China

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

May 25, 2022 by Eevee

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer

PRESIDEN BRONZE Menargetkan Pembicara Rusia dengan PlugX yang Diperbarui

May 2, 2022 by Søren

Pelaku ancaman yang disponsori pemerintah mengumpulkan intelijen untuk menguntungkan negara mereka, dan perubahan pada lanskap politik dapat memengaruhi persyaratan pengumpulan.

Perang di Ukraina telah mendorong banyak negara untuk mengerahkan kemampuan siber mereka untuk mendapatkan wawasan tentang peristiwa global, intrik politik, dan motivasi.

Keinginan akan kesadaran situasional ini sering meluas hingga mengumpulkan intelijen dari sekutu dan “teman”, yang dapat menjelaskan mengapa peneliti Secureworks® Counter Threat Unit™ (CTU) mendeteksi apa yang tampaknya merupakan upaya China untuk menyebarkan malware canggih ke sistem komputer pejabat Rusia .

Pada Maret 2022, peneliti CTU™ menganalisis file eksekusi berbahaya yang menyamar sebagai dokumen berbahasa Rusia.

Nama filenya adalah Благовещенск – аговещенский пограничный отряд.exe (“Blagoveshchensk – Blagoveshchensk Border Detachment.exe”), tetapi pengaturan default pada sistem Windows tidak menampilkan ekstensi file .exe.

File menggunakan ikon file dokumen portabel (PDF) untuk kredibilitas. Blagoveshchensk adalah kota Rusia yang dekat dengan perbatasan China dan merupakan rumah bagi Detasemen Penjaga Perbatasan Spanduk Merah Blagoveshchenskiy ke-56.

Koneksi ini menunjukkan bahwa nama file dipilih untuk menargetkan pejabat atau personel militer yang akrab dengan wilayah tersebut.

Selengkapnya: Secure Works

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

April 13, 2022 by Eevee

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Malware Daxin Yang Memiliki Kaitan Dengan China Menargetkan Beberapa Pemerintah Dalam Serangan Spionase

March 2, 2022 by Winnie the Pooh

Malware Daxin menargetkan jaringan pemerintah di seluruh dunia, menurut para peneliti, dengan tujuan spionase siber.

Tim Symantec Threat Hunter Broadcom menggambarkan backdoor, bernama Daxin, sebagai malware berteknologi canggih, yang memungkinkan penyerang melakukan berbagai komunikasi dan operasi pengumpulan informasi yang ditujukan untuk entitas di sektor telekomunikasi, transportasi, dan manufaktur yang memiliki kepentingan strategis bagi China.

Mereka menambahkan bahwa lingkup operasi spesifik Daxin termasuk membaca dan menulis file; memulai dan berinteraksi dengan proses di sistem yang terpengaruh; dan kemampuan gerakan lateral dan bersembunyi yang canggih.

“Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsi command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan aktor jarak jauh untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet,” CISA memperingatkan dalam peringatan yang dirilis hari Senin.

Dari sudut pandang teknis, Daxin mengambil bentuk driver kernel Windows, menurut analisis Symantec yang dirilis pada hari Senin, dan memiliki fokus untuk bersembunyi.

“Kemampuan Daxin menunjukkan para penyerang menginvestasikan upaya signifikan dalam mengembangkan teknik komunikasi yang dapat berbaur dengan lalu lintas jaringan normal di jaringan target,” kata Symantec. “Secara khusus, malware menghindari memulai layanan jaringannya sendiri. Sebaliknya, malware dapat menyalahgunakan layanan sah apa pun yang sudah berjalan di komputer yang terinfeksi.”

Daxin berkomunikasi dengan layanan yang sah melalui tunneling jaringan, tambah mereka – dan selanjutnya, dapat mengatur komunikasi daisy-chain, untuk bergerak secara internal melalui hop antara beberapa komputer yang terhubung.

Di antara aspek yang tidak biasa dari Daxin adalah kemampuannya untuk menyampaikan perintah di seluruh jaringan komputer yang terinfeksi dalam organisasi yang diserang, menciptakan “saluran komunikasi multi-node” yang memungkinkan akses berulang ke komputer yang disusupi untuk waktu yang lama.

Selengkapnya: Threat Post

Perusahaan Keamanan Siber China Dox Operasi Peretasan NSA yang Jelas

February 24, 2022 by Eevee

Sebuah perusahaan keamanan siber China menuduh NSA berada di balik alat peretasan yang digunakan selama sepuluh tahun dalam sebuah laporan yang diterbitkan pada hari Rabu.

Laporan dari Pangu Lab menyelidiki malware yang pertama kali ditemui para penelitinya pada tahun 2013 selama penyelidikan peretasan terhadap “departemen domestik utama.” Pada saat itu, para peneliti tidak dapat mengetahui siapa yang berada di balik peretasan tersebut, tetapi kemudian, berkat bocoran data NSA tentang grup peretasan Equation Group—yang diyakini secara luas sebagai NSA—yang dirilis oleh grup misterius Shadow Brokers dan oleh orang Jerman. majalah Der Spiegel, mereka menghubungkan titik-titik dan menyadari itu dibuat oleh NSA, menurut laporan itu.

“Equation Group adalah kelompok serangan siber terkemuka di dunia dan umumnya diyakini berafiliasi dengan Badan Keamanan Nasional Amerika Serikat. Dilihat dari alat serangan yang terkait dengan organisasi, termasuk Bvp47, grup Persamaan memang grup peretasan kelas satu, ”tulis laporan itu, merujuk pada nama alat yang ditemukan para peneliti. “Alat ini dirancang dengan baik, kuat, dan diadaptasi secara luas. Kemampuan serangan jaringannya yang dilengkapi dengan kerentanan 0day tidak dapat dihentikan, dan akuisisi datanya di bawah kendali rahasia dengan sedikit usaha. Equation Group berada dalam posisi dominan dalam konfrontasi dunia maya tingkat nasional.”

Apakah Anda memiliki informasi lebih lanjut tentang kasus ini? Atau kasus serupa peretasan pemerintah? Kami ingin mendengar dari Anda. Dari telepon atau komputer non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, Wickr/Telegram/Wire @lorenzofb, atau email lorenzofb@vice.com

Ini bukan pertama kalinya sebuah perusahaan keamanan siber China menerbitkan penelitian tentang dugaan operasi peretasan intelijen Amerika. Tapi itu “sangat jarang”, seperti yang dikatakan Adam Segal, pakar keamanan siber China di Dewan Hubungan Luar Negeri, dalam email ke Motherboard.

“Saya tidak tahu siapa pelanggan Pangu, tetapi mungkin itu juga sesuatu yang ingin didengar pelanggan mereka saat ini, seperti banyak perusahaan keamanan siber Barat yang memposting tentang malware Rusia, karena semua orang di Barat ingin mendengarnya sekarang, Martijn Grooten, seorang veteran industri keamanan siber, mengatakan kepada Motherboard dalam obrolan online. “Itu juga terdengar seperti sesuatu yang NSA mampu lakukan. Dan sesuatu yang China ingin publikasikan, terutama sekarang.”

Laporan ini mungkin merupakan tanda bahwa perusahaan keamanan siber China mulai mengikuti contoh rekan-rekan Barat mereka dan melakukan lebih banyak atribusi. Ini bisa menjadi “strategi perubahan untuk menjadi lebih terkenal dan memalukan seperti yang telah dilakukan oleh pemerintah AS,” Robert Lee, mantan analis NSA dan pendiri perusahaan keamanan siber Dragos, mengatakan kepada Motherboard dalam obrolan online.

Bagi Richard Bejtlich, veteran lain dari industri keamanan siber dan penulis yang tinggal di perusahaan keamanan Corelight, adalah hal yang baik bahwa perusahaan China, dan mungkin pemerintah China, meningkatkan kemampuan atribusi mereka, karena “ini akan meningkatkan stabilitas geopolitik secara keseluruhan,” saat dia tweeted

Sumber : Vice

Peretas China terkait dengan serangan berbulan-bulan di sektor keuangan Taiwan

February 23, 2022 by Eevee

Sebuah kelompok peretas yang berafiliasi dengan pemerintah China diyakini telah melakukan serangan selama berbulan-bulan terhadap sektor keuangan Taiwan dengan memanfaatkan kerentanan dalam solusi perangkat lunak keamanan yang digunakan oleh sekitar 80% dari semua organisasi keuangan lokal.

Serangan itu diyakini telah dimulai pada akhir November 2021 dan masih berlangsung bulan ini, Perusahaan menghubungkan penyusupan—yang dilacak dengan nama sandi Operation Cache Panda—dengan kelompok spionase siber China yang terkenal di industri keamanan siber sebagai APT10.

Perusahaan keamanan mengatakan bahwa mereka tidak dapat membagikan nama produk yang dieksploitasi dalam serangan saat ini karena penyelidikan penegakan hukum yang sedang berlangsung dan karena upaya untuk merilis dan memasang patch di seluruh keuangan lokal.

Sebaliknya, perusahaan mengatakan bahwa serangan awalnya tidak terdeteksi karena salah klasifikasi.

Investigasi terhadap serangan November 2021 melewatkan bagian di mana peretas mengeksploitasi kerentanan perangkat lunak dan hanya melihat serangan isian kredensial yang digunakan APT10 sebagai kedok dan cara untuk mendapatkan akses ke beberapa akun perdagangan, yang mereka gunakan untuk melakukan transaksi besar di Hong Kong. pasar saham.

Namun peneliti CyCraft mengatakan bahwa serangan credential stuffing hanya digunakan sebagai kedok. Pada kenyataannya, APT10 mengeksploitasi kerentanan di antarmuka web dari alat keamanan, menanam versi shell web ASPXCSharp, dan kemudian menggunakan alat yang disebut Impacket untuk memindai jaringan internal perusahaan target.

Penyerang kemudian menggunakan teknik yang disebut pemuatan kode reflektif untuk menjalankan kode berbahaya pada sistem lokal dan menginstal versi Quasar RAT yang memungkinkan penyerang terus-menerus mengakses sistem yang terinfeksi menggunakan terowongan RDP terbalik.

CyCraft mengatakan dapat mengungkap kebenaran di balik serangan November 2021 setelah salah satu pelanggannya diserang pada Februari 2022.

“Tujuan dari serangan itu tampaknya bukan untuk keuntungan finansial, melainkan pemusnahan informasi perantara, data PII, dan gangguan investasi selama periode pertumbuhan ekonomi untuk Taiwan,” tambahnya.

Serangan itu tidak mengejutkan, karena kelompok spionase siber China telah mengincar Taiwan selama bertahun-tahun, setelah berulang kali dan tanpa henti menyerang hampir semua sektor pemerintah lokal dan ekonominya.

Sumber : The Record Media

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

February 16, 2022 by Eevee

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

February 8, 2022 by Eevee

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

China

Cookies Settings