North Korea

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

May 5, 2023 by Flamango

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Peretas Korea Utara menggunakan ekstensi Chrome untuk mencuri email Gmail

March 25, 2023 by Coffee Bean

Technology For Cyber Illegal Hacker Computer

Penasihat keamanan siber bersama dari Kantor Federal Jerman untuk Perlindungan Konstitusi (BfV) dan Badan Intelijen Nasional Republik Korea (NIS) memperingatkan tentang penggunaan ekstensi Chrome oleh Kimsuky untuk mencuri email Gmail target.

Kimsuky (alias Thallium, Velvet Chollima) adalah kelompok ancaman Korea Utara yang menggunakan spear phishing untuk melakukan spionase dunia maya terhadap diplomat, jurnalis, lembaga pemerintah, profesor universitas, dan politisi. Awalnya berfokus pada target di Korea Selatan, pelaku ancaman memperluas operasi dari waktu ke waktu untuk menargetkan entitas di AS dan Eropa.

Mencuri email Gmail

Serangan dimulai dengan email spear-phishing yang mendesak korban untuk menginstal ekstensi Chrome berbahaya, yang juga akan diinstal di browser berbasis Chromium, seperti Microsoft Edge atau Brave.

Ekstensi bernama ‘AF’ dan hanya dapat dilihat di daftar ekstensi jika pengguna memasukkan “(chrome|edge| brave)://extensions” di bilah alamat browser.

Setelah korban mengunjungi Gmail melalui browser yang terinfeksi, ekstensi secara otomatis aktif untuk mencegat dan mencuri konten email korban.

Ekstensi tersebut menyalahgunakan Devtools API (developer tools API) di browser untuk mengirim data yang dicuri ke server relai penyerang, secara diam-diam mencuri email mereka tanpa merusak atau melewati perlindungan keamanan akun.

Ini bukan pertama kalinya Kimsuky menggunakan ekstensi Chrome jahat untuk mencuri email dari sistem yang dilanggar.

Pada Juli 2022, Volexity melaporkan tentang kampanye serupa yang menggunakan ekstensi bernama “SHARPEXT”. Pada Desember 2018, Netscout melaporkan bahwa Kimsuky mengikuti taktik yang sama terhadap target akademisi.

Kali ini, hash dari file jahat yang digunakan Kimsuky dalam serangan terbarunya adalah:

012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
582A033DA897C967FAADE386AC30F604 (bg.js)
51527624E7921A8157F820EB0CA78E29 (dev.js)

selengkapnya : bleepingcomputer

Malware WhiskerSpy Baru Dikirimkan Melalui Penginstal Codec Trojanized

February 20, 2023 by Coffee Bean

Peneliti keamanan telah menemukan pintu belakang baru yang disebut WhiskerSpy yang digunakan dalam kampanye dari aktor ancaman tingkat lanjut yang relatif baru dilacak sebagai Earth Kitsune, yang dikenal menargetkan individu yang menunjukkan minat di Korea Utara.

Aktor tersebut menggunakan metode yang telah dicoba dan diuji dan mengambil korban dari pengunjung situs web pro Korea Utara, sebuah taktik yang dikenal sebagai serangan lubang berair.

Menurut Trend Micro, WhiskerSpy disampaikan saat pengunjung mencoba menonton video di website. Penyerang mengkompromikan situs web dan menyuntikkan skrip jahat yang meminta korban untuk memasang codec video agar media dapat dijalankan.

Untuk menghindari kecurigaan, aktor ancaman memodifikasi penginstal codec yang sah sehingga pada akhirnya memuat “pintu belakang yang sebelumnya tidak terlihat” pada sistem korban.

WhiskerSpy backdoor infection chain
source: Trrend Micro

Para peneliti mengatakan bahwa pelaku ancaman hanya menargetkan pengunjung situs web dengan alamat IP dari Shenyang, China; Nagoya, Jepang; dan Brasil.

Kemungkinan Brasil hanya digunakan untuk menguji serangan lubang air menggunakan koneksi VPN dan target sebenarnya adalah pengunjung dari dua kota di China dan Jepang. Korban yang relevan akan disajikan pesan kesalahan palsu di bawah ini yang meminta mereka memasang codec untuk menonton video.

Trend Micro telah menemukan versi sebelumnya dari WhiskerSpy yang menggunakan protokol FTP alih-alih HTTP untuk komunikasi C2. Varian yang lebih lama ini juga memeriksa keberadaan debugger pada saat eksekusi dan menginformasikan C2 dengan kode status yang sesuai.

Untuk dicatat, kepercayaan para peneliti dalam mengaitkan serangan lubang air ini dengan Earth Kitsune adalah sedang tetapi modus operandi dan targetnya mirip dengan aktivitas yang sebelumnya terkait dengan grup.

selengkapnya : bleepingcomputer

FBI: Pelaku Siber Grup Lazarus yang Bertanggung Jawab atas Pencurian Mata Uang Harmony’s Horizon Bridge

January 27, 2023 by Flamango

FBI terus memerangi aktivitas siber berbahaya, termasuk ancaman yang ditimbulkan oleh Republik Rakyat Demokratik Korea (DPRK) terhadap AS dan mitra sektor swastanya.

FBI mengonfirmasi bahwa Grup Lazarus, aktor siber yang terkait dengan DPRK, bertanggung jawab atas pencurian mata uang virtual senilai $100 juta dari jembatan Harmony’s Horizon yang dilaporkan pada 24 Juni 2022.

FBI Los Angeles dan FBI Charlotte berupaya menghentikan pencucian dan pencurian mata uang virtual Korea Utara, yang digunakan untuk mendukung program rudal balistik dan Senjata Pemusnah Massal Korea Utara.

Mereka mengidentifikasi bahwa pada hari Jumat, 13 Januari 2023, aktor siber Korea Utara menggunakan protokol privasi RAILGUN untuk mencuci ethereum (ETH) yang dicuri senilai lebih dari $60 juta. Sebagian dari ethereum yang dicuri ini dikirim ke beberapa penyedia layanan aset virtual dan diubah menjadi bitcoin (BTC).

Berkoordinasi dengan beberapa penyedia layanan aset virtual, Bitcoin yang tersisa dari hasil pembekuan akan dipindahkan ke alamat berikut.

FBI menerbitkan Penasihat Keamanan Siber bersama yang menjelaskan kampanye malware “TraderTraitor” yang digunakan DPRK dalam intrusi Harmoni, bekerja sama dengan Badan Keamanan Siber dan Infrastruktur Keamanan (CISA) dan Departemen Keuangan A.S..

FBI akan terus berupaya mengungkap dan mengurangi aktivitas ilegal oleh DPRK.

Selengkapnya: FBI

FBI Menyalahkan Hacker Korea Utara atas $100 Juta Crypto Heist

January 25, 2023 by Flamango

Hacker Hermit Kingdom dituduh menjarah proyek cryptocurrency selama bertahun-tahun.

Menurut FBI, penjahat dunia maya yang terhubung dengan rezim Korea Utara bertanggung jawab atas serangan terhadap proyek crypto yang berbasis di AS, Harmony Protocol, yang menyebabkan kerugian lebih dari $100 juta tahun lalu.

FBI menerbitkan pernyataan singkat bahwa mereka baru saja menyelesaikan penyelidikan. Mereka mengonfirmasi bahwa kelompok hacker terkenal Korea Utara “Lazarus” bertanggung jawab atas hackeran mengeksploitasi kerentanan keamanan di dalam jembatan berbasis Ethereum Harmony.

Pencurian token senilai $60 juta telah dicuci oleh hacker Korea Utara ke berbagai dompet kripto menggunakan protokol privasi “Railgun”. Beberapa dana tersebut kemudian dibekukan oleh penyedia layanan crypto yang mengendalikan dompet.

Peneliti mengatakan bahwa selain untuk kantong mereka sendiri, para hacker juga sering menggunakan uang yang dicuri dalam hackeran crypto untuk membantu mendanai inisiatif rezim selama bertahun-tahun.

FBI mengatakan bahwa mereka terus bekerja sama dengan mitra penegakan hukumnya untuk mengidentifikasi dan menghentikan pencurian dan pencucian mata uang virtual Korea Utara.

Selengkapnya: Gizmodo

Korea Utara Meretas Hampir 900 Pakar Kebijakan Luar Negeri Korea Selatan, Mencari Uang Tebusan

December 26, 2022 by Flamango

Otoritas Korea Selatan mengatakan serangan itu mungkin telah menipu beberapa korban untuk masuk ke situs web palsu, memperlihatkan detail login mereka kepada penyerang. Badan Intelijen Nasional Korea Selatan yakin Pyongyang telah mencuri sekitar US$1,72 miliar mata uang kripto di seluruh dunia sejak 2017.

Badan Kepolisian Nasional Korea Selatan mengatakan bahwa Korea Utara melakukan serangan siber terhadap setidaknya 892 ahli kebijakan luar negeri dari Korea Selatan untuk mencuri data pribadi dan daftar email mereka serta melakukan serangan ransomware terhadap mal online.

Peretas melakukan penyerangan dimulai pada awal bulan April, menargetkan pakar dan profesor think tank, dengan mengirimkan email phishing tombak dari beberapa akun yang menyamar sebagai tokoh di Korea Selatan. Email berisi tautan situs web palsu atau lampiran yang membawa virus yang dipicu saat dibuka.

Untuk pertama kalinya, polisi mendeteksi peretas Korea Utara menggunakan ransomware, yang mengenkripsi file perangkat target dan meminta uang tebusan untuk membukanya. Peretas juga menyerang pusat perbelanjaan dengan kerentanan keamanan siber.

Polisi dan Badan Intelijen Nasional (NIS) memperkirakan bahwa aktivitas peretas Pyongyang akan berlanjut dan mendesak orang-orang untuk meningkatkan keamanan akun email dan basis data pribadi lainnya.

Pada 30 November lalu, NIS memperkenalkan pusat kerja sama keamanan siber baru agar penyedia keamanan siber pemerintah dan swasta dapat bekerja sama untuk melindungi dari serangan siber sepanjang waktu.

Paik Jong-wook, salah satu wakil presiden NIS, mengatakan bahwa peretas yang didukung negara seperti Korea Utara ini, akan melanjutkan serangan mereka ke Seoul untuk mencuri teknologi Korea Selatan terkait dengan industri nuklir, luar angkasa, semikonduktor, pertahanan nasional, dan strategi bersama dengan AS melawan Pyongyang.

Selengkapnya: South China Morning Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

North Korea

Cookies Settings