• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for CuckooBees

CuckooBees

Peretas mengkompromikan jaringan agen pemerintah Hong Kong selama setahun

October 20, 2022 by Eevee

Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.

Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.

Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.

Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.

Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.

Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:

  • menggunakan perpustakaan CryptoPP C++
  • penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
  • dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)

Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”

Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.

Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”

Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.

Sumber: Bleeping Computer

Tagged With: APT41, CuckooBees, Hong Kong, Spionase Siber, Spyder Loader, Winnti

Peretas mencuri data yang tidak terdeteksi dari AS dan organisasi Eropa sejak 2019

May 5, 2022 by Winnie the Pooh

Kelompok peretas China yang dikenal sebagai ‘Winnti’ telah secara diam-diam mencuri aset kekayaan intelektual seperti paten, hak cipta, merek dagang, dan data perusahaan lainnya – dan tetap tidak terdeteksi oleh peneliti keamanan serta target sejak 2019.

Winnti, juga dilacak sebagai APT41, adalah kelompok spionase dunia maya yang canggih dan sulit dipahami yang diyakini didukung oleh negara Tiongkok dan beroperasi atas nama kepentingan nasionalnya.

Kampanye kejahatan dunia maya yang ditemukan telah berlangsung setidaknya sejak 2019 dan menargetkan perusahaan teknologi dan manufaktur di Asia Timur, Eropa Barat, dan Amerika Utara.

Operasi kriminal ini dikenal sebagai ‘Operasi CuckooBees’ dan ditemukan oleh analis di Cybereason, yang mengungkapkan malware baru yang disebarkan oleh kelompok peretas terkenal, mekanisme yang mereka manfaatkan untuk penyusupan, dan metode pengiriman muatan rumit yang mereka gunakan.

Yang menjadi highlight dalam laporan Cybereason adalah malware Winnti baru yang dijuluki “DEPLOYLOG” dan metode penyalahgunaan mekanisme Windows CLFS (Common Log File System) untuk penyembunyian muatan.

Malware DEPLOYLOG, yang belum didokumentasikan sebelumnya, adalah DLL 64-bit (disamarkan sebagai “dbghelp.dll”) yang mengekstrak dan mengeksekusi payload terakhir Winnti, rootkit WINNKIT, dan kemudian membuat dua saluran komunikasi dengan remote C2 dan rootkit tingkat kernel.

Cybereason percaya bahwa karena kompleksitas, tersembunyi, dan kecanggihan Operasi CuckooBees, kemungkinan besar Winnti telah menginfeksi lebih banyak sistem perusahaan daripada yang dapat mereka verifikasi.

Selengkapnya: Bleeping Computer

Tagged With: APT41, CuckooBees, Cybersecurity, DEPLOYLOG, Keamanan Siber, Winnti

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo