Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Crypto Senilai $100 Juta telah Dicuri dalam Peretasan Besar Lainnya

by

Peretas telah mencuri $ 100 juta dalam cryptocurrency dari Horizon, yang disebut jembatan blockchain, dalam pencurian besar terbaru di dunia keuangan terdesentralisasi.

Rincian serangan itu masih tipis, tetapi Harmony, pengembang di balik Horizon, mengatakan mereka mengidentifikasi pencurian itu Rabu pagi. Harmony memilih akun individu yang diyakini sebagai pelakunya.

“Kami telah mulai bekerja dengan otoritas nasional dan spesialis forensik untuk mengidentifikasi pelakunya dan mengambil kembali dana yang dicuri,” kata perusahaan rintisan itu dalam tweet Rabu malam.

Jembatan Blockchain memainkan peran besar dalam ruang DeFi, menawarkan pengguna cara mentransfer aset mereka dari satu blockchain ke blockchain lainnya. Dalam kasus Horizon, pengguna dapat mengirim token dari jaringan Ethereum ke Binance Smart Chain. Harmony mengatakan serangan itu tidak mempengaruhi jembatan terpisah untuk bitcoin.

Seperti aspek lain dari DeFi, yang bertujuan untuk membangun kembali layanan keuangan tradisional seperti pinjaman dan investasi di blockchain, jembatan telah menjadi target utama bagi peretas karena kerentanan dalam kode dasarnya.

Jembatan “menjaga simpanan likuiditas yang besar,” menjadikannya “target yang menggoda bagi peretas,” menurut Jess Symington, pemimpin penelitian di perusahaan analisis blockchain Elliptic.

“Agar individu dapat menggunakan jembatan untuk memindahkan dana mereka, aset dikunci di satu blockchain dan tidak dikunci, atau dicetak, di blockchain lain,” kata Symington. “Akibatnya, layanan ini menyimpan sejumlah besar aset kripto.”

Harmony belum mengungkapkan secara pasti bagaimana dana tersebut dicuri. Namun, satu investor telah menyuarakan keprihatinan tentang keamanan jembatan Horizonnya sejak April.

Keamanan jembatan Horizon bergantung pada dompet “multisig” yang hanya membutuhkan dua tanda tangan untuk memulai transaksi. Beberapa peneliti berspekulasi bahwa pelanggaran tersebut adalah hasil dari “kompromi kunci pribadi”, di mana peretas memperoleh kata sandi, atau kata sandi, yang diperlukan untuk mendapatkan akses ke dompet kripto.

Ini mengikuti serangkaian serangan penting pada jembatan blockchain lainnya. Jaringan Ronin, yang mendukung permainan crypto Axie Infinity, kehilangan lebih dari $600 juta dalam pelanggaran keamanan yang terjadi pada bulan Maret. Wormhole, jembatan populer lainnya, kehilangan lebih dari $320 juta dalam peretasan terpisah sebulan sebelumnya.

Pencurian tersebut menambah aliran berita negatif di crypto akhir-akhir ini. Pemberi pinjaman Crypto Celsius dan Babel Finance membekukan penarikan setelah penurunan tajam nilai aset mereka mengakibatkan krisis likuiditas. Sementara itu, dana lindung nilai crypto yang terkepung Three Arrows Capital dapat ditetapkan untuk default pada pinjaman $ 660 juta dari perusahaan pialang Voyager Digital.

Sumber: CNBC

Peretas yang Didukung Negara Menggunakan Ransomware sebagai Umpan untuk Serangan Spionase

by

Sebuah kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di China mungkin menyebarkan keluarga ransomware berumur pendek sebagai umpan untuk menutupi tujuan operasional dan taktis yang sebenarnya di balik kampanyenya.

Cluster aktivitas, yang dikaitkan dengan grup peretasan yang dijuluki Bronze Starlight oleh Secureworks, melibatkan penyebaran ransomware pasca-intrusi seperti LockFile, Atom Silo, Rook, Night Sky, Pandora, dan LockBit 2.0.

