Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / RAT

RAT

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Pemerintah dan Organisasi Asia Menjadi Sasaran Serangan Spionase Siber Terbaru

    by

    Pemerintah dan organisasi milik negara di sejumlah negara Asia telah menjadi sasaran kelompok peretas spionase yang berbeda sebagai bagian dari misi pengumpulan intelijen yang telah berlangsung sejak awal 2021.

    Kampanye tersebut dikatakan secara eksklusif ditujukan untuk lembaga pemerintah yang terkait dengan keuangan, kedirgantaraan, dan pertahanan, serta perusahaan media, TI, dan telekomunikasi milik negara.

    Pemuatan samping pustaka tautan dinamis (DLL) adalah metode serangan siber populer yang memanfaatkan cara aplikasi Microsoft Windows menangani file DLL. Dalam intrusi ini, DLL berbahaya palsu ditanam di direktori Windows Side-by-Side (WinSxS) sehingga sistem operasi memuatnya alih-alih file yang sah.

    Serangan tersebut memerlukan penggunaan versi lama dan usang dari solusi keamanan, perangkat lunak grafis, dan browser web yang pasti tidak memiliki mitigasi untuk pemuatan samping DLL, menggunakannya sebagai saluran untuk memuat kode shell arbitrer yang dirancang untuk mengeksekusi muatan tambahan.

    Selain itu, paket perangkat lunak juga berfungsi ganda sebagai sarana untuk memberikan alat untuk memfasilitasi pencurian kredensial dan pergerakan lateral di seluruh jaringan yang disusupi.

    “Aktor ancaman memanfaatkan PsExec untuk menjalankan versi lama dari perangkat lunak sah yang kemudian digunakan untuk memuat alat malware tambahan seperti Trojan akses jarak jauh (RATS) yang tersedia melalui pemuatan samping DLL pada komputer lain di jaringan,” para peneliti mencatat.

    Dalam salah satu serangan terhadap organisasi milik pemerintah di sektor pendidikan di Asia berlangsung dari April hingga Juli 2022, di mana musuh mengakses mesin hosting database dan email, sebelum mengakses pengontrol domain.

    Penyusupan tersebut juga memanfaatkan Bitdefender Crash Handler (“javac.exe”) versi 11 tahun untuk meluncurkan versi Mimikatz (“calc.exe”) yang telah diganti namanya, kerangka kerja pengujian penetrasi Golang open source yang disebut LadonGo, dan muatan khusus lainnya di beberapa host.

    Salah satunya adalah pencuri informasi kaya fitur yang sebelumnya tidak berdokumen yang dijuluki Logdatter yang mampu mencatat penekanan tombol, menangkap tangkapan layar, menghubungkan dan menanyakan database SQL, mengunduh file, dan mencuri data clipboard.

    Dalam serangan, itu adalah alat pemindaian intranet yang tersedia untuk umum bernama Fscan untuk melakukan upaya eksploitasi yang memanfaatkan kerentanan ProxyLogon Microsoft Exchange Server.

    Identitas kelompok ancaman tidak jelas, meskipun dikatakan telah menggunakan ShadowPad dalam kampanye sebelumnya, Backdoor modular yang dibuat sebagai penerus PlugX (alias Korplug) dan dibagikan di antara banyak aktor ancaman China.

    Symantec mengatakan memiliki bukti terbatas yang menghubungkan serangan aktor ancaman sebelumnya yang melibatkan malware PlugX dengan kelompok peretas China lainnya seperti APT41 (alias Wicked Panda) dan Mustang Panda. Terlebih lagi, penggunaan file Bitdefender yang sah untuk melakukan sideload shellcode telah diamati pada serangan sebelumnya yang dikaitkan dengan APT41.

    Sumber: The Hackernews

    Lazarus Group Menyebarkan Malware MagicRAT

    by

    Aktor negara-bangsa Korea Utara yang produktif yang dikenal sebagai Grup Lazarus telah dikaitkan dengan trojan akses jarak jauh baru yang disebut MagicRAT.

    Bagian dari malware yang sebelumnya tidak diketahui dikatakan telah disebarkan di jaringan korban yang awalnya telah dilanggar melalui eksploitasi yang berhasil dari server VMware Horizon yang menghadap internet.

    Lazarus Group, juga dikenal sebagai APT38, Dark Seoul, Hidden Cobra, dan Zinc, mengacu pada sekelompok aktivitas siber yang didorong oleh keuangan dan spionase yang dilakukan oleh pemerintah Korea Utara sebagai sarana untuk menghindari sanksi yang dikenakan pada negara tersebut dan memenuhi strateginya. tujuan.

    Seperti kolektif payung lainnya, Winnti dan MuddyWater, kolektif peretas yang disponsori negara juga memiliki kelompok “spin-off” seperti Bluenoroff dan Andariel, yang fokus pada jenis serangan dan target tertentu.

    Sementara subkelompok Bluenoroff berfokus pada menyerang lembaga keuangan asing dan melakukan pencurian moneter, Andariel mengabdikan diri untuk mengejar organisasi dan bisnis Korea Selatan.

    “Lazarus mengembangkan alat serangan dan malware mereka sendiri, dapat menggunakan teknik serangan yang inovatif, bekerja dengan sangat metodis, dan membutuhkan waktu mereka,” kata perusahaan keamanan siber NCC Group dalam sebuah laporan yang merinci aktor ancaman tersebut.

    “Secara khusus, metode Korea Utara bertujuan untuk menghindari deteksi oleh produk keamanan dan tetap tidak terdeteksi dalam sistem yang diretas selama mungkin.”

    Penambahan terbaru untuk perangkat malware yang luas menunjukkan kemampuan grup untuk menggunakan banyak taktik dan teknik tergantung pada target dan tujuan operasional mereka.

    Implan berbasis C++, MagicRAT dirancang untuk mencapai kegigihan dengan membuat tugas terjadwal pada sistem yang disusupi. Ini juga “agak sederhana” karena memberikan penyerang dengan shell jarak jauh untuk menjalankan perintah sewenang-wenang dan melakukan operasi file.

    MagicRAT juga mampu meluncurkan muatan tambahan yang diambil dari server jauh pada host yang terinfeksi. Salah satu executable yang diambil dari server command-and-control (C2) berbentuk file gambar GIF, tetapi pada kenyataannya adalah pemindai port yang ringan.

    Selain itu, infrastruktur C2 yang terkait dengan MagicRAT telah ditemukan menyimpan dan melayani versi TigerRAT yang lebih baru, pintu belakang yang sebelumnya dikaitkan dengan Andariel dan direkayasa untuk menjalankan perintah, mengambil tangkapan layar, mencatat penekanan tombol, dan memanen informasi sistem.

    Juga tergabung dalam varian terbaru adalah fitur USB Dump yang memungkinkan musuh untuk berburu file dengan ekstensi tertentu, di samping meletakkan dasar untuk menerapkan pengambilan video dari webcam.

    “Penemuan MagicRAT di alam liar merupakan indikasi motivasi Lazarus untuk dengan cepat membangun malware baru yang dipesan lebih dahulu untuk digunakan bersama dengan malware mereka yang sebelumnya dikenal seperti TigerRAT untuk menargetkan organisasi di seluruh dunia,” kata para peneliti.

    Sumber:

    CodeRAT: Sumber Terbuka Pengembang Malware Setelah Diekspos

    by

    Kode sumber trojan akses jarak jauh (RAT) yang dijuluki ‘CodeRAT’ telah bocor di GitHub setelah analis malware mengonfrontasi pengembang tentang serangan yang menggunakan alat tersebut.

    Operasi jahat, yang tampaknya berasal dari Iran, menargetkan pengembang perangkat lunak berbahasa Farsi dengan dokumen Word yang menyertakan eksploitasi Microsoft Dynamic Data Exchange (DDE).

    Eksploitasi mengunduh dan mengeksekusi CodeRAT dari repositori GitHub pelaku ancaman, memberikan operator jarak jauh berbagai kemampuan pasca-infeksi.

    Lebih khusus lagi, CodeRAT mendukung sekitar 50 perintah dan dilengkapi dengan kemampuan pemantauan ekstensif yang menargetkan webmail, dokumen Microsoft Office, database, platform jaringan sosial, lingkungan pengembangan terintegrasi (IDE) untuk Windows Android, dan bahkan situs web individual seperti PayPal.

    Perusahaan keamanan siber SafeBreach melaporkan bahwa malware juga memata-matai jendela sensitif untuk alat seperti Visual Studio, Python, PhpStorm, dan Verilog – bahasa deskripsi perangkat keras untuk memodelkan sistem elektronik.

