Russia

SEABORGIUM dan TA453 Melanjutkan Kampanye Spear-phishing masing-masing

January 26, 2023 by Mally Leave a Comment

Pelaku SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) yang berbasis di Rusia dan TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) yang berbasis di Iran terus berhasil menggunakan serangan spear-phishing terhadap organisasi dan individu yang ditargetkan di Inggris , dan bidang minat lainnya, untuk kegiatan pengumpulan informasi.

Menggunakan sumber daya sumber terbuka untuk melakukan pengintaian, termasuk media sosial dan platform jejaring profesional, SEABORGIUM dan TA453 mengidentifikasi pengait untuk melibatkan target mereka. Mereka meluangkan waktu untuk meneliti minat mereka dan mengidentifikasi kontak sosial atau profesional dunia nyata mereka.

Mereka juga telah membuat profil media sosial atau jaringan palsu yang menyamar sebagai pakar yang dihormati, dan menggunakan undangan konferensi atau acara yang seharusnya, serta pendekatan palsu dari jurnalis.

Pusat Intelijen Ancaman Microsoft (MSTIC) menyediakan daftar Indikator Kompromi (IOC) yang diamati di blog SEABORGIUM mereka, meskipun ini tidak boleh dianggap lengkap.

Meskipun spear-phishing adalah teknik mapan yang digunakan oleh banyak aktor, SEABORGIUM dan TA453 terus menggunakannya dengan sukses dan mengembangkan teknik tersebut untuk mempertahankan kesuksesan mereka.

Individu dan organisasi dari sektor yang ditargetkan sebelumnya harus waspada terhadap teknik di atas. Di Inggris Raya, laporkan aktivitas sesuai dengan yang dijelaskan di atas ke NCSC.

sumber : National Cyber Security Centre

59,4 Juta Catatan Kartu Pembayaran yang Disusupi Diposting untuk Dijual di Web Gelap pada Tahun 2022

January 20, 2023 by Mally

Hampir 60 juta catatan kartu pembayaran yang dikompromikan diposting untuk dijual di platform web gelap pada tahun 2022, menurut laporan baru.

Dibandingkan dengan tahun 2021 yang mencapai hampir 100 juta catatan kartu pembayaran yang disusupi, jumlah tersebut termasuk menurun.

Peretas secara fisik mengkompromikan perangkat pedagang untuk mencuri data kartu pembayaran untuk memfasilitasi transaksi Card-Present (CP). Sementara penjahat siber seringkali dengan infeksi Magecart e-skimmer untuk mencuri data kartu dari transaksi Card-Not-Present (CNP) online.

Meski tahun ini turun 62%, pelanggaran CP pada tahun 2022 sangat mempengaruhi restoran dan bar kecil. Jumlahnya terus menurun selama bertahun-tahun karena meningkatnya adopsi global dari metode pembayaran tatap muka yang lebih aman.
Pembayaran non-tunai, chip EMV, dan penurunan umum dalam transaksi langsung berkontribusi terhadap penurunan tersebut.

Secara total, para peneliti menemukan setidaknya 20,5 juta catatan yang memiliki nomor akun utama lengkap di forum web gelap, pastebin, dan media sosial. Setelah nomor diverifikasi, peretas melakukan transaksi penipuan atau mendapatkan lebih banyak informasi pribadi yang memungkinkan mereka mengambil alih sepenuhnya akun keuangan untuk menarik dana.

Kartu Pembayaran Kompromi Penuh Diposting ke Forum, Media Sosial, Pastebin, dan Sumber Daya Lainnya

Sebagian besar peretas yang mendapatkan kartu pembayaran yang disusupi bukanlah orang yang sama yang menggunakannya untuk penipuan, biasanya menjualnya di toko kartu.

Pada tahun 2022, 70% dari 59,4 juta catatan kartu pembayaran yang disusupi dikeluarkan oleh lembaga keuangan di Amerika Serikat.

Recorded Future memperkirakan pada tahun 2023, bahwa pasar penipuan kartu akan sama-sama bergantung pada peristiwa dunia dengan alasan bahwa hasil perang Rusia-Ukraina kemungkinan besar akan menentukan aktivitas.

Selengkapnya: The Record

Peretas pro-Rusia Mengklaim Melanggar Samsung

January 19, 2023 by Mally

Genesis Day, kelompok peretas pro-Rusia, mengklaim telah melanggar server internal Samsung atas kerja sama Korea Selatan dengan NATO.

Penyerang memposting iklan di forum peretasan populer, menuduh mereka melanggar konglomerat manufaktur Korea Selatan Samsung.

Genesis Day mengklaim menemukan jalan mereka ke layanan FTP internal Samsung yang digunakan oleh Samsung Group di Korea Selatan.

Pelaku ancaman mengumumkan dugaan pelanggaran (Cybernews)

Berdasarkan sampel data yang diselidiki oleh tim peneliti Cybernews, diduga mencakup manual perusahaan Samsung untuk masuk, kata sandi karyawan, dan beberapa video pendidikan. Namun, sampel data tidak dianggap mengandung data sensitif.

Penyerang mencoba membangun momentum, menjanjikan untuk membocorkan data tambahan sebesar 2,4 GB yang dicuri dari konglomerat Korea Selatan tersebut.

Sementara motivasi aktor ancaman pro-Rusia kemungkinan besar akan memajukan kepentingan Kremlin di Ukraina, alasan di balik serangan itu tampaknya tidak jelas.

Selengkapnya: cybernews

Platform Narkoba Rusia Dibuka

January 13, 2023 by Mally

Rusia adalah tempat berlindung yang aman bagi obat-obatan terlarang (narkoba) dan lahan subur bagi beberapa platform berbahaya yang memasok obat-obatan terlarang ke puluhan ribu pengguna. Penggunaan Dark Web dan teknologi membuat perbedaan besar dalam perdagangan narkoba saat ini. Para pedagang tidak lagi duduk di gang0gang gelap menawarkan barang haram mereka kepada orang asing. Sebaliknya, pengedar narkoba sekarang menggunakan layanan online untuk mengirim pasukan pengedar narkoba yang menyembunyikan berbagai narkoba di tengah lingkungan normal yang sederhana.

Partnership Killnet dan Solaris
KillMilk, pendiri Killnet (kelompok peretas Rusia yang menyerang Ukraina dan sekutunya) secara terbuka berterima kasih kepada kelompok Solaris atas “dukungan besar” mereka.

Ini adalah pengubah permainan. Sampai saat ini Killnet tidak malu meminta dukungan, tetapi afiliasi mereka dengan platform obat-obatan terlarang sangat tidak biasa. Jika ada, staf Solaris harus menentang pemerintah Rusia dan pendukungnya.

Solaris berbohong
Setelah bitcoin dialihkan dari pertukaran Solaris, administrasi Solaris menurunkan sebagian besar infrastrukturnya dengan mengklaim itu karena peningkatan besar. Mereka melakukan yang terbaik untuk menolak cerita Forbes (kecuali transfer uang), meyakinkan pelanggan mereka bahwa versi baru mereka akan lebih besar dan lebih baik. Ini semua bohong.

Killnet juga menyebarkan berita bahwa pemimpinnya terkait dengan geng narkoba. Beberapa anggota Killnet meminta KillMilk untuk berkomentar, tetapi hanya keheningan pengecut yang mengikuti.

Tor Node dan Penjaga DDoS
Data berikut mencakup skrip yang memungkinkan dan kunci SSH untuk penyebaran otomatis ke lebih dari 60 server, termasuk: kode sumber sistem AntiDDoS Solaris Guard, pengalihan dari RuTor ke Solaris, dan konfigurasi penyeimbang muatan Tor (keseimbangan bawang). Data ini juga termasuk Kunci Layanan Tersembunyi Bawang. Tautan

Kesimpulan
Hold Security membagikan temuan dan datanya dari platform obat-obatan terlarang Rusia, Solaris. Dalam beberapa pernyataan publik, grup Solaris telah menghubungkan diri mereka dengan Killnet. Tujuan kami adalah untuk meningkatkan kesadaran akan kesaahan dan koneksi Solaris, serta mengajukan pertanyaan tentang kepemim[inan Kilnet dan sumber dukungan mereka. Data yang ditautkan dlam artikel ini harus berbicara sendiri.

selengkapnya : holdsecurity

Akun Rusia yang Dicurigai ‘Menyerang’ Penjualan Banksy Ukraina

January 12, 2023 by Mally

Ribuan serangan web bermusuhan yang diluncurkan dari alamat IP Rusia telah menargetkan lelang cetakan online oleh seniman grafiti Inggris, Banksy, untuk membantu Ukraina, menurut yayasan amal Legacy of War Foundation pada hari Selasa.

Bansky adalah seorang seniman jalanan. Dirinya menjual 50 cetakan layar edisi terbatas melalui badan amal untuk mengumpulkan dana guna mendukung warga sipil Ukraina yang terkena dampak konflik.

Diketahui seniman tersebut mendukung badan amal karena dia telah melihat salah satu timnya menyapu dan memberikan perawatan medis, pemanas, air bersih, dan wajah ramah kepada beberapa orang yang sangat putus asa di gedung yang dibom.

Banksy saat berada di balik tujuh mural di gedung yang hancur di sekitar Kyiv tahun lalu

Pendukung harus mendaftar secara online untuk mendapatkan salah satu dari £5.000 ($6.080) cetakan, yang menunjukkan mouse meluncur ke bawah sisi kotak dengan “FRAGILE” tercetak di atasnya.