“Ransomware dapat mengalihkan perhatian responden insiden dari mengidentifikasi maksud sebenarnya dari pelaku ancaman dan mengurangi kemungkinan mengaitkan aktivitas jahat dengan kelompok ancaman China yang disponsori pemerintah,” kata para peneliti dalam sebuah laporan baru. “Dalam setiap kasus, ransomware menargetkan sejumlah kecil korban selama periode waktu yang relatif singkat sebelum berhenti beroperasi, tampaknya secara permanen.”

Bronze Starlight, aktif sejak pertengahan 2021, juga dilacak oleh Microsoft di bawah klaster ancaman yang muncul DEV-0401, dengan raksasa teknologi itu menekankan keterlibatannya dalam semua tahap siklus serangan ransomware langsung dari akses awal hingga penyebaran muatan.

Tidak seperti grup RaaS lain yang membeli akses dari broker akses awal (IAB) untuk memasuki jaringan, serangan yang dipasang oleh aktor ditandai dengan penggunaan kerentanan yang belum ditambal yang memengaruhi Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (termasuk kelemahan yang baru diungkapkan), dan Apache Log4j.

Dalam waktu kurang dari satu tahun, kelompok tersebut dikatakan telah melewati sebanyak enam jenis ransomware yang berbeda seperti LockFile (Agustus 2021), Atom Silo (Oktober), Rook (November), Night Sky (Desember), Pandora (Februari 2022 ), dan yang terbaru LockBit 2.0 (April).

Terlebih lagi, kesamaan telah ditemukan antara LockFile dan Atom Silo serta antara Rook, Night Sky, dan Pandora — tiga yang terakhir berasal dari ransomware Babuk, yang kode sumbernya bocor pada September 2021 — menunjukkan pekerjaan aktor yang sama.

“Karena DEV-0401 memelihara dan sering mengubah nama muatan ransomware mereka sendiri, mereka dapat muncul sebagai kelompok yang berbeda dalam pelaporan berbasis muatan dan menghindari deteksi dan tindakan terhadap mereka,” Microsoft mencatat bulan lalu.

Setelah mendapatkan pijakan di dalam jaringan, Bronze Starlight diketahui mengandalkan teknik seperti menggunakan Cobalt Strike dan Windows Management Instrumentation (WMI) untuk gerakan lateral, meskipun mulai bulan ini, grup tersebut mulai mengganti Cobalt Strike dengan kerangka Sliver dalam serangan mereka. .

Tradecraft lain yang diamati terkait dengan penggunaan HUI Loader untuk meluncurkan payload terenkripsi tahap berikutnya seperti PlugX dan Cobalt Strike Beacons, yang terakhir digunakan untuk mengirimkan ransomware, tetapi tidak sebelum mendapatkan kredensial Administrator Domain istimewa.

“Penggunaan HUI Loader untuk memuat Cobalt Strike Beacon, informasi konfigurasi Cobalt Strike Beacon, infrastruktur C2, dan kode yang tumpang tindih menunjukkan bahwa kelompok ancaman yang sama dikaitkan dengan lima keluarga ransomware ini,” jelas para peneliti.

Perlu ditunjukkan bahwa baik HUI Loader dan PlugX, bersama ShadowPad, adalah malware yang secara historis digunakan oleh kolektif musuh negara-bangsa China, memberikan kepercayaan pada kemungkinan bahwa Bronze Starlight lebih diarahkan untuk spionase daripada keuntungan moneter langsung.

Selain itu, pola viktimologi yang mencakup berbagai jenis ransomware menunjukkan bahwa sebagian besar target cenderung lebih menarik bagi kelompok yang disponsori pemerintah China yang berfokus pada pengumpulan intelijen jangka panjang.

Korban utama mencakup perusahaan farmasi di Brasil dan AS, organisasi media yang berbasis di AS dengan kantor di China dan Hong Kong, perancang dan produsen komponen elektronik di Lituania dan Jepang, firma hukum di AS, dan divisi kedirgantaraan dan pertahanan dari seorang konglomerat India.

Untuk itu, operasi ransomware, selain menyediakan sarana untuk mengekstrak data sebagai bagian dari skema pemerasan ganda “nama-dan-malu”, juga menawarkan keuntungan ganda karena memungkinkan pelaku ancaman untuk menghancurkan bukti forensik dari aktivitas jahat mereka dan bertindak sebagai pengalih perhatian dari pencurian data.

“Masuk akal bahwa Bronze Starlight menyebarkan ransomware sebagai tabir asap daripada untuk keuntungan finansial, dengan motivasi yang mendasari mencuri kekayaan intelektual atau melakukan spionase,” kata para peneliti.

Sumber: The Hacker News

NSA Berbagi Kiat Mengamankan Perangkat Windows dengan PowerShell

by

Badan Keamanan Nasional (NSA) dan lembaga mitra keamanan siber mengeluarkan imbauan hari ini yang merekomendasikan administrator sistem untuk menggunakan PowerShell untuk mencegah dan mendeteksi aktivitas berbahaya pada mesin Windows.

PowerShell sering digunakan dalam serangan siber, dimanfaatkan sebagian besar pada tahap pasca-eksploitasi, tetapi kemampuan keamanan yang tertanam dalam alat otomatisasi dan konfigurasi Microsoft juga dapat menguntungkan para defender dalam upaya forensik mereka, meningkatkan respons insiden, dan untuk mengotomatiskan tugas yang berulang.

Administrator harus menyadari bahwa mengaktifkan fitur ini di jaringan pribadi secara otomatis menambahkan aturan baru di Windows Firewall yang mengizinkan semua koneksi. Menyesuaikan Windows Firewall untuk mengizinkan koneksi hanya dari titik akhir dan jaringan tepercaya membantu mengurangi peluang penyerang untuk gerakan lateral yang berhasil.

Untuk koneksi jarak jauh, agensi menyarankan untuk menggunakan protokol Secure Shell (SSH), yang didukung di PowerShell 7, untuk menambah kenyamanan dan keamanan otentikasi kunci publik:

  • koneksi jarak jauh tidak memerlukan HTTPS dengan sertifikat SSL
  • tidak perlu Host Tepercaya, seperti yang diperlukan saat melakukan remote melalui WinRM di luar domain
  • amankan manajemen jarak jauh melalui SSH tanpa kata sandi untuk semua perintah dan koneksi
  • Remote PowerShell antara host Windows dan Linux

Rekomendasi lain adalah untuk mengurangi operasi PowerShell dengan bantuan AppLocker atau Windows Defender Application Control (WDAC) untuk mengatur alat agar berfungsi dalam Mode Bahasa Terbatas (CLM), sehingga menolak operasi di luar kebijakan yang ditentukan oleh administrator.

Mendeteksi penggunaan PowerShell yang berbahaya

Merekam aktivitas PowerShell dan memantau log adalah dua rekomendasi yang dapat membantu administrator menemukan tanda-tanda potensi penyalahgunaan.

NSA dan mitranya mengusulkan untuk mengaktifkan fitur-fitur seperti Deep Script Block Logging (DSBL), Module Logging, dan Over-the-Shoulder transcription (OTS).

Dua yang pertama memungkinkan pembuatan database log komprehensif yang dapat digunakan untuk mencari aktivitas PowerShell yang mencurigakan atau berbahaya, termasuk tindakan tersembunyi dan perintah serta skrip yang digunakan dalam proses. Dengan OTS, administrator mendapatkan catatan dari setiap input atau output PowerShell, yang dapat membantu menentukan niat penyerang di lingkungan.

