Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / US

US

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Facebook menghancurkan jaringan China yang menargetkan orang Amerika

    by

    Meta menghapus jaringan pengaruh Tiongkok yang berusaha mengobarkan ketegangan politik di Facebook, Instagram, dan Twitter menjelang pemilihan.

    Akun-akun itu meniru orang Amerika untuk menargetkan orang-orang di kedua sisi lorong politik atas isu-isu panas seperti akses aborsi dan hak senjata dan polarisasi tokoh masyarakat termasuk Presiden Joe Biden dan Gubernur Florida Ron DeSantis.

    Ben Nimmo, pemimpin intelijen ancaman global untuk Meta, mengatakan aktivitas tersebut menandai pergeseran operasi pengaruh China yang biasanya berusaha membentuk opini publik di luar negeri dengan mendorong propaganda pro-China dan menyerang Amerika Serikat.

    Operasi yang berasal dari China mendapat sedikit keterlibatan dan tidak secara langsung dikaitkan dengan pemerintah di Beijing.

    China tampaknya bereksperimen dengan taktik baru sebagai bagian dari operasi pengaruhnya yang lebih luas, menurut Graham Brookie, direktur senior Laboratorium Penelitian Forensik Digital Dewan Atlantik.

    Operasi pengaruh menargetkan terutama Amerika Serikat dan Republik Ceko.

    Tak satu pun dari posting mencapai audiens yang besar. Secara keseluruhan, ada 81 akun Facebook, delapan Halaman, satu Grup dan dua akun di Instagram.

    Sekitar 20 akun mengikuti satu atau lebih halaman. Sekitar 250 akun bergabung dengan satu atau lebih grup. Kurang dari 10 akun mengikuti satu atau lebih akun Instagram, menurut Meta.

    Meta mengatakan mereka menghapus semuanya karena melanggar kebijakannya terhadap “perilaku tidak autentik yang terkoordinasi.”

    Meta menghapus jaringan China lainnya pada tahun 2020 yang memposting tentang politik AS tetapi terutama menargetkan pengguna di Filipina dan Asia Tenggara.

    Pada bulan Agustus, Facebook, Instagram, WhatsApp, dan Twitter menghapus operasi pengaruh yang mempromosikan kepentingan kebijakan luar negeri AS di luar negeri.

    Operasi itu mempromosikan pandangan Amerika Serikat saat menyerang China, Iran, Rusia, dan negara-negara lain, menurut temuan para peneliti dari Stanford Internet Observatory dan perusahaan riset Graphika.

    Sumber: phys.org

    AS menambahkan dua operator China lagi ke daftar ‘ancaman keamanan nasional’

    by

    Komisi Komunikasi Federal AS (FCC) telah menambahkan dua perusahaan China ke dalam daftar pemasok peralatan komunikasi yang dinilai mengancam keamanan nasional: Pacific Network Corp, anak perusahaannya yang sepenuhnya dimiliki ComNet (USA) LLC, dan China Unicom (Amerika).

    Sekarang, bekerja sama dengan mitra keamanan nasional kami, kami mengambil tindakan tambahan untuk menutup pintu bagi perusahaan-perusahaan ini dengan menambahkan mereka ke Daftar Tercakup FCC, ”kata Ketua Jessica Rosenworcel.

    Penambahan terbaru bergabung dengan Huawei, ZTE Corporation, vendor komunikasi radio Hytera, sistem pengawasan video Hikvision dan Dahua, serta perusahaan keamanan siber yang berbasis di Rusia Kaspersky, ditambah perusahaan telekomunikasi China Mobile dan China Telecom, yang sudah ada dalam daftar.

    Perusahaan-perusahaan baru itu mendapat tempat di daftar sepuluh kuat sekarang karena mereka diyakini “tunduk pada eksploitasi, pengaruh dan kontrol pemerintah China, dan risiko keamanan nasional yang terkait dengan eksploitasi, pengaruh, dan kontrol semacam itu.” Oleh karena itu, mereka menimbulkan “risiko yang tidak dapat diterima terhadap keamanan nasional Amerika Serikat.”

    FCC pada dasarnya percaya bahwa perusahaan tidak akan dapat menolak permintaan dari Beijing yang dapat mencakup spionase atau pengumpulan intelijen.

    ComNet juga mendapatkan tempatnya dalam daftar karena FCC percaya interkoneksinya ke jaringan telekomunikasi AS dan pelanggan dapat memfasilitasi spionase ekonomi, pengumpulan intelijen, “atau sebaliknya memberikan kemampuan strategis untuk menargetkan, mengumpulkan, mengubah, memblokir, dan merutekan ulang lalu lintas jaringan. .”