    Untuk berkomunikasi dengan operatornya dan untuk mengekstrak data yang dicuri, CodeRAT menggunakan mekanisme berbasis Telegram yang mengandalkan API unggah file anonim publik alih-alih infrastruktur server perintah dan kontrol yang lebih umum.

    Meskipun kampanye berhenti tiba-tiba ketika para peneliti menghubungi pengembang malware, CodeRAT kemungkinan akan menjadi lebih umum sekarang karena pembuatnya membuat kode sumber publik.

    Detail CodeRAT

    Malware ini mendukung sekitar 50 perintah yang mencakup mengambil tangkapan layar, menyalin konten clipboard, mendapatkan daftar proses yang sedang berjalan, menghentikan proses, memeriksa penggunaan GPU, mengunduh, mengunggah, menghapus file, menjalankan program.

    Penyerang dapat membuat perintah melalui alat UI yang membangun dan mengaburkannya, lalu menggunakan salah satu dari tiga metode berikut untuk mengirimkannya ke malware:

    1. Telegram bot API dengan proxy (tidak ada permintaan langsung)
    2. Mode manual (termasuk opsi USB)
    3. Perintah yang disimpan secara lokal di folder ‘myPictures’
    Tiga metode yang sama juga dapat digunakan untuk eksfiltrasi data, termasuk file tunggal, seluruh folder, atau penargetan ekstensi file tertentu.

    Jika negara korban telah melarang Telegram, CodeRAT menawarkan fungsionalitas anti-filter yang membuat saluran perutean permintaan terpisah yang dapat membantu melewati pemblokiran.

    Penulis juga mengklaim bahwa malware dapat bertahan di antara reboot tanpa membuat perubahan apa pun pada registri Windows, tetapi SafeBreach tidak memberikan detail apa pun tentang fitur ini.

    CodeRAT hadir dengan kemampuan kuat yang kemungkinan akan menarik penjahat dunia maya lainnya. Pengembang malware selalu mencari kode malware yang dapat dengan mudah diubah menjadi “produk” baru yang akan meningkatkan keuntungan mereka.

    Sumber: BleepingComputer

    Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

    by

    Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

    Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

    Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

    Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

    Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

    Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

    Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

    Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

    Sumber: Bleeping Computer

    Peretas Tiongkok menggunakan kerangka kerja serangan mirip Cobalt Strike

    by

    Para peneliti telah mengamati kerangka serangan pasca-eksploitasi baru yang digunakan di alam liar, bernama Manjusaka, yang dapat digunakan sebagai alternatif dari perangkat Cobalt Strike yang banyak disalahgunakan atau paralel dengannya untuk redundansi.

    Manjusaka menggunakan implan yang ditulis dalam bahasa pemrograman Rust lintas platform, sedangkan binernya ditulis dalam GoLang yang sama serbagunanya.

    Implan RAT (trojan akses jarak jauh) mendukung eksekusi perintah, akses file, pengintaian jaringan, dan banyak lagi, sehingga peretas dapat menggunakannya untuk tujuan operasional yang sama seperti Cobalt Strike.

    Manjusaka ditemukan oleh para peneliti di Cisco Talos, yang dipanggil untuk menyelidiki infeksi Cobalt Strike pada pelanggan, sehingga pelaku ancaman menggunakan kedua kerangka kerja dalam kasus itu.

    Infeksi datang melalui dokumen jahat yang menyamar sebagai laporan tentang kasus COVID-19 di Kota Golmud di Tibet untuk pelacakan kontak.

    Dokumen tersebut menampilkan makro VBA yang dijalankan melalui rundll32.exe untuk mengambil payload tahap kedua, Cobalt Strike, dan memuatnya ke dalam memori.

    Namun, alih-alih hanya menggunakan Cobalt Strike sebagai perangkat serangan utama mereka, mereka menggunakannya untuk mengunduh implan Manjusaka, yang bergantung pada arsitektur host, dapat berupa file EXE (Windows) atau ELF (Linux).

    Baik versi Windows dan Linux dari fitur implan memiliki kemampuan yang hampir sama dan menerapkan mekanisme komunikasi yang serupa.

    Implan terdiri dari RAT dan modul manajemen file, masing-masing menampilkan kemampuan yang berbeda.

    RAT mendukung eksekusi perintah sewenang-wenang melalui “cmd.exe”, mengumpulkan kredensial yang disimpan di browser web, SSID WiFi dan kata sandi, dan menemukan koneksi jaringan (TCP dan UDP), nama akun, grup lokal, dll.

    Sistem eksekusi perintah Manjusaka (Cisco)

    Selain itu, ia dapat mencuri kredensial Premiumsoft Navicat, menangkap tangkapan layar desktop saat ini, membuat daftar proses yang berjalan, dan bahkan memeriksa spesifikasi perangkat keras dan termal.

    Modul manajemen file dapat melakukan enumerasi file, membuat direktori, mendapatkan path file lengkap, membaca atau menulis konten file, menghapus file atau direktori, dan memindahkan file antar lokasi.

    Kemampuan manajemen file, EXE kiri, ELF kanan (Cisco)

    Saat ini, sepertinya Manjusaka sementara dikerahkan di alam liar untuk pengujian, jadi pengembangannya kemungkinan tidak dalam fase akhir. Namun, kerangka kerja baru ini sudah cukup kuat untuk digunakan di dunia nyata.

    Cisco mencatat bahwa para penelitinya menemukan diagram desain pada posting promosi oleh pembuat malware, yang menggambarkan komponen yang tidak diimplementasikan dalam versi sampel.

    Ini berarti bahwa mereka tidak tersedia dalam versi “gratis” yang digunakan dalam serangan yang dianalisis atau belum diselesaikan oleh penulis.

    Pengembang kerangka kerja dapat dengan mudah mengintegrasikan platform target baru seperti MacOSX atau Linux yang lebih eksotis seperti yang berjalan pada perangkat yang disematkan.

    Fakta bahwa pengembang menyediakan versi C2 yang berfungsi penuh meningkatkan kemungkinan adopsi yang lebih luas dari kerangka kerja ini oleh aktor jahat.” – Cisco Talos

    Dokumen iming-iming ditulis dalam bahasa Cina, dan hal yang sama berlaku untuk menu C2 dan opsi konfigurasi malware, sehingga aman untuk mengasumsikan bahwa pengembangnya berbasis di Cina. OSINT Talos mempersempit lokasi mereka ke wilayah Guangdong.

    Jika memang demikian, kita mungkin akan melihat Manjusaka segera dikerahkan dalam kampanye beberapa APT China, karena kelompok ancaman dari negara tersebut dikenal karena berbagi perangkat yang sama.

    Baru-baru ini, kami melaporkan tentang munculnya toolkit pasca-eksploitasi bernama ‘Brute Ratel’, yang juga dimaksudkan untuk menggantikan versi Cobalt Strike yang sekarang sudah tua dan lebih mudah dideteksi.

    Sumber:

    Peretas Korea Utara menyerang target UE dengan malware Konni RAT

    by

    Analis ancaman telah menemukan kampanye baru yang dikaitkan dengan APT37, kelompok peretas Korea Utara, yang menargetkan organisasi bernilai tinggi di Republik Ceko, Polandia, dan negara-negara Eropa lainnya.

    Dalam kampanye ini, peretas menggunakan malware yang dikenal sebagai Konni, trojan akses jarak jauh (RAT) yang mampu membangun kegigihan dan melakukan eskalasi hak istimewa pada host.

    Konni telah dikaitkan dengan serangan siber Korea Utara sejak 2014, dan baru-baru ini, terlihat dalam kampanye spear-phishing yang menargetkan Kementerian Luar Negeri Rusia.

    Kampanye terbaru dan masih berlangsung diamati dan dianalisis oleh para peneliti di Securonix, yang menyebutnya STIFF#BIZON, dan menyerupai taktik dan metode yang sesuai dengan kecanggihan operasional APT (ancaman persisten lanjutan).

    Serangan dimulai dengan datangnya email phishing dengan lampiran arsip yang berisi dokumen Word (missile.docx) dan file Windows Shortcut (_weapons.doc.lnk.lnk).

    Ketika file LNK dibuka, kode berjalan untuk menemukan skrip PowerShell yang disandikan base64 dalam file DOCX untuk membangun komunikasi C2 dan mengunduh dua file tambahan, ‘weapons.doc’ dan ‘wp.vbs’.

    Properti file pintasan berbahaya

    Dokumen yang diunduh adalah umpan, konon laporan dari Olga Bozheva, seorang koresponden perang Rusia. Pada saat yang sama, file VBS berjalan tanpa suara di latar belakang untuk membuat tugas terjadwal di host.