Administrator dapat menggunakan tabel di bawah ini untuk memeriksa fitur yang disediakan oleh berbagai versi PowerShell untuk membantu mengaktifkan pertahanan yang lebih baik di lingkungan mereka:

Dokumen yang dirilis NSA hari ini menyatakan bahwa “PowerShell sangat penting untuk mengamankan sistem operasi Windows,” terutama versi yang lebih baru yang mengatasi batasan sebelumnya.

Jika dikonfigurasi dan dikelola dengan benar, PowerShell dapat menjadi alat yang andal untuk pemeliharaan sistem, forensik, otomatisasi, dan keamanan.

Dokumen lengkap berjudul “Menjaga PowerShell: Tindakan Keamanan untuk Digunakan dan Dirangkul” tersedia di sini [PDF].

Sumber: BleepingComputer

CISA: Eksploitasi Log4Shell masih digunakan untuk meretas server VMware

by

CISA hari ini memperingatkan bahwa pelaku ancaman, termasuk kelompok peretas yang didukung negara, masih menargetkan server VMware Horizon dan Unified Access Gateway (UAG) menggunakan kerentanan eksekusi kode jarak jauh Log4Shell (CVE-2021-44228).

Penyerang dapat mengeksploitasi Log4Shell dari jarak jauh di server rentan yang terpapar akses lokal atau Internet untuk bergerak secara lateral melintasi jaringan sampai mereka mendapatkan akses ke sistem internal yang berisi data sensitif.

Setelah pengungkapannya pada Desember 2021, beberapa pelaku ancaman mulai memindai dan mengeksploitasi sistem yang belum ditambal, termasuk kelompok peretas yang didukung negara dari China, Iran, Korea Utara, dan Turki, serta beberapa perantara akses yang biasa digunakan oleh geng ransomware.

Hari ini, dalam penasehat bersama dengan US Coast Guard Cyber ​​Command (CGCYBER), badan keamanan siber mengatakan bahwa server telah disusupi menggunakan eksploitasi Log4Shell untuk mendapatkan akses awal ke jaringan organisasi yang ditargetkan.

Setelah menembus jaringan, mereka menyebarkan berbagai jenis malware yang memberi mereka akses jarak jauh yang diperlukan untuk menyebarkan muatan tambahan dan mengekstrak ratusan gigabyte informasi sensitif.

“Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” ungkap penasihat tersebut.

“Dalam satu kompromi yang dikonfirmasi, aktor APT ini dapat bergerak secara lateral di dalam jaringan, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data sensitif.”

Organisasi yang belum menambal server VMware mereka disarankan untuk menandai mereka sebagai diretas dan memulai prosedur respons insiden (IR).

Langkah-langkah yang diperlukan untuk respons yang tepat dalam situasi seperti itu mencakup isolasi langsung dari sistem yang berpotensi terpengaruh, pengumpulan dan peninjauan log dan artefak yang relevan, mempekerjakan pakar IR pihak ketiga (jika diperlukan), dan melaporkan insiden tersebut ke CISA.

“CISA dan CGCYBER merekomendasikan semua organisasi dengan sistem yang terpengaruh yang tidak segera menerapkan patch atau solusi yang tersedia untuk mengambil kompromi dan memulai aktivitas berburu ancaman menggunakan IOC yang disediakan dalam CSA ini, Laporan Analisis Malware (MAR)-10382580-1, dan MAR-10382254 -1,” kata kedua agensi.

“Jika potensi kompromi terdeteksi, administrator harus menerapkan rekomendasi respons insiden yang disertakan dalam CSA ini dan melaporkan temuan utama ke CISA.”

Anjuran hari ini datang setelah VMware juga mendesak pelanggan pada bulan Januari untuk mengamankan server VMware Horizon yang terpapar Internet dari serangan Log4Shell yang sedang berlangsung.

Sejak awal tahun, server VMware Horizon telah ditargetkan oleh aktor ancaman berbahasa China untuk menyebarkan ransomware Night Sky, APT Lazarus Korea Utara untuk menyebarkan pencuri informasi, dan kelompok peretasan TunnelVision yang selaras dengan Iran untuk menyebarkan pintu belakang.

Hingga Anda dapat menginstal build yang ditambal dengan memperbarui semua server VMware Horizon dan UAG yang terpengaruh ke versi terbaru, Anda dapat mengurangi permukaan serangan “dengan menghosting layanan penting di zona demiliterisasi (DMZ) yang terpisah”, menerapkan firewall aplikasi web (WAF), dan “memastikan kontrol akses perimeter jaringan yang ketat.”

Sumber: Bleeping Computer

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

by

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

  • CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
  • CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
  • CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
  • CVE-2020-9907 secara internal disebut sebagai AveCesare.
  • CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
  • CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

NSA berbagi kiat tentang mengamankan perangkat Windows dengan PowerShell

by

Badan Keamanan Nasional (NSA) dan lembaga mitra keamanan siber hari ini mengeluarkan nasihat yang merekomendasikan administrator sistem untuk menggunakan PowerShell untuk mencegah dan mendeteksi aktivitas berbahaya pada mesin Windows.

PowerShell sering digunakan dalam serangan siber, sebagian besar dimanfaatkan pada tahap pasca-eksploitasi, tetapi kemampuan keamanan yang tertanam dalam alat otomatisasi dan konfigurasi Microsoft juga dapat bermanfaat bagi pembela HAM dalam upaya forensik mereka, meningkatkan respons insiden, dan untuk mengotomatiskan tugas yang berulang.

NSA dan pusat keamanan siber di A.S. (CISA), Selandia Baru (NZ NCSC), dan Inggris (NCSC-UK) telah membuat serangkaian rekomendasi untuk menggunakan PowerShell guna mengurangi ancaman siber alih-alih menghapus atau menonaktifkannya, yang akan kemampuan pertahanan yang lebih rendah.

Mengurangi risiko pelaku ancaman yang menyalahgunakan PowerShell memerlukan peningkatan kemampuan dalam kerangka kerja seperti remote PowerShell, yang tidak mengekspos kredensial teks biasa saat menjalankan perintah dari jarak jauh di host Windows.

Administrator harus menyadari bahwa mengaktifkan fitur ini di jaringan pribadi secara otomatis menambahkan aturan baru di Windows Firewall yang mengizinkan semua koneksi.

Menyesuaikan Windows Firewall untuk mengizinkan koneksi hanya dari titik akhir dan jaringan tepercaya membantu mengurangi peluang penyerang untuk gerakan lateral yang berhasil.

Untuk koneksi jarak jauh, agensi menyarankan untuk menggunakan protokol Secure Shell (SSH), yang didukung di PowerShell 7, untuk menambah kenyamanan dan keamanan otentikasi kunci publik:

  • Koneksi jarak jauh tidak memerlukan HTTPS dengan sertifikat SSL
  • Tidak perlu Host Tepercaya, seperti yang diperlukan saat melakukan remote melalui WinRM di luar domain
  • Amankan manajemen jarak jauh melalui SSH tanpa kata sandi untuk semua perintah dan koneksi
  • Remote PowerShell antara host Windows dan Linux

Rekomendasi lain adalah untuk mengurangi operasi PowerShell dengan bantuan AppLocker atau Windows Defender Application Control (WDAC) untuk mengatur alat agar berfungsi dalam Mode Bahasa Terbatas (CLM), sehingga menolak operasi di luar kebijakan yang ditentukan oleh administrator.

Merekam aktivitas PowerShell dan memantau log adalah dua rekomendasi yang dapat membantu administrator menemukan tanda-tanda potensi penyalahgunaan.

NSA dan mitranya mengusulkan untuk mengaktifkan fitur-fitur seperti Deep Script Block Logging (DSBL), Module Logging, dan Over-the-Shoulder transcription (OTS).

Dua yang pertama memungkinkan pembuatan database log komprehensif yang dapat digunakan untuk mencari aktivitas PowerShell yang mencurigakan atau berbahaya, termasuk tindakan tersembunyi dan perintah serta skrip yang digunakan dalam proses.

Dengan OTS, administrator mendapatkan catatan dari setiap input atau output PowerShell, yang dapat membantu menentukan niat penyerang di lingkungan.

Administrator dapat menggunakan tabel di bawah ini untuk memeriksa fitur yang disediakan oleh berbagai versi PowerShell untuk membantu mengaktifkan pertahanan yang lebih baik di lingkungan mereka:

Fitur keamanan hadir dalam versi PowerShell

Dokumen yang dirilis NSA hari ini menyatakan bahwa “PowerShell sangat penting untuk mengamankan sistem operasi Windows,” terutama versi yang lebih baru yang mengatasi batasan sebelumnya.

Jika dikonfigurasi dan dikelola dengan benar, PowerShell dapat menjadi alat yang andal untuk pemeliharaan sistem, forensik, otomatisasi, dan keamanan.

Sumber: Bleeping Computer

Peretas Cina menargetkan skrip kiddies dengan trojan pencuri info

by

Peneliti keamanan siber telah menemukan kampanye baru yang dikaitkan dengan kelompok peretasan “Tropic Trooper” China, yang menggunakan pemuat baru bernama Nimbda dan varian baru trojan Yahoyah.

Trojan dibundel dalam alat greyware bernama ‘SMS Bomber,’ yang digunakan untuk serangan penolakan layanan (DoS) terhadap ponsel, membanjiri mereka dengan pesan. Alat seperti ini biasanya digunakan oleh pelaku ancaman “pemula” yang ingin melancarkan serangan terhadap situs.

Menurut sebuah laporan oleh Check Point, pelaku ancaman juga menunjukkan pengetahuan kriptografi yang mendalam, memperluas spesifikasi AES dalam implementasi khusus.

Infeksi dimulai dengan mengunduh versi berbahaya dari SMS Bomber, yang berisi fungsi biner dan standar alat. Namun, unduhan telah dimodifikasi untuk menyertakan kode tambahan yang dimasukkan ke dalam proses notepad.exe.

Eksekusi yang diunduh sebenarnya adalah pemuat ‘Nimbda’, yang menggunakan ikon SMS Bomber, dan berisi SMS Bomber sebagai executable yang disematkan.

Alat GUI Bomber SMS (Titik Periksa)

Di latar belakang, loader menyuntikkan shellcode ke dalam proses notepad untuk mencapai repositori GitHub, mengambil executable yang dikaburkan, mendekodekannya, dan kemudian menjalankannya melalui proses lekukan di ‘dllhost.exe.’

Payload ini adalah varian Yahoyah baru, yang mengumpulkan data tentang host dan mengirimkannya ke server C2.

Payload terakhir, dijatuhkan oleh executable Yahoyah, dikodekan dalam gambar JPG menggunakan steganografi. Check Point mengidentifikasinya sebagai ‘TClient’, Trooper Tropic pintu belakang yang digunakan dalam kampanye sebelumnya.

Rantai infeksi lengkap (Check Point)

Enkripsi yang digunakan untuk membungkus Yahoyah adalah implementasi kustom dari AES, yang melakukan urutan terbalik dari operasi putaran dua kali; maka Check Point menamakannya AEES.

Cuplikan kode AES yang aneh
(Titik Cek)

Ini tidak membuat enkripsi menjadi lebih kuat tetapi membuat analisis sampel menjadi sangat sulit, membuat para peneliti yang tidak memiliki tekad yang kuat atau membuat pekerjaan mereka jauh lebih membosankan.

Tropic Trooper adalah aktor ancaman canggih yang berfokus pada spionase, yang sebelumnya terlihat menjalankan kampanye phishing terhadap pejabat Rusia.

Trojanizing ‘SMS Bomb’ menunjukkan tepat, penargetan sempit, sehingga kemungkinan keputusan berdasarkan intelijen yang dikumpulkan selama spionase sebelumnya.

Meskipun cakupan penargetan yang tepat tidak diketahui, kampanye ini menunjukkan kemampuan Tropic Trooper untuk membuat umpan apa pun yang diperlukan untuk operasi, pengetahuan kriptografi, dan aktivitas pengembangan malware mereka.

Sumber: Bleeping Computer

Server Microsoft Exchange diretas oleh geng APT ToddyCat baru

by

Grup ancaman persisten tingkat lanjut (APT) yang dijuluki ToddyCat telah menargetkan server Microsoft Exchange di seluruh Asia dan Eropa selama lebih dari setahun, setidaknya sejak Desember 2020.

Saat melacak aktivitas grup, peneliti keamanan dengan Global Research & Analysis Team (GReAT) Kaspersky juga telah menemukan backdoor pasif yang sebelumnya tidak dikenal yang mereka beri nama Samurai dan malware trojan baru yang dijuluki Ninja Trojan.

Kedua jenis malware memungkinkan penyerang untuk mengendalikan sistem yang terinfeksi dan bergerak secara lateral di dalam jaringan korban.

Serangan ToddyCat juga telah terlihat di masa lalu oleh perusahaan keamanan siber Slovakia ESET, yang telah melacaknya sebagai sekelompok aktivitas yang mereka sebut Websiic mulai Maret 2021.

Pada saat itu, kelompok peretas mengeksploitasi kelemahan ProxyLogon Exchange yang memungkinkan mereka mendapatkan eksekusi kode jarak jauh pada server yang rentan untuk menyebarkan cangkang web China Chopper.

Meskipun tidak terlalu aktif hingga Februari 2021, mereka dengan cepat meningkatkan serangan mereka setelah mulai memindai dan menargetkan server Microsoft Exchange yang belum ditambal di seluruh Eropa dan Asia dengan eksploitasi ProxyLogon.

Alur serangan ToddyCat (Kaspersky)

“Bagaimanapun, perlu dicatat bahwa semua mesin yang ditargetkan terinfeksi antara Desember dan Februari adalah server Microsoft Windows Exchange; penyerang mengkompromikan server dengan eksploitasi yang tidak diketahui, dengan sisa rantai serangan sama seperti yang digunakan pada bulan Maret.”

Target favorit kelompok tersebut adalah organisasi tingkat tinggi, termasuk entitas pemerintah dan militer, serta kontraktor militer.

Sementara gelombang serangan pertama (antara Desember 2020 dan Februari 2021) hanya menargetkan sejumlah kecil organisasi pemerintah di Vietnam dan Taiwan, gelombang berikutnya (antara Februari 2021 dan Mei 2021) dengan cepat meluas ke entitas dari daftar panjang negara di seluruh dunia. , termasuk Rusia, India, Iran, dan Inggris.

Pada fase berikutnya (hingga Februari 2022), ToddyCat menargetkan kelompok negara yang sama tetapi juga menambahkan organisasi dari Indonesia, Uzbekistan, dan Kirgistan ke dalam daftar.

Dalam serangan gelombang ketiga ini, grup APT juga memperluas fokus mereka untuk memasukkan sistem desktop, sementara sebelumnya, mereka secara eksklusif menargetkan server Microsoft Exchange.

Kaspersky mengatakan para korban ToddyCat terkait dengan sektor industri dan negara-negara yang juga ditargetkan oleh beberapa kelompok berbahasa China.

Namun, beberapa entitas yang mereka langgar (di tiga negara berbeda) juga diretas pada waktu yang hampir bersamaan oleh peretas yang didukung Tiongkok menggunakan pintu belakang FunnyDream.

Sumber: Bleeping Computer