APT

Grup APT Baru Earth Berberoka Menargetkan Situs Web Perjudian Dengan Malware Lama dan Baru

May 2, 2022 by Søren

Peneliti baru-baru ini menemukan grup ancaman persisten tingkat lanjut (APT) baru yang kami beri nama Bumi Berberoka (alias Boneka Perjudian). Berdasarkan analisis kami, grup ini menargetkan situs web perjudian.

Investigasi kami juga menemukan bahwa Earth Berberoka menargetkan platform Windows, Linux, dan macOS, dan menggunakan kelompok malware yang secara historis dikaitkan dengan individu berbahasa China.

Dalam entri blog ini, kami memberikan gambaran umum tentang keluarga malware Windows yang digunakan oleh Earth Berberoka dalam kampanyenya.

Jajaran malware ini mencakup keluarga malware yang telah dicoba dan diuji yang telah ditingkatkan, seperti PlugX dan Gh0st RAT, dan keluarga malware multi-tahap baru yang kami beri nama PuppetLoader.

Kami membahas detail teknis lengkap dari keluarga malware Earth Berberoka yang ditujukan untuk Linux dan macOS serta Windows, vektor infeksi, target, dan kemungkinan koneksi dengan grup APT lain dalam makalah penelitian kami “Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Kampanye Penargetan Situs Perjudian Online.”

Selengkapnya: Trend Micro

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

February 8, 2022 by Eevee

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News

Grup Peretasan ‘White Tur’ Meminjam Teknik Dari Beberapa APT

February 2, 2022 by Winnie the Pooh

Seorang aktor ancaman baru yang terperinci telah diamati menggunakan berbagai teknik yang dipinjam dari beberapa aktor ancaman persisten tingkat lanjut (APT), tim intelijen ancaman dunia maya PwC melaporkan.

Dijuluki White Tur, advisory ini belum dikaitkan dengan geografi tertentu, meskipun tampaknya telah aktif setidaknya sejak 2017.

Sebagai bagian dari serangan yang diidentifikasi pada Januari 2021, grup tersebut mendaftarkan subdomain mail[.]mod[.]qov[.]rs untuk mengelabui kredensial login pegawai Kementerian Pertahanan Serbia.

Domain phishing memiliki sertifikat TLS menggunakan istilah ‘qov’, yang meniru kata ‘gov’. Teknik spoofing .gov sebelumnya digunakan oleh aktor APT seperti Sofacy yang terkait dengan Rusia (juga dikenal sebagai APT28).

White Tur juga terlihat menyalahgunakan proyek open source OpenHardwareMonitor untuk eksekusi payload. Untuk itu, ia menyuntikkan kode ke alat yang sah, menggunakan teknik yang sebelumnya digunakan oleh aktor ancaman ZINC yang berbasis di Korea Utara.

Pelaku ancaman juga diamati menggunakan paket pintu belakang sebagai DLL, yang memungkinkannya mengelola file, mengunggah dan mengunduh file, menjalankan perintah, dan mengatur waktu tidur malware. Ini, kata PwC, adalah “pintu belakang paling fungsional” di gudang senjata White Tur.

Selengkapnya: Security Week

MoleRats APT Luncurkan Kampanye Spy pada Bankir, Politisi, Jurnalis

January 25, 2022 by Eevee

Penyerang siber yang disponsori negara menggunakan Google Drive, Dropbox, dan layanan sah lainnya untuk menjatuhkan spyware ke target Timur Tengah dan mengekstrak data.

File berbahaya yang dipalsukan agar terlihat seperti konten sah yang terkait dengan konflik Israel-Palestina digunakan untuk menargetkan warga Palestina terkemuka, serta aktivis dan jurnalis di Turki, dengan spyware.

Itu menurut pengungkapan dari Zscaler, yang mengaitkan serangan siber dengan ancaman persisten tingkat lanjut (APT) MoleRats. Tim peneliti Zscaler mampu mengikat MoleRats, sebuah kelompok berbahasa Arab dengan sejarah menargetkan kepentingan Palestina, untuk kampanye ini karena tumpang tindih dalam payload .NET dan server command-and-control (C2) dengan serangan APT MoleRats sebelumnya.

“Target dalam kampanye ini dipilih secara khusus oleh aktor ancaman dan mereka termasuk anggota penting dari sektor perbankan di Palestina, orang-orang yang terkait dengan partai politik Palestina, serta aktivis hak asasi manusia dan jurnalis di Turki,” analis Zscaler menemukan.

Para analis juga menemukan data sertifikat SSL domain yang tumpang tindih dalam serangan ini dan serangan MoleRats yang diketahui sebelumnya, serta domain umum yang digunakan untuk resolusi DNS pasif, tambah laporan itu.

Serangan itu memberikan umpan berbahaya konten berbahasa Arab yang tampaknya terkait dengan konflik Palestina dengan Israel, dengan kode makro, yang menjalankan perintah PowerShell untuk mengambil malware:

Setelah dieksekusi, malware membuat pintu belakang ke perangkat korban dan mengunduh kontennya ke folder Dropbox, menurut para peneliti, yang melaporkan menemukan setidaknya lima Dropbox yang saat ini digunakan oleh penyerang.

Zscaler melacak rantai serangan kembali melalui Dropbox dan menemukan bahwa mesin APT beroperasi di Belanda dengan subnet IP yang sama dengan C2, bersama dengan domain yang digunakan dalam kampanye APT MoleRats sebelumnya.

Serangan MoleRats terbaru menunjukkan beberapa inovasi dibandingkan kampanye sebelumnya dalam pengiriman pintu belakang, menurut laporan itu.

Laporan Zscaler muncul di tengah ledakan serangan APT baru-baru ini, yang naik lebih dari 50 persen selama setahun terakhir. Itu sebagian besar didorong oleh serangan Log4Shell, menurut Check Point Research baru-baru ini.

Selengkapnya : Threat Post

Peretas China Terlihat Menggunakan Implan Firmware UEFI Baru dalam Serangan Bertarget

January 23, 2022 by Søren

Kaspersky, yang memberi kode nama rootkit MoonBounce, mengkarakterisasi malware sebagai “implan firmware UEFI paling canggih yang ditemukan di alam liar hingga saat ini,” menambahkan “tujuan implan adalah untuk memfasilitasi penyebaran malware mode-pengguna yang melakukan eksekusi muatan lebih lanjut. diunduh dari internet.”

MoonBounce mengkhawatirkan karena menargetkan flash SPI, penyimpanan non-volatil di luar hard drive.

Dengan menempatkan malware bootkit yang sangat persisten di dalam penyimpanan flash yang disolder ke motherboard komputer, mekanisme ini tidak memungkinkan untuk dihapus melalui penggantian hard drive dan bahkan tahan terhadap penginstalan ulang sistem operasi.

Perusahaan keamanan siber Rusia mengatakan telah mengidentifikasi keberadaan rootkit firmware dalam satu insiden tahun lalu, yang menunjukkan sifat serangan yang sangat ditargetkan. Meskipun demikian, mekanisme pasti bagaimana firmware UEFI terinfeksi masih belum jelas.

“Rantai infeksi itu sendiri tidak meninggalkan jejak apa pun pada hard drive, karena komponennya hanya beroperasi di memori, sehingga memfasilitasi serangan tanpa file dengan jejak kecil,” catat para peneliti, menambahkan bahwa ia menemukan implan non-UEFI lainnya di target. jaringan berkomunikasi dengan infrastruktur yang sama yang menampung muatan pementasan

Untuk mengatasi modifikasi tingkat firmware seperti itu, disarankan untuk memperbarui firmware UEFI secara teratur serta mengaktifkan perlindungan seperti Boot Guard, Secure boot, dan Trust Platform Modules (TPM).

Perusahaan keamanan siber Binarly, dalam analisis independen, mencatat bahwa komponen UEFI MoonBounce dibuat untuk perangkat keras target yang terkait dengan sistem MSI mulai tahun 2014, dan bahwa malware dapat dikirimkan ke mesin yang disusupi baik melalui akses fisik atau melalui modifikasi perangkat lunak yang dihasilkan. dari kurangnya perlindungan SPI yang memadai.

“MoonBounce menandai evolusi tertentu dalam kelompok ancaman ini dengan menghadirkan aliran serangan yang lebih rumit dibandingkan dengan pendahulunya dan tingkat kompetensi teknis yang lebih tinggi oleh pembuatnya, yang menunjukkan pemahaman menyeluruh tentang detail halus yang terlibat dalam proses boot UEFI, ” kata para peneliti.

Selengkapnya: The Hacker News

Peretas yang didukung negara semakin banyak menggunakan injeksi RTF untuk phishing

December 2, 2021 by Winnie the Pooh

Tiga grup peretas APT dari India, Rusia, dan China, diamati menggunakan teknik injeksi template RTF (rich text format) baru dalam kampanye phishing mereka.

Teknik ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh, dan analis ancaman menduga ini akan segera menjangkau audiens yang lebih luas dari pelaku ancaman.

Para peneliti di Proofpoint melihat kasus pertama injeksi weaponized template RTF pada Maret 2021, dan sejak itu, para aktor terus mengoptimalkan teknik tersebut.

File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, WordPad, dan aplikasi lain yang ditemukan di hampir semua sistem operasi.

Saat membuat file RTF, Anda dapat menyertakan Template RTF yang menentukan bagaimana teks dalam dokumen harus diformat. Template ini adalah file lokal yang diimpor ke RTF viewer sebelum menampilkan konten file untuk memformatnya dengan benar.

Sementara Template RTF dimaksudkan untuk dihosting secara lokal, pelaku ancaman sekarang menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL alih-alih sumber daya file lokal.

Substitusi ini memungkinkan pelaku ancaman untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word atau melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows. Selain itu, karena file-file ini ditransfer sebagai Template RTF, mereka lebih cenderung untuk melewati umpan deteksi phishing karena awalnya tidak ada dalam file RTF.

Proofpoint telah mengamati metode pengambilan muatan ini pada kampanye phishing oleh kelompok peretas pro-India, Tim DoNot, kelompok peretasan Gamaredon yang terkait dengan Rusia, dan aktor ancaman TA423.

Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

November 26, 2021 by Winnie the Pooh

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

Pemerintah Memperingatkan Iran Menargetkan Kelemahan Microsoft dan Fortinet untuk Menanam Ransomware

November 20, 2021 by Søren

Badan keamanan siber AS, Inggris, dan Australia mendesak organisasi infrastruktur untuk menambal kerentanan dalam produk Microsoft dan Fortinet yang menurut mereka digunakan peretas yang terkait dengan Iran dalam serangan ransomware.

“FBI dan CISA telah mengamati bahwa kelompok APT (Advanced Persistent Threat) yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang termasuk menyebarkan ransomware,” ungkap nasihat yang dikeluarkan bersama oleh agensi pada hari Rabu.

Aktivitas siber Iran sebelumnya lebih terkait erat dengan permainan kekuatan regional dan tujuan geopolitiknya. Para pejabat memperkirakan operasi spionase dan bersiap untuk serangan balasan setelah pemerintahan Trump menarik diri dari perjanjian nuklir yang ditengahi oleh Presiden Barack Obama dan membunuh seorang jenderal top Iran, misalnya. Tetapi September lalu, FBI dan CISA memperingatkan bahwa Iran kemungkinan akan mulai menggunakan kemampuan mereka untuk memperbaiki situasi keuangannya melalui operasi ransomware.

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” bunyi nasihat itu. “FBI, CISA, [Pusat Keamanan Siber Australia] dan [Pusat Keamanan Siber Nasional Inggris] menilai para pelaku berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu.”

Kerentanan Fortinet dan Microsoft Exchange yang ditandai di penasihat semuanya terdaftar dalam katalog ratusan kerentanan yang diketahui sedang dieksploitasi secara aktif. CISA merilis katalog tepat dua minggu lalu bersama dengan arahan operasional yang mengikat dan tenggat waktu untuk menambalnya.

Selengkapnya: Nextgov

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

APT

Cookies Settings