Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cobalt Strike

Cobalt Strike

Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

by

Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

Diagram aliran serangan:

Sumber: BleepingComputer

Peretas meniru perusahaan keamanan siber dalam serangan callback phishing

by

Peretas meniru perusahaan keamanan siber terkenal, seperti CrowdStrike, dalam email phishing panggilan balik untuk mendapatkan akses awal ke jaringan perusahaan.

Selama setahun terakhir, pelaku ancaman semakin sering menggunakan kampanye phishing “Callback” yang meniru perusahaan terkenal yang meminta Anda menelepon nomor untuk menyelesaikan masalah, membatalkan perpanjangan langganan, atau mendiskusikan masalah lain.

Ketika target memanggil nomor, pelaku ancaman menggunakan rekayasa sosial untuk meyakinkan pengguna untuk menginstal perangkat lunak akses jarak jauh pada perangkat mereka, menyediakan akses awal ke jaringan perusahaan. Akses ini kemudian digunakan untuk mengkompromikan seluruh domain Windows.

Dalam kampanye phishing callback baru, para peretas meniru CrowdStrike untuk memperingatkan penerima bahwa penyusup jaringan jahat telah menyusup ke stasiun kerja mereka dan bahwa audit keamanan mendalam diperlukan.

Email phishing yang meniru CrowdStrike

Kampanye callback phishing ini berfokus pada manipulasi psikologis, menjelaskan secara rinci mengapa mereka harus diberikan akses ke perangkat penerima.

Pada akhirnya, email phishing meminta karyawan untuk menghubungi mereka melalui nomor telepon terlampir untuk menjadwalkan audit keamanan tempat kerja mereka.

Jika dipanggil, peretas akan memandu karyawan melalui pemasangan alat administrasi jarak jauh (RAT) yang memungkinkan pelaku ancaman untuk mendapatkan kendali penuh atas workstation.

Pelaku ancaman ini sekarang dapat menginstal alat tambahan dari jarak jauh yang memungkinkan mereka menyebar secara lateral melalui jaringan, mencuri data perusahaan, dan berpotensi menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam sebuah laporan oleh CrowdStrike, perusahaan yakin kampanye ini kemungkinan akan mengarah pada serangan ransomware, seperti yang terlihat pada kampanye phishing panggilan balik sebelumnya.

CrowdStrike mencatat bahwa pada Maret 2022, analisnya mengidentifikasi kampanye serupa di mana pelaku ancaman menggunakan AteraRMM untuk menginstal Cobalt Strike dan kemudian bergerak secara lateral di jaringan korban sebelum mereka menyebarkan malware.

Kampanye phishing panggilan balik menjadi umum pada tahun 2021 dengan peluncuran kampanye phishing BazarCall yang digunakan oleh geng ransomware Conti untuk mendapatkan akses awal ke jaringan perusahaan.

Sejak itu, kampanye callback phishing telah menggunakan berbagai umpan, termasuk antivirus dan langganan dukungan serta pembaruan kursus online.

Vitali Kremez dari AdvIntel mengatakan bahwa kampanye yang dilihat oleh CrowdStrike diyakini dilakukan oleh geng ransomware Quantum, yang telah meluncurkan kampanye mirip BazarCall mereka sendiri.

Quantum adalah salah satu operasi ransomware penargetan perusahaan yang paling cepat berkembang saat ini, baru-baru ini dikaitkan dengan serangan terhadap PFC yang berdampak pada lebih dari 650 organisasi layanan kesehatan.

Analis keamanan juga telah mengkonfirmasi bahwa banyak mantan anggota Conti telah melompat ke Quantum setelah operasi sebelumnya ditutup karena peningkatan pengawasan oleh para peneliti dan penegak hukum.

Meskipun akan sulit bagi email phishing untuk menemukan kesuksesan massal di masa lalu, dalam situasi saat ini, dengan banyak karyawan yang bekerja dari jarak jauh dari rumah dan jauh dari tim TI mereka, prospek pelaku ancaman meningkat secara signifikan.

Sumber: Bleeping Computer

Ransomware, kelompok peretas berpindah dari Cobalt Strike ke Brute Rate

by

Grup peretasan dan operasi ransomware beralih dari Cobalt Strike ke toolkit pasca-eksploitasi Brute Ratel yang lebih baru untuk menghindari deteksi oleh solusi EDR dan antivirus.

Tim keamanan siber perusahaan biasanya terdiri dari karyawan yang berusaha menembus jaringan perusahaan (tim merah) dan mereka yang secara aktif membela mereka (tim biru). Kedua tim kemudian berbagi catatan setelah pertemuan untuk memperkuat pertahanan keamanan siber jaringan.

Selama bertahun-tahun, salah satu alat paling populer dalam keterlibatan tim merah adalah Cobalt Strike, alat yang memungkinkan penyerang untuk menyebarkan “suar” pada perangkat yang disusupi untuk melakukan pengawasan jaringan jarak jauh atau menjalankan perintah.

Sementara Cobalt Strike adalah perangkat lunak yang sah, para pelaku ancaman telah membagikan versi crack secara online, menjadikannya salah satu alat paling populer yang digunakan oleh peretas dan operasi ransomware untuk menyebar secara lateral melalui jaringan perusahaan yang dilanggar.

Pada tahun 2020, Chetan Nayak, mantan tim merah di Mandiant dan CrowdStrike, merilis Pusat Komando dan Kontrol Brute Ratel (BRc4) sebagai alternatif Cobalt Strike untuk keterlibatan pengujian penetrasi tim merah.

Seperti Cobalt Strike, Brute Ratel adalah alat simulasi serangan permusuhan yang memungkinkan tim merah untuk menyebarkan ‘Badgers’ (mirip dengan suar di Cobalt Strike) pada host jarak jauh. Badger ini terhubung kembali ke server Command and Control penyerang untuk menerima perintah untuk mengeksekusi atau mengirimkan output dari perintah yang dijalankan sebelumnya.

Dalam laporan baru oleh Palo Alto Unit 42, para peneliti telah melihat aktor ancaman pindah dari Cobalt Strike menggunakan Brute Ratel sebagai toolkit pilihan pasca-eksploitasi mereka.

Perubahan taktik ini signifikan karena BRc4 dirancang untuk menghindari deteksi oleh EDR dan solusi antivirus, dengan hampir semua perangkat lunak keamanan tidak mendeteksinya sebagai berbahaya saat pertama kali terlihat di alam liar.

Dalam serangan yang diduga terkait dengan kelompok peretas yang disponsori negara Rusia APT29 (alias CozyBear and Dukes), pelaku ancaman mendistribusikan ISO berbahaya yang diduga berisi resume (CV) yang dikirimkan.

Isi file ISO berbahaya
Sumber: BleepingComputer

Namun, file resume ‘Roshan-Bandara_CV_Dialog’ sebenarnya adalah pintasan Windows yang akan meluncurkan file OneDriveUpdater.exe yang dibundel, seperti yang ditunjukkan pada properti file di bawah ini.

Pintasan Windows menyamar sebagai CV untuk meluncurkan program
Sumber: BleepingComputer

Sementara OneDriveUpdater.exe adalah sah Microsoft executable, termasuk version.dll yang dimuat oleh program telah dimodifikasi untuk bertindak sebagai loader untuk Brute Ratel badger, yang dimuat ke dalam proses RuntimeBroker.exe.

Setelah badger Brute Ratel dimuat, pelaku ancaman dapat mengakses perangkat yang disusupi dari jarak jauh untuk menjalankan perintah dan menyebar lebih jauh di jaringan yang sekarang dilanggar.

Brute Rate saat ini berharga $2.500 per pengguna untuk lisensi satu tahun, dengan pelanggan diharuskan memberikan alamat email bisnis dan diverifikasi sebelum lisensi diterbitkan.

Karena ini adalah proses verifikasi manual, ini menimbulkan pertanyaan tentang bagaimana pelaku ancaman menerima lisensi perangkat lunak.

Pengembang Brute Ratel Chetan Nayak mengatakan bahwa lisensi yang digunakan dalam serangan yang dilaporkan oleh Unit 42 dibocorkan oleh karyawan yang tidak puas dari salah satu pelanggannya.

Karena muatan memungkinkan Nayak untuk melihat kepada siapa mereka dilisensikan, dia dapat mengidentifikasi dan mencabut lisensi tersebut.

Namun, menurut CEO AdvIntel Vitali Kremez, mantan anggota ransomware Conti juga mulai memperoleh lisensi dengan membuat perusahaan AS palsu untuk melewati sistem verifikasi lisensi.

