Cyber Threat Actor

Para peneliti memberikan pukulan kepada geng Gootloader yang mendukung REvil

April 28, 2023 by Søren

Peneliti keamanan di spesialis deteksi dan respons terkelola (MDR) eSentire telah mengungkapkan bagaimana mereka membalikkan keadaan pada operasi kejahatan dunia maya yang luas yang telah memikat ribuan orang yang bekerja di firma hukum dan departemen hukum internal di Inggris, Australia, Kanada dan AS selama 15 bulan terakhir.

Dikenal sebagai Gootloader, operasi ini berspesialisasi dalam mendapatkan akses awal ke jaringan korban dan kemudian menawarkannya secara as-a-service kepada penjahat dunia maya hilir, termasuk operasi ransomware REvil yang meretas firma hukum yang mewakili presiden AS saat itu Donald Trump pada tahun 2020 .

Gootloader telah menjadi ancaman lama setidaknya sejak tahun 2020, dan dinobatkan sebagai salah satu ancaman teratas CISA pada tahun 2021.

Threat Response Unit (TRU) ESentire, yang dipimpin oleh Joe Stewart dan Keegan Keplinger, telah menghentikan serangan terhadap 12 organisasi berbeda di mana karyawan dibujuk untuk menyusupi blog WordPress yang telah dimainkan oleh operator Gootloader ke peringkat teratas pencarian Google menggunakan teknik yang dikenal sebagai pencarian keracunan optimasi mesin (SEO).

Dari blog ini, mereka diminta untuk mengunduh malware Gootloader yang disamarkan sebagai perjanjian dan kontrak hukum palsu, sehingga memberikan akses operasi ke sistem mereka.

“Gootloader adalah ancaman licik dan berbahaya yang memangsa mereka yang mencari informasi bisnis dan formulir hukum online,” kata Stewart. “Pengguna yang tidak bersalah dapat dengan mudah terpikat oleh postingan palsu Gootloader, tanpa sadar mengekspos diri mereka ke serangan ransomware.

“Ini seperti jebakan, menunggu dalam bayang-bayang korban berikutnya yang tidak menaruh curiga tersandung ke dalam genggamannya. Terserah peneliti keamanan untuk menyinari sudut gelap internet ini dan melindungi mereka yang hanya mencoba mencari informasi yang mereka butuhkan untuk menyelesaikan pekerjaan mereka.

Selengkapnya: Computer Weekly

Bagaimana Microsoft Menamai Aktor Ancaman

April 28, 2023 by Coffee Bean

Microsoft telah beralih ke taksonomi penamaan baru untuk aktor ancaman yang selaras dengan tema cuaca. Dengan taksonomi baru, kami bermaksud untuk memberikan kejelasan yang lebih baik kepada pelanggan dan peneliti keamanan lainnya yang telah berhadapan dengan data intelijen ancaman dalam jumlah yang sangat banyak dan menawarkan cara yang lebih terorganisir, jelas, dan mudah untuk mereferensikan pelaku ancaman sehingga organisasi dapat memprioritaskan dan melindungi dengan lebih baik diri.

In our new taxonomy, a weather event or family name represents one of the above categories. In the case of nation-state actors, we have assigned a family name to a country of origin tied to attribution, like Typhoon indicates origin or attribution to China. For other actors, the family name represents a motivation. For example, Tempest indicates financially motivated actors. Threat actors within the same weather family are given an adjective to distinguish actor groups with distinct tactics, techniques, and procedures (TTPs), infrastructure, objectives, or other identified patterns. For groups in development, where there is a newly discovered, unknown, emerging, or developing cluster of threat activity, we use a temporary designation of Storm and a four-digit number, allowing us to track it as a unique set of information until we can reach high confidence about the origin or identity of the actor behind the operation.

selengkapnya : learn.microsoft.com

NCSC memperingatkan ancaman yang muncul terhadap infrastruktur nasional yang kritis

April 24, 2023 by Søren

Pusat Keamanan Siber Nasional hari ini (Rabu) telah mengeluarkan peringatan kepada organisasi infrastruktur nasional kritis (CNI) yang memperingatkan tentang ancaman yang muncul dari kelompok yang selaras dengan negara.

NCSC – bagian dari GCHQ – memperingatkan dalam peringatan tersebut bahwa beberapa kelompok telah menyatakan niat untuk meluncurkan ‘serangan destruktif dan mengganggu’ dan bahwa organisasi CNI harus memastikan bahwa mereka telah mengambil langkah-langkah yang diuraikan dalam panduan ancaman yang ditingkatkan dari NCSC untuk memperkuat pertahanan mereka.

Ancaman itu datang terutama dari kelompok-kelompok yang berpihak pada negara yang bersimpati pada invasi Rusia ke Ukraina, kata peringatan itu, dan telah muncul selama 18 bulan terakhir.

