Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for APT

APT

Peneliti Mengungkap APT Baru “Metador ” yang Menargetkan Telco, ISP, dan Universitas

by

Seorang aktor ancaman yang sebelumnya tidak terdokumentasi dengan asal tidak diketahui telah dikaitkan dengan serangan yang menargetkan telekomunikasi, penyedia layanan internet, dan universitas di berbagai negara di Timur Tengah dan Afrika.

“Operator sangat menyadari keamanan operasi, mengelola infrastruktur yang tersegmentasi dengan hati-hati per korban, dan dengan cepat menerapkan tindakan pencegahan yang rumit dengan adanya solusi keamanan,” kata peneliti dari SentinelOne dalam sebuah laporan baru.

Perusahaan keamanan siber menamai grup Metador dengan mengacu pada string “Saya meta” di salah satu sampel malware mereka dan karena respons bahasa Spanyol dari server command-and-control (C2).

Aktor ancaman dikatakan telah terutama berfokus pada pengembangan malware lintas platform dalam mengejar tujuan spionase. Keunggulan lain dari kampanye ini adalah jumlah gangguan yang terbatas dan akses jangka panjang ke target.

Ini termasuk dua platform malware Windows yang berbeda yang disebut metaMain dan Mafalda yang secara tegas dirancang untuk beroperasi di dalam memori dan menghindari deteksi. metaMain juga bertindak sebagai saluran untuk menyebarkan Mafalda, implan interaktif fleksibel yang mendukung 67 perintah.

metaMain, pada bagiannya, kaya fitur sendiri, memungkinkan musuh untuk mempertahankan akses jangka panjang, mencatat penekanan tombol, mengunduh dan mengunggah file arbitrer, dan mengeksekusi shellcode.

Sebagai tanda bahwa Mafalda secara aktif dikelola oleh pengembangnya, malware tersebut memperoleh dukungan untuk 13 perintah baru antara dua varian yang dikompilasi pada bulan April dan Desember 2021, menambahkan opsi untuk pencurian kredensial, pengintaian jaringan, dan manipulasi sistem file.

Selengkapnya: The Hacker News

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

by

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Peretas yang Didukung Negara Menggunakan Ransomware sebagai Umpan untuk Serangan Spionase

by

Sebuah kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di China mungkin menyebarkan keluarga ransomware berumur pendek sebagai umpan untuk menutupi tujuan operasional dan taktis yang sebenarnya di balik kampanyenya.

Cluster aktivitas, yang dikaitkan dengan grup peretasan yang dijuluki Bronze Starlight oleh Secureworks, melibatkan penyebaran ransomware pasca-intrusi seperti LockFile, Atom Silo, Rook, Night Sky, Pandora, dan LockBit 2.0.

“Ransomware dapat mengalihkan perhatian responden insiden dari mengidentifikasi maksud sebenarnya dari pelaku ancaman dan mengurangi kemungkinan mengaitkan aktivitas jahat dengan kelompok ancaman China yang disponsori pemerintah,” kata para peneliti dalam sebuah laporan baru. “Dalam setiap kasus, ransomware menargetkan sejumlah kecil korban selama periode waktu yang relatif singkat sebelum berhenti beroperasi, tampaknya secara permanen.”

Bronze Starlight, aktif sejak pertengahan 2021, juga dilacak oleh Microsoft di bawah klaster ancaman yang muncul DEV-0401, dengan raksasa teknologi itu menekankan keterlibatannya dalam semua tahap siklus serangan ransomware langsung dari akses awal hingga penyebaran muatan.

Tidak seperti grup RaaS lain yang membeli akses dari broker akses awal (IAB) untuk memasuki jaringan, serangan yang dipasang oleh aktor ditandai dengan penggunaan kerentanan yang belum ditambal yang memengaruhi Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (termasuk kelemahan yang baru diungkapkan), dan Apache Log4j.

Dalam waktu kurang dari satu tahun, kelompok tersebut dikatakan telah melewati sebanyak enam jenis ransomware yang berbeda seperti LockFile (Agustus 2021), Atom Silo (Oktober), Rook (November), Night Sky (Desember), Pandora (Februari 2022 ), dan yang terbaru LockBit 2.0 (April).

Terlebih lagi, kesamaan telah ditemukan antara LockFile dan Atom Silo serta antara Rook, Night Sky, dan Pandora — tiga yang terakhir berasal dari ransomware Babuk, yang kode sumbernya bocor pada September 2021 — menunjukkan pekerjaan aktor yang sama.

“Karena DEV-0401 memelihara dan sering mengubah nama muatan ransomware mereka sendiri, mereka dapat muncul sebagai kelompok yang berbeda dalam pelaporan berbasis muatan dan menghindari deteksi dan tindakan terhadap mereka,” Microsoft mencatat bulan lalu.

