Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Evil Corp

Evil Corp

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Microsoft “Menghubungkan” Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

by

Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.

Raksasa teknologi itu mengatakan telah mengamati malware FakeUpdates (alias SocGholish) yang dikirimkan melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.

Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.

DEV-0206 adalah nama lain Redmond untuk broker akses awal yang menyebarkan kerangka JavaScript berbahaya yang disebut FakeUpdates dengan menarik target untuk mengunduh pembaruan browser palsu dalam bentuk arsip ZIP.

Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.

Disebut sebagai Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.

Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.

Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.

Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.

“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.

“Pada akhirnya, terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”

SUmber: The Hacker News

Evil Corp beralih ke ransomware LockBit untuk menghindari sanksi

by

Kelompok kejahatan dunia maya Evil Corp kini telah beralih untuk menyebarkan ransomware LockBit pada jaringan target untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.

Aktif sejak 2007, Evil Corp (alias INDRIK SPIDER atau geng Dridex) dikenal karena mendorong malware Dridex dan kemudian beralih ke “bisnis” ransomware.

Geng mulai dengan ransomware Locky dan kemudian menyebarkan jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer hingga 2019.

Sejak AS memberikan sanksi kepada mereka pada Desember 2019 karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $100 juta, grup tersebut beralih untuk memasang ransomware WastedLocker baru pada Juni 2020.

Dari Maret 2021, Evil Corp pindah ke jenis lain yang dikenal sebagai Hades ransomware, varian 64-bit dari WastedLocker yang ditingkatkan dengan kebingungan kode tambahan dan perubahan fitur kecil.

Sejak itu, para pelaku ancaman juga meniru kelompok peretas PayloadBin dan menggunakan jenis ransomware lain yang dikenal sebagai Macaw Locker dan Phoenix CryptoLocker.

Seperti yang baru-baru ini diamati oleh analis ancaman Mandiant, geng kejahatan dunia maya kini telah melakukan upaya lain untuk menjauhkan diri dari alat yang diketahui untuk memungkinkan korban membayar uang tebusan tanpa menghadapi risiko yang terkait dengan pelanggaran peraturan OFAC,

Sebuah cluster aktivitas yang dilacak oleh Mandiant sebagai UNC2165 (sebelumnya menyebarkan Hades ransomware dan ditautkan ke Evil Corp) sekarang menyebarkan ransomware sebagai afiliasi LockBit.

“Selain itu, pembaruan kode yang sering dan rebranding HADES membutuhkan sumber daya pengembangan dan masuk akal bahwa UNC2165 melihat penggunaan LOCKBIT sebagai pilihan yang lebih hemat biaya.”

Aktivitas ransomware LockBit (ID-Ransomware)

Taktik baru bertindak sebagai afiliasi operasi Ransomware sebagai Layanan (RaaS) kemungkinan akan memungkinkan mereka menginvestasikan waktu yang dibutuhkan untuk pengembangan ransomware ke dalam memperluas operasi penyebaran ransomware geng.

Teori lain adalah bahwa peralihan ke alat jahat orang lain dapat memberi Evil Corp sumber daya gratis yang cukup untuk mengembangkan jenis ransomware baru dari awal, sehingga mempersulit peneliti keamanan untuk menautkan ke operasi geng sebelumnya.

“Kami berharap para pelaku ini serta pihak lain yang terkena sanksi di masa depan mengambil langkah-langkah seperti ini untuk mengaburkan identitas mereka agar tidak menjadi faktor pembatas untuk menerima pembayaran dari para korban,” tutup Mandiant.

Sumber: Bleeping Computer

Raksasa asuransi CNA terkena ransomware Phoenix CryptoLocker baru

by

Raksasa asuransi CNA telah mengalami serangan ransomware menggunakan varian baru bernama Phoenix CryptoLocker yang mungkin terkait dengan grup peretasan Evil Corp.

Minggu ini, BleepingComputer melaporkan bahwa CNA telah mengalami serangan siber yang memengaruhi layanan online dan operasi bisnis mereka.

Segera setelah mereka melaporkan serangan itu, CNA mengeluarkan pernyataan yang mengonfirmasi bahwa mereka telah mengalami serangan siber akhir pekan lalu.

