Hacker Group

Peretas Korea Utara menggunakan ekstensi Chrome untuk mencuri email Gmail

March 25, 2023 by Coffee Bean

Technology For Cyber Illegal Hacker Computer

Penasihat keamanan siber bersama dari Kantor Federal Jerman untuk Perlindungan Konstitusi (BfV) dan Badan Intelijen Nasional Republik Korea (NIS) memperingatkan tentang penggunaan ekstensi Chrome oleh Kimsuky untuk mencuri email Gmail target.

Kimsuky (alias Thallium, Velvet Chollima) adalah kelompok ancaman Korea Utara yang menggunakan spear phishing untuk melakukan spionase dunia maya terhadap diplomat, jurnalis, lembaga pemerintah, profesor universitas, dan politisi. Awalnya berfokus pada target di Korea Selatan, pelaku ancaman memperluas operasi dari waktu ke waktu untuk menargetkan entitas di AS dan Eropa.

Mencuri email Gmail

Serangan dimulai dengan email spear-phishing yang mendesak korban untuk menginstal ekstensi Chrome berbahaya, yang juga akan diinstal di browser berbasis Chromium, seperti Microsoft Edge atau Brave.

Ekstensi bernama ‘AF’ dan hanya dapat dilihat di daftar ekstensi jika pengguna memasukkan “(chrome|edge| brave)://extensions” di bilah alamat browser.

Setelah korban mengunjungi Gmail melalui browser yang terinfeksi, ekstensi secara otomatis aktif untuk mencegat dan mencuri konten email korban.

Ekstensi tersebut menyalahgunakan Devtools API (developer tools API) di browser untuk mengirim data yang dicuri ke server relai penyerang, secara diam-diam mencuri email mereka tanpa merusak atau melewati perlindungan keamanan akun.

Ini bukan pertama kalinya Kimsuky menggunakan ekstensi Chrome jahat untuk mencuri email dari sistem yang dilanggar.

Pada Juli 2022, Volexity melaporkan tentang kampanye serupa yang menggunakan ekstensi bernama “SHARPEXT”. Pada Desember 2018, Netscout melaporkan bahwa Kimsuky mengikuti taktik yang sama terhadap target akademisi.

Kali ini, hash dari file jahat yang digunakan Kimsuky dalam serangan terbarunya adalah:

012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
582A033DA897C967FAADE386AC30F604 (bg.js)
51527624E7921A8157F820EB0CA78E29 (dev.js)

selengkapnya : bleepingcomputer

Peretas Mencuri Game Activision dan Data Karyawan

February 22, 2023 by Coffee Bean Leave a Comment

Pada hari Minggu, grup riset keamanan siber dan malware vx-underground menerbitkan tangkapan layar data yang konon dicuri dari Activision, termasuk jadwal konten yang direncanakan akan dirilis untuk Call of Duty.

Pada hari Senin, blog game Insider Gaming mengatakan telah mengonfirmasi pelanggaran data setelah mendapatkan “keseluruhan” data yang dicuri, yang tidak dipublikasikan oleh vx-underground.

Menurut situs tersebut, peretas mencuri informasi karyawan seperti “nama lengkap, email, nomor telepon, gaji, tempat kerja, alamat, dan lainnya.”

Juru bicara Activision Joseph Christinat mengirimkan pernyataan berikut: “Keamanan data kami adalah yang terpenting, dan kami memiliki protokol keamanan informasi yang komprehensif untuk memastikan kerahasiaannya. Pada tanggal 4 Desember 2022, tim keamanan informasi kami dengan cepat menangani upaya phishing SMS dan menyelesaikannya dengan cepat. Setelah penyelidikan menyeluruh, kami memutuskan bahwa tidak ada data sensitif karyawan, kode game, atau data pemain yang diakses.”

Dalam sebuah tweet, vx-underground menulis bahwa Activision dilanggar pada 4 Desember, setelah peretas “berhasil melakukan phishing terhadap pengguna istimewa di jaringan.”

sumber : techcrunch.com

Peretas ‘Mustang Panda’ Cina Secara Aktif Menargetkan Pemerintah di Seluruh Dunia

November 21, 2022 by Coffee Bean

Seorang aktor ancaman gigih terkenal yang dikenal sebagai Mustang Panda telah dikaitkan dengan serentetan serangan spear-phishing yang menargetkan sektor pemerintah, pendidikan, dan penelitian di seluruh dunia.

Sasaran utama intrusi dari Mei hingga Oktober 2022 termasuk negara-negara di kawasan Asia Pasifik seperti Myanmar, Australia, Filipina, Jepang, dan Taiwan, kata perusahaan keamanan siber Trend Micro dalam laporan Jumat.

Dalam beberapa kasus, pesan phishing dikirim dari akun email yang sebelumnya disusupi milik entitas tertentu, menunjukkan upaya yang dilakukan oleh aktor Mustang Panda untuk meningkatkan kemungkinan keberhasilan kampanyenya.

File arsip, ketika dibuka, dirancang untuk menampilkan dokumen iming-iming kepada korban, sambil secara diam-diam memuat malware di latar belakang melalui metode yang disebut sebagai pemuatan samping DLL.

Rantai serangan pada akhirnya mengarah pada pengiriman tiga keluarga malware – PUBLOAD, TONEINS, dan TONESHELL – yang mampu mengunduh muatan tahap berikutnya dan terbang di bawah radar.

TONESHELL, pintu belakang utama yang digunakan dalam serangan, diinstal melalui TONEINS dan merupakan pemuat kode shell, dengan versi awal implan terdeteksi pada September 2021, menunjukkan upaya berkelanjutan dari pihak pelaku ancaman untuk memperbarui persenjataannya.

“Begitu kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor masuk untuk gelombang penyusupan berikutnya. Strategi ini sebagian besar memperluas cakupan yang terpengaruh di wilayah yang terlibat.”

sumber : the hacker news

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

November 4, 2022 by Coffee Bean

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.

OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer

NSA Memperingatkan: Peretas Paling Terkenal Rusia Masih Aktif Melakukan Kampanye Peretasan

May 29, 2020 by Winnie the Pooh

Badan Keamanan Nasional Amerika mengumumkan pada hari Kamis bahwa unit intelijen Rusia yang sama yang membocorkan file Demokrat pada 2016 terlibat dalam kampanye peretasan email yang sedang berlangsung.

Peretas di GRU Rusia, badan intelijen militer Russia, secara teratur menargetkan akun email, seperti yang biasa dilakukan oleh banyak orang dengan kemampuan cyber yang kuat. Namun ini adalah pertama kalinya NSA mengeluarkan peringatan publik langsung yang menyebutkan agensi tersebut dan memperingatkan akan adanya kampanye peretasan yang sedang berlangsung.

Peringatan tersebut menjelaskan bagaimana GRU menargetkan kerentanan dalam sistem Unix yang tidak ditambal, sebuah alternatif untuk sistem operasi Microsoft dan Apple. Mereka tidak merinci siapa yang telah ditargetkan. Namun mereka merinci bahwa kampanye adalah karya Unit 74455 GRU, yang telah dikaitkan dengan beberapa serangan cyber paling terkenal dalam sejarah.

“Mereka mungkin organisasi serangan cyber yang paling berani dan paling sukses di Rusia,” kata John Hulquist, direktur intelijen ancaman di FireEye, yang melacak kelompok itu.

Amerika telah menyebut 74455 sebagai pencipta NotPetya, cacing ransomware yang tumbuh liar di luar kendali dan menyebar ke seluruh dunia pada 2017, menyebabkan kerusakan miliaran dolar dan memicu kemarahan internasional.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: NBC

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

May 27, 2020 by Winnie the Pooh

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Peretas Cina Menyerang Layanan Kesehatan, Militer, Jaringan Minyak Asing saat Coronavirus Mengahantam China

March 31, 2020 by Winnie the Pooh

FireEye, sebuah perusahaan keamanan siber AS, mengatakan bahwa pihaknya telah melihat lonjakan aktivitas yang tampaknya berasal dari kelompok peretasan Cina bernama APT41. Serangan sedang dikerahkan terhadap perusahaan-perusahaan di AS, Kanada, Inggris dan beberapa negara lain, yang tidak lazim dari strategi khas peretas Cina untuk berfokus pada beberapa target tertentu.

Menurut laporan FireEye, kelompok ini mengeksploitasi kelemahan perangkat lunak dalam aplikasi dan perangkat keras yang dikembangkan oleh Cisco, Citrix dan yang lainnya untuk mendapatkan akses ke jaringan perusahaan sasaran dan mengunduh file melalui FTP, di antara strategi lainnya.

Menurut perusahaan, serangan dimulai pada 20 Januari, menurun selama perayaan Tahun Baru Cina dan tindakan karantina COVID-19 dan sekarang kembali dalam skala penuh, mempengaruhi 75 pelanggan FireEye.

Cisco dan Citrix mengatakan kepada Reuters bahwa mereka telah menambal kerentanan yang dieksploitasi oleh APT41. Citrix juga berkoordinasi dengan FireEye untuk menemukan “potential compromises.” Reuters juga mendapat konfirmasi oleh Dell Technologies, yang menyatakan bahwa perusahaan itu juga melihat peningkatan aktivitas dari peretas China “selama beberapa minggu terakhir.”

Peningkatan remote working yang belum pernah terjadi sebelumnya selama pandemi coronavirus ini juga telah memperlihatkan peningkatan serangan siber, terutama serangan phishing yang menargetkan individu dengan tautan palsu dan email, menurut perusahaan cybersecurity CrowdStrike. Penyerang datang dari, tetapi tidak terbatas pada sumber di China.

Berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: End Gadget | Defenseone

Grup APT Kimsuky Korea Utara terus mengancam Korea Selatan dengan mengembangkan TTP-nya

March 5, 2020 by Winnie the Pooh

Tim peneliti keamanan di Cybaze-Yoroi ZLab baru-baru ini menganalisis salah satu grup APT Korea Utara yang dijuluki Kimsuky. Grup APT Kimsuky telah dianalisis oleh beberapa tim keamanan. Grup ini pertama kali ditemukan oleh peneliti Kaspersky pada tahun 2013, baru-baru ini aktivitasnya dirinci oleh ESTsurity.

Tidak seperti kelompok APT lain yang menggunakan rantai infeksi yang panjang dan kompleks, kelompok Kimsuky memanfaatkan rantai serangan yang lebih pendek, dipercaya bahwa cara ini sangat efektif dalam mencapai tingkat deteksi yang rendah.

Infeksi dimulai dengan file executable dengan ekstensi “scr”, ekstensi yang digunakan oleh Windows untuk mengidentifikasi artefak Screensaver. Berakhir dengan, setiap 15 menit malware yang berhasil ditanam menghubungi pusat data C2 (suzuki.].Pe.]Hu) dan mengirimkan kembali informasi tentang mesin yang dikompromikan.

Baca analisis selengkapnya pada tautan di bawah ini;

Source: Yoroi

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hacker Group

Cookies Settings