Hacking Group

NCSC memperingatkan ancaman yang muncul terhadap infrastruktur nasional yang kritis

April 24, 2023 by Søren

Pusat Keamanan Siber Nasional hari ini (Rabu) telah mengeluarkan peringatan kepada organisasi infrastruktur nasional kritis (CNI) yang memperingatkan tentang ancaman yang muncul dari kelompok yang selaras dengan negara.

NCSC – bagian dari GCHQ – memperingatkan dalam peringatan tersebut bahwa beberapa kelompok telah menyatakan niat untuk meluncurkan ‘serangan destruktif dan mengganggu’ dan bahwa organisasi CNI harus memastikan bahwa mereka telah mengambil langkah-langkah yang diuraikan dalam panduan ancaman yang ditingkatkan dari NCSC untuk memperkuat pertahanan mereka.

Ancaman itu datang terutama dari kelompok-kelompok yang berpihak pada negara yang bersimpati pada invasi Rusia ke Ukraina, kata peringatan itu, dan telah muncul selama 18 bulan terakhir.

Kelompok-kelompok ini tidak dimotivasi oleh keuntungan finansial, atau tunduk pada kontrol oleh negara, sehingga tindakan mereka kurang dapat diprediksi dan penargetan mereka lebih luas daripada pelaku kejahatan dunia maya tradisional.

Sementara dalam jangka pendek aktivitas apa pun dari kelompok tersebut kemungkinan akan berbentuk serangan Distributed Denial of Service (DDoS), perusakan situs web atau penyebaran informasi yang salah, beberapa kelompok telah menyatakan keinginan untuk mencapai dampak yang lebih merusak terhadap infrastruktur barat, kata peringatan itu.

Peringatan tersebut dikeluarkan pada hari pertama konferensi CYBERUK NCSC di Belfast, di mana para ahli telah berkumpul untuk mempertimbangkan topik dengan tema ‘mengamankan masa depan digital yang terbuka dan tangguh.’

Selengkapnya: National Cyber Security Centre

Spionase yang didukung China semakin sulit dikenali, kata para peneliti

March 18, 2023 by Søren

Kelompok peretas yang diduga terkait dengan China terus membangun taktik baru yang menargetkan alat keamanan yang menghadap ke internet sebagai cara untuk secara diam-diam membobol beberapa organisasi yang paling kaya data, para peneliti di Mandiant milik Google memperingatkan.

Dari berita: Dalam sebuah laporan Kamis, para peneliti mengatakan mereka telah menemukan bug baru yang menargetkan perusahaan keamanan perangkat lunak Fortinet, yang membuat firewall, program antivirus, dan alat serupa. The Wall Street Journal pertama kali melaporkan bug baru tersebut.

Laporan baru ini adalah yang kelima yang dirilis Mandiant dalam dua tahun di mana tersangka peretas yang berafiliasi dengan China telah menargetkan alat keamanan yang terhubung ke internet. Pembuat produk lain yang terpengaruh termasuk SonicWall, VMware dan Citrix.
Charles Carmakal, chief technology officer di Mandiant, mengatakan kepada WSJ kemungkinan bahwa “masalahnya jauh lebih besar daripada yang kita ketahui sekarang.”

Apa yang mereka katakan: “Mengingat betapa sulitnya mereka ditemukan, sebagian besar organisasi tidak dapat mengidentifikasi mereka sendiri,” kata Carmakal dalam sebuah pernyataan kepada Axios. “Tidak jarang kampanye China berakhir sebagai gangguan selama bertahun-tahun.”

Gambaran besarnya: Pemerintahan Biden telah berfokus pada laser untuk menindak ancaman spionase dan peretasan yang terkait dengan China.

Pekan lalu, komunitas intelijen mengatakan dalam laporan ancaman di seluruh dunia tahun 2023 bahwa China adalah ancaman spionase siber “terluas, paling aktif, dan gigih” ke AS.
Awal pekan ini, Komite Investasi Asing di Amerika Serikat dilaporkan memberi tahu TikTok bahwa, karena pengawasan dan masalah keamanan nasional lainnya, itu akan dilarang di AS jika perusahaan induknya di China, ByteDance, menolak untuk menjual sahamnya.