Namun sebuah pesan di situsnya mengatakan bahwa telah menerima lebih dari1 juta permintaan dan 3.500 serangan bermusuhan dari alamat IP Rusia.

Selengkapnya: france24

Mata-mata Rusia yang Terkenal Membonceng Infeksi USB Peretas Lain

January 8, 2023 by Mally

Kelompok CYBERESPIONAGE RUSIA yang dikenal sebagai Turla tampaknya sedang mencoba trik baru: membajak infeksi USB dari peretas lain untuk membonceng infeksi mereka dan secara diam-diam memilih target mata-mata mereka.

Teknik baru Turla pertama kali terungkap pada bulan September tahun lalu, ketika responden insiden perusahaan menemukan pelanggaran jaringan yang aneh di Ukraina, negara yang menjadi fokus utama dari semua layanan intelijen Kremlin setelah bencana invasi Rusia Februari lalu. Beberapa komputer di jaringan itu telah terinfeksi setelah seseorang memasukkan drive USB ke salah satu port mereka dan mengklik dua kali pada file berbahaya di drive yang telah disamarkan sebagai folder, menginstal malware yang disebut Andromeda.

Andromeda adalah trojan perbankan yang relatif umum digunakan penjahat dunia maya untuk mencuri kredensial korban sejak awal 2013.

satu contoh di Ukraina dari infeksi Andromeda yang dibajak yang mendistribusikan malware Turla. Tetapi perusahaan menduga kemungkinan ada lebih banyak. Hultquist memperingatkan bahwa tidak ada alasan untuk percaya bahwa target mata-mata diam-diam yang membonceng infeksi USB Andromeda akan terbatas hanya pada satu target, atau bahkan hanya Ukraina. “Turla memiliki mandat pengumpulan intelijen global,” katanya.

Penemuan Mandiant atas teknik peretasan berbasis USB lainnya yang lebih tersembunyi di tangan Turla harus menjadi pengingat bahwa bahkan sekarang, 15 tahun kemudian, vektor intrusi berbasis USB hampir tidak menghilang. Tancapkan drive yang terinfeksi ke port USB Anda hari ini, tampaknya, dan Anda mungkin menawarkan undangan tidak hanya kepada penjahat dunia maya yang tidak cerdas, tetapi juga jenis operasi yang jauh lebih canggih yang bersembunyi di belakang mereka.

sumber: wired

Polandia Memperingatkan Serangan Oleh Kelompok Hacker Ghostwriter yang Terkait dengan Rusia

January 4, 2023 by Mally

Pemerintah Polandia memperingatkan lonjakan serangan dunia maya dari peretas yang terkait dengan Rusia, termasuk kelompok peretasan yang disponsori negara yang dikenal sebagai GhostWriter.

Polandia yakin peretas Rusia menargetkan negara mereka karena dukungan berkelanjutan yang mereka berikan kepada Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia.

Cyberattack Terbaru
Kasus pertama yang disorot oleh pos pemerintah Polandia adalah serangan DDoS (distributed denial of service) terhadap situs web parlemen (‘sejm.gov.pl’), yang dikaitkan dengan NoName057(16) aktivis peretas pro-Rusia.’

Serangan itu terjadi sehari setelah parlemen mengadopsi resolusi yang mengakui Rusia sebagai negara sponsor terorisme, membuat situs web tidak dapat diakses oleh publik.

Menurut orang Polandia, para peretas Rusia membuat situs web yang menyamar sebagai domain pemerintah gov.pl, mempromosikan kompensasi keuangan palsu untuk penduduk Polandia yang diduga didukung oleh dana Eropa.

Mengklik tombol tersemat untuk mempelajari lebih lanjut tentang program membawa korban ke situs phishing di mana mereka diminta membayar sedikit biaya untuk verifikasi.

Kampanye ’22 Desember yang menyamar sebagai administrasi pajak Polandia (gov.pl)

GhostWriter telah aktif setidaknya sejak 2017, sebelumnya diamati meniru jurnalis dari Lituania, Latvia, dan Polandia, untuk menyebarkan informasi palsu dan narasi anti-NATO kepada khalayak lokal.

Menanggapi meningkatnya ancaman dunia maya, Perdana Menteri Polandia telah meningkatkan tingkat ancaman keamanan dunia maya menjadi ‘CHARLIE-CRP’, memperkenalkan berbagai langkah seperti mempertahankan daftar 24 jam di kantor yang ditunjuk dan organisasi administrasi publik.

sumber : BleepingComputBleepingComputer

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

December 26, 2022 by Mally

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.

Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Russia

Cookies Settings