Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for APT

APT

Bagaimana APT Kimsuky Korea Utara Mengembangkan Taktiknya

by

Grup APT Korea Utara Kimsuky mengadopsi taktik, teknik, dan prosedur baru dalam serangan global, lapor peneliti yang temuannya menunjukkan operasi grup memiliki perbedaan yang cukup untuk menjamin pemisahannya menjadi dua subkelompok yang lebih kecil: CloudDragon dan KimDragon.

Kimsuky bukanlah kelompok baru tetapi telah mengadopsi metode baru untuk mendukung misinya dalam mengumpulkan intelijen. Peringatan pemerintah AS yang dikeluarkan pada Oktober 2020 melaporkan bahwa grup tersebut telah beroperasi sejak 2012 dan sering menggunakan rekayasa sosial, spear-phishing, dan serangan lubang air untuk mengumpulkan informasi dari target yang sebagian besar berlokasi di Korea Selatan, Jepang, dan AS.

Sebuah tim peneliti yang mengamati kelompok APT Korea Utara telah mengumpulkan bukti yang menunjukkan ada beberapa perbedaan signifikan dalam cara berbagai aspek Kimsuky beroperasi. Hari ini di acara virtual Black Hat Asia, Jhih-Lin Kuo dan Zin-Cing Lao, keduanya peneliti intelijen ancaman senior di TeamT5, membagi kelompok menjadi dua kelompok kecil berdasarkan target, malware, dan infrastruktur mereka, dan berbagi detail tentang bagaimana operasi kelompok telah berkembang.

Grup Kimsuky yang diungkapkan Kaspersky pada tahun 2013 telah dijuluki KimDragon oleh tim; Kimsuky yang lebih dikenal publik yang terlihat di berita utama dan laporan vendor adalah CloudDragon.

selengkapnya : beta.darkreading.com

12 Cacat Keamanan Teratas Peretas Mata-mata Rusia Memanfaatkan di Alam Liar

by

Operator dunia maya yang berafiliasi dengan Badan Intelijen Luar Negeri Rusia (SVR) telah mengubah taktik mereka sebagai tanggapan atas pengungkapan publik sebelumnya tentang metode serangan mereka, menurut sebuah nasihat baru yang diterbitkan bersama oleh badan-badan intelijen dari Inggris dan AS Jumat.

Ini termasuk penyebaran alat sumber terbuka yang disebut Sliver untuk mempertahankan akses mereka ke korban yang disusupi serta memanfaatkan kelemahan ProxyLogon di server Microsoft Exchange untuk melakukan aktivitas pasca-eksploitasi.

Perkembangan tersebut mengikuti atribusi publik dari aktor terkait SVR ke serangan rantai pasokan SolarWinds bulan lalu. Musuh juga dilacak di bawah moniker yang berbeda, seperti Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear, dan Yttrium.

Atribusi tersebut juga disertai dengan laporan teknis yang merinci lima kerentanan yang digunakan oleh kelompok APT29 SVR sebagai titik akses awal untuk menyusup ke AS dan entitas asing.

CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 – Synacor Zimbra Collaboration Suite
CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 – Citrix Application Delivery Controller and Gateway
CVE-2020-4006 – VMware Workspace ONE Access

Menurut NCSC, tujuh kerentanan lagi telah ditambahkan ke dalam campuran, sambil mencatat bahwa APT29 kemungkinan besar “dengan cepat” mempersenjatai kerentanan publik yang baru-baru ini dirilis yang dapat memungkinkan akses awal ke target mereka.

CVE-2019-1653 – Cisco Small Business RV320 and RV325 Routers
CVE-2019-2725 – Oracle WebLogic Server
CVE-2019-7609 – Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 – Oracle WebLogic Server
CVE-2021-21972 – VMware vSphere
CVE-2021-26855 – Microsoft Exchange Server

selengkapnya : thehackernews.com

APT Charming Kitten Menawan Peneliti Medis

by

Para peneliti mengungkap kampanye pencurian kredensial yang menargetkan para profesional genetika, neurologi, dan onkologi.

Peneliti keamanan telah mengaitkan kampanye phishing akhir tahun 2020 yang bertujuan untuk mencuri kredensial dari 25 profesional senior di organisasi penelitian medis di Amerika Serikat dan Israel ke kelompok ancaman persisten tingkat lanjut dengan tautan ke Iran yang disebut Charming Kitten.

Kampanye tersebut — dijuluki BadBlood karena fokus medisnya dan sejarah ketegangan antara Iran dan Israel — bertujuan untuk mencuri kredensial profesional yang berspesialisasi dalam penelitian genetika, neurologi, dan onkologi, menurut penelitian baru yang diposting online Rabu dari Joshua Miller dan Proofpoint Research dari Proofpoint. Tim.

Jenis penargetan ini mewakili keberangkatan untuk Charming Kitten, (juga dikenal sebagai Fosfor, Ajax atau TA453), yang — karena diyakini sejalan dengan Korps Pengawal Revolusi Islam Iran (IRGC) – di masa lalu terutama menempatkan para pembangkang, akademisi, diplomat dan jurnalis dalam bidikannya, kata para peneliti dalam laporan itu.

“Meskipun kampanye ini mungkin menunjukkan pergeseran dalam penargetan TA453 secara keseluruhan, mungkin juga itu hasil dari persyaratan pengumpulan intelijen jangka pendek tertentu,” tulis Miller dan tim dalam sebuah laporan. “BadBlood sejalan dengan tren penelitian medis yang semakin meningkat yang menjadi sasaran pelaku ancaman.”

selengkapnya : threatpost.com

Google: Peretas Korea Utara menargetkan peneliti keamanan lagi

by

Grup Threat Analysis (TAG) Google mengatakan bahwa peretas yang disponsori pemerintah Korea Utara sekali lagi menargetkan peneliti keamanan menggunakan akun Twitter dan media sosial LinkedIn palsu.

Para peretas juga membuat situs web untuk perusahaan palsu bernama SecuriElite (berlokasi di Turki) dan diduga menawarkan layanan keamanan ofensif ketika tim keamanan Google fokus memburu peretas yang didukung negara yang ditemukan pada 17 Maret.

Semua akun LinkedIn dan Twitter yang dibuat oleh peretas Korea Utara dan terkait dengan kampanye baru ini dilaporkan oleh Google dan sekarang dinonaktifkan.

Sama seperti serangan yang terdeteksi selama Januari 2021, situs ini juga menghosting public key PGP penyerang, yang digunakan sebagai umpan untuk menginfeksi peneliti keamanan dengan malware setelah memicu eksploitasi browser saat membuka halaman.

Sumber: BleepingComputer

Namun, serangan tersebut terlihat pada fase awal karena situs SecuriElite belum disiapkan untuk mengirimkan muatan berbahaya apa pun.

“Saat ini, kami belum mengamati situs web penyerang baru yang menyajikan konten berbahaya, tetapi kami telah menambahkannya ke Penjelajahan Aman Google sebagai tindakan pencegahan,” kata Adam Weidemann dari Grup Threat Analysis.

“Berdasarkan aktivitas mereka, kami terus percaya bahwa aktor ini berbahaya, dan kemungkinan memiliki lebih banyak zero day.

“Kami mendorong siapa pun yang menemukan kerentanan Chrome untuk melaporkan aktivitas tersebut melalui proses pengiriman Chrome Vulnerabilities Rewards Program.”

Selengkapnya: Bleeping Computer

Perusahaan Siber Swiss Mengatakan Telah Mengakses Server dari Peretas SolarWinds

by

Sebuah perusahaan keamanan siber Swiss mengatakan telah mengakses server yang digunakan oleh kelompok peretas yang terkait dengan pelanggaran SolarWinds, mengungkapkan rincian tentang siapa yang menjadi target penyerang dan bagaimana mereka melakukan operasi mereka. Perusahaan, PRODAFT, juga mengatakan para peretas telah melanjutkan kampanye mereka hingga bulan ini.

Peneliti PRODAFT mengatakan mereka dapat membobol infrastruktur komputer peretas dan meninjau bukti kampanye besar-besaran antara Agustus dan Maret, yang menargetkan ribuan perusahaan dan organisasi pemerintah di seluruh Eropa dan AS. Tujuan dari kelompok peretasan, yang dijuluki SilverFish oleh peneliti, untuk memata-matai korban dan mencuri data, menurut laporan PRODAFT.

SilverFish melakukan serangan siber yang “sangat canggih” pada setidaknya 4.720 target, termasuk lembaga pemerintah, penyedia TI global, lusinan lembaga perbankan di AS dan UE, perusahaan audit / konsultan besar, salah satu produsen test kit Covid-19 terkemuka di dunia serta perusahaan penerbangan dan pertahanan, menurut laporan tersebut.

Para peretas menggunakan metode lain untuk menyerang korban mereka selain kerentanan dalam perangkat lunak SolarWinds, menurut para peneliti.

Marcin Kleczynski, kepala eksekutif dan salah satu pendiri Malwarebytes, mengatakan penemuan SilverFish memperkuat gagasan bahwa lebih dari satu kelompok mengeksploitasi SolarWinds.

Meskipun demikian, laporan tersebut menawarkan wawasan tentang bagaimana organisasi peretasan tersebut beroperasi.

Peretas SilverFish mempertahankan jam kerja reguler dan paling aktif Senin hingga Jumat antara jam 8 pagi dan 8 malam, kata laporan itu. Para peretas mengoperasikan server di Rusia dan Ukraina, dan berbagi beberapa server yang sama dengan kelompok peretas kriminal terkenal Rusia yang dikenal sebagai Evil Corp., kata laporan itu.

PRODAFT mengatakan para peretas adalah “kelompok spionase siber yang terorganisir dengan sangat baik”, dengan empat tim bernama 301, 302, 303, dan 304 yang bertanggung jawab atas pembobolan komputer korban mereka.

Selengkapnya: Bloomberg

Serangan malware yang melumpuhkan sistem tenaga Mumbai berasal dari China, klaim infosec intel outfit Recorded Future

by

Perusahaan intelijen keamanan, Recorded Future’s Insikt Group, telah menulis sebuah makalah yang menuduh China berada di balik serangan terhadap jaringan listrik India.

Dalam posting blog mereka, perusahaan itu mengatakan telah melihat peningkatan penting dalam serangan bertarget terhadap India dari kelompok yang disponsori negara China.

Perusahaan keamanan siber telah menamai grup tersebut “RedEcho”.

Insiden yang dimaksud terjadi tahun lalu, selama kebuntuan perbatasan India/China pada bulan Mei. Malware disuntikkan ke 10 organisasi sektor listrik India dan sepasang operator pelabuhan India. Serangan itu dianggap sebagai kemungkinan sumber pemadaman listrik Mumbai pada Oktober di tahun yang sama.

Perusahaan itu mengatakan sebagian besar malware tidak diaktifkan dan pemadaman listrik terkait adalah hasil dari sebagian muatan. Recorded Future tidak memiliki akses ke kode sistem tenaga India untuk dianalisis secara lebih rinci.

Recorded Future berhipotesis bahwa pemadaman listrik tahun lalu di Mumbai, yang menyebabkan kekacauan massal di infrastruktur kota – mulai dari kereta api hingga rumah sakit hingga operasi pusat keuangan – adalah “unjuk kekuatan” yang dirancang untuk memperingatkan India tentang kemampuan China.

Selengkapnya: The Register

Peretas LazyScripter menargetkan maskapai penerbangan dengan trojan akses jarak jauh

by

Peneliti keamanan yang menganalisis beberapa set email berbahaya yakin mereka menemukan aktivitas milik aktor yang sebelumnya tidak dikenal yang sesuai dengan deskripsi Advanced Persistent Ancaman (APT).

Aktor tersebut menerima nama LazyScripter dan telah aktif sejak 2018, menggunakan phishing untuk menargetkan individu yang mencari imigrasi ke Kanada untuk mendapatkan pekerjaan, maskapai penerbangan, dan Asosiasi Transportasi Udara Internasional (IATA).

Infrastruktur yang mendukung kampanye jangka panjang ini masih aktif dan pelaku terus berkembang dengan memperbaharui perangkatnya.

Aktivitas terbaru LazyScripter melibatkan penggunaan malware Octopus dan Koadic yang tersedia secara gratis. Keduanya dikirim melalui dokumen berbahaya dan arsip ZIP yang berisi objek yang disematkan (VBScript atau file batch) dan bukan kode makro yang biasa terlihat dalam serangan phishing.

Dengan menggunakan alat pasca-eksploitasi open-source dan malware yang banyak digunakan dalam aktivitas peretasan oleh banyak aktor, LazyScripter meninggalkan sedikit petunjuk tentang atribusi.

Namun, Malwarebytes mencatat bahwa penelitian publik hanya menunjukkan dua aktor ancaman yang telah menggunakan alat pengujian penetrasi Koadic dalam kampanye mereka: MuddyWater yang terkait dengan Iran dan APT28 Rusia (Fancy Bear / Sofacy / Strontium / Sednit).

Perusahaan tersebut mengatakan bahwa mereka tidak menemukan koneksi dengan APT28 tetapi melihat kemiripan dengan MuddyWater di mana kampanye mereka sebelumnya menggunakan Koadic dan PowerShell Empire, dan mengandalkan GitHub untuk menghosting perangkat jahat mereka.

selengkapnya : BleepingComputer

AS Telah Merilis Katalog Kejahatan Siber Korea Utara Paling Lengkap yang Pernah Dipublikasikan

by

Korea Utara selalu sedikit berbeda di antara negara-negara yang menggunakan kemampuan siber ofensif secara ekstensif.

Dakwaan bulan Desember yang disegel minggu ini oleh Departemen Kehakiman memperjelas betapa sentral keuntungan finansial bagi aktivitas siber Korea Utara. Lebih penting lagi, ini menjelaskan sejauh mana cryptocurrency dan kejahatan siber dapat memungkinkan negara-negara untuk melemahkan sanksi ekonomi yang ada.

Surat dakwaan tersebut menuntut tiga peretas yang bekerja untuk Biro Umum Pengintaian Korea Utara dengan daftar panjang gangguan komputer dan kejahatan siber yang menargetkan korban di seluruh dunia dan total sekitar $1,3 miliar dalam upaya pencurian dan pemerasan.

Insiden tersebut berkisar dari serangan terkenal seperti pelanggaran Sony Pictures dan WannaCry hingga gangguan dan pencurian dari Bank Bangladesh, Eksterior Banco Nacional de Comercio di Meksiko (Bancomext), BankIslami Pakistan Limited, Otoritas Pengawasan Keuangan Polandia, dan kasino serta perusahaan cryptocurrency di Amerika Tengah dan Asia, untuk menyebutkan beberapa saja.

Tuduhan tersebut termasuk transfer SWIFT yang curang untuk memanipulasi komputer bank untuk mengeluarkan uang tunai dari ATM, mengembangkan dan mendistribusikan program cryptocurrency yang sebenarnya adalah malware, mencuri dari perusahaan cryptocurrency di seluruh dunia.

Ini adalah katalog kejahatan siber Korea Utara terlengkap dan terpanjang yang pernah dipublikasikan di Amerika Serikat, dan mencakup cukup detail untuk menunjukkan tidak hanya seberapa luas cakupan eksploitasi siber Korea Utara, tetapi juga aktivitas mana yang paling menguntungkan.

Selengkapnya: Slate