Sumber: Bleeping Computer

Paket Repositori Python Berbahaya Mendistribusikan Cobalt Strike pada Sistem Windows, macOS & Linux

by

Repositori publik open-source adalah bagian penting dari suply chain perangkat lunak yang digunakan banyak organisasi untuk membangun aplikasi. Oleh karena itu, mereka menjadi target yang menarik bagi musuh yang ingin mendistribusikan malware ke audiens massal.

Contoh kasus terbaru adalah paket berbahaya untuk mendistribusikan Cobalt Strike pada sistem Windows, macOS, dan Linux, yang diunggah ke registri Python Package Index (PyPI) yang banyak digunakan untuk pengembang aplikasi Python. Paket “pymafka” memiliki nama yang sangat mirip dengan “PyKafka,” klien Apache Kafka populer untuk Python yang telah diunduh lebih dari 4,2 juta kali sejauh ini.

Lebih dari 300 pengguna tertipu untuk mengunduh paket berbahaya, mengira itu adalah kode yang sah, sebelum peneliti di Sonatype menemukan masalah tersebut dan melaporkannya ke registri PyPI. Sejak itu telah dihapus, tetapi aplikasi yang memasukkan skrip berbahaya tetap menjadi ancaman.

“Jumlah unduhan untuk paket berbahaya termasuk unduhan otomatis yang diprakarsai oleh mirror dan bot selain unduhan yang dimulai oleh pengguna,” kata Ax Sharma, peneliti keamanan di Sonatype.

Menurutnya, unduhan yang melibatkan pengguna yang salah mengetik “pymafka” dan bukan “pykafka” kemungkinan jumlahnya kurang dari 100. “Secara intuitif, tampaknya dampak dari serangan typosquatting terbatas pada satu pengguna yang membuat kesalahan ejaan,” katanya.

“Tetapi segalanya menjadi rumit ketika pengembang salah mengeja nama dependensi di perpustakaan mereka, dan perpustakaan mereka selanjutnya digunakan sebagai dependensi dalam proyek perangkat lunak pihak ketiga lainnya,” katanya. Pengguna aplikasi lain ini kemudian secara otomatis terinfeksi dengan proyek yang salah ketik, tanpa mengambil tindakan atau membuat kesalahan.

Selengkapnya: Dark Reading

Windows Palsu mengeksploitasi komunitas infosec target dengan Cobalt Strike

by

Seorang aktor ancaman menargetkan peneliti keamanan dengan eksploitasi bukti konsep Windows palsu yang menginfeksi perangkat dengan pintu belakang Cobalt Strike.

Siapa pun yang berada di balik serangan ini memanfaatkan kerentanan eksekusi kode jarak jauh Windows yang baru-baru ini ditambal yang dilacak sebagai CVE-2022-24500 dan CVE-2022-26809.

Saat Microsoft menambal kerentanan, biasanya peneliti keamanan menganalisis perbaikan dan merilis eksploitasi proof-of-concept untuk kelemahan di GitHub.

Eksploitasi proof-of-concept ini digunakan oleh peneliti keamanan untuk menguji pertahanan mereka sendiri dan untuk mendorong admin menerapkan pembaruan keamanan.

Namun, aktor ancaman biasanya menggunakan eksploitasi ini untuk melakukan serangan atau menyebar secara lateral dalam jaringan.

Pekan lalu, seorang aktor ancaman menerbitkan dua eksploitasi proof-of-concept di GitHub untuk kerentanan Windows CVE-2022-24500 dan CVE-2022-26809 di GitHub.

Eksploitasi ini dipublikasikan di repositori untuk pengguna bernama ‘rkxxz’, yang telah dihapus dan akunnya dihapus.

CVE-2022-24500 PoC palsu diposting ke GitHub

Seperti yang selalu terjadi ketika PoC diterbitkan, berita dengan cepat menyebar di Twitter, dan bahkan menarik perhatian aktor ancaman yang mempostingnya di forum peretasan.

PoC palsu dibagikan di forum peretasan

Namun, segera menjadi jelas bahwa eksploitasi proof-of-concept ini palsu dan memasang suar Cobalt Strike di perangkat orang.

Cobalt Strike adalah alat pentesting yang sah yang biasanya digunakan oleh pelaku ancaman untuk menembus dan menyebar secara lateral melalui suatu organisasi.

