Initial Access

Catatan BumbleBee

April 2, 2023 by Søren

BumbleBee dikategorikan sebagai Loader, malware ini digunakan oleh Broker Akses Awal untuk mendapatkan akses di perusahaan yang ditargetkan. Artikel ini bertujuan untuk merangkum berbagai TTP yang diamati dalam kampanye yang mendistribusikan BumbleBee dan menyediakan skrip untuk mengekstrak konfigurasinya.

Malware memiliki mekanisme pembongkaran khusus, ia memanipulasi kait untuk mengatur rantai eksekusinya, pemuat menggunakan beberapa teknik deteksi lingkungan karena integrasi lengkap dari proyek al-khaser

Itu berkomunikasi dengan perintah dan kontrolnya melalui HTTP. Sejak Agustus 2022 malware menyematkan daftar alamat IP dalam konfigurasinya, beberapa di antaranya adalah alamat IP yang sah, teknik ini juga digunakan oleh malware lain seperti Emotet dan Trickbot.

Comman and control, alamat IP, port, dan pengidentifikasi bot (atau botnet) disimpan di bagian .data BumbleBee, disamarkan dengan algoritme enkripsi RC4. Skrip untuk mengekstrak dan menghapus penyamarannya disediakan di akhir postingan ini.

Selama musim panas 2022, aktor memperbarui format gambar disk dari ISO ke VHD. Konten gambar disk (VHD) juga berubah, DLL tidak lagi disimpan sebagai file, tetapi disematkan dalam skrip PowerShell. Skrip dijalankan oleh LNK dengan kebijakan eksekusi disetel ke bypass.

DLL BumbleBee disimpan dalam skrip PowerShell dalam string yang disamarkan (misalnya: $elem30=$elem30.$casda.Invoke(0,”H”)). Setelah penggantian string, variabel yang disandikan base64 didekodekan, didekompresi (ungzip) dan dipanggil (mis: scriptPath | iex).

Layanan berbagi file yang digunakan untuk mengirimkan perubahan BumbleBee secara teratur misalnya: WeTransfer, Onedrive, Smash, dll. Detail kampanye menggunakan situs web berbagi file onedrive tertulis di artikel: Kampanye Bumblebee DocuSign.

Selengkapnya: Krakz

Peretas mengambil alih akun CEO dengan aplikasi OAuth jahat

January 30, 2022 by Søren

Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.

Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.

Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.

OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.

Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.

Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.

Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.

Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.

Selengkapnya: Bleeping Computer

Para peretas ini menjual login jaringan ke penawar tertinggi. Dan geng ransomware membelinya

February 24, 2021 by Winnie the Pooh Leave a Comment

Kelas penjahat siber yang sedang berkembang memainkan peran penting di pasar bawah tanah dengan melanggar jaringan perusahaan dan menjual akses ke penawar tertinggi untuk dieksploitasi sesuka mereka.

Pembelian dan penjualan kredensial login yang dicuri dan bentuk akses jarak jauh lainnya ke jaringan telah lama menjadi bagian dari ekosistem dark web, tetapi menurut analisis para peneliti keamanan siber di Digital Shadows, terdapat peningkatan penting dalam daftar oleh ‘Initial Access Brokers’ selama setahun terakhir.

Broker ini bekerja untuk meretas jaringan tetapi alih-alih menghasilkan keuntungan dengan melakukan kampanye siber mereka sendiri, mereka akan bertindak sebagai perantara, menjual jalan masuk ke jaringan ke penjahat lain, menghasilkan uang dari penjualan.

Akses melalui Remote Desktop Protocol (RDP) adalah daftar yang paling dicari oleh penjahat siber. Permintaan ini – dan potensi akses yang ditawarkannya – tercermin dalam harga daftar, dengan harga jual rata-rata untuk akses mulai dari $ 9.765.

Metode akses ini sangat populer di kalangan geng ransomware, yang berpotensi mendapatkan kembali apa yang mereka bayarkan untuk akses berkali-kali lipat dengan mengeluarkan tuntutan tebusan ratusan ribu atau bahkan jutaan dolar: $ 10.000 untuk akses awal hampir tidak berharga, jika target bisa diperas untuk membayar tebusan bitcoin.

Selengkapnya: ZDNet

‘Akses jaringan’ yang dijual di forum peretas diperkirakan $500.000 pada September 2020

October 15, 2020 by Winnie the Pooh

Jumlah iklan di forum peretasan yang menjual akses ke jaringan TI yang disusupi telah naik tiga kali lipat pada September 2020, dibandingkan dengan bulan sebelumnya.

Dalam sebuah laporan yang diterbitkan dan dibagikan dengan ZDNet, perusahaan keamanan siber KELA mengatakan bahwa mereka mengindeks 108 daftar “akses jaringan” yang diposting di forum peretasan populer bulan lalu, secara kolektif dinilai dengan total harga yang diminta sekitar $505.000.

Dari jumlah tersebut, KELA mengatakan sekitar seperempat dari daftar dijual ke pelaku ancaman lain yang ingin menyerang perusahaan yang dikompromikan.

Sementara beberapa “perantara akses awal” bermitra dengan geng ransomware, banyak yang tidak memiliki koneksi yang dalam dan reputasi yang dibutuhkan dalam ekonomi kejahatan siber tertutup untuk membangun kemitraan ini sejak awal. Sebaliknya, perantara ini mulai menjual jaringan mereka yang dikompromikan di forum peretasan populer seperti XSS, Exploit, RAID, dan lainnya.

Banyak broker juga menjual akses ke endpoint RDP atau VNC yang dikompromikan. Sebagian besar sistem ini dikompromikan melalui serangan brute force yang diluncurkan dengan botnet IoT, sementara yang lain dibeli dari toko RDP klasik, aksesnya diperluas dari tingkat pengguna ke admin, dan kemudian dijual kembali di forum dengan harga lebih tinggi.

Berdasarkan pemantauannya, KELA mengatakan bahwa harga rata-rata untuk jaringan yang dikompromikan yang dijual di forum peretas adalah sekitar $4.960, dengan kisaran harga mulai dari $25 hingga $102.000.

Pengamatan menarik lainnya adalah bahwa perantara akses awal cenderung menggunakan “nilai” perusahaan daripada ukuran jaringannya saat memutuskan harga, mengutip statistik seperti pendapatan tahunan daripada jumlah endpoints.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Initial Access

Cookies Settings