Cyber Attack

Mata-mata Rusia yang Terkenal Membonceng Infeksi USB Peretas Lain

January 8, 2023 by Coffee Bean

Kelompok CYBERESPIONAGE RUSIA yang dikenal sebagai Turla tampaknya sedang mencoba trik baru: membajak infeksi USB dari peretas lain untuk membonceng infeksi mereka dan secara diam-diam memilih target mata-mata mereka.

Teknik baru Turla pertama kali terungkap pada bulan September tahun lalu, ketika responden insiden perusahaan menemukan pelanggaran jaringan yang aneh di Ukraina, negara yang menjadi fokus utama dari semua layanan intelijen Kremlin setelah bencana invasi Rusia Februari lalu. Beberapa komputer di jaringan itu telah terinfeksi setelah seseorang memasukkan drive USB ke salah satu port mereka dan mengklik dua kali pada file berbahaya di drive yang telah disamarkan sebagai folder, menginstal malware yang disebut Andromeda.

Andromeda adalah trojan perbankan yang relatif umum digunakan penjahat dunia maya untuk mencuri kredensial korban sejak awal 2013.

satu contoh di Ukraina dari infeksi Andromeda yang dibajak yang mendistribusikan malware Turla. Tetapi perusahaan menduga kemungkinan ada lebih banyak. Hultquist memperingatkan bahwa tidak ada alasan untuk percaya bahwa target mata-mata diam-diam yang membonceng infeksi USB Andromeda akan terbatas hanya pada satu target, atau bahkan hanya Ukraina. “Turla memiliki mandat pengumpulan intelijen global,” katanya.

Penemuan Mandiant atas teknik peretasan berbasis USB lainnya yang lebih tersembunyi di tangan Turla harus menjadi pengingat bahwa bahkan sekarang, 15 tahun kemudian, vektor intrusi berbasis USB hampir tidak menghilang. Tancapkan drive yang terinfeksi ke port USB Anda hari ini, tampaknya, dan Anda mungkin menawarkan undangan tidak hanya kepada penjahat dunia maya yang tidak cerdas, tetapi juga jenis operasi yang jauh lebih canggih yang bersembunyi di belakang mereka.

sumber: wired

Bluebottle: Kampanye Memukul Bank di Negara-negara berbahasa Prancis di Afrika

January 7, 2023 by Søren

Bluebottle, kelompok kejahatan dunia maya yang berspesialisasi dalam serangan bertarget terhadap sektor keuangan, terus meningkatkan serangan terhadap bank-bank di negara-negara berbahasa Prancis. Grup ini memanfaatkan hidup dari tanah secara ekstensif, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang diterapkan dalam kampanye ini.

Aktivitas yang diamati oleh Symantec, sebuah divisi dari Broadcom Software, tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan dalam laporan Grup-IB dari November 2022. Aktivitas yang didokumentasikan oleh Grup-IB berlangsung dari pertengahan 2019 hingga 2021, dan dikatakan bahwa selama periode itu kelompok ini, yang disebut OPERA1ER, mencuri setidaknya $11 juta selama 30 serangan yang ditargetkan.

Kemiripan dalam taktik, teknik, dan prosedur (TTP) antara aktivitas yang didokumentasikan oleh Group-IB dan aktivitas yang dilihat oleh Symantec meliputi:

Domain yang sama terlihat di kedua rangkaian aktivitas: personel[.]bdm-sa[.]fr
Beberapa alat yang digunakan sama: Ngrok; PsExec; RDPBungkus; Keylogger Pengungkap; Cobalt Strike Beacon
Tidak ada malware khusus yang ditemukan di salah satu rangkaian aktivitas
Crossover dalam penargetan negara-negara berbahasa Perancis di Afrika
Kedua rangkaian aktivitas tersebut juga menampilkan penggunaan nama domain khusus industri dan khusus kawasan

Meskipun ini tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan oleh Group-IB, aktivitas yang dilihat oleh Symantec lebih baru, berjalan setidaknya dari Juli 2022 hingga September 2022, meskipun beberapa aktivitas mungkin telah dimulai sejak Mei 2022 .

Selengkapnya: Symantec

Raspberry Robin Worm Berevolusi Menyerang Sektor Keuangan dan Asuransi di Eropa

January 4, 2023 by Coffee Bean

Sektor keuangan dan asuransi di Eropa telah menjadi sasaran worm Raspberry Robin, karena malware terus mengembangkan kemampuan pasca-eksploitasi sambil tetap berada di bawah radar.

Raspberry Robin, juga disebut worm QNAP, digunakan oleh beberapa pelaku ancaman sebagai sarana untuk mendapatkan pijakan ke dalam jaringan target. Menyebar melalui drive USB yang terinfeksi dan metode lainnya, kerangka tersebut baru-baru ini digunakan dalam serangan yang ditujukan pada sektor telekomunikasi dan pemerintah.

Microsoft melacak operator Raspberry Robin di bawah moniker DEV-0856.

Investigasi forensik Security Joes terhadap salah satu serangan tersebut telah mengungkapkan penggunaan file 7-Zip, yang diunduh dari browser korban melalui rekayasa sosial dan berisi file penginstal MSI yang dirancang untuk menghapus beberapa modul.

Dalam contoh lain, file ZIP dikatakan telah diunduh oleh korban melalui iklan penipuan yang dihosting di domain yang diketahui mendistribusikan adware.

File arsip, disimpan di server Discord, berisi kode JavaScript yang disandikan yang, setelah dieksekusi, menjatuhkan pengunduh yang dilindungi dengan banyak lapisan penyamaran dan enkripsi untuk menghindari deteksi.

Pengunduh kode shell terutama direkayasa untuk mengambil executable tambahan, Ini melibatkan pengumpulan Pengidentifikasi Unik Universal (UUID) host, dalam beberapa kasus bahkan beralih ke bentuk tipu daya dengan menyajikan malware palsu.

Data pengintaian kemudian dienkripsi menggunakan kunci berkode keras dan dikirim ke server perintah-dan-kontrol (C2), yang merespons kembali dengan biner Windows yang kemudian dijalankan di mesin.

sumber : the hacker news

Ransomware Royal Mengklaim Menyerang Universitas Teknologi Queensland

January 4, 2023 by Flamango

Geng ransomware Royal telah mengaku bertanggung jawab atas serangan dunia maya baru-baru ini di Universitas Teknologi Queensland dan mulai membocorkan data yang diduga dicuri selama pelanggaran keamanan.

Queensland University of Technology (QUT) adalah salah satu universitas terbesar di Australia dengan jumlah mahasiswa (52.672). Berfokus pada studi ilmiah, teknologi, teknik, dan matematika ini telah menerima dana pemerintah yang signifikan untuk mendukung penelitiannya beberapa tahun terakhir.

Serangan ransomware diumumkan QUT pada 1 Januari 2023, memperingatkan mahasiswa dan staf akademik akan gangguan layanan yang tak terhindarkan akibat insiden keamanan.

QUT mengambil tindakan utama dengan mematikan semua sistem TI untuk mencegah penyebaran serangan, dan universitas bekerja sama dengan pakar eksternal terkait insiden keamanan tersebut.

Semua siswa dan personel telah diberitahu tentang situasi ini dan halaman status layanan telah dibuat untuk melaporkan kemajuan pemulihan dan ketersediaan layanan.

Geng Royal Merilis Data Yang Diduga Dicuri
Sementara universitas mengatakan tidak ada bukti data yang dicuri, operasi ransomware Royal mulai menerbitkan data yang mereka klaim telah dicuri dari QUT.

Dalam entri baru di situs kebocoran data mereka, grup ransomware membocorkan file SDM, email dan surat, kartu dan ID, dokumen keuangan dan administrasi yang mereka nyatakan mewakili 10% dari data yang dicuri selama serangan.

Operasi ransomware Royal dimulai pada September 2022 sebagai spin-off dari grup ransomware Conti yang terkenal, yang ditutup pada Mei 2022.

Geng tersebut dengan cepat mendapat perhatian para peneliti dan pemerintah setelah meluncurkan beberapa serangan terhadap organisasi kesehatan.

Selengkapnya: BleepingComputer

BTC.com Kehilangan $3 Juta Uang Kripto Dalam Serangan Siber

December 28, 2022 by Flamango

BTC.com, salah satu kumpulan penambangan cryptocurrency terbesar di dunia, mengumumkan bahwa mereka adalah korban serangan dunia maya yang mengakibatkan pencurian aset crypto senilai sekitar $3 juta milik pelanggan dan perusahaan.

Menurut pelacak kumpulan penambangannya, BTC.com adalah kumpulan penambangan cryptocurrency terbesar ketujuh, dengan 2,66% dari total hashrate jaringan.

Beberapa Aset Dicuri Sudah Ditemukan Kembali
Setelah mendeteksi serangan pada 3 Desember 2022, dimana sejumlah $700.000 milik klien dan $2,3 juta aset digital perusahaan dicuri, BTC.com segera melaporkan kejadian tersebut ke otoritas penegak hukum China di Shenzen. Sejak itu perusahaan telah memulihkan beberapa cryptocurrency yang dicuri.

Tidak Ada Info Tentang Data Yang Dicuri
BTC.com telah mengambil tindakan untuk memblokir serangan serupa di masa mendatang dan operasinya tidak terpengaruh.

Perusahaan saat ini menjalankan bisnis seperti biasa, dan selain dari layanan aset digitalnya, layanan dana kliennya tidak terpengaruh.
Hingga saat ini, belum ada informasi lebih lanjut mengenai bagaimana penyerang dapat mencuri cryptocurrency atau jika ada data atau informasi pribadi yang dicuri selama insiden tersebut.

Selengkapnya: BLEEPING COMPUTER

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

December 21, 2022 by Coffee Bean

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Departemen Kehakiman (DOJ) Merebut Puluhan Situs Web sebagai Bagian dari Skema Penyewaan Siber Global

December 16, 2022 by Flamango

FBI mendakwa enam orang yang diduga terlibat dalam serangan siber skala besar pada hari Rabu.

