• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for COLDDRAW

COLDDRAW

Peretas di Balik Serangan Ransomware Kuba Menggunakan Malware RAT Baru

August 15, 2022 by Eevee

Pelaku ancaman yang terkait dengan ransomware Kuba telah dikaitkan dengan taktik, teknik, dan prosedur (TTP) yang sebelumnya tidak terdokumentasi, termasuk trojan akses jarak jauh baru yang disebut ROMCOM RAT pada sistem yang disusupi.

Temuan baru datang dari tim intelijen ancaman Unit 42 Palo Alto Networks, yang melacak kelompok ransomware pemerasan ganda di bawah moniker bertema konstelasi Tropical Scorpius.

Cuba ransomware (alias COLDDRAW), yang pertama kali terdeteksi pada Desember 2019, muncul kembali di lanskap ancaman pada November 2021 dan telah dikaitkan dengan serangan terhadap 60 entitas di lima sektor infrastruktur penting, mengumpulkan setidaknya $ 43,9 juta dalam pembayaran tebusan.

Dari 60 korban yang terdaftar di situs kebocoran datanya, 40 berada di AS, menunjukkan distribusi global organisasi yang ditargetkan tidak seperti geng ransomware lainnya.

“Ransomware Kuba didistribusikan melalui malware Hancitor, pemuat yang dikenal menjatuhkan atau mengeksekusi pencuri, seperti Remote Access Trojans (RAT) dan jenis ransomware lainnya, ke jaringan korban,” menurut peringatan Desember 2021 dari Biro Federal AS. Investigasi (FBI).

“Aktor malware Hancitor menggunakan email phishing, kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah untuk mendapatkan akses awal ke jaringan korban.”

Dalam bulan-bulan berikutnya, operasi ransomware menerima peningkatan substansial dengan tujuan untuk “mengoptimalkan pelaksanaannya, meminimalkan perilaku sistem yang tidak diinginkan, dan memberikan dukungan teknis kepada korban ransomware jika mereka memilih untuk bernegosiasi,” kata Trend Micro pada bulan Juni.

Perubahan utama meliputi penghentian lebih banyak proses sebelum enkripsi (yaitu Microsoft Outlook, Exchange, dan MySQL), memperluas jenis file yang akan dikecualikan, dan revisi catatan tebusan untuk menawarkan dukungan korban melalui quTox.

Tropical Scorpius juga diyakini berbagi koneksi dengan pasar pemerasan data yang disebut Industrial Spy, seperti yang dilaporkan oleh Bleeping Computer pada Mei 2022, dengan data yang dieksfiltrasi menyusul serangan ransomware Kuba yang diposting untuk dijual di portal terlarang alih-alih situs kebocoran datanya sendiri.

Pembaruan terbaru yang diamati oleh Unit 42 pada Mei 2022 berkaitan dengan taktik penghindaran pertahanan yang digunakan sebelum penyebaran ransomware untuk terbang di bawah radar dan bergerak secara lateral melintasi lingkungan TI yang disusupi.

Tropical Scorpius memanfaatkan penetes yang menulis driver kernel ke sistem file yang disebut ApcHelper.sys,” kata perusahaan itu. “Ini menargetkan dan menghentikan produk keamanan. Dropper tidak ditandatangani, namun driver kernel ditandatangani menggunakan sertifikat yang ditemukan di kebocoran LAPSUS$ NVIDIA.”

Tugas utama driver kernel adalah untuk menghentikan proses yang terkait dengan produk keamanan untuk menghindari deteksi. Juga tergabung dalam rantai serangan adalah alat eskalasi hak istimewa lokal yang diunduh dari server jauh untuk mendapatkan izin SISTEM.

Ini, pada gilirannya, dicapai dengan memicu eksploitasi untuk CVE-2022-24521 (skor CVSS: 7.8), sebuah cacat pada Sistem File Log Umum Windows (CLFS) yang ditambal oleh Microsoft sebagai cacat nol hari pada April 2022 .

Langkah eskalasi hak istimewa diikuti dengan melakukan pengintaian sistem dan aktivitas gerakan lateral melalui alat seperti ADFind dan Net Scan, sementara juga menggunakan utilitas ZeroLogon yang mengeksploitasi CVE-2020-1472 untuk mendapatkan hak administrator domain.

Lebih lanjut, penyusupan tersebut membuka jalan bagi penyebaran pintu belakang baru yang disebut ROMCOM RAT, yang dilengkapi untuk memulai shell terbalik, menghapus file arbitrer, mengunggah data ke server jauh, dan memanen daftar proses yang sedang berjalan.

Trojan akses jarak jauh, per Unit 42, dikatakan sedang dalam pengembangan aktif, ketika perusahaan keamanan siber menemukan sampel kedua yang diunggah ke database VirusTotal pada 20 Juni 2022.

Varian yang ditingkatkan hadir dengan dukungan untuk serangkaian 22 perintah yang diperluas, menghitung kemampuan untuk mengunduh muatan yang dipesan lebih dahulu untuk menangkap tangkapan layar serta mengekstrak daftar semua aplikasi yang diinstal untuk dikirim kembali ke server jarak jauh.

“Scorpius tropis tetap menjadi ancaman aktif,” kata para peneliti. “Aktivitas grup memperjelas bahwa pendekatan untuk tradecraft menggunakan hibrida dari alat yang lebih bernuansa yang berfokus pada internal Windows tingkat rendah untuk penghindaran pertahanan dan eskalasi hak istimewa lokal bisa sangat efektif selama intrusi.

Temuan ini muncul saat kelompok ransomware yang muncul seperti Stormous, Vice Society, Luna, SolidBit, dan BlueSky terus berkembang biak dan berkembang di ekosistem kejahatan dunia maya, pada saat yang sama menggunakan teknik enkripsi dan mekanisme pengiriman canggih.

Sumber: The Hacker News

Tagged With: COLDDRAW, ROMCOM RAT

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo