Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kelompok spionase dunia maya China Moshen Dragon menargetkan perusahaan telekomunikasi Asia

by

Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.

Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.

Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.

Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.

Rantai operasi keseluruhan Moshen Dragon (Laboratorium Sentinel)

Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.

Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.

Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).

Fitur gerakan lateral Impacket (Lab Sentinel)

Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.

Filter kata sandi yang digunakan untuk mencuri kredensial (Sentinel Labs)

Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.

Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.

Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).

Fungsi yang diekspor loader (Lab Sentinel)

Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.

Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.

Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.

Sumber: Bleeping Computer

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

by

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

PRESIDEN BRONZE Menargetkan Pembicara Rusia dengan PlugX yang Diperbarui

by

Pelaku ancaman yang disponsori pemerintah mengumpulkan intelijen untuk menguntungkan negara mereka, dan perubahan pada lanskap politik dapat memengaruhi persyaratan pengumpulan.

Perang di Ukraina telah mendorong banyak negara untuk mengerahkan kemampuan siber mereka untuk mendapatkan wawasan tentang peristiwa global, intrik politik, dan motivasi.

Keinginan akan kesadaran situasional ini sering meluas hingga mengumpulkan intelijen dari sekutu dan “teman”, yang dapat menjelaskan mengapa peneliti Secureworks® Counter Threat Unit™ (CTU) mendeteksi apa yang tampaknya merupakan upaya China untuk menyebarkan malware canggih ke sistem komputer pejabat Rusia .

Pada Maret 2022, peneliti CTU™ menganalisis file eksekusi berbahaya yang menyamar sebagai dokumen berbahasa Rusia.

Nama filenya adalah Благовещенск – аговещенский пограничный отряд.exe (“Blagoveshchensk – Blagoveshchensk Border Detachment.exe”), tetapi pengaturan default pada sistem Windows tidak menampilkan ekstensi file .exe.

File menggunakan ikon file dokumen portabel (PDF) untuk kredibilitas. Blagoveshchensk adalah kota Rusia yang dekat dengan perbatasan China dan merupakan rumah bagi Detasemen Penjaga Perbatasan Spanduk Merah Blagoveshchenskiy ke-56.

Koneksi ini menunjukkan bahwa nama file dipilih untuk menargetkan pejabat atau personel militer yang akrab dengan wilayah tersebut.

Selengkapnya: Secure Works

Grup APT Baru Earth Berberoka Menargetkan Situs Web Perjudian Dengan Malware Lama dan Baru

by

Peneliti baru-baru ini menemukan grup ancaman persisten tingkat lanjut (APT) baru yang kami beri nama Bumi Berberoka (alias Boneka Perjudian). Berdasarkan analisis kami, grup ini menargetkan situs web perjudian.

Investigasi kami juga menemukan bahwa Earth Berberoka menargetkan platform Windows, Linux, dan macOS, dan menggunakan kelompok malware yang secara historis dikaitkan dengan individu berbahasa China.

Dalam entri blog ini, kami memberikan gambaran umum tentang keluarga malware Windows yang digunakan oleh Earth Berberoka dalam kampanyenya.

Jajaran malware ini mencakup keluarga malware yang telah dicoba dan diuji yang telah ditingkatkan, seperti PlugX dan Gh0st RAT, dan keluarga malware multi-tahap baru yang kami beri nama PuppetLoader.

Kami membahas detail teknis lengkap dari keluarga malware Earth Berberoka yang ditujukan untuk Linux dan macOS serta Windows, vektor infeksi, target, dan kemungkinan koneksi dengan grup APT lain dalam makalah penelitian kami “Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Kampanye Penargetan Situs Perjudian Online.”

Selengkapnya: Trend Micro

Ransomware: Bagaimana Penyerang Melanggar Jaringan Perusahaan

by

Symantec, sebuah divisi dari Broadcom Software, melacak berbagai ancaman ransomware; namun, tiga kelompok ransomware berikut diamati di sebagian besar serangan baru-baru ini yaitu: Hive, Conti, dan Avoslocker.

Mirip dengan banyak keluarga ransomware lainnya, Hive, Conti, dan Avoslocker mengikuti model bisnis ransomware-as-a-service (RaaS). Dalam model RaaS, operator ransomware mempekerjakan afiliasi yang bertanggung jawab meluncurkan serangan ransomware atas nama mereka. Dalam kebanyakan kasus, afiliasi tetap berpegang pada buku pedoman yang berisi langkah-langkah serangan terperinci yang ditetapkan oleh operator ransomware.

Afiliasi untuk operator ransomware Hive, Conti, dan Avoslocker menggunakan berbagai teknik untuk mendapatkan pijakan awal di jaringan korban. Beberapa teknik tersebut antara lain: spear phishing, kredensial RDP yang lemah, dan eksploitasi kelemahan.

Setelah mendapatkan akses awal, Symantec telah mengamati afiliasi untuk ketiga keluarga ransomware menggunakan perangkat lunak pihak ketiga seperti AnyDesk dan ConnectWise Control (sebelumnya dikenal sebagai ScreenConnect) untuk mempertahankan akses ke jaringan korban.

Selama fase penemuan, pelaku ransomware mencoba menyapu jaringan korban untuk mengidentifikasi target potensial.

Mimikatz adalah alat masuk untuk sebagian besar grup ransomware dan Hive, Conti, dan Avoslocker tidak terkecuali. Peneliti telah mengamati mereka menggunakan versi PowerShell dari Mimikatz serta versi PE dari alat tersebut. Ada juga contoh di mana aktor ancaman secara langsung memuat versi PowerShell dari Mimikatz dari repositori GitHub.

Penyerang menggunakan alat seperti PsExec, WMI, dan BITSAdmin untuk menyebarkan dan mengeksekusi ransomware secara lateral di jaringan korban. Kami juga telah mengamati penyerang menggunakan beberapa teknik lain untuk bergerak secara lateral melintasi jaringan.

Untuk menghindar deteksi keamanan campur tangan dengan layanan keamanan menggunakan perintah net, taskkill, dan sc untuk menonaktifkan atau menghentikannya.

Musuh cenderung menonaktifkan atau mengutak-atik pengaturan sistem operasi untuk mempersulit administrator memulihkan data. Menghapus salinan bayangan adalah taktik umum yang dilakukan aktor ancaman sebelum memulai proses enkripsi. Mereka melakukan tugas ini dengan menggunakan alat seperti Vssadmin atau WMIC

Penyerang biasanya mengekstrak data penting dari lingkungan korban sebelum mengenkripsinya.

TTP yang diuraikan dalam blog ini adalah cuplikan lanskap ancaman ransomware saat ini. TTP yang digunakan oleh pelaku ancaman ini terus berkembang, dengan kelompok yang terus-menerus mengubah metode mereka dalam upaya untuk mengungguli pertahanan keamanan target mereka. Dengan demikian, organisasi perlu waspada dan menggunakan pendekatan keamanan berlapis-lapis.

Selengkapnya: Symantec

Anonim meretas Bank Komersial PSCB Rusia dan perusahaan di sektor energi

by

Dilansir dari unggahan akun twitter @YourAnonTV pada 26 April 2022, Grup tertaut Anonymous ‘NB 65’ (@xxNB65) meretas 229.000 email dan 630.000 file dari Petersburg Social Commercial Bank (JSC Bank “PSCB”), salah satu dari 100 bank Rusia teratas dalam hal aset bersih. Dokumen hasil peretasan terebut kemudian diunggah dan tersedia di situs DDoSecrets.

“JSC Bank PSCB, Anda sekarang dikendalikan oleh Network Battalion 65. Kami sangat bersyukur bahwa Anda menyimpan begitu banyak kredensial di Chrome. Sudah selesai dilakukan dengan baik. Jelas bahwa respon insiden telah dimulai. Semoga berhasil mendapatkan data Anda kembali tanpa kami. Beritahu pemerintah Anda untuk meninggalkan Ukraina” tulis kelompok Network Battalion 65 atau NB 65. dalam unggahan asli di halaman twitter mereka pada 18 April 2022.

Kemudian, kelompok NB 65 membuat utas terkait aktivitas mereka di dalam jaringan bank yang terkompromi dengan nada seolah-olah mempermainkan.

Selain peretasan pada bank PSCB, pada 27 April 2022, kelompok Anonymous mengklaim bahwa mereka telah meretas 1,23 juta email (1.7TB data) dari Elektrocentromontazh (ECM), organisasi kekuatan utama Rusia. ECM merancang, membangun, memasang, dan memelihara peralatan listrik di fasilitas pembangkit listrik dan transmisi.

Mereka juga memberikan informasi klien domestik ECM terdiri dari pembangkit listrik tenaga nuklir Novovoronezh, Kursk dan Smolensk, Russian Railways JSC, perusahaan negara Direktorat Tenaga Moskow, departemen Energi Pemerintah Moskow, cabang JSC jaringan listrik Moskow bersatu, dan Baltic Oil Pipelines LLC.

Selengkapnya: Security Affairs

Google Documents memperluas peringatan tentang file dan tautan yang cerdik

by

Alat kolaborasi kantor Google, Dokumen, Spreadsheet, Slide, dan Gambar sekarang akan menampilkan spanduk peringatan saat Anda membuka file yang berpotensi berbahaya dari web, raksasa pencarian telah mengumumkan.

Spanduk ini sudah muncul saat file cerdik diakses dari dalam Drive, serta dari tautan mencurigakan dalam file Dokumen, Spreadsheet, Slide, dan Gambar yang terpisah. Peluncuran yang lebih luas akan membantu melindungi pengguna dalam situasi yang lebih luas.

Yang membingungkan, postingan pengumuman Google pada 20 Januari mengatakan bahwa spanduk sudah muncul saat membuka tautan Google Documents, Spreadsheet, Slide, dan Gambar. Namun, perusahaan memberi tahu kami bahwa ini salah ketik, dan seharusnya spanduk tersebut muncul di file “tautan dari Google Documents, Spreadsheet, Slide, dan Gambar”.

Spanduk peringatan tampaknya merupakan upaya untuk memerangi penipuan yang menggunakan perangkat lunak produktivitas kantor Google untuk menciptakan lapisan keaslian di sekitar tautan cerdik dan upaya phishing.

Pada tahun 2020, Wired melaporkan gelombang penipuan yang menggunakan berbagai fitur berbagi dan kolaborasi Google untuk mendapatkan file berbahaya mereka di depan pengguna yang tidak menaruh curiga.

Mengklik tautan di salah satu dokumen ini mengarahkan pengguna ke situs yang dipenuhi dengan iklan cerdik, atau situs phishing biasa yang meminta mereka memasukkan detail bank atau akun lainnya.

Pengumuman Google mengatakan bahwa spanduk peringatan baru akan diluncurkan selama beberapa minggu ke depan untuk semua akun, bisnis dan pribadi.

Selengkapnya: The Verge

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Entitas dan situs di atas telah mengambil sikap yang kuat untuk mendukung Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia, sehingga mereka tidak dipilih secara acak. Namun, tidak banyak yang diketahui tentang asal-usul serangan ini.

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

Selengkapnya: Bleeping Computer