“Pada 21 Maret 2021, CNA menetapkan bahwa kami mengalami serangan keamanan siber yang canggih. Serangan tersebut menyebabkan gangguan jaringan dan memengaruhi sistem CNA tertentu, termasuk email perusahaan,” ungkap CNA dalam sebuah pernyataan.

Sejak pelaporan pertama BleepingComputer, mereka telah mengonfirmasi bahwa CNA mengalami serangan oleh ransomware baru yang dikenal sebagai ‘Phoenix CryptoLocker.’

Sumber yang akrab dengan serangan itu mengatakan kepada BleepingComputer bahwa pelaku ancaman menyebarkan ransomware di jaringan CNA pada 21 Maret, di mana ia melanjutkan untuk mengenkripsi lebih dari 15.000 perangkat di jaringan mereka.

Dilaporkan oleh BleepingComputer bahwa itu juga mengenkripsi komputer karyawan yang bekerja dari jarak jauh yang masuk ke VPN perusahaan pada saat serangan terjadi.

Saat mengenkripsi perangkat, ransomware menambahkan ekstensi .phoenix ke file yang dienkripsi dan membuat catatan tebusan bernama PHOENIX-HELP.txt, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Sebuah sumber mengatakan kepada BleepingComputer bahwa Phoenix Locker diyakini sebagai keluarga ransomware baru yang dirilis oleh Evil Corp berdasarkan kesamaan dalam kodenya.

Selengkapnya: Bleeping Computer

Evil Corp beralih ke ransomware Hades untuk menghindari sanksi

by

Ransomware Hades telah dikaitkan dengan geng kejahatan siber Evil Corp yang menggunakannya untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan.

Evil Corp (alias geng Dridex atau INDRIK SPIDER) telah aktif setidaknya sejak 2007 dan dikenal karena mendistribusikan malware Dridex.

Mereka kemudian beralih ke “bisnis” ransomware, pertama menggunakan ransomware Locky dan kemudian jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer, diterapkan dalam serangan hingga 2019.

Departemen Keuangan AS memberi sanksi kepada anggota geng Evil Corp pada Desember 2019 setelah didakwa karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $ 100 juta.

Karena itu, korban mereka menghadapi situasi sulit jika mereka ingin membayar uang tebusan Evil Corp karena mereka juga akan melanggar sanksi.

Mulai Juni 2020, Evil Corp memperbarui taktiknya untuk menghindari sanksi, menyebarkan ransomware WastedLocker baru dalam serangan yang menargetkan organisasi perusahaan.

CrowdStrike sekarang menghubungkan geng kejahatan siber tersebut ke ransomware Hades berdasarkan “significant code overlap”. Alat malware baru yang sebelumnya tidak memiliki atribut ini membantu Evil Corp melewati sanksi untuk menghasilkan uang dari serangan mereka.

Hades ransomware adalah varian WastedLocker yang dikompilasi 64-bit yang ditingkatkan dengan obfuscation kode tambahan dan beberapa perubahan fitur kecil.

Meskipun tidak banyak serangan ransomware Hades yang dilaporkan oleh organisasi yang terpengaruh, korban Evil Corp telah menggunakan layanan ID-Ransomware untuk memeriksa apakah sistem mereka terkena ransomware Hades sejak grup tersebut mulai menggunakan jenis baru.

Selengkapnya: Bleeping Computer

Perusahaan Siber Swiss Mengatakan Telah Mengakses Server dari Peretas SolarWinds

by

Sebuah perusahaan keamanan siber Swiss mengatakan telah mengakses server yang digunakan oleh kelompok peretas yang terkait dengan pelanggaran SolarWinds, mengungkapkan rincian tentang siapa yang menjadi target penyerang dan bagaimana mereka melakukan operasi mereka. Perusahaan, PRODAFT, juga mengatakan para peretas telah melanjutkan kampanye mereka hingga bulan ini.

Peneliti PRODAFT mengatakan mereka dapat membobol infrastruktur komputer peretas dan meninjau bukti kampanye besar-besaran antara Agustus dan Maret, yang menargetkan ribuan perusahaan dan organisasi pemerintah di seluruh Eropa dan AS. Tujuan dari kelompok peretasan, yang dijuluki SilverFish oleh peneliti, untuk memata-matai korban dan mencuri data, menurut laporan PRODAFT.

SilverFish melakukan serangan siber yang “sangat canggih” pada setidaknya 4.720 target, termasuk lembaga pemerintah, penyedia TI global, lusinan lembaga perbankan di AS dan UE, perusahaan audit / konsultan besar, salah satu produsen test kit Covid-19 terkemuka di dunia serta perusahaan penerbangan dan pertahanan, menurut laporan tersebut.

Para peretas menggunakan metode lain untuk menyerang korban mereka selain kerentanan dalam perangkat lunak SolarWinds, menurut para peneliti.

Marcin Kleczynski, kepala eksekutif dan salah satu pendiri Malwarebytes, mengatakan penemuan SilverFish memperkuat gagasan bahwa lebih dari satu kelompok mengeksploitasi SolarWinds.

Meskipun demikian, laporan tersebut menawarkan wawasan tentang bagaimana organisasi peretasan tersebut beroperasi.

Peretas SilverFish mempertahankan jam kerja reguler dan paling aktif Senin hingga Jumat antara jam 8 pagi dan 8 malam, kata laporan itu. Para peretas mengoperasikan server di Rusia dan Ukraina, dan berbagi beberapa server yang sama dengan kelompok peretas kriminal terkenal Rusia yang dikenal sebagai Evil Corp., kata laporan itu.

PRODAFT mengatakan para peretas adalah “kelompok spionase siber yang terorganisir dengan sangat baik”, dengan empat tim bernama 301, 302, 303, dan 304 yang bertanggung jawab atas pembobolan komputer korban mereka.

Selengkapnya: Bloomberg

Evil Corp Kembali dengan Kampanye Phising “Dudear” menggunakan Teknik Baru

by

Evil Corp atau yang dikenal dengan TA505 adalah grup peretas dari Rusia sedang menjalankan kampanye baru dan melibatkan Microsoft Excel sebagai alat pengiriman payload mereka. 

 

Pada January 30, 2020 kemarin, tim Microsoft Security Intelligence membuat tweet untuk memberi tahu pengguna bahwa Evil Corp telah kembali setelah hiatus pendek. Tim memperingatkan bahwa kampanye phishing baru “Dudear” sudah berjalan, masih menyebarkan Trojan pencuri informasi yang dikenal sebagai GraceWire tetapi Evil Corp melakukannya dengan menggunakan taktik tweak.

 

Tweet tersebut berisi:

“Kampanye baru ini menggunakan redirector HTML yang dilampirkan ke email. Saat dibuka, HTML mengarah ke unduhan Dudear, sebuah file Excel yang memuat makro jahat dan menjatuhkan payload. Sebaliknya, kampanye email Dudear sebelumnya membawa malware sebagai lampiran atau menggunakan URL jahat.”

 

“Ini adalah pertama kalinya Dudear diamati menggunakan redirector HTML. Penyerang menggunakan file HTML dalam berbagai bahasa. Khususnya, mereka juga menggunakan layanan traceback IP untuk melacak alamat IP mesin yang mengunduh file Excel berbahaya tersebut.”

 

Untuk membuat ini berhasil, harus ada campur tangan korban juga. Korban masih perlu membuka file Excel yang diunduh secara otomatis, dan mereka masih harus mengaktifkan suntingan dan konten agar dapat terinfeksi.

 

Cara untuk mencegah adalah jangan aktifkan suntingan file Excel yang tidak Anda minta, dan tentu saja jangan aktifkan konten.

 

Klik link dibawah untuk membaca berita selengkapnya.

Source: Forbes

Treasury department sanctions russian cybercriminal group, Evil Corp

by

 

Source: CNBC 

 

Departemen Keadilan dan Perbendaharaan AS mengambil tindakan terhadap kelompok hacker Rusia yang dikenal sebagai “Evil Corp,” yang mencuri “setidaknya” $ 100 juta dari bank menggunakan perangkat lunak berbahaya. 

 

Kelompok itu menggunakan jenis malware yang dikenal sebagai “Dridex,” yang bekerja untuk menghindari perangkat lunak anti-virus umum dan menyebar melalui kampanye phishing yang dikirim lewat email. Setelah terinfeksi, malware tersebut dapat mencuri kredensial login dan mengosongkan akun karyawan bank dan pelanggan bank, lalu diteruskan ke akun luar negeri yang dimiliki oleh Evil Corp.

 

Buka link di atas untuk cerita selengkapnya!