Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Espionage

Cyber Espionage

Asylum Ambuscade: Grup Cybercrime dengan Ambisi Spionase

by

Kelompok ancaman yang dikenal dengan nama Asylum Ambuscade telah terlihat dalam operasi cybercrime dan cyber espionage sejak awal 2020.

“Mereka adalah kelompok crimeware yang menargetkan pelanggan bank dan pedagang cryptocurrency di berbagai wilayah, termasuk Amerika Utara dan Eropa,” kata ESET dalam analisis yang diterbitkan pada hari Kamis. “Asylum Ambuscade juga melakukan spionase terhadap entitas pemerintah di Eropa dan Asia Tengah.”

Asylum Ambuscade pertama kali didokumentasikan oleh Proofpoint pada Maret 2022 sebagai kampanye phishing yang disponsori oleh negara yang menargetkan entitas pemerintah Eropa dalam upaya untuk memperoleh intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.

Tujuan para penyerang, menurut perusahaan keamanan Siber Slovakia, adalah untuk mencuri informasi rahasia dan kredensial email web dari portal email resmi pemerintah.

Serangan ini dimulai dengan email spear-phishing yang membawa lampiran spreadsheet Excel berbahaya yang, ketika dibuka, akan mengeksploitasi kode VBA atau kerentanan Follina (CVE-2022-30190) untuk mengunduh paket MSI dari server jarak jauh.

Kemudian, installer menggunakan downloader yang ditulis dalam Lua yang disebut SunSeed (atau versi Visual Basic Script) untuk mengunduh malware berbasis AutoHotkey yang dikenal sebagai AHK Bot dari server jarak jauh.

Yang mencolok tentang Asylum Ambuscade adalah aksi kejahatan siber mereka yang telah menyerang lebih dari 4.500 korban di seluruh dunia sejak Januari 2022, dengan sebagian besar dari mereka berlokasi di Amerika Utara, Asia, Afrika, Eropa, dan Amerika Selatan.

Rantai kompromi ini mengikuti pola yang serupa kecuali vektor intrusi awalnya, yang melibatkan penggunaan iklan Google palsu atau sistem traffic direction system (TDS) untuk mengarahkan korban potensial ke situs web palsu yang mengirimkan file JavaScript berisi malware.

Serangan ini juga menggunakan versi Node.js dari AHK Bot yang diberi nama kode NODEBOT yang kemudian digunakan untuk mengunduh plugin yang bertanggung jawab atas pengambilan tangkapan layar, pencurian kata sandi, pengumpulan informasi sistem, dan instalasi trojan dan stealer tambahan.

Serangan ini menunjukkan bahwa para pelaku ancaman terus mengembangkan metode dan alat untuk mencapai tujuan jahat mereka. Penting bagi pengguna komputer dan internet untuk selalu waspada terhadap tautan yang mencurigakan, iklan palsu, dan situs web yang tidak dikenal.

Selain itu, penting juga untuk memperbarui perangkat lunak dan sistem keamanan secara teratur serta menggunakan solusi keamanan yang andal untuk melindungi diri dari serangan siber. Kesadaran akan teknik-teknik serangan dan kebijakan keamanan yang kuat adalah langkah-langkah yang krusial dalam menghadapi ancaman siber saat ini.

Selengkapnya: The Hacker News

Temui kru spionase Rusia yang produktif yang meretas spymaster dan anggota parlemen

by

Kelompok peretas terkenal yang diduga memiliki hubungan dengan dinas intelijen Rusia telah mengklaim korban terbarunya: anggota parlemen Inggris Stewart McDonald.

McDonald, anggota Parlemen untuk daerah pemilihannya di Glasgow South, mengatakan kepada BBC News bahwa dia khawatir telah menjadi korban kampanye “disinformasi” setelah akun email pribadinya “diretas oleh Rusia”.

McDonald mengatakan para peretas mengirim dokumen yang mengaku menyertakan pembaruan militer di Ukraina, tetapi ketika dibuka berisi halaman phishing yang menipunya untuk memasukkan alamat email dan kata sandinya.

Intrusi tersebut diyakini terkait dengan kelompok peretasan “Seaborgium” yang produktif, juga disebut sebagai “Cold River” dan “Calisto.”

Seaborgium mungkin tidak setenar peretas Fancy Bear atau Sandworm Rusia, tetapi ia dengan cepat membuat nama untuk dirinya sendiri.

Pemerintah Inggris telah memperingatkan upaya “kejam” kelompok itu untuk mengejar korbannya, dan peneliti keamanan mengatakan daftar target geng yang terus bertambah – termasuk politisi, organisasi pertahanan dan pemerintah – menunjukkan bahwa Seaborgium terkait erat dengan negara Rusia.

Kelompok peretasan Seaborgium telah aktif setidaknya sejak 2017 dan dikenal melakukan kampanye spionase dunia maya jangka panjang terhadap negara-negara NATO, khususnya AS dan Inggris, tetapi juga lebih jauh seperti Baltik, Nordik, dan Eropa Timur.

Pusat Intelijen Ancaman Microsoft, atau MSTIC, yang telah melacak grup tersebut sejak awal, menilai bahwa Seaborgium adalah grup yang berbasis di Rusia dengan “tujuan dan viktimologi” yang sejalan erat dengan kepentingan negara Rusia.

Selengkapnya: TechCrunch

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

by

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Rantai infeksi lengkap Worok

Menyembunyikan muatan dalam PNG

LSB pada piksel gambar

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

  • Jalankan “cmd /c” dengan parameter yang diberikan
  • Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
  • Unduh data dari DropBox ke perangkat
  • Unggah data dari perangkat ke DropBox
  • Hapus data di sistem korban
  • Ganti nama data pada sistem korbaN
  • Exfiltrate info file dari direktori yang ditentukan
  • Tetapkan direktori baru untuk pintu belakang
  • Exfiltrat informasi sistem
  • Perbarui konfigurasi pintu belakang

    • Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

    sumber : bleeping computer

Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

by

Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

“Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

Selengkapnya: The Hacker News

Twisted Panda yang terkait dengan China tertangkap memata-matai R&D pertahanan Rusia

by

Mata-mata siber China menargetkan dua lembaga pertahanan Rusia dan mungkin fasilitas penelitian lain di Belarus, menurut Check Point Research.

Kampanye baru, dijuluki Twisted Panda, adalah bagian dari operasi spionase yang lebih besar dan disponsori negara yang telah berlangsung selama beberapa bulan, jika tidak hampir setahun, menurut toko keamanan.

Dalam analisis teknis, para peneliti merinci berbagai tahapan dan muatan berbahaya dari kampanye yang menggunakan email phishing terkait sanksi untuk menyerang entitas Rusia, yang merupakan bagian dari konglomerat pertahanan milik negara Rostec Corporation.

Check Point Research juga mencatat bahwa sekitar waktu yang sama ketika mereka mengamati serangan Twisted Panda, kelompok ancaman persisten lanjutan (APT) China lainnya Mustang Panda diamati mengeksploitasi invasi ke Ukraina untuk menargetkan organisasi Rusia.

Faktanya, Twisted Panda mungkin memiliki koneksi ke Mustang Panda atau jaringan mata-mata lain yang didukung Beijing yang disebut Panda Batu, alias APT10, menurut peneliti keamanan.

Selain waktu serangan, alat dan teknik lain yang digunakan dalam kampanye baru tumpang tindih dengan kelompok APT yang berbasis di China, tulis mereka. Karena itu, para peneliti menghubungkan operasi mata-mata siber baru “dengan kepercayaan tinggi kepada aktor ancaman China.”

Selama penelitian, toko keamanan juga menemukan pemuat serupa yang berisi yang tampak seperti varian yang lebih mudah dari pintu belakang yang sama. Dan berdasarkan hal tersebut, para peneliti mengatakan mereka memperkirakan Twisted Panda telah aktif sejak Juni 2021.

Selengkapnya: The Register

Anomaly Six, kontraktor rahasia Amerika mengklaim dapat memata-matai ponsel

by

Menurut Brendon Clark dari Anomaly Six – atau “A6” – kombinasi teknologi pelacakan lokasi ponselnya dengan pengawasan media sosial yang disediakan oleh Zignal Labs akan memungkinkan pemerintah AS untuk dengan mudah memata-matai pasukan Rusia saat mereka berkumpul di sepanjang perbatasan Ukraina, atau sama melacak kapal selam nuklir China. Untuk membuktikan bahwa teknologi itu bekerja, Clark mengarahkan kekuatan A6 ke dalam, memata-matai Badan Keamanan Nasional dan CIA, menggunakan ponsel mereka sendiri untuk melawan mereka.

Anomaly Six yang berbasis di Virginia didirikan pada tahun 2018 oleh dua mantan perwira intelijen militer dan mempertahankan kehadiran publik yang nyaris misterius, situs webnya tidak mengungkapkan apa pun tentang apa yang sebenarnya dilakukan perusahaan tersebut. Tetapi ada kemungkinan besar bahwa A6 tahu banyak tentang Anda.

Perusahaan ini adalah salah satu dari banyak perusahaan yang membeli banyak sekali data lokasi, melacak ratusan juta orang di seluruh dunia dengan mengeksploitasi fakta yang kurang dipahami: Aplikasi ponsel cerdas umum yang tak terhitung jumlahnya terus-menerus memanen lokasi Anda dan menyampaikannya kepada pengiklan, biasanya tanpa sepengetahuan Anda atau persetujuan berdasarkan informasi, mengandalkan pengungkapan yang terkubur dalam hukum persyaratan layanan yang luas yang tidak pernah Anda baca oleh perusahaan yang terlibat.