    ComNet dan China Unicom telah dilarang beroperasi di AS dan, dengan melabeli mereka sebagai ancaman keamanan, FCC telah menjelaskan bahwa berbisnis dengan keduanya berbahaya bagi perusahaan AS.

    Pada tingkat yang lebih praktis, daftar tersebut juga berarti pembeli AS yang berbelanja menggunakan subsidi federal seperti Dana Layanan Universal FCC senilai $5 miliar sekarang dilarang berurusan dengan kedua perusahaan tersebut.

    Sumber: The Register

    AS memerintahkan Nvidia untuk menghentikan penjualan chip AI teratas ke China

    by

    Perancang chip Nvidia Corp (NVDA.O) mengatakan pada hari Rabu bahwa AS menyuruh mereka untuk menghentikan mengekspor dua chip komputasi teratas untuk artificial intelligence ke China.

    Pengumuman tersebut menandakan eskalasi besar dari tindakan keras AS terhadap kemampuan teknologi China saat ketegangan menggelembung atas nasib Taiwan, di mana chip untuk Nvidia dan hampir setiap perusahaan chip besar lainnya diproduksi.

    Saham Nvidia turun 6,6% setelah beberapa jam. Perusahaan mengatakan larangan tersebut, yang mempengaruhi chip A100 dan H100 yang dirancang untuk mempercepat tugas pembelajaran mesin, dapat mengganggu penyelesaian pengembangan H100, chip unggulan yang diumumkan tahun ini.

    Saham saingannya Advanced Micro Devices Inc (AMD.O) turun 3,7% setelah beberapa jam. Seorang juru bicara AMD mengatakan kepada Reuters bahwa pihaknya telah menerima persyaratan lisensi baru yang akan menghentikan chip kecerdasan buatan MI250 untuk diekspor ke China, tetapi diyakini chip MI100-nya tidak akan terpengaruh. AMD mengatakan tidak percaya aturan baru akan berdampak material pada bisnisnya.

    Nvidia mengatakan para pejabat AS mengatakan kepadanya bahwa aturan baru “akan mengatasi risiko bahwa produk dapat digunakan, atau dialihkan ke, ‘penggunaan akhir militer’ atau ‘pengguna akhir militer’ di China.”

    Departemen Perdagangan AS tidak akan mengatakan kriteria baru apa yang telah ditetapkan untuk chip AI yang tidak dapat lagi dikirim ke China tetapi mengatakan sedang meninjau kebijakan dan praktik terkait China untuk “menjaga teknologi canggih dari tangan yang salah.

    Kementerian luar negeri China menanggapi pada hari Kamis dengan menuduh Amerika Serikat berusaha memaksakan “blokade teknologi” di China, sementara kementerian perdagangannya mengatakan tindakan seperti itu akan merusak stabilitas rantai pasokan global.

    Ini bukan pertama kalinya AS bergerak untuk menghentikan pasokan chip perusahaan China. Pada tahun 2020, pemerintahan mantan presiden Donald Trump melarang pemasok menjual chip yang dibuat menggunakan teknologi AS kepada raksasa teknologi Huawei tanpa lisensi khusus.

    Tanpa chip Amerika dari perusahaan seperti Nvidia dan AMD, organisasi China tidak akan mampu melakukan jenis komputasi canggih yang digunakan untuk pengenalan gambar dan ucapan, di antara banyak tugas lainnya dengan biaya yang efektif.

    Pengenalan gambar dan pemrosesan bahasa alami adalah hal biasa dalam aplikasi konsumen seperti ponsel cerdas yang dapat menjawab pertanyaan dan menandai foto. Mereka juga memiliki kegunaan militer seperti menjelajahi citra satelit untuk senjata atau pangkalan dan menyaring komunikasi digital untuk tujuan pengumpulan intelijen.

    Nvidia mengatakan telah membukukan $400 juta dalam penjualan chip yang terpengaruh kuartal ini ke China yang bisa hilang jika perusahaan memutuskan untuk tidak membeli produk Nvidia alternatif. Dikatakan pihaknya berencana untuk mengajukan pengecualian terhadap aturan tersebut.

    Stacy Rasgon, seorang analis keuangan di Bernstein, mengatakan pengungkapan itu mengisyaratkan bahwa sekitar 10% dari penjualan pusat data Nvidia berasal dari China dan bahwa pukulan terhadap penjualan kemungkinan “terkelola” untuk Nvidia.

    Nvidia pekan lalu memperkirakan penurunan tajam pendapatan untuk kuartal saat ini di belakang industri game yang lebih lemah. Dikatakan pihaknya memperkirakan penjualan kuartal ketiga turun 17% dari periode yang sama tahun lalu.

    Sumber: Reuters

    Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

    by

    Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

    Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

    Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

    “Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

    Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

    Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

    “Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

    Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

    Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

    Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

    Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

    “Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

    Sumber: BBC

    Bagaimana NSA Bergerak Menuju Masa Depan Ketahanan Kuantum

    by

    Komputasi kuantum adalah teknologi maju pesat yang memiliki potensi untuk mengubah industri dengan memecahkan masalah optimasi kompleks yang menghindari komputer klasik. Tapi apa yang terjadi ketika komputer kuantum digunakan melawan infrastruktur digital yang melindungi data paling sensitif di negara kita? Ini adalah pertanyaan yang tidak menunggu untuk diketahui oleh Administrasi Keamanan Nasional (NSA), dan juga organisasi swasta.

    Komputer kuantum memanfaatkan sifat kuantum partikel subatom untuk melakukan perhitungan yang tak terhitung jumlahnya secara bersamaan dan, dalam hitungan detik, memecahkan masalah yang bahkan superkomputer paling kuat saat ini akan membutuhkan waktu ribuan tahun untuk menyelesaikannya. Pertimbangkan penggunaan komputer semacam itu dalam mengoptimalkan portofolio investasi keuangan, perutean kendaraan, proses manufaktur, alokasi sumber daya energi, dan pengembangan obat, dan potensi transformasi komputasi kuantum menjadi jelas. Namun, perkembangan pesat superkomputer revolusioner ini telah menimbulkan kekhawatiran di sektor pertahanan karena negara-bangsa yang bermusuhan saat ini menginvestasikan miliaran dolar untuk mempersenjatai komputer kuantum.

    Perhatian utama Departemen Pertahanan (DoD) adalah bahwa komputer kuantum yang dipersenjatai dapat digunakan untuk memecahkan enkripsi yang melindungi data dan komunikasi pemerintah yang sensitif. Ada ribuan ilmuwan, matematikawan, dan pemrogram kuantum yang saat ini dipekerjakan oleh negara-negara musuh untuk memajukan ancaman kuantum terhadap Amerika Serikat. Komputer kuantum yang dapat mengganggu sistem digital vital dan mendekripsi informasi rahasia menghadirkan ancaman keamanan nasional yang sangat besar. Amerika Serikat telah merespons dengan mengembangkan teknologi untuk melawan ancaman kuantum dan memperkuat infrastruktur digitalnya. Secara khusus, NSA telah ditugaskan untuk memastikan keamanan masa depan infrastruktur digital Amerika Serikat dengan menerapkan solusi tahan kuantum pada sistem keamanan nasional (NSS).

    Mempercepat Upaya NSA

    Garis waktu untuk upaya NSA untuk beralih ke PQC dipersingkat secara signifikan ketika pada bulan Januari Presiden Biden menandatangani Nota Keamanan Nasional (NSM-8) tentang “Meningkatkan Keamanan Siber Keamanan Nasional, Departemen Pertahanan, dan Sistem Komunitas Intelijen.” Memo tersebut secara khusus meminta NSA dan Komite Sistem Keamanan Nasional (CNSS) untuk, dalam waktu 180 hari, mengidentifikasi contoh enkripsi yang digunakan pada NSS yang tidak sesuai dengan algoritme tahan kuantum yang disetujui NSA, serta memberikan rencana dan garis waktu untuk mentransisikan sistem tersebut ke standar tahan kuantum.

    NSA tidak dapat lagi menunggu hingga tahun 2024 bagi NIST untuk menyelesaikan standar PQC dan sekarang ditugaskan untuk mengaudit infrastruktur siber NSS saat ini dan segera menyediakan rencana transisi PQC. Mandat ini menandai awal dari siklus kenaikan terbesar dalam sejarah keamanan siber untuk Departemen Pertahanan. Organisasi swasta akan bijaksana untuk bertindak dengan urgensi yang sama seperti NSA dan mulai mengeksplorasi solusi pasca-kuantum untuk sistem mereka sendiri.

    Kolaborasi Antar-Lembaga

    Transisi yang berhasil dari NSS ke PQC akan membutuhkan kolaborasi dari berbagai otoritas pemerintah. Bagian 1(v) NSM-8 mengharuskan NSA untuk bekerja sama dengan Departemen Keamanan Dalam Negeri (DHS) dan organisasi keamanan nasional lainnya dalam mengoordinasikan proses transisi ini. Baru-baru ini, DHS merilis peta jalan yang menguraikan strategi transisi PQC langkah demi langkah bagi pemerintah dan lembaga komersial untuk menginventarisasi informasi paling sensitif mereka dan memprioritaskan peningkatan sistem mereka. Ini akan menjadi alat yang berguna bagi NSA karena lembaga tersebut melakukan proses evaluasi serupa untuk NSS. Alat DHS terbuka untuk umum dan menawarkan sumber daya yang berharga bagi organisasi swasta untuk melakukan audit serupa pada sistem mereka sendiri.

    Perlunya Kolaborasi Publik-Swasta

    NSA secara konsisten membuka pintunya untuk kolaborasi dengan sektor swasta yang akan sangat penting ketika Amerika Serikat bergerak maju ke generasi baru keamanan siber. Program Solusi Komersial untuk Rahasia (CSfC) NSA adalah platform yang memungkinkan pengembang komersial swasta (yaitu, vendor) untuk mendaftarkan komponen keamanan siber dari produk Commercial Off The Shelf (COTS) untuk digunakan di NSS. Komponen-komponen ini dikompilasi ke dalam Paket Kemampuan (CP) agnostik vendor yang disediakan untuk klien CSfC, termasuk DoD, komunitas intelijen, dinas militer, agen federal, dan pemangku kepentingan NSS lainnya. Meskipun CSfC tidak akan memberikan solusi komersial untuk algoritme pasca-kuantum sampai NIST menyelesaikan penelitian dan rekomendasi standar PQC, ada banyak sumber daya yang tersedia melalui CSfC yang dirancang untuk membantu klien, yang mencakup organisasi pemerintah dan swasta yang menggunakan NSS, mempermudah proses peningkatan.

    National Cyber ​​Center of Excellence (NCCoE) telah meluncurkan Proyek Migrasi Pasca-Kuantum yang menyatukan pakar akademis, industri, dan pemerintah untuk mengembangkan seperangkat alat bagi organisasi untuk mengaudit sistem mereka, menilai risiko, dan mempersiapkan peningkatan kuantum. Jenis kolaborasi publik-swasta ini akan sangat penting untuk memastikan bahwa baik pemerintah maupun sektor swasta menavigasi transisi dengan lancar. Sektor swasta harus mengikuti jejak NSA dan otoritas siber lainnya dan mulai mempersiapkan sistem mereka untuk transisi ke PQC guna memastikan bahwa infrastruktur digital yang mendukung Amerika Serikat tetap aman sekarang, dan memasuki era kuantum.

    Sumber: The National Interest

    Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

    by

    Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

    Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

    Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

    CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

    Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

    Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

    Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

    Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

    Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

    Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

    Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

    Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

    Diagram aliran serangan:

    Sumber: BleepingComputer

    AS, Brasil menyita 272 situs web yang digunakan untuk mengunduh musik secara ilegal

    by

    Domain enam situs web yang mengalirkan dan menyediakan unduhan ilegal musik berhak cipta disita oleh Investigasi Keamanan Dalam Negeri AS (HSI) dan Departemen Kehakiman.

    266 situs web lain yang merupakan bagian dari jaringan yang sama juga diturunkan di Brasil, dengan enam orang ditangkap dalam 30 penggeledahan dan penyitaan di seluruh negeri.

    “Menurut dokumen pengadilan, penegak hukum mengidentifikasi enam domain ini digunakan untuk mendistribusikan materi berhak cipta tanpa izin dari pemegang hak cipta,” kata Departemen Kehakiman hari ini dalam siaran pers.

    “Investigasi penegakan hukum mengkonfirmasi bahwa konten musik yang dilindungi hak cipta hadir dan tersedia untuk streaming atau diunduh di masing-masing dari enam situs web ini dari Distrik Timur Virginia.”

    Enam domain yang disita di AS (Corourbanos.com, Corourbano.com, Pautamp3.com, SIMP3.com, flowactivo.co, dan Mp3Teca.ws) terdaftar di pendaftar yang berbasis di AS dan dihapus setelah penyelidikan bersama dengan Brasil pihak berwenang menjuluki Operasi 404.4​​​​​.

    Situs web diiklankan di media sosial untuk menarik pengguna yang mau mengunduh dan mengalirkan konten musik ilegal yang mereka sediakan. Pihak berwenang Brasil juga meminta dan menghapus 15 profil jejaring sosial yang digunakan untuk tujuan promosi.

    Pelanggaran hak cipta berada di balik kerugian tahunan sebesar R$15 miliar di Brasil (sekitar $2,8 miliar), menurut Bráulio de Melo, Wakil Sekretaris Operasi Kementerian Kehakiman dan Keamanan Publik Brasil (Seopi/MJSP).

    Ini adalah edisi keempat dari operasi yang dimulai pada tahun 2019 dan berfokus pada pembongkaran organisasi kejahatan dunia maya dan infrastruktur yang mereka gunakan untuk pembajakan digital dan melanggar undang-undang hak cipta internasional.

    “Perampasan enam domain ini oleh pemerintah akan mencegah pihak ketiga mengalirkan dan mengunduh konten yang dilindungi hak cipta dari situs-situs tersebut,” tambah Departemen Kehakiman.

    Sumber: Bleeping Computer