Setelah mendapatkan pijakan di dalam jaringan, Bronze Starlight diketahui mengandalkan teknik seperti menggunakan Cobalt Strike dan Windows Management Instrumentation (WMI) untuk gerakan lateral, meskipun mulai bulan ini, grup tersebut mulai mengganti Cobalt Strike dengan kerangka Sliver dalam serangan mereka. .

Tradecraft lain yang diamati terkait dengan penggunaan HUI Loader untuk meluncurkan payload terenkripsi tahap berikutnya seperti PlugX dan Cobalt Strike Beacons, yang terakhir digunakan untuk mengirimkan ransomware, tetapi tidak sebelum mendapatkan kredensial Administrator Domain istimewa.

“Penggunaan HUI Loader untuk memuat Cobalt Strike Beacon, informasi konfigurasi Cobalt Strike Beacon, infrastruktur C2, dan kode yang tumpang tindih menunjukkan bahwa kelompok ancaman yang sama dikaitkan dengan lima keluarga ransomware ini,” jelas para peneliti.

Perlu ditunjukkan bahwa baik HUI Loader dan PlugX, bersama ShadowPad, adalah malware yang secara historis digunakan oleh kolektif musuh negara-bangsa China, memberikan kepercayaan pada kemungkinan bahwa Bronze Starlight lebih diarahkan untuk spionase daripada keuntungan moneter langsung.

Selain itu, pola viktimologi yang mencakup berbagai jenis ransomware menunjukkan bahwa sebagian besar target cenderung lebih menarik bagi kelompok yang disponsori pemerintah China yang berfokus pada pengumpulan intelijen jangka panjang.

Korban utama mencakup perusahaan farmasi di Brasil dan AS, organisasi media yang berbasis di AS dengan kantor di China dan Hong Kong, perancang dan produsen komponen elektronik di Lituania dan Jepang, firma hukum di AS, dan divisi kedirgantaraan dan pertahanan dari seorang konglomerat India.

Untuk itu, operasi ransomware, selain menyediakan sarana untuk mengekstrak data sebagai bagian dari skema pemerasan ganda “nama-dan-malu”, juga menawarkan keuntungan ganda karena memungkinkan pelaku ancaman untuk menghancurkan bukti forensik dari aktivitas jahat mereka dan bertindak sebagai pengalih perhatian dari pencurian data.

“Masuk akal bahwa Bronze Starlight menyebarkan ransomware sebagai tabir asap daripada untuk keuntungan finansial, dengan motivasi yang mendasari mencuri kekayaan intelektual atau melakukan spionase,” kata para peneliti.

Sumber: The Hacker News

CISA: Eksploitasi Log4Shell masih digunakan untuk meretas server VMware

by

CISA hari ini memperingatkan bahwa pelaku ancaman, termasuk kelompok peretas yang didukung negara, masih menargetkan server VMware Horizon dan Unified Access Gateway (UAG) menggunakan kerentanan eksekusi kode jarak jauh Log4Shell (CVE-2021-44228).

Penyerang dapat mengeksploitasi Log4Shell dari jarak jauh di server rentan yang terpapar akses lokal atau Internet untuk bergerak secara lateral melintasi jaringan sampai mereka mendapatkan akses ke sistem internal yang berisi data sensitif.

Setelah pengungkapannya pada Desember 2021, beberapa pelaku ancaman mulai memindai dan mengeksploitasi sistem yang belum ditambal, termasuk kelompok peretas yang didukung negara dari China, Iran, Korea Utara, dan Turki, serta beberapa perantara akses yang biasa digunakan oleh geng ransomware.

Hari ini, dalam penasehat bersama dengan US Coast Guard Cyber ​​Command (CGCYBER), badan keamanan siber mengatakan bahwa server telah disusupi menggunakan eksploitasi Log4Shell untuk mendapatkan akses awal ke jaringan organisasi yang ditargetkan.

Setelah menembus jaringan, mereka menyebarkan berbagai jenis malware yang memberi mereka akses jarak jauh yang diperlukan untuk menyebarkan muatan tambahan dan mengekstrak ratusan gigabyte informasi sensitif.

“Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” ungkap penasihat tersebut.

“Dalam satu kompromi yang dikonfirmasi, aktor APT ini dapat bergerak secara lateral di dalam jaringan, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data sensitif.”

Organisasi yang belum menambal server VMware mereka disarankan untuk menandai mereka sebagai diretas dan memulai prosedur respons insiden (IR).

Langkah-langkah yang diperlukan untuk respons yang tepat dalam situasi seperti itu mencakup isolasi langsung dari sistem yang berpotensi terpengaruh, pengumpulan dan peninjauan log dan artefak yang relevan, mempekerjakan pakar IR pihak ketiga (jika diperlukan), dan melaporkan insiden tersebut ke CISA.

“CISA dan CGCYBER merekomendasikan semua organisasi dengan sistem yang terpengaruh yang tidak segera menerapkan patch atau solusi yang tersedia untuk mengambil kompromi dan memulai aktivitas berburu ancaman menggunakan IOC yang disediakan dalam CSA ini, Laporan Analisis Malware (MAR)-10382580-1, dan MAR-10382254 -1,” kata kedua agensi.

“Jika potensi kompromi terdeteksi, administrator harus menerapkan rekomendasi respons insiden yang disertakan dalam CSA ini dan melaporkan temuan utama ke CISA.”

Anjuran hari ini datang setelah VMware juga mendesak pelanggan pada bulan Januari untuk mengamankan server VMware Horizon yang terpapar Internet dari serangan Log4Shell yang sedang berlangsung.

Sejak awal tahun, server VMware Horizon telah ditargetkan oleh aktor ancaman berbahasa China untuk menyebarkan ransomware Night Sky, APT Lazarus Korea Utara untuk menyebarkan pencuri informasi, dan kelompok peretasan TunnelVision yang selaras dengan Iran untuk menyebarkan pintu belakang.

Hingga Anda dapat menginstal build yang ditambal dengan memperbarui semua server VMware Horizon dan UAG yang terpengaruh ke versi terbaru, Anda dapat mengurangi permukaan serangan “dengan menghosting layanan penting di zona demiliterisasi (DMZ) yang terpisah”, menerapkan firewall aplikasi web (WAF), dan “memastikan kontrol akses perimeter jaringan yang ketat.”

Sumber: Bleeping Computer

Server Microsoft Exchange diretas oleh geng APT ToddyCat baru

by

Grup ancaman persisten tingkat lanjut (APT) yang dijuluki ToddyCat telah menargetkan server Microsoft Exchange di seluruh Asia dan Eropa selama lebih dari setahun, setidaknya sejak Desember 2020.

Saat melacak aktivitas grup, peneliti keamanan dengan Global Research & Analysis Team (GReAT) Kaspersky juga telah menemukan backdoor pasif yang sebelumnya tidak dikenal yang mereka beri nama Samurai dan malware trojan baru yang dijuluki Ninja Trojan.

Kedua jenis malware memungkinkan penyerang untuk mengendalikan sistem yang terinfeksi dan bergerak secara lateral di dalam jaringan korban.

Serangan ToddyCat juga telah terlihat di masa lalu oleh perusahaan keamanan siber Slovakia ESET, yang telah melacaknya sebagai sekelompok aktivitas yang mereka sebut Websiic mulai Maret 2021.

Pada saat itu, kelompok peretas mengeksploitasi kelemahan ProxyLogon Exchange yang memungkinkan mereka mendapatkan eksekusi kode jarak jauh pada server yang rentan untuk menyebarkan cangkang web China Chopper.

Meskipun tidak terlalu aktif hingga Februari 2021, mereka dengan cepat meningkatkan serangan mereka setelah mulai memindai dan menargetkan server Microsoft Exchange yang belum ditambal di seluruh Eropa dan Asia dengan eksploitasi ProxyLogon.

Alur serangan ToddyCat (Kaspersky)

“Bagaimanapun, perlu dicatat bahwa semua mesin yang ditargetkan terinfeksi antara Desember dan Februari adalah server Microsoft Windows Exchange; penyerang mengkompromikan server dengan eksploitasi yang tidak diketahui, dengan sisa rantai serangan sama seperti yang digunakan pada bulan Maret.”

Target favorit kelompok tersebut adalah organisasi tingkat tinggi, termasuk entitas pemerintah dan militer, serta kontraktor militer.

Sementara gelombang serangan pertama (antara Desember 2020 dan Februari 2021) hanya menargetkan sejumlah kecil organisasi pemerintah di Vietnam dan Taiwan, gelombang berikutnya (antara Februari 2021 dan Mei 2021) dengan cepat meluas ke entitas dari daftar panjang negara di seluruh dunia. , termasuk Rusia, India, Iran, dan Inggris.

Pada fase berikutnya (hingga Februari 2022), ToddyCat menargetkan kelompok negara yang sama tetapi juga menambahkan organisasi dari Indonesia, Uzbekistan, dan Kirgistan ke dalam daftar.

Dalam serangan gelombang ketiga ini, grup APT juga memperluas fokus mereka untuk memasukkan sistem desktop, sementara sebelumnya, mereka secara eksklusif menargetkan server Microsoft Exchange.

Kaspersky mengatakan para korban ToddyCat terkait dengan sektor industri dan negara-negara yang juga ditargetkan oleh beberapa kelompok berbahasa China.

Namun, beberapa entitas yang mereka langgar (di tiga negara berbeda) juga diretas pada waktu yang hampir bersamaan oleh peretas yang didukung Tiongkok menggunakan pintu belakang FunnyDream.

Sumber: Bleeping Computer

Twisted Panda yang terkait dengan China tertangkap memata-matai R&D pertahanan Rusia

by

Mata-mata siber China menargetkan dua lembaga pertahanan Rusia dan mungkin fasilitas penelitian lain di Belarus, menurut Check Point Research.

Kampanye baru, dijuluki Twisted Panda, adalah bagian dari operasi spionase yang lebih besar dan disponsori negara yang telah berlangsung selama beberapa bulan, jika tidak hampir setahun, menurut toko keamanan.

Dalam analisis teknis, para peneliti merinci berbagai tahapan dan muatan berbahaya dari kampanye yang menggunakan email phishing terkait sanksi untuk menyerang entitas Rusia, yang merupakan bagian dari konglomerat pertahanan milik negara Rostec Corporation.

Check Point Research juga mencatat bahwa sekitar waktu yang sama ketika mereka mengamati serangan Twisted Panda, kelompok ancaman persisten lanjutan (APT) China lainnya Mustang Panda diamati mengeksploitasi invasi ke Ukraina untuk menargetkan organisasi Rusia.

Faktanya, Twisted Panda mungkin memiliki koneksi ke Mustang Panda atau jaringan mata-mata lain yang didukung Beijing yang disebut Panda Batu, alias APT10, menurut peneliti keamanan.

Selain waktu serangan, alat dan teknik lain yang digunakan dalam kampanye baru tumpang tindih dengan kelompok APT yang berbasis di China, tulis mereka. Karena itu, para peneliti menghubungkan operasi mata-mata siber baru “dengan kepercayaan tinggi kepada aktor ancaman China.”

Selama penelitian, toko keamanan juga menemukan pemuat serupa yang berisi yang tampak seperti varian yang lebih mudah dari pintu belakang yang sama. Dan berdasarkan hal tersebut, para peneliti mengatakan mereka memperkirakan Twisted Panda telah aktif sejak Juni 2021.

Selengkapnya: The Register

Peretas China, “LuoYu”, Menggunakan Serangan Man-on-the-Side untuk Menyebarkan Backdoor WinDealer

by

Seorang aktor ancaman persisten (APT) canggih berbahasa China yang “sangat canggih” yang dijuluki LuoYu telah diamati menggunakan alat Windows berbahaya yang disebut WinDealer yang dikirimkan melalui serangan man-on-the-side.

“Pengembangan terobosan ini memungkinkan aktor untuk memodifikasi lalu lintas jaringan dalam perjalanan untuk memasukkan muatan berbahaya,” kata perusahaan keamanan siber Rusia Kaspersky dalam sebuah laporan baru. “Serangan seperti itu sangat berbahaya dan menghancurkan karena tidak memerlukan interaksi apa pun dengan target untuk mengarah pada infeksi yang berhasil.”

Dikenal aktif sejak 2008, organisasi yang ditargetkan oleh LuoYu sebagian besar adalah organisasi diplomatik asing yang didirikan di Tiongkok dan anggota komunitas akademik serta perusahaan keuangan, pertahanan, logistik, dan telekomunikasi.

Penggunaan WinDealer oleh LuoYu pertama kali didokumentasikan oleh perusahaan keamanan siber Taiwan TeamT5 pada Konferensi Analis Keamanan Jepang (JSAC) pada Januari 2021. Kampanye serangan berikutnya telah menggunakan malware untuk menargetkan entitas Jepang, dengan infeksi terisolasi dilaporkan di Austria, Jerman, India, Rusia, dan AS

Alat lain yang menonjol di gudang malware musuh yang kurang dikenal termasuk PlugX dan penerusnya ShadowPad, keduanya telah digunakan oleh berbagai pelaku ancaman China untuk mengaktifkan tujuan strategis mereka. Selain itu, aktor tersebut diketahui menargetkan perangkat Linux, macOS, dan Android.

WinDealer, pada bagiannya, telah dikirimkan di masa lalu melalui situs web yang bertindak sebagai lubang berair dan dalam bentuk aplikasi trojan yang menyamar sebagai pesan instan dan layanan hosting video seperti Tencent QQ dan Youku.

Selengkapnya: The Hacker News

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

by

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Perintah unggah malware (Malwarebytes)

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer