APT

Evolusi Ancaman Teknologi Informasi Kuartal Pertama 2023

June 12, 2023 by Søren

Targeted Attacks

BlueNoroff memperkenalkan metode baru untuk bypass MotW

Pada akhir tahun 2022, peneliti melaporkan aktivitas BlueNoroff, aktor ancaman yang bermotivasi finansial dan dikenal mencuri mata uang kripto. Pelaku ancaman biasanya mengeksploitasi dokumen Word, menggunakan file shortcut untuk intrusi awal. Namun, baru-baru ini grup tersebut telah mengadopsi metode baru untuk mengirimkan malware-nya.
Salah satunya, yang dirancang untuk menghindari bendera Mark-of-the-Web (MotW), adalah penggunaan format file .ISO (optical disk image) dan .VHD (virtual hard disk). MotW adalah ukuran keamanan Windows — sistem menampilkan pesan peringatan saat seseorang mencoba membuka file yang diunduh dari internet.

Roaming Mantis menerapkan DNS changer baru

Peneliti juga terus melacak aktivitas Roaming Mantis (alias Shaoye), aktor ancaman mapan yang menargetkan negara-negara di Asia. Dari 2019 hingga 2022, pelaku ancaman ini terutama menggunakan ‘smishing’ untuk mengirim tautan ke laman landasnya, dengan tujuan mengendalikan perangkat Android yang terinfeksi dan mencuri informasi perangkat, termasuk kredensial pengguna.

Namun, pada September 2022, peneliti menganalisis malware Android Wroba.o baru, yang digunakan oleh Roaming Mantis, dan menemukan fungsi pengubah DNS yang diterapkan untuk menargetkan router Wi-Fi tertentu yang digunakan terutama di Korea Selatan.

BadMagic: APT baru yang berhubungan dengan konflik Russia-Ukraina

Sejak awal konflik Rusia-Ukraina, peneliti telah mengidentifikasi sejumlah besar serangan dunia maya geo-politik, sebagaimana diuraikan dalam ikhtisar kami tentang serangan dunia maya yang terkait dengan konflik tersebut.

Oktober lalu, peneliti mengidentifikasi infeksi aktif organisasi pemerintah, pertanian, dan transportasi yang berlokasi di Donetsk, Lugansk, dan Krimea. Vektor awal kompromi tidak jelas, tetapi detail tahap selanjutnya menyiratkan penggunaan spear-phishing atau yang serupa. Target menavigasi ke URL yang mengarah ke arsip ZIP yang dihosting di server web berbahaya. Arsip ini berisi dua file: dokumen umpan (peneliti menemukan versi PDF, XLSX, dan DOCX) dan file LNK berbahaya dengan ekstensi ganda (mis. PDF.LNK) yang, ketika dibuka, menyebabkan infeksi.

Malware

Prilex menargetkan transaksi contactless pada credit card

Prilex telah berevolusi dari malware yang berfokus pada ATM menjadi ancaman PoS tercanggih yang pernah kami lihat sejauh ini. Pelaku ancaman melampaui pengikis memori lama yang terlihat dalam serangan PoS, hingga malware yang sangat canggih yang menyertakan skema kriptografi unik, penambalan perangkat lunak target secara real-time, memaksa penurunan versi protokol, memanipulasi kriptogram, melakukan apa yang disebut “transaksi GHOST” dan kredit penipuan kartu — bahkan pada kartu chip-dan-PIN.

Saat menyelidiki suatu insiden, kami menemukan sampel Prilex baru, dan salah satu fitur baru mencakup kemampuan untuk memblokir transaksi nirsentuh. Transaksi ini menghasilkan pengidentifikasi unik yang valid hanya untuk satu transaksi, menjadikannya tidak berharga bagi penjahat dunia maya. Dengan memblokir transaksi, Prilex mencoba memaksa pelanggan memasukkan kartu mereka untuk melakukan transaksi chip-dan-PIN, memungkinkan penjahat dunia maya untuk mengambil data dari kartu menggunakan teknik standar mereka.

Mencuri cryptocurrency menggunakan Tor browser palsu

Kami baru-baru ini menemukan kampanye pencurian mata uang kripto yang sedang berlangsung yang memengaruhi lebih dari 15.000 pengguna di 52 negara. Para penyerang menggunakan teknik yang telah ada selama lebih dari satu dekade dan awalnya digunakan oleh Trojan perbankan untuk mengganti nomor rekening bank. Namun, dalam kampanye baru-baru ini, penyerang menggunakan Tor Browser versi Trojan untuk mencuri mata uang kripto.

Target mengunduh Tor Browser versi Trojan dari sumber daya pihak ketiga yang berisi arsip RAR yang dilindungi kata sandi — kata sandi digunakan untuk mencegahnya terdeteksi oleh solusi keamanan. Setelah file dijatuhkan ke komputer target, ia mendaftarkan dirinya sendiri di mulai otomatis sistem dan menyamar sebagai ikon untuk aplikasi populer, seperti uTorrent.

Malvertising menggunakan search engine

Dalam beberapa bulan terakhir, kami mengamati peningkatan jumlah kampanye berbahaya yang menggunakan Iklan Google sebagai sarana untuk mendistribusikan dan mengirimkan malware. Setidaknya dua pencuri berbeda, Rhadamanthys dan RedLine, menyalahgunakan rencana promosi mesin pencari untuk mengirimkan muatan berbahaya ke komputer korban.

Mereka tampaknya menggunakan teknik yang sama untuk meniru situs web yang terkait dengan perangkat lunak terkenal, seperti Notepad ++ dan Blender 3D. Pelaku ancaman membuat salinan situs web perangkat lunak yang sah dan menggunakan “typosquatting” (menggunakan merek atau nama perusahaan yang dieja salah sebagai URL) atau “combosquatting” (seperti di atas, tetapi menambahkan kata acak sebagai URL) untuk membuat situs terlihat sah. Mereka kemudian membayar untuk mempromosikan situs di mesin pencari untuk mendorongnya ke bagian atas hasil pencarian — sebuah teknik yang dikenal sebagai “malvertising”.

Selengkapnya: Secure List

NCSC memperingatkan ancaman yang muncul terhadap infrastruktur nasional yang kritis

April 24, 2023 by Søren

Pusat Keamanan Siber Nasional hari ini (Rabu) telah mengeluarkan peringatan kepada organisasi infrastruktur nasional kritis (CNI) yang memperingatkan tentang ancaman yang muncul dari kelompok yang selaras dengan negara.

NCSC – bagian dari GCHQ – memperingatkan dalam peringatan tersebut bahwa beberapa kelompok telah menyatakan niat untuk meluncurkan ‘serangan destruktif dan mengganggu’ dan bahwa organisasi CNI harus memastikan bahwa mereka telah mengambil langkah-langkah yang diuraikan dalam panduan ancaman yang ditingkatkan dari NCSC untuk memperkuat pertahanan mereka.

Ancaman itu datang terutama dari kelompok-kelompok yang berpihak pada negara yang bersimpati pada invasi Rusia ke Ukraina, kata peringatan itu, dan telah muncul selama 18 bulan terakhir.

Kelompok-kelompok ini tidak dimotivasi oleh keuntungan finansial, atau tunduk pada kontrol oleh negara, sehingga tindakan mereka kurang dapat diprediksi dan penargetan mereka lebih luas daripada pelaku kejahatan dunia maya tradisional.

Sementara dalam jangka pendek aktivitas apa pun dari kelompok tersebut kemungkinan akan berbentuk serangan Distributed Denial of Service (DDoS), perusakan situs web atau penyebaran informasi yang salah, beberapa kelompok telah menyatakan keinginan untuk mencapai dampak yang lebih merusak terhadap infrastruktur barat, kata peringatan itu.

Peringatan tersebut dikeluarkan pada hari pertama konferensi CYBERUK NCSC di Belfast, di mana para ahli telah berkumpul untuk mempertimbangkan topik dengan tema ‘mengamankan masa depan digital yang terbuka dan tangguh.’

Selengkapnya: National Cyber Security Centre

Spionase yang didukung China semakin sulit dikenali, kata para peneliti

March 18, 2023 by Søren

Kelompok peretas yang diduga terkait dengan China terus membangun taktik baru yang menargetkan alat keamanan yang menghadap ke internet sebagai cara untuk secara diam-diam membobol beberapa organisasi yang paling kaya data, para peneliti di Mandiant milik Google memperingatkan.

Dari berita: Dalam sebuah laporan Kamis, para peneliti mengatakan mereka telah menemukan bug baru yang menargetkan perusahaan keamanan perangkat lunak Fortinet, yang membuat firewall, program antivirus, dan alat serupa. The Wall Street Journal pertama kali melaporkan bug baru tersebut.

Laporan baru ini adalah yang kelima yang dirilis Mandiant dalam dua tahun di mana tersangka peretas yang berafiliasi dengan China telah menargetkan alat keamanan yang terhubung ke internet. Pembuat produk lain yang terpengaruh termasuk SonicWall, VMware dan Citrix.
Charles Carmakal, chief technology officer di Mandiant, mengatakan kepada WSJ kemungkinan bahwa “masalahnya jauh lebih besar daripada yang kita ketahui sekarang.”

Apa yang mereka katakan: “Mengingat betapa sulitnya mereka ditemukan, sebagian besar organisasi tidak dapat mengidentifikasi mereka sendiri,” kata Carmakal dalam sebuah pernyataan kepada Axios. “Tidak jarang kampanye China berakhir sebagai gangguan selama bertahun-tahun.”

Gambaran besarnya: Pemerintahan Biden telah berfokus pada laser untuk menindak ancaman spionase dan peretasan yang terkait dengan China.

Pekan lalu, komunitas intelijen mengatakan dalam laporan ancaman di seluruh dunia tahun 2023 bahwa China adalah ancaman spionase siber “terluas, paling aktif, dan gigih” ke AS.
Awal pekan ini, Komite Investasi Asing di Amerika Serikat dilaporkan memberi tahu TikTok bahwa, karena pengawasan dan masalah keamanan nasional lainnya, itu akan dilarang di AS jika perusahaan induknya di China, ByteDance, menolak untuk menjual sahamnya.

Selengkapnya: Axios

Varian malware baru memiliki mode “keheningan radio” untuk menghindari deteksi

March 9, 2023 by Coffee Bean

Grup peretas spionase siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka malware ‘Soul’.

Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.

Check Point mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.

Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.

Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.

DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.

selengkapnya : bleepingcomputer

APT Rusia “Gamaredon” Mengeksploitasi Hoaxshell untuk Menargetkan Organisasi Ukraina

February 17, 2023 by Søren

Gamaredon adalah grup peretasan yang disponsori negara Rusia yang telah aktif setidaknya sejak 2013. Grup tersebut diyakini bertanggung jawab atas sejumlah serangan dunia maya terhadap target Ukraina, termasuk militer, pemerintah, dan organisasi infrastruktur penting.

Layanan Keamanan Ukraina mengklasifikasikan grup tersebut sebagai APT (Advanced Persistent Threat), dan secara jelas mengidentifikasinya sebagai unit struktural yang dibuat khusus dari Layanan Keamanan Federal (FSB) Federasi Rusia, yang tugasnya adalah kegiatan intelijen dan subversif terhadap Ukraina di dunia maya.

Gamaredon juga dikenal sebagai Primitive Bear (CrowdStrike), Winterflouder (iDefence), BlueAlpha (Recorded Future), BlueOtso (PWC), IronTiden (SecureWorks), SectorC08 (Red Alert), Callisto (Asosiasi NATO Kanada), Shuckworm dan Armageddon ( CERT-UA).

Taktik, teknik, dan prosedur (TTP) grup telah didokumentasikan dengan baik dan sering melibatkan penggunaan rekayasa sosial, spear-phishing, dan malware, termasuk pintu belakang dan pencuri informasi. Tujuan akhir dari kelompok tersebut diperkirakan untuk mengumpulkan intelijen dan mengganggu operasi Ukraina.

Pada Januari 2023, grup yang terkait dengan Rusia terus melakukan serangan ofensif terhadap target di Ukraina, seperti yang didokumentasikan oleh Symantec, BlackBerry Research, dan Trellix.

Selama beberapa minggu terakhir, saya telah menemukan bukti kampanye yang sebelumnya tidak diketahui oleh Gamaredon yang menargetkan sejumlah organisasi di negara tersebut.

Kampanye tersebut, bagian dari operasi spionase yang sedang berlangsung yang diamati baru-baru ini pada Februari 2023, bertujuan untuk mengirimkan malware ke mesin korban Ukraina dan memanfaatkan skrip PowerShell dan VBScript (VBS) yang disamarkan sebagai bagian dari rantai infeksi.

Malware tersebut adalah WebShell yang mencakup kemampuan untuk mengeksekusi perintah jarak jauh dari penyerang dan menerapkan muatan berbasis skrip dan biner tambahan pada mesin yang terinfeksi.

Selengkapnya: Medium

Bluebottle: Kampanye Memukul Bank di Negara-negara berbahasa Prancis di Afrika

January 7, 2023 by Søren

Bluebottle, kelompok kejahatan dunia maya yang berspesialisasi dalam serangan bertarget terhadap sektor keuangan, terus meningkatkan serangan terhadap bank-bank di negara-negara berbahasa Prancis. Grup ini memanfaatkan hidup dari tanah secara ekstensif, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang diterapkan dalam kampanye ini.

Aktivitas yang diamati oleh Symantec, sebuah divisi dari Broadcom Software, tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan dalam laporan Grup-IB dari November 2022. Aktivitas yang didokumentasikan oleh Grup-IB berlangsung dari pertengahan 2019 hingga 2021, dan dikatakan bahwa selama periode itu kelompok ini, yang disebut OPERA1ER, mencuri setidaknya $11 juta selama 30 serangan yang ditargetkan.

Kemiripan dalam taktik, teknik, dan prosedur (TTP) antara aktivitas yang didokumentasikan oleh Group-IB dan aktivitas yang dilihat oleh Symantec meliputi:

Domain yang sama terlihat di kedua rangkaian aktivitas: personel[.]bdm-sa[.]fr
Beberapa alat yang digunakan sama: Ngrok; PsExec; RDPBungkus; Keylogger Pengungkap; Cobalt Strike Beacon
Tidak ada malware khusus yang ditemukan di salah satu rangkaian aktivitas
Crossover dalam penargetan negara-negara berbahasa Perancis di Afrika
Kedua rangkaian aktivitas tersebut juga menampilkan penggunaan nama domain khusus industri dan khusus kawasan

Meskipun ini tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan oleh Group-IB, aktivitas yang dilihat oleh Symantec lebih baru, berjalan setidaknya dari Juli 2022 hingga September 2022, meskipun beberapa aktivitas mungkin telah dimulai sejak Mei 2022 .

Selengkapnya: Symantec

Geng kejahatan dunia maya merekrut tidak seperti sebelumnya

November 6, 2022 by Søren

Sejumlah kelompok penjahat dunia maya terkemuka telah diamati merekrut anggota baru pada tingkat yang mengkhawatirkan, laporan baru telah memperingatkan.

Laporan Ancaman Q3/2022 Avast baru-baru ini menemukan bahwa beberapa aktor ancaman mulai merekrut karena tidak berhasil, yang lain karena ditembaki oleh peneliti keamanan siber.

Grup LockBit, misalnya, yang dikenal dengan varian ransomware dengan nama yang sama, “sangat aktif pada kuartal ini”, kata para peneliti.

Pada akhir Juni 2022, LockBit merilis versi baru penyandinya, dan untuk memastikannya kedap udara, menawarkan $50.000 kepada siapa pun yang menemukan kerentanan dalam enkripsi file basis data besar. Ada hadiah lain yang ditawarkan juga. Misalnya, siapa pun yang mengetahui nama bos afiliasi mendapat satu juta dolar.

Ada juga pembayaran tinggi untuk kelemahan yang ditemukan dalam proses enkripsi, kerentanan di situs web LockBit, atau kerentanan di messenger TOX atau jaringan TOR.

Selain itu, ia menawarkan $1.000 kepada siapa saja yang akan menato logo LockBit ke tubuh mereka.

Kelompok peretas NoName057(16), yang mengalami pukulan besar setelah server utama Bobik C2 dimatikan dan botnetnya berhenti bekerja, mulai merekrut untuk proyek baru pada pertengahan Agustus tahun ini, para peneliti mengungkap lebih lanjut. Mencurigai mereka membutuhkan darah segar untuk melanjutkan serangan DDoS aktif, para peneliti mengamati aktor ancaman membuka grup baru yang didedikasikan untuk proyek DDDOSIA. Akhir bulan lalu, grup ini memiliki lebih dari 700 anggota.

Selengkapnya: Tech Radar

Peneliti Merinci Alat Berbahaya yang Digunakan oleh Kelompok Siber Spionase Earth Aughisky

October 11, 2022 by Winnie the Pooh

Sebuah penelitian baru telah merinci sifat perangkat malware yang semakin canggih yang digunakan oleh kelompok ancaman persisten tingkat lanjut (APT) bernama Earth Aughisky.

“Selama dekade terakhir, grup ini terus melakukan penyesuaian dalam alat dan penyebaran malware pada target tertentu yang berlokasi di Taiwan dan, baru-baru ini, Jepang,” ungkap Trend Micro dalam profil teknis minggu lalu.

Earth Aughisky, juga dikenal sebagai Taidoor, adalah kelompok siber spionase yang dikenal karena kemampuannya untuk menyalahgunakan akun, perangkat lunak, aplikasi, dan kelemahan lain yang sah dalam desain dan infrastruktur jaringan untuk tujuan mereka sendiri.

Vertikal industri yang paling sering ditargetkan termasuk pemerintah, telekomunikasi, manufaktur, alat berat, teknologi, transportasi, dan perawatan kesehatan.

Rantai serangan yang dipasang oleh grup biasanya memanfaatkan spear-phishing sebagai metode awal masuk, menggunakannya untuk menyebarkan backdoor tahap berikutnya. Yang utama di antara alat-alatnya adalah trojan akses jarak jauh yang disebut Taidoor (alias Roudan).

Beberapa pintu backdoor terkenal lainnya yang digunakan oleh Earth Aughisky selama bertahun-tahun adalah sebagai berikut:

SiyBot, backdoor dasar yang menggunakan layanan publik seperti Gubb dan 30 Box untuk command-and-control (C2)
TWTRAT, yang menyalahgunakan fitur pesan langsung Twitter untuk C2
DropNetClient (alias Buxzop), yang memanfaatkan API Dropbox untuk C2

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

APT

Cookies Settings