Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for APT

APT

Grup Peretasan APT Baru yang Menargetkan Industri Bahan Bakar, Energi, dan Penerbangan

by

Aktor ancaman yang sebelumnya tidak terdokumentasi telah diidentifikasi berada di balik serangkaian serangan yang menargetkan industri produksi bahan bakar, energi, dan penerbangan di Rusia, AS, India, Nepal, Taiwan, dan Jepang dengan tujuan mencuri data dari jaringan yang disusupi.

Perusahaan keamanan siber Positive Technologies menjuluki kelompok ancaman persisten (APT) canggih tersebut sebagai ChamelGang – mengacu pada kemampuan bunglon mereka, termasuk menyamarkan “malware dan infrastruktur jaringannya di bawah layanan sah Microsoft, TrendMicro, McAfee, IBM, dan Google.”

“Untuk mencapai tujuan mereka, para penyerang menggunakan metode penetrasi yang sedang tren—rantai pasokan,” kata para peneliti tentang salah satu insiden yang diselidiki oleh perusahaan.

“Grup tersebut menyusup ke anak perusahaan dan menembus jaringan perusahaan target melaluinya. Serangan hubungan tepercaya jarang terjadi saat ini karena kompleksitas eksekusi mereka. Dengan menggunakan metode ini […], grup ChamelGang dapat mencapai tujuannya dan mencuri data dari jaringan yang disusupi.”

Penyusupan yang dipasang oleh musuh diyakini telah dimulai pada akhir Maret 2021, dengan serangan berikutnya pada bulan Agustus memanfaatkan apa yang disebut rantai kerentanan ProxyShell yang memengaruhi Server Microsoft Exchange, detail teknis yang pertama kali diungkapkan di keamanan Black Hat USA 2021 konferensi awal bulan itu.

Selengkapnya: The Hacker News

DeadRinger: APT China menyerang perusahaan telekomunikasi besar

by

Para peneliti telah mengungkapkan tiga kampanye spionase siber yang berfokus pada kompromi jaringan milik perusahaan telekomunikasi besar.

Pada hari Selasa, Cybereason Nocturnus menerbitkan laporan baru tentang penyerang cyber, diyakini bekerja untuk “kepentingan negara China” dan dikelompokkan dengan nama “DeadRinger.”

Menurut perusahaan keamanan siber tersebut, kampanye “yang sebelumnya tidak teridentifikasi” berpusat di Asia Tenggara — dan dengan cara yang mirip dengan bagaimana penyerang mengamankan akses ke korban mereka melalui vendor terpusat dalam kasus SolarWinds dan Kaseya, grup ini menargetkan perusahaan telekomunikasi.

Cybereason percaya serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan sponsor negara Tiongkok karena tumpang tindih dalam taktik dan teknik dengan APT Tiongkok lainnya yang diketahui.

Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan Microsoft Exchange Server — jauh sebelum dipublikasikan — penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial, pembuatan suar Cobalt Strike, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.

Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok pusat lain.

Selengkapnya: ZDNet

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

by

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Bagaimana APT Kimsuky Korea Utara Mengembangkan Taktiknya

by

Grup APT Korea Utara Kimsuky mengadopsi taktik, teknik, dan prosedur baru dalam serangan global, lapor peneliti yang temuannya menunjukkan operasi grup memiliki perbedaan yang cukup untuk menjamin pemisahannya menjadi dua subkelompok yang lebih kecil: CloudDragon dan KimDragon.

Kimsuky bukanlah kelompok baru tetapi telah mengadopsi metode baru untuk mendukung misinya dalam mengumpulkan intelijen. Peringatan pemerintah AS yang dikeluarkan pada Oktober 2020 melaporkan bahwa grup tersebut telah beroperasi sejak 2012 dan sering menggunakan rekayasa sosial, spear-phishing, dan serangan lubang air untuk mengumpulkan informasi dari target yang sebagian besar berlokasi di Korea Selatan, Jepang, dan AS.

Sebuah tim peneliti yang mengamati kelompok APT Korea Utara telah mengumpulkan bukti yang menunjukkan ada beberapa perbedaan signifikan dalam cara berbagai aspek Kimsuky beroperasi. Hari ini di acara virtual Black Hat Asia, Jhih-Lin Kuo dan Zin-Cing Lao, keduanya peneliti intelijen ancaman senior di TeamT5, membagi kelompok menjadi dua kelompok kecil berdasarkan target, malware, dan infrastruktur mereka, dan berbagi detail tentang bagaimana operasi kelompok telah berkembang.

Grup Kimsuky yang diungkapkan Kaspersky pada tahun 2013 telah dijuluki KimDragon oleh tim; Kimsuky yang lebih dikenal publik yang terlihat di berita utama dan laporan vendor adalah CloudDragon.

selengkapnya : beta.darkreading.com

12 Cacat Keamanan Teratas Peretas Mata-mata Rusia Memanfaatkan di Alam Liar

by

Operator dunia maya yang berafiliasi dengan Badan Intelijen Luar Negeri Rusia (SVR) telah mengubah taktik mereka sebagai tanggapan atas pengungkapan publik sebelumnya tentang metode serangan mereka, menurut sebuah nasihat baru yang diterbitkan bersama oleh badan-badan intelijen dari Inggris dan AS Jumat.

Ini termasuk penyebaran alat sumber terbuka yang disebut Sliver untuk mempertahankan akses mereka ke korban yang disusupi serta memanfaatkan kelemahan ProxyLogon di server Microsoft Exchange untuk melakukan aktivitas pasca-eksploitasi.

Perkembangan tersebut mengikuti atribusi publik dari aktor terkait SVR ke serangan rantai pasokan SolarWinds bulan lalu. Musuh juga dilacak di bawah moniker yang berbeda, seperti Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear, dan Yttrium.

Atribusi tersebut juga disertai dengan laporan teknis yang merinci lima kerentanan yang digunakan oleh kelompok APT29 SVR sebagai titik akses awal untuk menyusup ke AS dan entitas asing.

CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 – Synacor Zimbra Collaboration Suite
CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 – Citrix Application Delivery Controller and Gateway
CVE-2020-4006 – VMware Workspace ONE Access

Menurut NCSC, tujuh kerentanan lagi telah ditambahkan ke dalam campuran, sambil mencatat bahwa APT29 kemungkinan besar “dengan cepat” mempersenjatai kerentanan publik yang baru-baru ini dirilis yang dapat memungkinkan akses awal ke target mereka.

CVE-2019-1653 – Cisco Small Business RV320 and RV325 Routers
CVE-2019-2725 – Oracle WebLogic Server
CVE-2019-7609 – Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 – Oracle WebLogic Server
CVE-2021-21972 – VMware vSphere
CVE-2021-26855 – Microsoft Exchange Server

selengkapnya : thehackernews.com

APT Charming Kitten Menawan Peneliti Medis

by

Para peneliti mengungkap kampanye pencurian kredensial yang menargetkan para profesional genetika, neurologi, dan onkologi.

Peneliti keamanan telah mengaitkan kampanye phishing akhir tahun 2020 yang bertujuan untuk mencuri kredensial dari 25 profesional senior di organisasi penelitian medis di Amerika Serikat dan Israel ke kelompok ancaman persisten tingkat lanjut dengan tautan ke Iran yang disebut Charming Kitten.

Kampanye tersebut — dijuluki BadBlood karena fokus medisnya dan sejarah ketegangan antara Iran dan Israel — bertujuan untuk mencuri kredensial profesional yang berspesialisasi dalam penelitian genetika, neurologi, dan onkologi, menurut penelitian baru yang diposting online Rabu dari Joshua Miller dan Proofpoint Research dari Proofpoint. Tim.

Jenis penargetan ini mewakili keberangkatan untuk Charming Kitten, (juga dikenal sebagai Fosfor, Ajax atau TA453), yang — karena diyakini sejalan dengan Korps Pengawal Revolusi Islam Iran (IRGC) – di masa lalu terutama menempatkan para pembangkang, akademisi, diplomat dan jurnalis dalam bidikannya, kata para peneliti dalam laporan itu.

“Meskipun kampanye ini mungkin menunjukkan pergeseran dalam penargetan TA453 secara keseluruhan, mungkin juga itu hasil dari persyaratan pengumpulan intelijen jangka pendek tertentu,” tulis Miller dan tim dalam sebuah laporan. “BadBlood sejalan dengan tren penelitian medis yang semakin meningkat yang menjadi sasaran pelaku ancaman.”

selengkapnya : threatpost.com

Google: Peretas Korea Utara menargetkan peneliti keamanan lagi

by

Grup Threat Analysis (TAG) Google mengatakan bahwa peretas yang disponsori pemerintah Korea Utara sekali lagi menargetkan peneliti keamanan menggunakan akun Twitter dan media sosial LinkedIn palsu.

