Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Samsung Galaxy S22 diretas dua kali pada hari pertama Pwn2Own Toronto

by

Para kontestan telah meretas smartphone Samsung Galaxy S22 dua kali selama hari pertama kompetisi peretasan Pwn2Own Toronto 2022, edisi ke-10 dari acara yang berfokus pada konsumen.

Kontestan lain, Chim, juga mendemonstrasikan eksploitasi sukses yang menargetkan Samsung Galaxy S22 dan mampu melakukan serangan validasi masukan yang tidak tepat dan menghasilkan $25.000 (50% dari hadiah untuk putaran kedua penargetan perangkat yang sama) dan 5 poin Master of Pwn.

“Untuk putaran kedua dan selanjutnya pada setiap target, semua pemenang lainnya akan menerima 50% dari paket hadiah, namun mereka tetap akan mendapatkan poin Master of Pwn penuh.”

Menurut aturan kontes, dalam kedua kasus tersebut, perangkat Galaxy S22 menjalankan sistem operasi Android versi terbaru dengan semua pembaruan yang tersedia terpasang.

Selama hari pertama kompetisi ini, kontestan juga berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di printer dan router dari berbagai vendor, termasuk Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology, dan HP.

Kontes diperpanjang hingga empat hari
Selama acara peretasan Pwn2Own Toronto 2022 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peneliti keamanan dapat menargetkan ponsel, hub otomasi rumah, printer, router nirkabel, penyimpanan yang terhubung ke jaringan, speaker cerdas, dan perangkat lain, semuanya aktif sampai saat ini dan dalam konfigurasi default mereka.

Mereka dapat memenangkan hadiah tertinggi dalam kategori ponsel, dengan hadiah uang tunai hingga $200.000 untuk meretas smartphone Google Pixel 6 dan Apple iPhone 13.

Meretas perangkat Google dan Apple juga dapat memberikan bonus $50.000 jika eksploit dijalankan dengan hak istimewa tingkat kernel, menjadikan penghargaan maksimum untuk satu tantangan menjadi total $250.000 untuk rantai eksploitasi penuh dengan akses tingkat kernel.

Pwn2Own Toronto 2022 – Papan peringkat hari pertama (ZDI)

sumber : bleeping computer

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

by

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Pasar web gelap otomatis menjual akun email perusahaan seharga $2

by

Pasar web gelap menjual alamat email korporat yang dicuri dengan harga serendah $2 untuk memenuhi permintaan yang meningkat dari peretas yang menggunakannya untuk business email compromise dan serangan phishing atau akses awal ke jaringan.

Analis di perusahaan intelijen siber Israel KELA telah mengikuti tren ini dengan cermat, melaporkan setidaknya 225.000 akun email dijual di pasar bawah tanah.

Toko email web terbesar adalah Xleet dan Lufix, mengklaim menawarkan akses ke lebih dari 100 ribu akun email perusahaan yang dilanggar, dengan harga berkisar antara $2 dan $30.

Biasanya, akun ini dicuri melalui peretasan kata sandi (brute-forcing) atau isian kredensial, kredensialnya dicuri melalui phishing, atau dibeli dari penjahat dunia maya lainnya.

Peretas menggunakan akses mereka ke akun email perusahaan dalam serangan yang ditargetkan seperti business email compromise (BEC), rekayasa sosial, spear-phishing, dan infiltrasi jaringan yang lebih dalam.

Penjualan akses email perusahaan tetap stabil di ruang kejahatan dunia maya selama beberapa tahun terakhir, dengan pelaku ancaman di semua forum peretasan utama menjual “daftar kombo” email untuk mengakses berbagai perusahaan.

Daftar kombo dijual di forum ‘Breached’ (KELA)

Dalam kasus profil tinggi baru-baru ini, aktor ransomware ‘Everest’ diduga menawarkan akses ke akun email perusahaan manufaktur kedirgantaraan seharga $15.000.

Baik penawaran massal maupun penawaran yang dikuratori melibatkan proses negosiasi yang membosankan dengan penjual dan mengambil risiko atas validitas klaim. Pada saat yang sama, permintaan email korporat terus meningkat.

Hal tersebut menciptakan kebutuhan akan toko email web otomatis seperti Xleet, Odin, Xmina, dan Lufix, yang memungkinkan penjahat dunia maya dengan mudah membeli akses ke akun email pilihan mereka.

Sistem checker yang tergabung pada keempat toko (KELA)

Penawaran paling menarik adalah akun Office 365, yang merupakan hampir setengah dari semua webmail yang terdaftar, diikuti oleh penyedia hosting seperti cPanel, GoDaddy, dan Ionos.

Penjual di toko-toko ini tidak menggunakan nama samaran tetapi bersembunyi di balik sistem penyamaran dengan memberi mereka nomor. Odin menawarkan detail lebih lanjut tentang penjual, seperti jumlah barang yang terjual, angka penjualan total, dan peringkat pengguna.

Odin dan Xleet juga mengklarifikasi bagaimana webmail itu bersumber, dengan kategori termasuk “diretas”, “diretas”, “log”, atau “dibuat”. Namun, mayoritas (98%) di Xleet “diretas” atau “diretas”.

“Log” adalah kredensial email yang dicuri oleh malware pencuri info, sementara “dibuat” adalah akun email baru yang dibuat oleh penyusup jaringan di perusahaan yang dilanggar menggunakan akun administrator yang disusupi.

Karena sebagian besar email web yang ditawarkan telah diretas atau diretas, menggunakan kata sandi yang kuat (lebih panjang), pengaturan ulang kata sandi secara berkala dan melatih personel untuk mengidentifikasi email phishing akan membantu mengurangi ancaman ini secara signifikan.

Sumber: Bleeping Computer

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

Pasar Malware Infostealer Meledak, Saat Kelelahan MFA Terjadi

by

Aktor jahat menemukan keberhasilan dalam menyebarkan malware pencuri informasi (infostealer), menggabungkan kredensial yang dicuri dan rekayasa sosial untuk melakukan pelanggaran profil tinggi dan memanfaatkan serangan kelelahan otentikasi multifaktor (MFA).

Pasar untuk kredensial yang dikompromikan juga berkembang, menurut laporan tersebut, yang melihat secara mendalam situs pasar Rusia yang digunakan oleh grup jahat RedLine, Raccoon Stealer, Vidar, Taurus, dan AZORult untuk mendapatkan kredensial untuk dijual.

Paul Mansfield, analis intelijen ancaman dunia maya di Accenture, menjelaskan poin terpenting untuk dipahami tentang munculnya malware infostealer adalah ancaman terhadap jaringan perusahaan.

Dia menambahkan bahwa kesamaan yang dimiliki oleh kelompok orang tersebut adalah minat untuk mengumpulkan data sensitif (data pribadi dari komputer mereka, termasuk kredensial login, detail rekening bank, alamat cryptocurrency, dan data lokasi granular).

Melampaui Batas MFA
Laporan tersebut menyoroti peningkatan efektivitas serangan kelelahan MFA, yang melibatkan upaya berulang kali untuk masuk ke akun yang mengaktifkan MFA menggunakan kredensial curian, sehingga membombardir calon korban dengan permintaan push MFA.

Laporan sebelumnya menemukan bahwa sementara MFA telah diadopsi di antara organisasi sebagai cara untuk meningkatkan keamanan atas kata sandi saja, peningkatan pencurian cookie browser melemahkan keamanan tersebut.

Aktor jahat mengimbau pengguna yang “bosan” dengan beberapa pemberitahuan push yang mengklaim sebagai verifikasi faktor kedua dan dia menerimanya untuk menghilangkannya.

Villadiego menambahkan ini tentang memiliki kontrol yang tepat dan kecerdasan untuk mengurangi semua kontak dengan musuh segera setelah mereka masuk — dan untuk menahan dampak serangan terhadap organisasi.

Mansfield mengatakan ketika aktor ancaman mengamati seberapa sukses grup lain pada tahun 2022 — misalnya, mereka yang berada di belakang Raccoon Stealer, Redline Stealer, dan Vidar — lebih banyak lagi yang akan memasuki arena dan menciptakan pasar yang lebih kompetitif.

Membela Terhadap Malware Infostealer
Mansfield mengatakan organisasi dapat melindungi dari malware infostealer dengan memastikan sistem operasi dan perangkat lunak diperbarui sepenuhnya dan bahwa staf dilatih tentang cara menemukan dan menangani email dan tautan yang mencurigakan dan juga menggunakan perangkat lunak antivirus.

Villadiego menambahkan satu langkah cepat yang dapat diambil organisasi untuk menopang pertahanan terhadap malware infostealer adalah melihat ke dalam jaringan.

Dia mengatakan penting untuk mengingat serangan ini tidak terjadi dalam hitungan detik — musuh meninggalkan remah roti dan mengirim telegram apa yang akan mereka lakukan, tetapi tim keamanan TI perlu menemukan serangan itu dan memiliki cara untuk menanggapinya secara real time.

sumber : dark reading

Kerentanan besar yang berlangsung lama membuat jutaan handset Android terbuka lebar untuk pencurian data

by

Menurut tweet dari Łukasz Siewierski Google (melalui Mishaal Rahman, 9to5Google), peretas dan “orang dalam yang jahat” telah dapat membocorkan kunci penandatanganan platform yang digunakan oleh beberapa produsen Android untuk menandatangani aplikasi sistem yang digunakan pada perangkat Android.

Kerentanan jangka panjang memengaruhi LG, Samsung, dan produsen terkait Android lainnya
sistem yang mempercayai aplikasi yang ditandatangani oleh kunci yang sama yang digunakan untuk mengautentikasi sistem operasi itu sendiri. Jadi Anda bisa melihat apa masalahnya di sini. Aktor jahat yang mengontrol kunci-kunci ini dapat membuat Android “mempercayai” aplikasi sarat malware di tingkat sistem.

Sementara semua sumber kunci yang bocor belum teridentifikasi, perusahaan yang disebutkan adalah sebagai berikut:

  • Samsung
  • LG
  • Mediatek
  • Szroco (perusahaan yang memproduksi tablet Onn Walmart)
  • Revoview

Google mengatakan bahwa kerentanan dilaporkan pada bulan Mei tahun ini dan bahwa perusahaan yang terlibat telah “mengambil tindakan perbaikan untuk meminimalkan dampak pengguna.

Google, dalam sebuah pernyataan, mengatakan bahwa pengguna Android dilindungi melalui fitur Google Play Store Protect, dan melalui tindakan yang diambil oleh produsen. Google menyatakan bahwa eksploit ini tidak memengaruhi aplikasi apa pun yang diunduh dari Play Store.

Apa yang perlu Anda lakukan untuk membatasi eksposur Anda
Google merekomendasikan agar perusahaan yang terlibat menukar kunci penandatanganan yang saat ini digunakan dan berhenti menggunakan kunci yang bocor. Ini juga menunjukkan bahwa setiap perusahaan memulai penyelidikan untuk memahami bagaimana kunci itu bocor.

Jadi apa yang dapat Anda lakukan sebagai pemilik ponsel Android yang mungkin terpengaruh? Pastikan handset Anda menjalankan Android versi terbaru dan instal semua pembaruan keamanan segera setelah tiba.

Yang menakutkan adalah bahwa kerentanan ini tampaknya telah ada selama bertahun-tahun.

sumber : phone arena

Kali Linux 2022.4 menambahkan 6 alat baru, gambar Azure, dan pembaruan desktop

by

Keamanan Ofensif telah merilis Kali Linux 2022.4, versi keempat dan terakhir tahun 2022, dengan gambar Azure dan QEMU baru, enam alat baru, dan pengalaman desktop yang ditingkatkan.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

  • Distro Kali Linux kembali ke Microsoft Azure
  • 6 tools baru
  • Memperkenalkan Kali NetHunter Pro
  • Update baru untuk Gnome dan KDE Plasma
  • Enhanced ARM support

Dengan rilis ini, Kali Linux menggunakan Linux Kernel 5.18.5. Namun, rilis Raspberry Pi menggunakan versi 5.15.

Gambar Kali Linux untuk Azure, QEMU
Kali Linux sekarang tersedia di Azure Marketplace, memungkinkan Anda untuk menerapkan gambar dan melakukan pengujian penetrasi dari cloud. Tim Kali juga sekarang menawarkan citra pra-bangun untuk QEMU.

Enam tools baru Kali Linux 2022.4
Di bawah ini adalah enam alat baru yang ditambahkan di Kali 2022.4:

  • bloodhound.py – Ingestor berbasis Python untuk BloodHound
  • certipy – Alat untuk pencacahan dan penyalahgunaan Layanan Sertifikat Direktori Aktif
  • hak5-wifi-coconut – Driver ruang pengguna untuk USB Wi-Fi NIC dan Hak5 Wi-Fi Coconut
  • ldapdomaindump – Dumper informasi Direktori Aktif melalui LDAP
  • peass-ng – Alat eskalasi hak istimewa untuk Windows dan Linux/Unix* dan MacOS.
  • Rizin-Cutter -platform rekayasa balik yang didukung oleh rizin

Pembaruan desktop GNOME dan KDE Plasma
Rilis ini menghadirkan banyak pembaruan desktop, termasuk GNOME 43 dengan tema GTK3 baru, ditunjukkan di bawah ini.

Tema Baru GNOME 43 Kali Linux
Sumber: Kali
Source: Kali

Update Kali NetHunter
“Peluncuran Kali NetHunter Pro adalah awal dari babak baru untuk Kali Linux dan NetHunter, instalasi logam Kali Linux dengan lingkungan desktop Phosh, dioptimalkan untuk perangkat seluler.”

“Pertama-tama kami menyediakan gambar kartu SD untuk PinePhone dan PinePhone Pro untuk boot ganda bersama OS utama. Segera kami akan merilis versi alternatif dengan Plasma Mobile serta penginstal sehingga Anda dapat menginstal Kali NetHunter Pro ke memori flash internal ,” membaca Kali Linux 2022.4 pernyataan.

Cara mendapatkan Kali Linux 2022.4
Untuk mulai menggunakan Kali Linux 2022.4, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.
Jika Anda menjalankan Kali di Subsistem Windows untuk Linux, pastikan untuk meningkatkan ke WSL2 untuk pengalaman yang lebih baik, termasuk dukungan untuk aplikasi grafis.

Anda dapat memeriksa versi WSL yang digunakan Kali dengan perintah ‘wsl -l -v’ di prompt perintah Windows.

Setelah Anda selesai memutakhirkan, Anda dapat memeriksa apakah pemutakhiran berhasil dengan menggunakan perintah berikut:

grep VERSION /etc/os-release

sumber : bleeping computer

Peretas licik membalikkan mitigasi pertahanan saat terdeteksi

by

Pelaku ancaman meretas penyedia layanan telekomunikasi dan perusahaan outsourcing proses bisnis, dan secara aktif membalikkan mitigasi defensif yang diterapkan saat pelanggaran terdeteksi.

Kampanye tersebut ditemukan oleh Crowdstrike, yang mengatakan serangan dimulai pada Juni 2022 dan masih berlangsung, dengan peneliti keamanan dapat mengidentifikasi lima intrusi berbeda.

Serangan tersebut dikaitkan dengan peretas yang dilacak sebagai ‘Scattered Spider‘ yang menunjukkan persisten dalam mempertahankan akses, membalikkan mitigasi, menghindari deteksi, dan berputar ke target valid lainnya jika digagalkan.

Tujuan utama kampanye ini adalah untuk menembus sistem jaringan telekomunikasi, mengakses informasi pelanggan, dan melakukan operasi seperti pertukaran SIM.

Lima peristiwa intrusi yang dikaitkan dengan Scattered Spider (Crowdstrike)

Pelaku ancaman mendapatkan akses awal ke jaringan perusahaan menggunakan berbagai taktik rekayasa sosial.

Taktik ini termasuk memanggil karyawan dan menyamar sebagai staf TI untuk mengambil kredensial atau menggunakan pesan Telegram dan SMS untuk mengalihkan target ke situs phishing yang dibuat khusus yang menampilkan logo perusahaan.

Jika MFA melindungi akun target, penyerang menggunakan taktik push-notification MFA kelelahan atau terlibat dalam rekayasa sosial untuk mendapatkan kode dari para korban.

Dalam satu kasus, musuh mengeksploitasi CVE-2021-35464, sebuah kelemahan di server ForgeRock AM yang diperbaiki pada Oktober 2021, untuk menjalankan kode dan meningkatkan hak istimewa mereka pada instans AWS.

Setelah peretas mendapatkan akses ke sistem, mereka mencoba menambahkan perangkat mereka sendiri ke daftar perangkat MFA (otentikasi multi-faktor) tepercaya menggunakan akun pengguna yang disusupi.

Crowdstrike memperhatikan para peretas menggunakan utilitas berikut dan alat pemantauan dan manajemen jarak jauh (RMM) dalam kampanye mereka:

  • AnyDesk
  • BeAnywhere
  • Domotz
  • DWservice
  • Fixme.it
  • Fleetdeck.io
  • Itarian Endpoint Manager
  • Level.io
  • Logmein
  • ManageEngine
  • N-Able
  • Pulseway
  • Rport
  • Rsocx
  • ScreenConnect
  • SSH RevShell and RDP Tunnelling via SSH
  • Teamviewer
  • TrendMicro Basecamp
  • Sorillus
  • ZeroTier

Dalam intrusi yang diamati oleh Crowdstrike, musuh tidak henti-hentinya berusaha mempertahankan akses ke jaringan yang dibobol, bahkan setelah terdeteksi.

“Dalam beberapa investigasi, CrowdStrike mengamati musuh menjadi lebih aktif, menyiapkan mekanisme persistensi tambahan, yaitu akses VPN dan/atau beberapa alat RMM, jika tindakan mitigasi diterapkan secara perlahan,” CrowdStrike memperingatkan.

“Dan dalam beberapa kasus, musuh mengembalikan beberapa tindakan mitigasi dengan mengaktifkan kembali akun yang sebelumnya dinonaktifkan oleh organisasi korban.”

Dalam semua intrusi yang diamati oleh Crowdstrike, musuh menggunakan berbagai VPN dan ISP untuk mengakses lingkungan Google Workspace organisasi yang menjadi korban.

Untuk bergerak secara lateral, pelaku ancaman mengekstraksi berbagai jenis informasi pengintaian, mengunduh daftar pengguna dari penyewa yang dilanggar, menyalahgunakan WMI, dan melakukan tunneling SSH dan replikasi domain.

Selengkpanya: Bleeping Computer