    PowerShell yang disandikan Base64 menambahkan tugas terjadwal (Securonix)

    Pada fase serangan ini, aktor telah memuat RAT dan membuat tautan pertukaran data, dan mampu melakukan tindakan berikut:

    • Screenshot menggunakan Win32 GDI API dan ekstrak dalam bentuk GZIP.
    • Ekstrak kunci status yang disimpan dalam file Status Lokal untuk dekripsi basis data cookie, berguna dalam melewati MFA.
    • Ekstrak kredensial yang disimpan dari browser web korban.
    • Luncurkan shell interaktif jarak jauh yang dapat menjalankan perintah setiap 10 detik.

    Pada tahap keempat serangan, seperti yang ditunjukkan pada diagram di bawah, peretas mengunduh file tambahan yang mendukung fungsi sampel Konni yang dimodifikasi, mengambilnya sebagai arsip “.cab” terkompresi.

    Diagram rantai infeksi (Securonix)

    Ini termasuk DLL yang menggantikan perpustakaan layanan Windows yang sah seperti “wpcsvc” di System32, yang dimanfaatkan untuk menjalankan perintah di OS dengan hak pengguna yang lebih tinggi.

    Sementara taktik dan toolset menunjuk ke APT37, Securonix menggarisbawahi kemungkinan APT28 (alias FancyBear) berada di balik kampanye STIFF#BIZON.

    Kelompok ancaman yang disponsori negara sering mencoba untuk meniru TTP dari APT terampil lainnya untuk mengaburkan jejak mereka dan menyesatkan analis ancaman, sehingga kemungkinan kesalahan atribusi, dalam hal ini, adalah signifikan.

    Sumber: Bleeping Computer

    ZuoRAT Malware dengan Keunggulan Threat Actor yang Didukung Negara

    by

    Baru-baru ini, Black Lotus Labs mengamati kampanye canggih, yang mungkin dilakukan oleh organisasi yang disponsori negara. Kampanye ini mendistribusikan RAT multistage, dijuluki ZuoRAT, yang dikembangkan khusus untuk router kantor kecil/rumah (SOHO).

    ZuoRAT dan aktivitas terkait mewakili kampanye yang sangat bertarget terhadap organisasi Amerika Utara dan Eropa.
    Kampanye ini menargetkan banyak router SOHO yang diproduksi oleh ASUS, Cisco, DrayTek, dan NETGEAR.

    Malware disebarkan di router, setelah mengeksploitasi kerentanan yang diketahui (CVE-2020-26878 dan CVE-2020-26879, dalam beberapa kasus), dengan bantuan skrip eksploit bypass otentikasi.

    Kampanye ini menggunakan infrastruktur pihak ketiga yang berbasis di China seperti platform Yuque Alibaba untuk infrastruktur komando dan kontrol rahasia dan platform Tencent sebagai redirector untuk perintah dan kontrol.

    ZuoRAT tampaknya merupakan versi botnet Mirai yang sangat dimodifikasi. Fungsionalitasnya dapat dibagi menjadi dua komponen: dijalankan otomatis saat dieksekusi (komponen inti) dan fungsi ekspor yang disematkan secara eksplisit (perintah bantu).
    Komponen fungsionalitas inti mengumpulkan informasi tentang router dan LAN, memungkinkan pengambilan paket lalu lintas jaringan, dan mengirimkan informasi kembali ke C2.

    Perintah bantu fokus pada kemampuan enumerasi LAN, yang menyediakan aktor dengan informasi penargetan tambahan untuk lingkungan LAN, kemampuan pembajakan DNS dan HTTP berikutnya, kegigihan dan pemeliharaan agen, dan gaya serangan yang secara tradisional sulit dideteksi oleh pembela HAM.

    Kampanye malware ZuoRAT telah diamati menggunakan pemuat Windows untuk mendapatkan sumber daya jarak jauh dan menjalankannya di mesin host. Selanjutnya, itu digunakan untuk memuat salah satu agen tahap kedua yang berfungsi penuh.

    Kemampuan yang ditunjukkan oleh ZuoRAT menunjukkan aktor yang sangat canggih yang mungkin telah hidup tanpa terdeteksi di tepi jaringan yang ditargetkan selama bertahun-tahun. Untuk mitigasi, organisasi harus memastikan perencanaan patch untuk router dan memastikan perangkat ini menjalankan perangkat lunak terbaru yang tersedia.

    Sumber: CYWARE