Kelompok-kelompok ini tidak dimotivasi oleh keuntungan finansial, atau tunduk pada kontrol oleh negara, sehingga tindakan mereka kurang dapat diprediksi dan penargetan mereka lebih luas daripada pelaku kejahatan dunia maya tradisional.

Sementara dalam jangka pendek aktivitas apa pun dari kelompok tersebut kemungkinan akan berbentuk serangan Distributed Denial of Service (DDoS), perusakan situs web atau penyebaran informasi yang salah, beberapa kelompok telah menyatakan keinginan untuk mencapai dampak yang lebih merusak terhadap infrastruktur barat, kata peringatan itu.

Peringatan tersebut dikeluarkan pada hari pertama konferensi CYBERUK NCSC di Belfast, di mana para ahli telah berkumpul untuk mempertimbangkan topik dengan tema ‘mengamankan masa depan digital yang terbuka dan tangguh.’

Selengkapnya: National Cyber Security Centre

Multitool Kriminal LilithBot Hadir Di Kancah Malware-as-a-service

October 11, 2022 by Winnie the Pooh

Kelompok ancaman yang berbasis di Rusia yang mendirikan toko distribusi malware awal tahun ini berada di belakang botnet yang dilengkapi dengan berbagai kemampuan jahat, mulai dari mencuri informasi hingga menambang cryptocurrency.

Itu menurut para peneliti di unit intelijen ancaman ThreatLabz Zscaler. Dikatakan grup Eternity – juga dikenal sebagai EternityTeam dan Eternity Project – menawarkan malware LilithBot multifungsi melalui grup Telegram khusus dan tautan Tor di mana penjahat dunia maya dapat memperoleh berbagai muatan melalui langganan.

Grup malware as a service (MaaS) telah aktif setidaknya sejak Januari, mendistribusikan berbagai modul di bawah merek Eternity yang – bersama dengan malware pencuri dan penambang – termasuk ransomware, bot distributed denial of service (DDoS), worm and dropper, dan clipper yang memalsukan alamat crypto di dompet, tulis para peneliti dalam sebuah laporan.

Beberapa kelompok ancaman beralih ke model as-a-service sebagai penghasil pendapatan utama mereka atau sebagai sumber pendapatan tambahan untuk melengkapi aktivitas jahat mereka yang lain. Tidak hanya mencakup MaaS tetapi juga ransomware dan access-as-a-service, di mana sebuah grup akan mendapatkan akses awal ke jaringan perusahaan dan kemudian menjual akses itu ke penjahat dunia maya lainnya.

Selengkapnya: The Register

ZINC mempersenjatai perangkat lunak sumber terbuka

October 2, 2022 by Søren

Dalam beberapa bulan terakhir, Microsoft telah mendeteksi berbagai kampanye rekayasa sosial menggunakan perangkat lunak sumber terbuka sah yang dipersenjatai oleh aktor yang kami lacak sebagai ZINC. Microsoft Threat Intelligence Center (MSTIC) mengamati aktivitas yang menargetkan karyawan di organisasi di berbagai industri termasuk media, pertahanan dan kedirgantaraan, serta layanan TI di AS, Inggris, India, dan Rusia.

Berdasarkan afiliasi perdagangan, infrastruktur, perkakas, dan akun yang diamati, MSTIC mengaitkan kampanye ini dengan kepercayaan tinggi kepada ZINC, kelompok yang disponsori negara yang berbasis di Korea Utara dengan tujuan yang berfokus pada spionase, pencurian data, keuntungan finansial, dan penghancuran jaringan.

Mulai Juni 2022, ZINC menggunakan taktik rekayasa sosial tradisional dengan awalnya terhubung dengan individu di LinkedIn untuk membangun tingkat kepercayaan dengan target mereka. Setelah koneksi berhasil, ZINC mendorong komunikasi berkelanjutan melalui WhatsApp, yang bertindak sebagai sarana pengiriman untuk muatan berbahaya mereka.

MSTIC mengamati ZINC mempersenjatai berbagai perangkat lunak sumber terbuka termasuk Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording untuk serangan ini. ZINC terpantau mencoba bergerak ke samping dan mengekstrak informasi yang dikumpulkan dari jaringan korban. Para aktor telah berhasil berkompromi dengan banyak organisasi sejak Juni 2022.

Kampanye yang sedang berlangsung terkait dengan PuTTY yang dipersenjatai juga dilaporkan oleh Mandiant awal bulan ini. Karena banyaknya penggunaan platform dan perangkat lunak yang digunakan ZINC dalam kampanye ini, ZINC dapat menimbulkan ancaman signifikan bagi individu dan organisasi di berbagai sektor dan wilayah.

Selengkapnya: Microsoft

Geng Peretas Menciptakan Perusahaan Palsu Untuk Menyewa Pentester Untuk Serangan Ransomware

October 27, 2021 by Winnie the Pooh

Grup peretas FIN7 mencoba untuk bergabung dengan ruang ransomware yang sangat menguntungkan dengan menciptakan perusahaan keamanan siber palsu yang melakukan serangan jaringan dengan kedok pentesting.

FIN7 (alias ‘Carbanak’) telah terlibat dalam serangan siber dan kampanye pencurian uang sejak 2015 ketika mereka pertama kali muncul di ruang kejahatan siber, termasuk menginfeksi ATM dengan malware yang mendukung MITM.

Karena ransomware telah menjadi bidang yang menguntungkan bagi penjahat dunia maya, dan memiliki pengalaman sebelumnya dengan perusahaan palsu seperti “Combi Security”, grup tersebut mendirikan perusahaan baru untuk memikat spesialis TI yang sah.

Tabir tipis legitimasi di sekitar entitas perusahaan baru ini diangkat oleh para peneliti di Gemini Advisory, yang menemukan bahwa situs web untuk perusahaan keamanan siber palsu yang dikenal sebagai Bastion Security terdiri dari konten yang dicuri dan dikompilasi ulang dari situs web lain.

Yang lebih terlihat adalah bahwa perusahaan tersebut menyatakan bahwa mereka berbasis di Inggris, tetapi situs tersebut menyajikan halaman kesalahan 404 berbahasa Rusia.

Para peneliti Gemini menemukan bahwa FIN7 menawarkan antara $800 dan $1,200 per bulan untuk merekrut programmer C++, PHP, dan Python, administrator sistem Windows, dan spesialis rekayasa balik dengan mengikuti tip dari sumber yang tidak disebutkan namanya.

Dalam persyaratan pekerjaan, para peneliti percaya bahwa kelompok peretas sedang mencari untuk menyewa pentester, karena administrator sistem juga akan memiliki kemampuan untuk memetakan sistem perusahaan yang disusupi, melakukan pengintaian jaringan, dan menemukan server dan file cadangan.

Semua keterampilan ini diperlukan untuk tahap pra-enkripsi serangan ransomware, jadi tampaknya inilah yang FIN7 kejar melalui putaran perekrutan ini.

Selengkapnya: Bleeping Computer

Ransomware REvil tutup lagi setelah situs Tor dibajak

October 18, 2021 by Winnie the Pooh

Operasi ransomware REvil kemungkinan telah ditutup sekali lagi setelah orang tak dikenal membajak portal pembayaran Tor dan blog kebocoran data mereka.

Situs Tor offline, dengan aktor ancaman yang berafiliasi dengan operasi REvil memposting ke forum peretasan XSS bahwa seseorang membajak domain geng.

Hal ini pertama kali ditemukan oleh Dmitry Smilyanets dari Recorded Future, dan menyatakan bahwa orang yang tidak dikenal membajak layanan tersembunyi Tor (domain onion) dengan kunci pribadi yang sama dengan situs Tor REvil dan kemungkinan memiliki cadangan situs tersebut.

Aktor ancaman mengatakan bahwa mereka tidak menemukan tanda-tanda kompromi ke server mereka tetapi akan mematikan operasi untuk sementara.

Pelaku ancaman kemudian mengatakan kepada afiliasi untuk menghubunginya untuk mendapatkan kunci dekripsi melalui Tox, kemungkinan agar afiliasi dapat terus memeras korban mereka dan memberikan dekripsi jika uang tebusan dibayarkan.

Untuk meluncurkan layanan tersembunyi Tor (domain .onion), Anda perlu membuat pasangan kunci privat dan publik, yang digunakan untuk menginisialisasi layanan.

Kunci pribadi harus diamankan dan hanya dapat diakses oleh admin tepercaya, karena siapa pun yang memiliki akses ke kunci ini dapat menggunakannya untuk meluncurkan layanan .onion yang sama di server mereka sendiri.

Karena pihak ketiga dapat membajak domain, itu berarti mereka juga memiliki akses ke kunci pribadi layanan tersembunyi.

Malam ini, 0_neday sekali lagi memposting ke topik forum peretasan, tetapi kali ini mengatakan bahwa server mereka telah disusupi dan bahwa siapa pun yang melakukannya menargetkan pelaku ancaman.

Saat ini, tidak diketahui siapa yang mengkompromikan server mereka.

Ketika Bitdefender dan penegak hukum memperoleh akses ke kunci master dekripsi REvil dan merilis dekripsi gratis, beberapa pelaku ancaman percaya bahwa FBI atau penegak hukum lainnya telah memiliki akses ke server sejak itu diluncurkan kembali.

Karena tidak ada yang tahu apa yang terjadi pada Unknown, ada kemungkinan juga pelaku ancaman mencoba untuk mendapatkan kembali kendali atas operasi tersebut.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Threat Actor

Cookies Settings