Setelah lokasi Anda dikirimkan ke pengiklan, saat ini tidak ada undang-undang di Amerika Serikat yang melarang penjualan dan penjualan kembali informasi tersebut kepada perusahaan seperti Anomaly Six, yang bebas menjualnya ke sektor swasta dan klien pemerintah mereka. Bagi siapa pun yang tertarik untuk melacak kehidupan sehari-hari orang lain, industri periklanan digital mengurus pekerjaan kasar hari demi hari — yang perlu dilakukan pihak ketiga hanyalah membeli akses.

Selengkapnya: The Intercept

Peretas Korea Utara menargetkan “Wadah Pemikir” Korea Selatan melalui konten blog

by

Dalam kampanye baru, yang dilacak sejak Juni 2021, kelompok Advanced Persistent Threat (APT) yang disponsori negara telah mencoba menanam malware berbasis pengawasan dan pencurian pada mesin korban.

Pada hari Rabu, para peneliti dari Cisco Talos mengatakan bahwa APT Kimsuky, juga dikenal sebagai Thallium atau Black Banshee, bertanggung jawab atas gelombang serangan, di mana konten Blogspot berbahaya digunakan untuk memikat “Wadah Pemikir” yang berbasis di Korea Selatan yang penelitiannya berfokus pada politik. , diplomatik, dan topik militer yang berkaitan dengan Korea Utara, Cina, Rusia, dan AS.”

Secara khusus, organisasi geopolitik dan kedirgantaraan tampaknya berada di radar APT.

Kimsuky telah aktif setidaknya sejak 2012. Badan Keamanan Dunia Maya dan Infrastruktur (CISA) AS mengeluarkan penasehat (.PDF) pada APT pada tahun 2020, mencatat bahwa kelompok yang disponsori negara ditugaskan oleh pemerintah Korea Utara dengan “intelijen global mengumpulkan.” Korban sebelumnya telah ditemukan di Korea Selatan, Jepang, dan Amerika Serikat.

AhnLab mengatakan bahwa formulir kompensasi, kuesioner, dan dokumen penelitian yang dilampirkan ke email telah digunakan di masa lalu sebagai umpan phishing, dan dalam kampanye yang dideteksi oleh Talos, dokumen Microsoft Office yang berbahaya masih menjadi vektor serangan utama.

Selengkapnya: ZDNet

FamousSparrow APT Memata-matai Hotel, Pemerintah

by

Sebuah kelompok mata-mata siber yang dijuluki “FamousSparrow” oleh para peneliti telah meluncur, menargetkan hotel, pemerintah, dan organisasi swasta di seluruh dunia dengan backdoor khusus yang disebut, “SparrowDoor.” Ini adalah salah satu ancaman persisten tingkat lanjut (APT) yang menargetkan kerentanan ProxyLogon awal tahun ini, menurut ESET, meskipun aktivitasnya baru-baru ini terungkap.

Menurut perusahaan, backdoor memiliki kemampuan untuk: mengganti nama atau menghapus file; membuat direktori; mematikan proses; mengirim informasi seperti atribut file, ukuran file, dan waktu penulisan file; mengekstrak konten file tertentu; menulis data ke file tertentu; atau membuat reverse shell interaktif. Ada juga tombol pemutus untuk menghapus pengaturan persistensi dan semua file SparrowDoor dari mesin korban.

“Penargetan, yang mencakup pemerintah di seluruh dunia, menunjukkan bahwa niat FamousSparrow adalah spionase,” catat para peneliti.

Bug eksekusi kode jarak jauh (RCE) ProxyLogon diungkapkan pada bulan Maret, dan digunakan oleh lebih dari 10 grup APT untuk membuat akses melalui kode shell ke server email Exchange di seluruh dunia dalam serangkaian serangan.

Dalam kasus FamousSparrow, ia menggunakan bug untuk menyebarkan SparrowDoor, yang telah terlihat dalam serangan lain (banyak di antaranya terhadap hotel), menurut ESET. Kampanye tambahan ini telah terjadi sebelum dan sesudah ProxyLogon, dan dimulai pada Agustus 2019, catat para peneliti.

Ketika mereka dapat menentukan vektor kompromi awal, para peneliti menemukan bahwa modus operandi FamousSparrow tampaknya merupakan eksploitasi aplikasi web yang rentan terhadap internet.

FamousSparrow terutama menargetkan hotel, tetapi ESET mengamati target di sektor lain, termasuk pemerintahan, organisasi internasional, perusahaan teknik, dan firma hukum.

Selengkapnya: The Threat Post