, dan Phosphorus.

Semuanya dimulai dengan email phishing yang menyamar sebagai individu yang sah di organisasi penelitian kebijakan luar negeri Barat yang pada akhirnya dirancang untuk mengumpulkan intelijen atas nama Korps Pengawal Revolusi Islam (IRGC) Iran.

Akun sock puppet termasuk orang-orang dari Pew Research Center, Institut Penelitian Kebijakan Luar Negeri (FRPI), Chatham House Inggris, dan jurnal ilmiah Nature. Teknik ini dikatakan telah dikerahkan pada pertengahan Juni 2022.

Namun, yang membedakan ini dari serangan phishing lainnya adalah penggunaan taktik Proofpoint yang disebut Multi-Persona Impersonation (MPI), di mana pelaku ancaman menggunakan tidak hanya satu tetapi beberapa persona yang dikendalikan aktor dalam percakapan email yang sama untuk meningkatkan peluang keberhasilan.

Idenya adalah untuk “memanfaatkan prinsip psikologi dari bukti sosial” dan meningkatkan keaslian korespondensi aktor ancaman sehingga membuat target membeli ke dalam skema, sebuah taktik yang menunjukkan kemampuan musuh yang berkelanjutan untuk meningkatkan permainannya.

Setelah email awal mendapat tanggapan dari target, persona kemudian mengirim pesan tindak lanjut yang berisi tautan OneDrive berbahaya yang mengunduh dokumen Microsoft Office, salah satunya konon menyinggung bentrokan antara Rusia dan AS.

Dokumen ini selanjutnya menggunakan teknik yang disebut injeksi templat jarak jauh untuk mengunduh Korg, templat yang terdiri dari tiga makro yang mampu mengumpulkan nama pengguna, daftar proses yang berjalan, dan alamat IP publik korban.

Selain penggalian informasi suar, tidak ada tindakan pasca-eksploitasi lainnya yang diamati. Kurangnya “abnormal” eksekusi kode dan perilaku perintah-dan-kontrol telah menyebabkan penilaian bahwa pengguna yang disusupi dapat menjadi sasaran serangan lebih lanjut berdasarkan perangkat lunak yang diinstal.

Ini bukan pertama kalinya aktor ancaman melakukan kampanye peniruan identitas. Pada Juli 2021, Proofpoint mengungkapkan operasi phishing yang dijuluki SpoofedScholars yang menargetkan individu yang berfokus pada urusan Timur Tengah di AS dan Inggris dengan kedok sarjana dengan School of Oriental and African Studies (SOAS) Universitas London.

Kemudian pada Juli 2022, perusahaan keamanan siber menemukan upaya dari pihak TA453 untuk menyamar sebagai jurnalis untuk memikat akademisi dan pakar kebijakan agar mengklik tautan jahat yang mengarahkan target ke domain pengambilan kredensial.

Pengungkapan terbaru datang di tengah kesibukan aktivitas dunia maya terkait Iran. Pekan lalu, Microsoft menyelesaikan serangkaian serangan ransomware yang dipasang oleh subkelompok Fosfor yang dijuluki DEV-0270 menggunakan binari yang hidup di luar negeri seperti BitLocker.

Selain itu, perusahaan keamanan siber Mandiant, yang sekarang secara resmi menjadi bagian dari Google Cloud, merinci aktivitas aktor spionase Iran dengan nama sandi APT42 yang telah dikaitkan dengan lebih dari 30 operasi sejak 2015.

Di atas semua itu, Departemen Keuangan mengumumkan sanksi terhadap Kementerian Intelijen dan Keamanan Iran (MOIS) dan Menteri Intelijennya, Esmaeil Khatib, sebagai tanggapan atas “aktivitas yang mendukung dunia maya terhadap Amerika Serikat dan sekutunya.”

Albania, yang telah memutuskan hubungan diplomatik dengan Iran setelah menyalahkannya atas serangkaian serangan dunia maya sejak Juli, menuding “agresor yang sama” selama akhir pekan karena melakukan serangan lain terhadap sistem pemerintah yang digunakan untuk melacak penyeberangan perbatasan.

Sumber: The Hackernews

Serangan Siber terhadap Pemerintah Albania Menunjukkan Agresi Baru Iran

August 8, 2022 by Eevee

Pada pertengahan Juli, serangan siber terhadap pemerintah Albania melumpuhkan situs web negara dan layanan publik selama berjam-jam. Dengan perang Rusia yang berkecamuk di Ukraina, Kremlin mungkin tampak seperti tersangka yang paling mungkin. Tetapi penelitian yang diterbitkan pada hari Kamis oleh perusahaan intelijen ancaman Mandiant mengaitkan serangan itu dengan Iran. Dan sementara operasi spionase Teheran dan campur tangan digital telah muncul di seluruh dunia, peneliti Mandiant mengatakan bahwa serangan yang mengganggu dari Iran terhadap anggota NATO adalah eskalasi yang patut diperhatikan.

Serangan digital yang menargetkan Albania pada 17 Juli terjadi menjelang “World Summit of Free Iran,” sebuah konferensi yang dijadwalkan diadakan di kota Manëz di Albania barat pada 23 dan 24 Juli. KTT itu berafiliasi dengan kelompok oposisi Iran Mujahadeen- e-Khalq, atau Organisasi Mujahidin Rakyat Iran (sering disingkat MEK, PMOI, atau MKO). Konferensi itu ditunda sehari sebelum dimulai karena ancaman “teroris” yang dilaporkan dan tidak ditentukan.

Peneliti Mandiant mengatakan bahwa penyerang menyebarkan ransomware dari keluarga Roadsweep dan mungkin juga menggunakan pintu belakang yang sebelumnya tidak dikenal, dijuluki Chimneysweep, serta strain baru dari wiper Zeroclear. Penggunaan malware serupa di masa lalu, waktu serangan, petunjuk lain dari catatan ransomware Roadsweep, dan aktivitas dari aktor yang mengaku bertanggung jawab atas serangan terhadap Telegram semuanya mengarah ke Iran, kata Mandiant.

“Ini adalah langkah eskalasi agresif yang harus kita akui,” kata John Hultquist, wakil presiden intelijen Mandiant. “Spionase Iran terjadi sepanjang waktu di seluruh dunia. Perbedaannya di sini adalah ini bukan spionase. Ini adalah serangan yang mengganggu, yang mempengaruhi kehidupan sehari-hari orang Albania yang hidup dalam aliansi NATO. Dan itu pada dasarnya adalah serangan koersif untuk memaksa tangan pemerintah.”

Iran telah melakukan kampanye peretasan yang agresif di Timur Tengah dan khususnya di Israel, dan peretasnya yang didukung negara telah menembus dan menyelidiki organisasi manufaktur, pasokan, dan infrastruktur penting. Pada November 2021, pemerintah AS dan Australia memperingatkan bahwa peretas Iran secara aktif bekerja untuk mendapatkan akses ke berbagai jaringan yang terkait dengan transportasi, perawatan kesehatan, dan entitas kesehatan masyarakat, antara lain. “Aktor APT yang disponsori pemerintah Iran ini dapat memanfaatkan akses ini untuk operasi lanjutan, seperti eksfiltrasi atau enkripsi data, ransomware, dan pemerasan,” tulis Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri saat itu.

Teheran telah membatasi seberapa jauh serangannya, sebagian besar menjaga eksfiltrasi dan pengintaian data di panggung global. Namun, negara ini telah berpartisipasi dalam operasi pengaruh, kampanye disinformasi, dan upaya untuk ikut campur dalam pemilihan asing, termasuk menargetkan AS.

“Kami sudah terbiasa melihat Iran menjadi agresif di Timur Tengah di mana aktivitas itu tidak pernah berhenti, tetapi di luar Timur Tengah mereka jauh lebih terkendali,” kata Hultquist. “Saya khawatir mereka mungkin lebih bersedia untuk meningkatkan kemampuan mereka di luar kawasan. Dan mereka jelas tidak ragu untuk menargetkan negara-negara NATO, yang menunjukkan kepada saya bahwa penghalang apa pun yang kami yakini ada di antara kami dan mereka mungkin tidak ada sama sekali.”

Dengan Iran mengklaim bahwa ia sekarang memiliki kemampuan untuk memproduksi hulu ledak nuklir, dan perwakilan dari negara itu bertemu dengan para pejabat AS di Wina tentang kemungkinan kebangkitan kembali kesepakatan nuklir 2015 antara negara-negara, sinyal apa pun tentang kemungkinan niat Iran dan toleransi risiko ketika hal itu terjadi. untuk berurusan dengan NATO adalah signifikan.

Sumber: Ars Technica

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

January 28, 2022 by Eevee

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

Peretas sembunyi-sembunyi WIRTE menargetkan pemerintah di Timur Tengah

November 30, 2021 by Eevee

Grup peretas tersembunyi bernama WIRTE telah dikaitkan dengan kampanye penargetan pemerintah yang melakukan serangan setidaknya sejak 2019 menggunakan makro Excel 4.0 yang berbahaya.

Cakupan penargetan utama mencakup entitas publik dan swasta profil tinggi di Timur Tengah, tetapi peneliti juga mengamati target di wilayah lain.

Kaspersky menyimpulkan bahwa WIRTE memiliki motif pro-Palestina dan diduga menjadi bagian dari ‘Gaza Cybergang’. WIRTE memiliki OpSec yang lebih baik dan teknik yang lebih tersembunyi, dan mereka dapat menghindari deteksi untuk waktu yang lama.

WIRTE melakukan email phishing dengan menyertakan dokumen Excel yang mengeksekusi makro berbahaya untuk mengunduh dan menginstal muatan malware di perangkat penerima.

Sementara fokus utama WIRTE menyerang pemerintah dan entitas diplomatik, Kaspersky telah melihat serangan ini menargetkan berbagai industri di seluruh Timur Tengah dan wilayah lainnya.

“Entitas yang terkena dampak berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.”

Dokumen jahat tersebut dirancang untuk meningkatkan minat korban yang ditargetkan, dan menggunakan logo dan tema yang meniru merek, otoritas, atau organisasi yang ditargetkan.

Dokumen phishing dikirim ke korban
Sumber: Kaspersky

Penetes Excel pertama-tama menjalankan serangkaian rumus di kolom tersembunyi, yang menyembunyikan permintaan “aktifkan pengeditan” dari file asli dan memperlihatkan spreadsheet sekunder yang berisi umpan.

Penetes kemudian menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, dan melakukan tiga pemeriksaan anti-kotak pasir berikut:

Dapatkan nama lingkungan
Periksa apakah ada tikus
Periksa apakah komputer host dapat memutar suara

kemudian makro menulis skrip VBS yang menulis cuplikan PowerShell yang disematkan dengan dua kunci registri

Menambahkan dua kunci registri
Sumber: Kaspersky

Makro kemudian melanjutkan dengan menulis PowerShell dengan kode VB ke %ProgramData%. Cuplikan ini adalah stager ‘LitePower’ yang akan mengunduh muatan dan menerima perintah dari C2.

Perintah dan kontrol yang tidak jelas

Para aktor telah menempatkan domain C2 mereka di belakang Cloudflare untuk menyembunyikan alamat IP yang sebenarnya, tetapi Kaspersky dapat mengidentifikasi beberapa dari mereka dan menemukan bahwa mereka di-host di Ukraina dan Estonia.

Banyak dari domain ini berasal dari setidaknya Desember 2019, yang menunjukkan kemampuan WIRTE untuk menghindari deteksi, analisis, dan pelaporan untuk waktu yang lama.

Infrastruktur WIRTE C2 yang dipetakan
Sumber: Kaspersky

Intrusi terbaru menggunakan TCP/443 melalui HTTPS dalam komunikasi C2, tetapi mereka juga menggunakan port TCP 2096 dan 2087, seperti yang disebutkan dalam laporan 2019 oleh Lab52.

Fungsi tidur pada skrip
Sumber: Kaspersky

WIRTE sekarang terlihat secara tentatif memperluas cakupan penargetannya ke lembaga keuangan dan organisasi swasta besar, yang dapat merupakan hasil eksperimen atau perubahan fokus secara bertahap.

Kaspersky memperingatkan bahwa meskipun TTP yang digunakan oleh aktor-aktor ini sederhana dan agak biasa, mereka masih sangat efektif terhadap target kelompok.

Selengkapnya : Bleeping Computer

Itu ransomware, atau mungkin disk wiper, dan itu menyerang target di Israel

May 27, 2021 by Winnie the Pooh

Para peneliti mengatakan mereka telah menemukan malware disk wiper yang belum pernah terlihat sebelumnya yang menyamar sebagai ransomware saat meluncurkan serangan destruktif terhadap target Israel.

Apostle, seperti para peneliti di firma keamanan SentinelOne menyebut malware tersebut, pada awalnya digunakan dalam upaya untuk menghapus data tetapi gagal melakukannya, kemungkinan karena kesalahan logika dalam kodenya.

Nama internal yang diberikan oleh pengembangnya adalah “wiper-action.” Dalam versi yang lebih baru, bug telah diperbaiki dan malware mendapatkan perilaku ransomware lengkap, termasuk kemampuan untuk meninggalkan catatan yang menuntut korban membayar tebusan sebagai ganti kunci dekripsi.

Dalam sebuah posting yang diterbitkan hari Selasa, peneliti SentinelOne mengatakan mereka menilai dengan keyakinan tinggi bahwa berdasarkan kode dan server yang dilaporkan Apostle, malware itu digunakan oleh kelompok yang baru ditemukan yang memiliki hubungan dengan pemerintah Iran.

Sementara catatan ransomware yang ditemukan para peneliti menunjukkan bahwa Apostle telah digunakan terhadap fasilitas penting di Uni Emirat Arab, target utamanya adalah Israel.

Para peneliti telah menjuluki kelompok peretasan baru tersebut Agrius. SentinelOne melihat grup pertama kali menggunakan Apostle sebagai disk wiper, meskipun cacat pada malware mencegahnya melakukannya, kemungkinan besar karena kesalahan logika dalam kodenya. Agrius kemudian menggunakan Deadwood, wiper yang telah digunakan terhadap target di Arab Saudi pada tahun 2019.

Selengkapnya: Ars Technica

Israel tampaknya mengkonfirmasi telah melakukan serangan siber terhadap fasilitas nuklir Iran

April 12, 2021 by Winnie the Pooh

Israel tampaknya mengkonfirmasi klaim bahwa mereka berada di balik serangan dunia maya di fasilitas nuklir utama Iran pada hari Minggu, yang digambarkan oleh kepala energi nuklir Teheran sebagai tindakan terorisme yang memerlukan tanggapan terhadap pelakunya.

Serangan yang tampak terjadi beberapa jam setelah pejabat di reaktor Natanz memulai kembali spinning advanced centrifuges yang dapat mempercepat produksi uranium, dalam apa yang disebut sebagai momen penting dalam program nuklir negara itu.

Saat otoritas Iran berjuang untuk menangani pemadaman listrik skala besar di Natanz, yang diakui Badan Energi Atom negara itu telah merusak jaringan listrik di situs tersebut, kepala pertahanan Israel, Aviv Kochavi, mengatakan “operasi negara di Timur Tengah tidak tersembunyi dari mata musuh”.

Israel tidak memberlakukan pembatasan sensor pada liputan seperti yang sering dilakukan setelah insiden serupa sebelumnya dan serangan yang tampak diliput secara luas oleh media Israel. Radio publik mengambil langkah yang tidak biasa dengan mengklaim bahwa badan intelijen Mossad telah memainkan peran sentral.

Perdana Menteri Israel Benjamin Netanyahu mengatakan Minggu malam bahwa “perjuangan melawan Iran dan proksi dan upaya persenjataan Iran adalah misi besar”.

Selengkapnya: The Guardian

Peretas Iran Meretas 80 Perusahaan Israel Saat Serangan Siber Besar-besaran Berlanjut

December 17, 2020 by Winnie the Pooh

Pay2Key, sebuah geng ransomware Iran, hanya aktif sejak November tetapi telah berhasil mendatangkan malapetaka pada perusahaan Israel. Kelompok itu berfokus pada serangan uang tebusan dan telah menyerang setidaknya 80 perusahaan Israel. Beberapa hari terakhir telah terlihat laporan setidaknya dua serangan dunia maya yang serius terhadap perusahaan Israel.

Kedua serangan tersebut dikaitkan dengan peretas Iran Pay2Key, yang menargetkan perusahaan Israel dengan kecepatan yang cepat dan mengkhawatirkan. Rincian baru serangan itu, yang diungkapkan oleh OP Innovate, menunjukkan cakupannya jauh lebih luas daripada yang diketahui sebelumnya.

Riset intelijen dunia maya yang dilakukan oleh OP Innovate dan dipublikasikan Rabu ini mengungkapkan bahwa para peretas Iran berhasil membobol lebih dari 80 target di pasar Israel.

sumber : IranBriefing

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Middle East

Bagaimana malware bekerja

Aplikasi dan target

Cookies Settings