Selengkapnya: Axios

Serangan Flipper Zero Phishing yang Menargetkan Komunitas Infosec

January 4, 2023 by Coffee Bean

Kampanye phishing baru memanfaatkan meningkatnya minat anggota komunitas keamanan terhadap Flipper Zero untuk mencuri informasi pribadi dan mata uang kripto mereka.

Flipper Zero adalah alat keamanan siber multi-fungsi portabel untuk penguji pena dan penggemar peretasan. Alat ini memungkinkan peneliti untuk mengutak-atik berbagai perangkat keras dengan mendukung emulasi RFID, kloning kunci akses digital, komunikasi radio, NFC, inframerah, Bluetooth, dan banyak lagi.

Pengembang meluncurkan perangkat setelah kampanye Kickstarter 2020 yang sangat sukses, yang melampaui target pendanaan sebesar $60.000 sebanyak 81 kali, setelah menerima $4.882.784 dalam janji.

Menargetkan peneliti keamanan siber
Aktor ancaman sekarang memanfaatkan minat besar pada Flipper Zero dan kurangnya ketersediaannya dengan membuat toko palsu yang berpura-pura menjualnya.

Kampanye phishing ini ditemukan oleh analis keamanan Dominic Alvieri, yang melihat tiga akun Twitter palsu dan dua toko Flipper Zero palsu.

Sekilas, salah satu akun Twitter palsu itu tampak memiliki pegangan yang sama dengan akun resmi Flipper Zero. Namun, pada kenyataannya, ia menggunakan huruf besar “I” pada namanya, yang terlihat seperti huruf “l” di Twitter.

Akun Twitter palsu (kiri) Akun Twitter asli (kanan)

Tujuannya adalah membawa pembeli ke halaman checkout phishing, di mana mereka diminta untuk memasukkan alamat email, nama lengkap, dan alamat pengiriman.

Para korban kemudian diberikan pilihan untuk membayar menggunakan cryptocurrency Ethereum atau Bitcoin dan diberitahu bahwa pesanan mereka akan diproses dalam waktu 15 menit setelah penyerahan.

Pelaku ancaman sejak itu beralih menggunakan faktur plisio.net untuk menerima pembayaran crypto, yang sekarang termasuk Litecoin. Namun, faktur tersebut tidak berfungsi, yang menyatakan bahwa pesanan telah kedaluwarsa.

sangat penting untuk mencari promosi ini dan toko yang mengklaim ketersediaan produk langsung dan hanya membeli dari toko resmi.

sumber : bleepingcomputer

Polandia Memperingatkan Serangan Oleh Kelompok Hacker Ghostwriter yang Terkait dengan Rusia

January 4, 2023 by Coffee Bean

Pemerintah Polandia memperingatkan lonjakan serangan dunia maya dari peretas yang terkait dengan Rusia, termasuk kelompok peretasan yang disponsori negara yang dikenal sebagai GhostWriter.

Polandia yakin peretas Rusia menargetkan negara mereka karena dukungan berkelanjutan yang mereka berikan kepada Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia.

Cyberattack Terbaru
Kasus pertama yang disorot oleh pos pemerintah Polandia adalah serangan DDoS (distributed denial of service) terhadap situs web parlemen (‘sejm.gov.pl’), yang dikaitkan dengan NoName057(16) aktivis peretas pro-Rusia.’

Serangan itu terjadi sehari setelah parlemen mengadopsi resolusi yang mengakui Rusia sebagai negara sponsor terorisme, membuat situs web tidak dapat diakses oleh publik.

Menurut orang Polandia, para peretas Rusia membuat situs web yang menyamar sebagai domain pemerintah gov.pl, mempromosikan kompensasi keuangan palsu untuk penduduk Polandia yang diduga didukung oleh dana Eropa.