Dalam laporan cybersecurity Cyble, analis ancaman menganalisis PoC dan menemukan bahwa itu adalah aplikasi .NET yang berpura-pura mengeksploitasi alamat IP yang sebenarnya menginfeksi pengguna dengan pintu belakang.

Demonstrasi eksploitasi PoC CVE-2022-24500 palsu
Sumber: BleepingComputer

Dari sampel PoC yang tidak disamarkan yang dibagikan dengan BleepingComputer oleh Cyble, kita dapat melihat bahwa PoC palsu meluncurkan skrip PowerShell yang mengeksekusi skrip PowerShell yang dikompresi gzip [malshare | VirusTotal] untuk menyuntikkan suar ke dalam memori.

PoC palsu meluncurkan skrip PowerShell

Pada Januari 2021, kelompok peretasan Lazarus Korea Utara menargetkan peneliti kerentanan melalui akun media sosial dan kerentanan browser zero-day.

Pada Maret 2021, peretas Korea Utara kembali menargetkan komunitas infosec dengan membuat perusahaan keamanan siber palsu bernama SecuriElite (berlokasi di Turki).

Pada bulan November, peretasan Lazarus melakukan kampanye lain menggunakan versi trojan dari aplikasi rekayasa balik IDA Pro yang menginstal trojan akses jarak jauh NukeSped.

Dengan menargetkan komunitas infosec, pelaku ancaman tidak hanya mendapatkan akses ke penelitian kerentanan yang mungkin sedang dikerjakan korban, tetapi juga berpotensi mendapatkan akses ke jaringan perusahaan keamanan siber.

Karena perusahaan keamanan siber cenderung memiliki informasi sensitif tentang klien, seperti penilaian kerentanan, kredensial akses jarak jauh, atau bahkan kerentanan zero-day yang tidak diungkapkan, jenis akses ini bisa sangat berharga bagi pelaku ancaman.

Sumber: Bleeping Computer

Quantum ransomware terlihat digunakan dalam serangan jaringan yang cepat

by

Ransomware Quantum, jenis yang pertama kali ditemukan pada Agustus 2021, terlihat melakukan serangan cepat yang meningkat dengan cepat, meninggalkan sedikit waktu bagi para pembela untuk bereaksi.

Pelaku ancaman menggunakan malware IcedID sebagai salah satu vektor akses awal mereka, yang menyebarkan Cobalt Strike untuk akses jarak jauh dan mengarah ke pencurian data dan enkripsi menggunakan Quantum Locker.

Rincian teknis serangan ransomware Quantum dianalisis oleh peneliti keamanan di The DFIR Report, yang mengatakan serangan itu hanya berlangsung 3 jam 44 menit dari infeksi awal hingga penyelesaian perangkat enkripsi.

Serangan yang dilihat oleh The DFIR Report menggunakan malware IcedID sebagai akses awal ke mesin target, yang mereka yakini datang melalui email phishing yang berisi lampiran file ISO.

IcedID adalah trojan perbankan modular yang digunakan selama lima tahun terakhir, terutama untuk penyebaran payload tahap kedua, loader, dan ransomware.

Kombinasi arsip IcedID dan ISO telah digunakan dalam serangan lain baru-baru ini, karena file ini sangat baik untuk melewati kontrol keamanan email.

Dua jam setelah infeksi awal, pelaku ancaman menyuntikkan Cobalt Strike ke dalam proses C:\Windows\SysWOW64\cmd.exe untuk menghindari deteksi.

Langkah pertama dari rantai infeksi (DFIR)

Pada fase ini, penyusup mencuri kredensial domain Windows dengan membuang memori LSASS, yang memungkinkan mereka menyebar secara lateral melalui jaringan.

Akhirnya, pelaku ancaman menggunakan WMI dan PsExec untuk menyebarkan muatan ransomware Quantum dan mengenkripsi perangkat.

Serangan ini hanya memakan waktu empat jam, yang cukup cepat, dan karena serangan ini biasanya terjadi larut malam atau selama akhir pekan, serangan ini tidak memberikan jendela besar bagi admin jaringan dan keamanan untuk mendeteksi dan merespons serangan tersebut.

Untuk detail lebih lanjut tentang TTP yang digunakan oleh Quantum Locker, Laporan DFIR telah menyediakan daftar lengkap indikator kompromi serta alamat C2 yang terhubung dengan IcedID dan Cobalt Strike untuk komunikasi.

Ransomware Quantum Locker adalah rebrand dari operasi ransomware MountLocker, yang diluncurkan pada September 2020.

Sejak itu, geng ransomware telah mengubah nama operasinya menjadi berbagai nama, termasuk AstroLocker, XingLocker, dan sekarang dalam fase saat ini, Quantum Locker.

Perubahan nama menjadi Quantum terjadi pada Agustus 2021, ketika enkripsi ransomware mulai menambahkan ekstensi file .quantum ke nama file terenkripsi dan menjatuhkan catatan tebusan bernama README_TO_DECRYPT.html.

Catatan ini mencakup tautan ke situs negosiasi tebusan Tor dan ID unik yang terkait dengan korban. Catatan tebusan juga menyatakan bahwa data dicuri selama serangan, yang mengancam akan dipublikasikan oleh penyerang jika uang tebusan tidak dibayarkan.

Catatan tebusan Quantum Locker
Sumber: BleepingComputer

Sementara The DFIR Report menyatakan bahwa mereka tidak melihat aktivitas eksfiltrasi data dalam serangan yang mereka analisis, BleepingComputer telah mengkonfirmasi di masa lalu bahwa mereka mencuri data selama serangan dan membocorkannya dalam skema pemerasan ganda.

Tuntutan tebusan untuk geng ini bervariasi tergantung pada korban, dengan beberapa serangan menuntut $ 150.000 untuk menerima decryptor, sementara yang lain dilihat oleh BleepingComputer adalah tuntutan multi-juta dolar, seperti yang ditunjukkan di bawah ini.

Quantum Locker menuntut uang tebusan $3,8 juta
Sumber: BleepingComputer

Meskipun mereka mungkin tidak seaktif operasi ransomware lainnya, seperti Conti, LockBit, dan AVOS, mereka masih merupakan risiko yang signifikan dan penting bagi pembela jaringan untuk menyadari TTP yang terkait dengan serangan mereka.

Sumber : Bleeping Computer

Pembaruan antivirus palsu yang digunakan untuk menyebarkan Cobalt Strike di Ukraina

by

Tim Tanggap Darurat Komputer Ukraina memperingatkan bahwa pelaku ancaman menyebarkan pembaruan antivirus Windows palsu yang menginstal Cobalt Strike dan malware lainnya.

Email phishing tersebut meniru agen pemerintah Ukraina yang menawarkan cara untuk meningkatkan keamanan jaringan dan menyarankan penerima untuk mengunduh “pembaruan keamanan penting,” yang datang dalam bentuk file 60 MB bernama “BitdefenderWindowsUpdatePackage.exe.”

Email phishing yang mendesak pengunduhan AV updater palsu (CERT-UA)

Email ini berisi tautan ke situs web Prancis (sekarang offline) yang menawarkan tombol unduh untuk dugaan pembaruan perangkat lunak AV. Situs web lain, nirsoft[.]me, juga ditemukan oleh MalwareHunterTeam sebagai server perintah dan kontrol untuk kampanye ini.

Situs web pengirim malware
Sumber:​​CERT-UA

Ketika seorang korban mengunduh dan menjalankan pembaruan BitDefender Windows palsu ini [VirusTotal], layar di bawah ini akan ditampilkan yang meminta pengguna untuk menginstal ‘Paket Pembaruan Windows’.

Paket Pembaruan Windows Bitdefender
Sumber: MalwareHunterTeam

Namun, ‘pembaruan’ ini sebenarnya mengunduh dan menginstal file one.exe [VirusTotal] dari CDN Discord, yang merupakan suar Cobalt Strike.

Proses yang sama mengambil pengunduh Go (dropper.exe) yang mendekode dan mengeksekusi file dengan enkode base-64 (java-sdk.exe).

File ini menambahkan kunci registri Windows baru untuk kegigihan dan juga mengunduh dua muatan lagi, pintu belakang GraphSteel (microsoft-cortana.exe) dan pintu belakang GrimPlant (oracle-java.exe).

Rantai infeksi kampanye yang tidak terungkap (CERT-UA)

Semua executable dalam kampanye dikemas pada alat Themida, yang melindungi mereka dari rekayasa balik, deteksi, dan analisis.

Baik GraphSteel dan GrimPlant adalah malware yang ditulis dalam Go, bahasa pemrograman serbaguna dan lintas platform dengan footprint minimal dan tingkat deteksi AV yang rendah.

