APT37

APT37 Menyalahgunakan Google Drive Menggunakan Dynamic Dolphin Malware

December 3, 2022 by Søren

Grup peretasan Korea Utara APT37 (alias ScarCruft atau Reaper) telah memperbarui persenjataan alatnya yang luas dengan pintu belakang canggih baru bernama Dolphin. Backdoor menyalahgunakan layanan penyimpanan cloud, khususnya Google Drive untuk komunikasi C2.

Peneliti ESET menemukan bahwa APT37 menggunakan Dolphin sejak awal 2021 dan pintu belakang terus mengembangkan kemampuan baru dan berevolusi untuk menghindari deteksi.

Penemuan terbaru terkait dengan serangan lubang berair pada tahun 2021 di surat kabar online Korea Selatan yang melaporkan aktivitas dan acara yang berkaitan dengan Korea Utara.
Peretas mengandalkan banyak komponen, termasuk eksploit Internet Explorer dan kode shell yang mengarah ke pintu belakang bernama BLUELIGHT, yang menyebarkan muatan sekunder Dolphin pada target yang dipilih.
BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi dan Dolphin mencari drive dari sistem yang disusupi untuk mencari file menarik dan mengekstraknya ke Google Drive.

Dolphin, ditulis dalam C++, adalah backdoor yang mengumpulkan informasi dan mengeksekusi perintah secara otomatis atau seperti yang dikeluarkan oleh operatornya.

Dolphin memiliki berbagai kemampuan mata-mata, termasuk memantau layanan cloud dan perangkat portabel serta mengekstraksi file yang menarik.
Selain itu, ia mampu melakukan keylogging dan mengambil screenshot, dan mencuri kredensial dari browser seperti Chrome, Edge, dan Internet Explorer. Itu dapat membangun kegigihan pada sistem yang dikompromikan dengan memodifikasi Windows Registry.

Sejauh ini, empat varian pintu belakang Dolphin telah terdeteksi, 1.9 hingga 3.0 (86/64-bit). Dolphin sering menambah, menghapus, atau memperbaiki perintah di setiap varian.

Selengkapnya: Cyware

Peretas Korea Utara menyerang target UE dengan malware Konni RAT

July 25, 2022 by Eevee

Analis ancaman telah menemukan kampanye baru yang dikaitkan dengan APT37, kelompok peretas Korea Utara, yang menargetkan organisasi bernilai tinggi di Republik Ceko, Polandia, dan negara-negara Eropa lainnya.

Dalam kampanye ini, peretas menggunakan malware yang dikenal sebagai Konni, trojan akses jarak jauh (RAT) yang mampu membangun kegigihan dan melakukan eskalasi hak istimewa pada host.

Konni telah dikaitkan dengan serangan siber Korea Utara sejak 2014, dan baru-baru ini, terlihat dalam kampanye spear-phishing yang menargetkan Kementerian Luar Negeri Rusia.

Kampanye terbaru dan masih berlangsung diamati dan dianalisis oleh para peneliti di Securonix, yang menyebutnya STIFF#BIZON, dan menyerupai taktik dan metode yang sesuai dengan kecanggihan operasional APT (ancaman persisten lanjutan).

Serangan dimulai dengan datangnya email phishing dengan lampiran arsip yang berisi dokumen Word (missile.docx) dan file Windows Shortcut (_weapons.doc.lnk.lnk).

Ketika file LNK dibuka, kode berjalan untuk menemukan skrip PowerShell yang disandikan base64 dalam file DOCX untuk membangun komunikasi C2 dan mengunduh dua file tambahan, ‘weapons.doc’ dan ‘wp.vbs’.

Dokumen yang diunduh adalah umpan, konon laporan dari Olga Bozheva, seorang koresponden perang Rusia. Pada saat yang sama, file VBS berjalan tanpa suara di latar belakang untuk membuat tugas terjadwal di host.

PowerShell yang disandikan Base64 menambahkan tugas terjadwal (Securonix)

Pada fase serangan ini, aktor telah memuat RAT dan membuat tautan pertukaran data, dan mampu melakukan tindakan berikut:

Screenshot menggunakan Win32 GDI API dan ekstrak dalam bentuk GZIP.
Ekstrak kunci status yang disimpan dalam file Status Lokal untuk dekripsi basis data cookie, berguna dalam melewati MFA.
Ekstrak kredensial yang disimpan dari browser web korban.
Luncurkan shell interaktif jarak jauh yang dapat menjalankan perintah setiap 10 detik.

Pada tahap keempat serangan, seperti yang ditunjukkan pada diagram di bawah, peretas mengunduh file tambahan yang mendukung fungsi sampel Konni yang dimodifikasi, mengambilnya sebagai arsip “.cab” terkompresi.

Ini termasuk DLL yang menggantikan perpustakaan layanan Windows yang sah seperti “wpcsvc” di System32, yang dimanfaatkan untuk menjalankan perintah di OS dengan hak pengguna yang lebih tinggi.

Sementara taktik dan toolset menunjuk ke APT37, Securonix menggarisbawahi kemungkinan APT28 (alias FancyBear) berada di balik kampanye STIFF#BIZON.

Kelompok ancaman yang disponsori negara sering mencoba untuk meniru TTP dari APT terampil lainnya untuk mengaburkan jejak mereka dan menyesatkan analis ancaman, sehingga kemungkinan kesalahan atribusi, dalam hal ini, adalah signifikan.

Sumber: Bleeping Computer

Peretas Korea Utara menargetkan jurnalis dengan malware baru

April 26, 2022 by Eevee

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer

APT37 menargetkan jurnalis dengan malware multi-platform Chinotto

November 30, 2021 by Eevee

Kelompok peretas negara Korea Utara APT37 menargetkan jurnalis, pembelot, dan aktivis hak asasi manusia Korea Selatan, email spear-phishing, dan serangan smishing yang mengirimkan malware yang dijuluki Chinotto yang mampu menginfeksi perangkat Windows dan Android.

APT37 (alias Reaper) telah aktif setidaknya sejak 2012 dan merupakan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan pemerintah Korea Utara dengan kepercayaan tinggi oleh FireEye.

Kelompok ini dikenal menargetkan individu yang berkepentingan dengan rezim Korea Utara, termasuk jurnalis, diplomat, dan pegawai pemerintah.

Chinotto, malware yang disebar memungkinkan kelompok peretas untuk mengontrol perangkat yang disusupi, memata-matai penggunanya melalui tangkapan layar, menyebarkan muatan tambahan, mengumpulkan data yang menarik, dan mengunggahnya ke server yang dikendalikan penyerang

Seperti yang ditemukan Kaspersky, pintu belakang tersebut dikirimkan ke perangkat korban beberapa bulan setelah penyusupan awal. Dalam satu kasus, para peretas menunggu selama enam bulan sebelum menginstal Chinotto, yang memungkinkan mereka untuk mengekstrak data sensitif dari perangkat yang terinfeksi.

APT37 Garis waktu serangan Chinotto (Kaspersky)

Chinotto adalah malware yang sangat dapat disesuaikan, seperti yang ditunjukkan oleh banyak varian yang ditemukan saat menganalisis kampanye, terkadang beberapa muatan disebarkan pada perangkat yang terinfeksi yang sama.

Varian Windows dan Android malware menggunakan pola komunikasi perintah-dan-kontrol yang sama dan mengirimkan informasi yang dicuri ke server web yang sebagian besar berlokasi di Korea Selatan.

Karena varian Android meminta izin tambahan pada perangkat yang disusupi, setelah diberikan, Chinotto dapat menggunakannya untuk mengumpulkan data sensitif dalam jumlah besar, termasuk kontak korban, pesan teks, log panggilan, info perangkat, dan bahkan rekaman audio.

Jika mereka menemukan dan mencuri kredensial korban, itu memungkinkan operator APT37 menjangkau target lain menggunakan kredensial yang dicuri melalui email dan media sosial.
APT37 Aliran serangan Chinotto

APT37 Aliran serangan Chinotto (Kaspersky)

“Singkatnya, pelaku menargetkan korban dengan kemungkinan serangan spear-phishing untuk sistem Windows dan smishing untuk sistem Android. Pelaku memanfaatkan versi Windows yang dapat dijalankan dan versi PowerShell untuk mengontrol sistem Windows,” Kaspersky menyimpulkan.

“Kami mungkin berasumsi bahwa jika host dan ponsel korban terinfeksi pada saat yang sama, operator malware dapat mengatasi otentikasi dua faktor dengan mencuri pesan SMS dari ponsel.”

Sumber : Bleeping Computer

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

January 8, 2021 by Winnie the Pooh

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

APT37

Cookies Settings