Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for APT

APT

Peretas Korea Utara menargetkan “Wadah Pemikir” Korea Selatan melalui konten blog

by

Dalam kampanye baru, yang dilacak sejak Juni 2021, kelompok Advanced Persistent Threat (APT) yang disponsori negara telah mencoba menanam malware berbasis pengawasan dan pencurian pada mesin korban.

Pada hari Rabu, para peneliti dari Cisco Talos mengatakan bahwa APT Kimsuky, juga dikenal sebagai Thallium atau Black Banshee, bertanggung jawab atas gelombang serangan, di mana konten Blogspot berbahaya digunakan untuk memikat “Wadah Pemikir” yang berbasis di Korea Selatan yang penelitiannya berfokus pada politik. , diplomatik, dan topik militer yang berkaitan dengan Korea Utara, Cina, Rusia, dan AS.”

Secara khusus, organisasi geopolitik dan kedirgantaraan tampaknya berada di radar APT.

Kimsuky telah aktif setidaknya sejak 2012. Badan Keamanan Dunia Maya dan Infrastruktur (CISA) AS mengeluarkan penasehat (.PDF) pada APT pada tahun 2020, mencatat bahwa kelompok yang disponsori negara ditugaskan oleh pemerintah Korea Utara dengan “intelijen global mengumpulkan.” Korban sebelumnya telah ditemukan di Korea Selatan, Jepang, dan Amerika Serikat.

AhnLab mengatakan bahwa formulir kompensasi, kuesioner, dan dokumen penelitian yang dilampirkan ke email telah digunakan di masa lalu sebagai umpan phishing, dan dalam kampanye yang dideteksi oleh Talos, dokumen Microsoft Office yang berbahaya masih menjadi vektor serangan utama.

Selengkapnya: ZDNet

Peretas negara Iran menggunakan malware yang telah di-upgrade dalam serangan terhadap perusahaan telekomunikasi

by

APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.

Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.

Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.

Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.

Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari domain generation algorithms (DGA).

Kedua backdoor berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.

Menurut analisis, yang mengungkapkan adanya pembaruan terus-menerus dari beacon dan payload, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.

Kelompok peretas ini diyakini bermotivasi politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.

Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.

Selengkapnya: Bleeping Computer

Penyerang Lazarus Beralih ke Rantai Pasokan TI

by

Lazarus – kelompok ancaman persisten tingkat lanjut (APT) Korea Utara – sedang berupaya meluncurkan serangan yang berfokus pada spionase siber pada rantai pasokan dengan framework MATA multi-platformnya.

Kerangka kerja malware MATA dapat menargetkan tiga sistem operasi: Windows, Linux, dan macOS. MATA secara historis telah digunakan untuk mencuri database pelanggan dan menyebarkan ransomware di berbagai industri, tetapi pada bulan Juni, peneliti Kaspersky melacak Lazarus menggunakan MATA untuk spionase cyber.

Para peneliti juga telah melihat Lazarus membangun kemampuan serangan rantai pasokan dengan kluster malware DeathNote (alias Operation Dream Job) yang diperbarui yang terdiri dari varian yang sedikit diperbarui dari trojan akses jarak jauh (RAT) Korea Utara yang dikenal sebagai BlindingCan.

Para peneliti menganggap Lazarus, yang telah aktif setidaknya sejak 2009, sebagai salah satu aktor ancaman paling aktif di dunia.

“Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar cryptocurrency,” catat para peneliti Kaspersky. “Dengan berbagai alat canggih yang mereka miliki, mereka tampaknya menerapkannya pada tujuan baru.”

Serangan Lazarus terhadap militer termasuk kampanye yang ditemukan pada bulan Juli, di mana APT menyebarkan dokumen jahat kepada para insinyur yang mencari pekerjaan dengan menyamar sebagai kontraktor pertahanan yang mencari kandidat pekerja.

Sebagai bagian dari rantai infeksi terhadap vendor alat pemantau aset Latvia, Lazarus menggunakan pengunduh bernama Racket yang ditandatangani oleh pelaku ancaman dengan sertifikat curian.

Ariel Jungheit, peneliti keamanan senior untuk Tim Penelitian dan Analisis Global (GReAT) Kaspersky, mengatakan dalam ringkasan bahwa penemuan baru-baru ini menunjukkan bahwa Lazarus masih tertarik untuk menyusup ke industri pertahanan, tetapi juga ingin memperluas ke serangan rantai pasokan.

Selengkapnya: Threat Post

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

by

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Microsoft Oktober 2021 Patch Tuesday Memperbaiki 4 Zero-Days

by

Hari ini adalah Patch Tuesday Oktober 2021 Microsoft, dan dengan itu datang perbaikan untuk empat kerentanan zero-day dan total 74 kerentanan keamanan.

Microsoft telah memperbaiki 74 kerentanan (81 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, 70 sebagai Penting, dan satu sebagai Rendah.

81 kerentanan ini (termasuk Microsoft Edge) diklasifikasikan sebagai:

  • 21 Kerentanan Peningkatan Hak Istimewa
  • 6 Kerentanan Bypass Fitur Keamanan
  • 20 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 5 Kerentanan Denial of Service
  • 9 Kerentanan Spoofing

Patch Tuesday Oktober mencakup perbaikan untuk empat kerentanan zero-day, dengan kerentanan Win32k Elevation of Privilege Vulnerability yang diketahui telah dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan yang dieksploitasi secara aktif ditemukan oleh Boris Larin (oct0xor) Kaspersky dan memungkinkan malware atau aktor ancaman untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

Kaspersky mengungkapkan bahwa kerentanan itu digunakan oleh aktor ancaman dalam “kampanye spionase luas terhadap perusahaan IT, kontraktor militer/pertahanan, dan entitas diplomatik.”

Sebagai bagian dari serangan, pelaku ancaman memasang trojan akses jarak jauh (RAT) yang ditingkatkan dengan izin yang lebih tinggi menggunakan kerentanan Windows zero-day.

Kaspersky menyebut kelompok aktivitas berbahaya ini sebagai MysterSnail dan dikaitkan dengan aktivitas IronHusky dan APT berbahasa Mandarin.

Microsoft juga memperbaiki tiga kerentanan lain yang diungkapkan kepada publik yang tidak diketahui apakah sedang dieksploitasi dalam serangan.

  • CVE-2021-40469 – Windows DNS Server Remote Code Execution Vulnerability
  • CVE-2021-41335 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-41338 – Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

Selengkapnya: Bleeping Computer

Grup Peretasan APT Baru yang Menargetkan Industri Bahan Bakar, Energi, dan Penerbangan

by

Aktor ancaman yang sebelumnya tidak terdokumentasi telah diidentifikasi berada di balik serangkaian serangan yang menargetkan industri produksi bahan bakar, energi, dan penerbangan di Rusia, AS, India, Nepal, Taiwan, dan Jepang dengan tujuan mencuri data dari jaringan yang disusupi.

Perusahaan keamanan siber Positive Technologies menjuluki kelompok ancaman persisten (APT) canggih tersebut sebagai ChamelGang – mengacu pada kemampuan bunglon mereka, termasuk menyamarkan “malware dan infrastruktur jaringannya di bawah layanan sah Microsoft, TrendMicro, McAfee, IBM, dan Google.”

“Untuk mencapai tujuan mereka, para penyerang menggunakan metode penetrasi yang sedang tren—rantai pasokan,” kata para peneliti tentang salah satu insiden yang diselidiki oleh perusahaan.

“Grup tersebut menyusup ke anak perusahaan dan menembus jaringan perusahaan target melaluinya. Serangan hubungan tepercaya jarang terjadi saat ini karena kompleksitas eksekusi mereka. Dengan menggunakan metode ini […], grup ChamelGang dapat mencapai tujuannya dan mencuri data dari jaringan yang disusupi.”

Penyusupan yang dipasang oleh musuh diyakini telah dimulai pada akhir Maret 2021, dengan serangan berikutnya pada bulan Agustus memanfaatkan apa yang disebut rantai kerentanan ProxyShell yang memengaruhi Server Microsoft Exchange, detail teknis yang pertama kali diungkapkan di keamanan Black Hat USA 2021 konferensi awal bulan itu.

Selengkapnya: The Hacker News

DeadRinger: APT China menyerang perusahaan telekomunikasi besar

by

Para peneliti telah mengungkapkan tiga kampanye spionase siber yang berfokus pada kompromi jaringan milik perusahaan telekomunikasi besar.

Pada hari Selasa, Cybereason Nocturnus menerbitkan laporan baru tentang penyerang cyber, diyakini bekerja untuk “kepentingan negara China” dan dikelompokkan dengan nama “DeadRinger.”

Menurut perusahaan keamanan siber tersebut, kampanye “yang sebelumnya tidak teridentifikasi” berpusat di Asia Tenggara — dan dengan cara yang mirip dengan bagaimana penyerang mengamankan akses ke korban mereka melalui vendor terpusat dalam kasus SolarWinds dan Kaseya, grup ini menargetkan perusahaan telekomunikasi.

Cybereason percaya serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan sponsor negara Tiongkok karena tumpang tindih dalam taktik dan teknik dengan APT Tiongkok lainnya yang diketahui.

Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan Microsoft Exchange Server — jauh sebelum dipublikasikan — penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial, pembuatan suar Cobalt Strike, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.

Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok pusat lain.

Selengkapnya: ZDNet

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

by

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News