Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Powershell

Powershell

Peretas menggunakan pintu belakang PowerShell tersembunyi baru untuk menargetkan 60+ korban

by

Backdoor PowerShell yang sebelumnya tidak terdokumentasi dan sepenuhnya tidak terdeteksi sedang digunakan secara aktif oleh aktor ancaman yang menargetkan setidaknya 69 entitas.

Berdasarkan fitur-fiturnya, malware ini dirancang untuk spionase siber, terutama terlibat dalam pemusnahan data dari sistem yang disusupi.

Saat pertama kali terdeteksi, backdoor PowerShell tidak dianggap berbahaya oleh vendor mana pun di layanan pemindaian VirusTotal.

Namun, penyamarannya terbongkar karena kesalahan operasional oleh peretas, memungkinkan analis SafeBreach untuk mengakses dan mendekripsi perintah yang dikirim oleh penyerang untuk dieksekusi pada perangkat yang terinfeksi.

Serangan dimulai dengan kedatangan email phishing dengan lampiran dokumen berbahaya bernama “Terapkan Form.docm.” Berdasarkan konten file dan metadata, kemungkinan bertema aplikasi pekerjaan berbasis LinkedIn.

Umpan dokumen yang berisi makro (SafeBreach)

Dokumen tersebut berisi makro berbahaya yang menjatuhkan dan menjalankan skrip ‘updater.vbs’ yang membuat tugas terjadwal untuk meniru pembaruan Windows rutin.

Skrip VBS kemudian mengeksekusi dua skrip PowerShell, “Script.ps1” dan “Temp.ps1,” yang keduanya disimpan di dalam dokumen berbahaya dalam bentuk yang dikaburkan.

Saat SafeBreach pertama kali menemukan skrip, tidak ada vendor antivirus di VirusTotal yang mendeteksi skrip PowerShell sebagai berbahaya.

VirusTotal mengembalikan pemindaian bersih pada kedua skrip (SafeBreach)

“Script.ps1” terhubung ke server perintah dan kontrol penyerang (C2), mengirimkan ID korban ke operator, dan kemudian menunggu perintah yang diterima dalam bentuk terenkripsi AES-256 CBC.

Berdasarkan jumlah ID, analis SafeBreach menyimpulkan bahwa C2 pelaku ancaman telah mencatat 69 ID sebelumnya, yang kemungkinan merupakan perkiraan jumlah komputer yang dilanggar.

Skrip “Temp.ps1” mendekode perintah dalam respons, mengeksekusinya, lalu mengenkripsi dan mengunggah hasilnya melalui permintaan POST ke C2.

SafeBreach memanfaatkan ID korban yang dapat diprediksi dan membuat skrip yang dapat mendekripsi perintah yang dikirim ke masing-masing dari mereka.

Analis menemukan bahwa dua pertiga dari perintah adalah untuk mengekstrak data, dengan yang lain digunakan untuk enumerasi pengguna, daftar file, penghapusan file dan akun, dan enumerasi klien RDP.

Backdoor PowerShell ini adalah contoh karakteristik dari ancaman tersembunyi yang tidak diketahui yang digunakan dalam serangan terhadap sistem pengguna pemerintah, perusahaan, dan pribadi.

Pembela tidak hanya perlu diberi tahu tentang ancaman yang diketahui atau yang muncul, tetapi juga untuk memperhitungkan vektor yang tidak diketahui yang mungkin mampu melewati langkah-langkah keamanan dan pemindaian AV.

Sementara beberapa mesin AV dapat mendeteksi perilaku berbahaya secara heuristik dalam skrip PowerShell, pelaku ancaman terus mengembangkan kode mereka untuk melewati deteksi ini.

Cara terbaik untuk mencapai ini adalah dengan menerapkan pembaruan keamanan secepat mungkin, membatasi akses jarak jauh ke titik akhir, mengikuti prinsip hak istimewa paling rendah, dan memantau lalu lintas jaringan secara teratur.

Sumber: Bleeping Computer

Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

by

Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

Diagram aliran serangan:

Sumber: BleepingComputer

Kaspersky Mengungkapkan Backdoor yang Menargetkan Banyak Organisasi di Seluruh Dunia

by

Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.

Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.

“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”

Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.

Sumber: PCMag

NSA berbagi kiat tentang mengamankan perangkat Windows dengan PowerShell

by

Badan Keamanan Nasional (NSA) dan lembaga mitra keamanan siber hari ini mengeluarkan nasihat yang merekomendasikan administrator sistem untuk menggunakan PowerShell untuk mencegah dan mendeteksi aktivitas berbahaya pada mesin Windows.