Para peretas juga membuat situs web untuk perusahaan palsu bernama SecuriElite (berlokasi di Turki) dan diduga menawarkan layanan keamanan ofensif ketika tim keamanan Google fokus memburu peretas yang didukung negara yang ditemukan pada 17 Maret.

Semua akun LinkedIn dan Twitter yang dibuat oleh peretas Korea Utara dan terkait dengan kampanye baru ini dilaporkan oleh Google dan sekarang dinonaktifkan.

Sama seperti serangan yang terdeteksi selama Januari 2021, situs ini juga menghosting public key PGP penyerang, yang digunakan sebagai umpan untuk menginfeksi peneliti keamanan dengan malware setelah memicu eksploitasi browser saat membuka halaman.

Sumber: BleepingComputer

Namun, serangan tersebut terlihat pada fase awal karena situs SecuriElite belum disiapkan untuk mengirimkan muatan berbahaya apa pun.

“Saat ini, kami belum mengamati situs web penyerang baru yang menyajikan konten berbahaya, tetapi kami telah menambahkannya ke Penjelajahan Aman Google sebagai tindakan pencegahan,” kata Adam Weidemann dari Grup Threat Analysis.

“Berdasarkan aktivitas mereka, kami terus percaya bahwa aktor ini berbahaya, dan kemungkinan memiliki lebih banyak zero day.

“Kami mendorong siapa pun yang menemukan kerentanan Chrome untuk melaporkan aktivitas tersebut melalui proses pengiriman Chrome Vulnerabilities Rewards Program.”

Selengkapnya: Bleeping Computer

Perusahaan Siber Swiss Mengatakan Telah Mengakses Server dari Peretas SolarWinds

by

Sebuah perusahaan keamanan siber Swiss mengatakan telah mengakses server yang digunakan oleh kelompok peretas yang terkait dengan pelanggaran SolarWinds, mengungkapkan rincian tentang siapa yang menjadi target penyerang dan bagaimana mereka melakukan operasi mereka. Perusahaan, PRODAFT, juga mengatakan para peretas telah melanjutkan kampanye mereka hingga bulan ini.

Peneliti PRODAFT mengatakan mereka dapat membobol infrastruktur komputer peretas dan meninjau bukti kampanye besar-besaran antara Agustus dan Maret, yang menargetkan ribuan perusahaan dan organisasi pemerintah di seluruh Eropa dan AS. Tujuan dari kelompok peretasan, yang dijuluki SilverFish oleh peneliti, untuk memata-matai korban dan mencuri data, menurut laporan PRODAFT.

SilverFish melakukan serangan siber yang “sangat canggih” pada setidaknya 4.720 target, termasuk lembaga pemerintah, penyedia TI global, lusinan lembaga perbankan di AS dan UE, perusahaan audit / konsultan besar, salah satu produsen test kit Covid-19 terkemuka di dunia serta perusahaan penerbangan dan pertahanan, menurut laporan tersebut.

Para peretas menggunakan metode lain untuk menyerang korban mereka selain kerentanan dalam perangkat lunak SolarWinds, menurut para peneliti.

Marcin Kleczynski, kepala eksekutif dan salah satu pendiri Malwarebytes, mengatakan penemuan SilverFish memperkuat gagasan bahwa lebih dari satu kelompok mengeksploitasi SolarWinds.

Meskipun demikian, laporan tersebut menawarkan wawasan tentang bagaimana organisasi peretasan tersebut beroperasi.

Peretas SilverFish mempertahankan jam kerja reguler dan paling aktif Senin hingga Jumat antara jam 8 pagi dan 8 malam, kata laporan itu. Para peretas mengoperasikan server di Rusia dan Ukraina, dan berbagi beberapa server yang sama dengan kelompok peretas kriminal terkenal Rusia yang dikenal sebagai Evil Corp., kata laporan itu.

PRODAFT mengatakan para peretas adalah “kelompok spionase siber yang terorganisir dengan sangat baik”, dengan empat tim bernama 301, 302, 303, dan 304 yang bertanggung jawab atas pembobolan komputer korban mereka.

Selengkapnya: Bloomberg