APT35

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

April 27, 2022 by Eevee

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Cyberspies Iran di balik kampanye spear-phishing SMS Natal

January 14, 2021 by Winnie the Pooh

Sebuah kelompok spionase siber Iran yang dikenal sebagai Charming Kitten (APT35 atau Phosphorus) telah menggunakan liburan musim dingin baru-baru ini untuk menyerang target dari seluruh dunia menggunakan kampanye spear-phishing yang sangat canggih yang tidak hanya melibatkan serangan email tetapi juga pesan SMS.

CERTFA, organisasi keamanan siber yang khusus melacak operasi Iran, mengatakan mereka mendeteksi serangan yang menargetkan anggota lembaga think tank, pusat penelitian politik, profesor universitas, jurnalis, dan aktivis lingkungan.

Para korban berada di negara-negara sekitar Teluk Persia, Eropa, dan AS.

Peneliti CERTFA mengatakan bahwa kampanye khusus ini menunjukkan tingkat kompleksitas yang tinggi. Korban menerima pesan spear-phishing dari penyerang tidak hanya melalui email tetapi juga melalui SMS, saluran yang tidak banyak digunakan oleh pelaku ancaman.

Sementara pesan SMS berperan sebagai peringatan keamanan Google, email tersebut memanfaatkan akun yang sebelumnya diretas dan menggunakan umpan terkait liburan.

Persamaan yang umum di kedua kampanye tersebut adalah bahwa operator Charming Kitten berhasil menyembunyikan serangan mereka di balik URL Google yang sah https://www.google[.]com/url?q=https://script.google.com/xxxx, yang akan menipu bahkan penerima yang paling paham teknologi.

Namun ternyata, CERTFA mengatakan bahwa URL Google yang sah pada akhirnya akan mengarahkan pengguna melalui situs web yang berbeda dan akhirnya membawanya ke halaman phishing, di mana mereka akan dimintai kredensial masuk untuk layanan email pribadi seperti Gmail, Yahoo, dan Outlook, tetapi juga email bisnis.

Sumber: ZDNet

Mata-Mata Siber Iran Meninggalkan Video Pelatihan Terekspos Secara Online

July 17, 2020 by Winnie the Pooh

Salah satu kelompok peretasan top Iran telah membiarkan server mereka terekspos online di mana para peneliti keamanan dari IBM X-Force mengatakan mereka menemukan segudang rekaman layar yang menunjukkan ketika para peretas beraksi dan diduga video adalah tutorial yang digunakan kelompok Iran untuk melatih anggota baru.

Video-video tersebut menunjukkan para peretas Iran melakukan berbagai tugas dan memasukkan langkah-langkah tentang cara membajak akun korban menggunakan daftar kredensial yang dikompromikan.

Akun email adalah target utama, tetapi akun media sosial juga diakses jika kredensial akun yang dikompromikan tersedia untuk target tersebut.

Peretas mengakses setiap bagian dari pengaturan akun dan mencari informasi pribadi yang mungkin tidak dimasukkan kedalam akun online lain sebagai bagian dari upaya mereka untuk membangun profil selengkap mungkin tentang setiap target.

IBM tidak merinci bagaimana para peretas memperoleh kredensial untuk setiap korban. Tidak jelas apakah operator telah menginfeksi target dengan malware yang dapat mencuri kata sandi dari browser mereka, atau apakah operator telah membeli kredensial dari pasar dark web.

Di video lain, operator juga melakukan langkah-langkah untuk mengekstrak data dari setiap akun. Ini termasuk mengekspor semua kontak akun, foto, dan dokumen dari situs penyimpanan cloud terkait, seperti Google Drive.

Salah satu Video tersebut juga menunjukkan upaya peretasan yang gagal untuk mengakses akun target, seperti akun pejabat Departemen Luar Negeri AS.

Video di mana serangan kompromi akun yang gagal biasanya untuk akun yang menggunakan otentikasi dua faktor (2FA), kata para peneliti dalam laporan yang dibagikan dengan ZDNet minggu ini.

Peneliti X-Force mengatakan server tempat mereka menemukan semua video ini adalah bagian dari infrastruktur serangan kelompok Iran yang mereka lacak sebagai ITG18, tetapi lebih dikenal sebagai Charming Kitten, Phosphorous, dan APT35.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

APT35

Cookies Settings