PowerShell sering digunakan dalam serangan siber, sebagian besar dimanfaatkan pada tahap pasca-eksploitasi, tetapi kemampuan keamanan yang tertanam dalam alat otomatisasi dan konfigurasi Microsoft juga dapat bermanfaat bagi pembela HAM dalam upaya forensik mereka, meningkatkan respons insiden, dan untuk mengotomatiskan tugas yang berulang.

NSA dan pusat keamanan siber di A.S. (CISA), Selandia Baru (NZ NCSC), dan Inggris (NCSC-UK) telah membuat serangkaian rekomendasi untuk menggunakan PowerShell guna mengurangi ancaman siber alih-alih menghapus atau menonaktifkannya, yang akan kemampuan pertahanan yang lebih rendah.

Mengurangi risiko pelaku ancaman yang menyalahgunakan PowerShell memerlukan peningkatan kemampuan dalam kerangka kerja seperti remote PowerShell, yang tidak mengekspos kredensial teks biasa saat menjalankan perintah dari jarak jauh di host Windows.

Administrator harus menyadari bahwa mengaktifkan fitur ini di jaringan pribadi secara otomatis menambahkan aturan baru di Windows Firewall yang mengizinkan semua koneksi.

Menyesuaikan Windows Firewall untuk mengizinkan koneksi hanya dari titik akhir dan jaringan tepercaya membantu mengurangi peluang penyerang untuk gerakan lateral yang berhasil.

Untuk koneksi jarak jauh, agensi menyarankan untuk menggunakan protokol Secure Shell (SSH), yang didukung di PowerShell 7, untuk menambah kenyamanan dan keamanan otentikasi kunci publik:

  • Koneksi jarak jauh tidak memerlukan HTTPS dengan sertifikat SSL
  • Tidak perlu Host Tepercaya, seperti yang diperlukan saat melakukan remote melalui WinRM di luar domain
  • Amankan manajemen jarak jauh melalui SSH tanpa kata sandi untuk semua perintah dan koneksi
  • Remote PowerShell antara host Windows dan Linux

Rekomendasi lain adalah untuk mengurangi operasi PowerShell dengan bantuan AppLocker atau Windows Defender Application Control (WDAC) untuk mengatur alat agar berfungsi dalam Mode Bahasa Terbatas (CLM), sehingga menolak operasi di luar kebijakan yang ditentukan oleh administrator.

Merekam aktivitas PowerShell dan memantau log adalah dua rekomendasi yang dapat membantu administrator menemukan tanda-tanda potensi penyalahgunaan.

NSA dan mitranya mengusulkan untuk mengaktifkan fitur-fitur seperti Deep Script Block Logging (DSBL), Module Logging, dan Over-the-Shoulder transcription (OTS).

Dua yang pertama memungkinkan pembuatan database log komprehensif yang dapat digunakan untuk mencari aktivitas PowerShell yang mencurigakan atau berbahaya, termasuk tindakan tersembunyi dan perintah serta skrip yang digunakan dalam proses.

Dengan OTS, administrator mendapatkan catatan dari setiap input atau output PowerShell, yang dapat membantu menentukan niat penyerang di lingkungan.

Administrator dapat menggunakan tabel di bawah ini untuk memeriksa fitur yang disediakan oleh berbagai versi PowerShell untuk membantu mengaktifkan pertahanan yang lebih baik di lingkungan mereka:

Fitur keamanan hadir dalam versi PowerShell

Dokumen yang dirilis NSA hari ini menyatakan bahwa “PowerShell sangat penting untuk mengamankan sistem operasi Windows,” terutama versi yang lebih baru yang mengatasi batasan sebelumnya.

Jika dikonfigurasi dan dikelola dengan benar, PowerShell dapat menjadi alat yang andal untuk pemeliharaan sistem, forensik, otomatisasi, dan keamanan.

Sumber: Bleeping Computer

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

by

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Isi file ISO (Red Canary)

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Malware Nerbian RAT siluman baru terlihat dalam serangan yang sedang berlangsung

by

Sebuah trojan akses jarak jauh baru yang disebut Nerbian RAT telah ditemukan yang mencakup serangkaian fitur yang kaya, termasuk kemampuan untuk menghindari deteksi dan analisis oleh para peneliti.

Varian malware baru ditulis dalam Go, menjadikannya ancaman 64-bit lintas platform, dan saat ini didistribusikan melalui kampanye distribusi email skala kecil yang menggunakan lampiran dokumen yang dicampur dengan makro.

Kampanye malware yang mendistribusikan Nerbian RAT meniru Organisasi Kesehatan Dunia (WHO), yang diduga mengirimkan informasi COVID-19 ke target.

Lampiran RAR berisi dokumen Word yang dicampur dengan kode makro berbahaya, jadi jika dibuka di Microsoft Office dengan konten yang disetel ke “diaktifkan”, file bat melakukan langkah eksekusi PowerShell untuk mengunduh penetes 64-bit.

Dropper, bernama “UpdateUAV.exe,” juga ditulis dalam bahasa Golang dan dikemas dalam UPX agar ukurannya tetap dapat diatur.

UpdateUAV menggunakan kembali kode dari berbagai proyek GitHub untuk menggabungkan serangkaian mekanisme anti-analisis dan penghindaran deteksi yang kaya sebelum Nerbian RAT disebarkan.

Selain itu, penetes juga menetapkan ketekunan dengan membuat tugas terjadwal yang meluncurkan RAT itu setiap jam.

Proofpoint merangkum daftar alat anti-analisis sebagai berikut:

  • Periksa keberadaan program rekayasa balik atau debugging dalam daftar proses
  • Periksa alamat MAC yang mencurigakan
  • Periksa string WMI untuk melihat apakah nama disk sah
  • Periksa apakah ukuran hard disk di bawah 100GB, yang merupakan tipikal untuk mesin virtual
  • Periksa apakah ada analisis memori atau program deteksi gangguan yang ada dalam daftar proses
  • Periksa jumlah waktu yang telah berlalu sejak eksekusi dan bandingkan dengan ambang batas yang ditetapkan
  • Gunakan IsDebuggerPresent API untuk menentukan apakah executable sedang di-debug

Semua pemeriksaan ini secara praktis membuat RAT tidak mungkin berjalan di lingkungan tervirtualisasi kotak pasir, memastikan siluman jangka panjang untuk operator malware.

Trojan diunduh sebagai “MoUsoCore.exe” dan disimpan ke “C:\ProgramData\USOShared\”. Ini mendukung beberapa fungsi, sementara operatornya memiliki opsi untuk mengonfigurasinya dengan beberapa di antaranya.

Dua dari fungsi utamanya adalah keylogger yang menyimpan penekanan tombol dalam bentuk terenkripsi dan alat penangkap layar yang berfungsi di semua platform OS.

Komunikasi dengan server C2 ditangani melalui SSL (Secure Sockets Layer), sehingga semua pertukaran data dienkripsi dan dilindungi dari pemeriksaan dalam perjalanan dari alat pemindaian jaringan.

Proses infeksi lengkap (Proofpoint)

Tanpa ragu, Proofpoint telah menemukan malware baru yang menarik dan kompleks yang berfokus pada siluman melalui berbagai pemeriksaan, komunikasi terenkripsi, dan pengaburan kode.

Untuk saat ini, Nerbian RAT didistribusikan melalui kampanye email bervolume rendah, jadi ini belum menjadi ancaman besar, tetapi ini bisa berubah jika pembuatnya memutuskan untuk membuka bisnis mereka ke komunitas kejahatan dunia maya yang lebih luas.

Sumber: Bleeping Computer

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

by

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

APT34 Menargetkan Pemerintah Yordania Menggunakan Backdoor Baru Saitama

by

Pada tanggal 26 April, kami mengidentifikasi email mencurigakan yang menargetkan pejabat pemerintah dari kementerian luar negeri Yordania. Email tersebut berisi dokumen Excel berbahaya yang menjatuhkan pintu belakang baru bernama Saitama. Setelah penyelidikan kami, kami dapat menghubungkan serangan ini dengan Aktor Iran yang dikenal APT34.

Juga dikenal sebagai OilRig/COBALT GYPSY/IRN2/HELIX KITTEN, APT34 adalah kelompok ancaman Iran yang menargetkan negara-negara Timur Tengah dan korban di seluruh dunia setidaknya sejak 2014. Kelompok ini diketahui fokus pada keuangan, pemerintahan, energi, kimia, dan sektor telekomunikasi.

Dalam posting blog ini, kami menjelaskan alur serangan dan membagikan detail tentang pintu belakang Saitama.

File email berbahaya

Email jahat tersebut dikirim ke korban melalui akun Microsoft Outlook dengan subjek “Confirmation Receive Document” dengan file Excel bernama “Confirmation Receive Document.xls”. Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan lambangnya sebagai tanda tangan.

Selengkapnya: MalwareBytes