Kemampuan kedua alat tersebut mencakup pengintaian jaringan, eksekusi perintah, dan operasi file, sehingga fakta bahwa keduanya digunakan dalam sistem yang sama kemungkinan dilakukan untuk redundansi.

Tim Tanggap Darurat Komputer Ukraina mengaitkan aktivitas yang terdeteksi dengan grup UAC-0056 dengan tingkat kepercayaan sedang. UAC-0056, juga dikenal sebagai “Lorec53”, adalah APT berbahasa Rusia canggih yang menggunakan kombinasi email phishing dan pintu belakang khusus untuk mengumpulkan informasi dari organisasi Ukraina.

UAC-0056 terlihat meningkatkan distribusi phishing dan upaya kompromi jaringan di Ukraina sejak Desember 2021.

Aktor yang sama terlihat menargetkan lembaga pemerintah Georgia dengan umpan phishing di masa lalu, jadi ada tingkat koordinasi dan keselarasan yang tinggi dengan kepentingan negara Rusia.

Sumber : Bleeping Computer

Server Microsoft SQL Rentan yang ditargetkan dengan Cobalt Strike

by

Analis ancaman telah mengamati gelombang serangan baru yang memasang suar Cobalt Strike pada Microsoft SQL Server yang rentan, yang mengarah ke infiltrasi yang lebih dalam dan infeksi malware berikutnya.

Serangan dimulai dengan pelaku ancaman memindai server dengan port TCP terbuka 1433, yang kemungkinan besar merupakan server MS-SQL yang menghadap publik. Penyerang kemudian melakukan serangan brute-forcing dan kamus untuk memecahkan kata sandi. Agar serangan bekerja dengan salah satu metode, kata sandi target harus lemah.

Setelah penyerang mendapatkan akses ke akun admin dan masuk ke server, peneliti ASEC telah melihat mereka menjatuhkan penambang koin seperti Lemon Duck, KingMiner, dan Vollgar. Selain itu, aktor ancaman mem-backdoor server dengan Cobalt Strike untuk membangun kegigihan dan melakukan gerakan lateral.

Cobalt Strike diunduh melalui proses shell perintah (cmd.exe dan powershell.exe) ke MS-SQL yang disusupi dan disuntikkan serta dieksekusi di MSBuild.exe untuk menghindari deteksi.

Proses yang mengunduh Cobalt Strike (ASEC)

Setelah dieksekusi, suar disuntikkan ke dalam proses wwanmm.dll Windows yang sah dan menunggu perintah penyerang sambil tetap tersembunyi di dalam file pustaka sistem.

Kode dan string yang digunakan untuk menodai dll (ASEC)

Cobalt Strike adalah alat pengujian pena (keamanan ofensif) komersial yang disalahgunakan secara ekstensif oleh penjahat dunia maya yang menganggap fitur-fitur canggihnya sangat berguna untuk operasi jahat mereka.

Alat senilai $3.500 per lisensi dimaksudkan untuk membantu peretas etis dan tim merah mensimulasikan serangan nyata terhadap organisasi yang ingin meningkatkan sikap keamanan mereka, tetapi sejak versi yang diretas bocor, penggunaannya oleh pelaku ancaman menjadi tidak terkendali.

Sekarang digunakan oleh Squirrelwaffle, Emotet, operator malware, serangan oportunistik, grup penargetan Linux, musuh canggih, dan biasanya oleh geng ransomware saat melakukan serangan.

Alasan mengapa pelaku ancaman sangat menyalahgunakannya adalah fungsionalitasnya yang kaya yang mencakup hal-hal berikut:

  • Eksekusi perintah
  • Pencatatan kunci
  • Operasi file
  • Proksi SOCKS
  • Peningkatan hak istimewa
  • Mimikatz (mencuri kredensial)
  • Pemindaian port

Selain itu, agen Cobalt Strike yang disebut “suar” adalah kode shell tanpa file, sehingga kemungkinan terdeteksi oleh alat keamanan berkurang, terutama dalam sistem yang dikelola dengan buruk.

Untuk melindungi server MS-SQL Anda dari serangan jenis ini, gunakan kata sandi admin yang kuat, tempatkan server di belakang firewall, catat semuanya dan pantau tindakan yang mencurigakan, terapkan pembaruan keamanan yang tersedia, dan gunakan pengontrol akses data untuk memeriksa dan menerapkan kebijakan pada setiap transaksi.

Sumber : Bleeping Computer