Mengklik tombol tersemat untuk mempelajari lebih lanjut tentang program membawa korban ke situs phishing di mana mereka diminta membayar sedikit biaya untuk verifikasi.

Kampanye ’22 Desember yang menyamar sebagai administrasi pajak Polandia (gov.pl)

GhostWriter telah aktif setidaknya sejak 2017, sebelumnya diamati meniru jurnalis dari Lituania, Latvia, dan Polandia, untuk menyebarkan informasi palsu dan narasi anti-NATO kepada khalayak lokal.

Menanggapi meningkatnya ancaman dunia maya, Perdana Menteri Polandia telah meningkatkan tingkat ancaman keamanan dunia maya menjadi ‘CHARLIE-CRP’, memperkenalkan berbagai langkah seperti mempertahankan daftar 24 jam di kantor yang ditunjuk dan organisasi administrasi publik.

sumber : BleepingComputBleepingComputer

Grup Peretasan Baru Menggunakan Pemuat Cobalt Strike ‘Symatic’ Khusus

November 10, 2022 by Coffee Bean

A previously unknown Chinese APT (advanced persistent threat) hacking group dubbed ‘Earth Longzhi’ targets organizations in East Asia, Southeast Asia, and Ukraine.

Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Earth Baku,’ keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41.

Diagram sub-grup APT41 (Trend Micro)

Kampanye lama Earth Longzhi
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.

Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:

Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.

Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.

Timeline kampanye kedua (Trend Micro)

Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.

Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.

Khususnya, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.

ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:

– Windows 7 SP1
– Windows Server 2008 R2 SP1
– Windows 8.1
– Windows Server 2012 R2
– Windows 10 1607, 1809, 20H2, 21H1
– Windows Server 2018 1809
– Windows 11 21H2, 22449, 22523, 22557

Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.

sumber : bleeping computer

AS Telah Merilis Katalog Kejahatan Siber Korea Utara Paling Lengkap yang Pernah Dipublikasikan

February 20, 2021 by Winnie the Pooh

Korea Utara selalu sedikit berbeda di antara negara-negara yang menggunakan kemampuan siber ofensif secara ekstensif.

Dakwaan bulan Desember yang disegel minggu ini oleh Departemen Kehakiman memperjelas betapa sentral keuntungan finansial bagi aktivitas siber Korea Utara. Lebih penting lagi, ini menjelaskan sejauh mana cryptocurrency dan kejahatan siber dapat memungkinkan negara-negara untuk melemahkan sanksi ekonomi yang ada.

Surat dakwaan tersebut menuntut tiga peretas yang bekerja untuk Biro Umum Pengintaian Korea Utara dengan daftar panjang gangguan komputer dan kejahatan siber yang menargetkan korban di seluruh dunia dan total sekitar $1,3 miliar dalam upaya pencurian dan pemerasan.

Insiden tersebut berkisar dari serangan terkenal seperti pelanggaran Sony Pictures dan WannaCry hingga gangguan dan pencurian dari Bank Bangladesh, Eksterior Banco Nacional de Comercio di Meksiko (Bancomext), BankIslami Pakistan Limited, Otoritas Pengawasan Keuangan Polandia, dan kasino serta perusahaan cryptocurrency di Amerika Tengah dan Asia, untuk menyebutkan beberapa saja.

Tuduhan tersebut termasuk transfer SWIFT yang curang untuk memanipulasi komputer bank untuk mengeluarkan uang tunai dari ATM, mengembangkan dan mendistribusikan program cryptocurrency yang sebenarnya adalah malware, mencuri dari perusahaan cryptocurrency di seluruh dunia.

Ini adalah katalog kejahatan siber Korea Utara terlengkap dan terpanjang yang pernah dipublikasikan di Amerika Serikat, dan mencakup cukup detail untuk menunjukkan tidak hanya seberapa luas cakupan eksploitasi siber Korea Utara, tetapi juga aktivitas mana yang paling menguntungkan.

Selengkapnya: Slate

Keluarga Malware Beralih ke Layanan Seperti Pastebin yang Sah

October 6, 2020 by Winnie the Pooh

Penjahat siber semakin beralih ke layanan web yang sah dan mirip Pastebin untuk mengunduh malware – seperti AgentTesla dan LimeRAT – dalam serangan spear-phishing.

Pastebin, layanan hosting kode yang memungkinkan pengguna untuk berbagi plain text melalui pos publik yang disebut “pastes”, saat ini memiliki 17 juta pengguna unik bulanan dan populer di kalangan penjahat siber (seperti grup FIN5 APT dan grup ancaman Rocke) untuk menampung muatan mereka atau infrastruktur command-and-control (C2).

Tapi sekarang, lebih banyak kelompok malware dan ransomware mulai menggunakan layanan lain, dengan domain Paste.nrecom[.]Net.

Layanan ini sudah ada sejak Mei 2014, dan memiliki fungsi yang mirip dengan Pastebin. Ia juga memiliki API (didukung oleh pastebin berbasis PHP open-source Stikked) yang memungkinkan untuk pembuatan skrip.

Peneliti dengan Juniper Networks mengatakan bahwa fitur API menguntungkan bagi penjahat siber, yang dapat memanfaatkannya untuk dengan mudah memasukkan dan memperbarui data mereka secara terprogram.

Peneliti mengatakan bahwa serangan yang memanfaatkan layanan tersebut umumnya dimulai dengan email spear-phishing yang menyertakan lampiran (seperti dokumen, arsip, atau file yang dapat dieksekusi). Penerima ditipu untuk membuka lampiran berbahaya (sebagai tahap pertama serangan), yang kemudian mendownload tahap berikutnya dari paste.nrecom[.]Net.

Ke depan, para peneliti memperingatkan bahwa lebih banyak keluarga malware akan beralih ke layanan web yang sah untuk menghosting infrastruktur berbahaya mereka.

“Menggunakan layanan web yang sah seperti pastebin atau paste.nrecom untuk infrastruktur malware memberikan keuntungan bagi penjahat siber, karena layanan ini tidak dapat dengan mudah dihapus karena penggunaannya yang sah,” kata peneliti.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Weave Scope dieksploitasi dalam serangan terhadap lingkungan cloud

September 14, 2020 by Winnie the Pooh

TeamTNT telah menambahkan perangkat lunak Weave Scope yang sah ke perangkat serangannya dalam upaya menyusup ke lingkungan cloud.

Menurut penelitian baru yang diterbitkan oleh perusahaan keamanan siber Intezer dan Microsoft minggu ini, ini mungkin pertama kalinya Weave Scope disertakan dalam serangan berbasis cloud.

TeamTNT sebelumnya telah dikaitkan ke serangan terhadap instalasi Docker dan Kubernetes. Bulan lalu, pelaku ancaman juga memiliki kaitan dengan botnet penambangan cryptocurrency yang mampu mencuri kredensial AWS dari server. Grup ini juga diketahui mengunggah image Docker yang berbahaya ke Docker Hub.

Microsoft mengatakan bahwa image berbahaya yang terlihat pada pertengahan Agustus disebarkan dari repositori yang tidak terlihat dalam serangan sebelumnya. Satu image Docker, khususnya, pause-amd64: 3.3, terhubung ke server yang berbasis di Jerman yang berisi skrip berbahaya dan alat tambahan yang digunakan oleh grup.

Weave Works ‘Weave Scope adalah perangkat lunak visualisasi dan pemantauan sumber terbuka untuk Docker, Kubernetes, Sistem Operasi Cloud Terdistribusi (DC / OS), dan AWS Elastic Compute Cloud (ECS), yang memungkinkan pengguna untuk menonton proses yang sedang berjalan dan koneksi jaringan kontainer di lingkungan cloud melalui antarmuka khusus. Perangkat lunak ini juga mengizinkan administrator untuk menjalankan shell dalam cluster sebagai root, dan tidak memerlukan autentikasi secara default.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hacking Group

Cookies Settings