Departemen Kehakiman mencabut 48 domain internet dan mendakwa enam orang yang diduga menawarkan layanan serangan siber yang disewa, yaitu menawarkan layanan booter dan mengoperasikan setidaknya satu situs web yang menawarkan layanan denial-of-service (DDoS) terdistribusi serta langganan dengan durasi dan volume serangan yang bervariasi.

FBI saat ini sedang dalam proses menyita situs yang mengizinkan pengguna membayar untuk meluncurkan serangan DDoS yang membanjiri komputer target dengan derau putih untuk mencegah pengaksesan internet. Berbagai institusi seperti pendidikan, lembaga pemerintah, dan lainnya termasuk dalam serangan di seluruh dunia.

Dirilis dalam sebuah berita bahwa serangan ini dapat menurunkan layanan internet secara signifikan dan dapat sepenuhnya mengganggu koneksi internet.

DOJ mengatakan secara historis telah menerima peningkatan yang signifikan dalam jumlah serangan siber di dunia game sebelum periode Natal. Operasi serupa dilakukan sebelum liburan tahun 2018 ketika FBI menyita 15 situs DDoS dan mendakwa tiga orang.

FBI bekerja sama dengan Badan Kejahatan Nasional Inggris Raya dan Polisi Belanda untuk menggunakan iklan penempatan di berbagai browser dengan menyamar sebagai pelanggan dan melakukan serangan uji coba untuk mengonfirmasi bahwa situs DDoS berfungsi seperti yang diiklankan.

Beberapa pejabat publik pemerintah menyatakan bahwa penjahat menargetkan layanan penting dan infrastruktur pemerintahan menggunakan serangan DDoS dengan berbagai cara. Korban kejahatan dianjurkan untuk menghubungi kantor lapangan FBI lokal atau dapat mengajukan keluhan ke Pusat Pengaduan Kejahatan Internet FBI di ic3.gov.

Selengkapnya: GIZMODO

Cacat Keamanan pada Produk Atlassian (Jira, Confluence, Trello, BitBucket) yang Mempengaruhi Banyak Perusahaan

December 14, 2022 by Flamango

Pada 6 Desember 2022, CloudSEK mengungkapkan serangan dunia maya yang diarahkan ke perusahaan. Selama investigasi terhadap akar penyebab insiden tersebut, tim investigasi internal mengidentifikasi bahwa aktor ancaman memperoleh akses ke akun Jira karyawan CloudSEK, menggunakan cookie sesi Jira yang ada di log pencuri yang dijual di dark web.

Produk Atlassian, cookie tidak dibatalkan, meskipun kata sandi diubah, dengan 2FA (Otentikasi Dua Faktor) diaktifkan, karena validitas cookie adalah 30 hari. Atlassia telah mengkonfirmasi dan sedang bekerja untuk Menyelesaikan masalah tersebut.

CloudSEK merilis alat gratis yang memungkinkan perusahaan memeriksa apakah komputer mereka yang disusupi dan akun Jira diiklankan di pasar web gelap. Dengan lebih dari 10 juta pengguna di 180.000 perusahaan, termasuk 83% perusahaan Fortune 500, produk Atlassian banyak digunakan di seluruh dunia.

Cookie Atlassian yang Dicuri Dapat Menyebabkan Akses Akun Tidak Sah bahkan jika 2FA diaktifkan
Investigasi CloudSEK menunjukkan bahwa cookie produk Atlassian tetap berlaku selama 30 hari, meskipun kata sandi diubah dan 2FA diaktifkan. Oleh karena itu, pelaku ancaman dapat memulihkan sesi Jira, Confluence, Trello, atau BitBucket, menggunakan cookie yang dicuri, meskipun tidak memiliki akses ke OTP/PIN MFA.

Bukti Konsep
Peneliti CloudSEK memperoleh beberapa dump file log dan menemukan beberapa cookie Atlassian yang masih aktif untuk berbagai perusahaan.

Halaman pengaturan pengguna Bitbucket korban

Kredensial Atlassian/ Cookie Dijual di Darkweb Marketplaces
Dalam 30 hari terakhir, lebih dari 200 contoh unik kredensial/cookie terkait atlassian.net telah disiapkan untuk dijual di pasar darkweb. Mengingat kredensial tersebut disiapkan untuk dijual dalam 30 hari terakhir, kemungkinan besar banyak dari kredensial tersebut masih aktif.

Gambar 2 Contoh kredensial atlassian.net untuk dijual

Anatomi File Stealer-Log
Log pencuri yang dijual di pasar web gelap. Saat menguraikan file yang ada, data ditampilkan dalam sebuah format. Beberapa informasi korban yang dimasukkan ke dalam log pencuri yaitu IP, Tangkapan layar, Lokasi, Cookie dari semua browser yang digunakan oleh korban, Informasi dompet Cryptocurrency, dan lainnya.

Data Perusahaan Lain Tersedia di Web Gelap
Dalam 90 hari terakhir, lebih dari 70% data perusahaan Fortune 1000 tersedia untuk dijual di pasar web gelap. Dari jumlah tersebut, untuk 50% perusahaan, kredensial dari berbagai endpoint internal disiapkan untuk dijual.

Selengkapnya: cloudSEK

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings