Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Korea Selatan

Korea Selatan

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

GwisinLocker ransomware secara eksklusif menargetkan Korea Selatan

by

Para peneliti memperingatkan ransomware baru yang disebut GwisinLocker yang mampu mengenkripsi server ESXi Windows dan Linux. Ransomware menargetkan perusahaan perawatan kesehatan, industri, dan farmasi Korea Selatan, namanya berasal dari nama penulis ‘Gwisin’ (hantu dalam bahasa Korea).

Ransomware didistribusikan melalui serangan yang ditargetkan terhadap organisasi tertentu.

Para ahli juga melaporkan bahwa nama-nama entitas Korea Selatan, seperti polisi Korea, Badan Intelijen Nasional, dan KISA, tercantum dalam catatan tebusan.

Aktor ancaman Gwisin memukul perusahaan Korea pada hari libur dan dini hari menurut media lokal.

Rantai serangan pada sistem Windows memanfaatkan penginstal MSI dan memerlukan nilai khusus sebagai argumen untuk menjalankan file DLL yang disertakan dalam MSI.

“Ini mirip dengan Magniber karena beroperasi dalam bentuk penginstal MSI. Namun tidak seperti Magniber yang menargetkan individu acak, Gwisin tidak melakukan perilaku jahat sendiri, membutuhkan nilai khusus untuk argumen eksekusi. Nilai tersebut digunakan sebagai informasi kunci untuk menjalankan file DLL yang disertakan dalam MSI.”

“Dengan demikian, file itu sendiri tidak melakukan aktivitas ransomware pada produk keamanan dari berbagai lingkungan sandbox, sehingga sulit untuk mendeteksi Gwisin. DLL internal ransomware beroperasi dengan disuntikkan ke dalam proses Windows normal. Prosesnya berbeda untuk setiap perusahaan yang terinfeksi.”

Ransomware GwisinLocker dapat beroperasi dalam mode aman, pertama-tama menyalin dirinya sendiri ke jalur ProgramData tertentu dan kemudian terdaftar sebagai layanan sebelum memaksa sistem reboot.

Sumber Ahnlab

Peneliti dari Reversinglabs menganalisis versi Linux dari ransomware, mereka menunjukkan bahwa itu adalah malware canggih dengan fitur yang dirancang khusus untuk mengelola host Linux dan menargetkan mesin virtual VMWare ESXI. GwisinLocker menggabungkan enkripsi kunci simetris AES dengan hashing SHA256, yang menghasilkan kunci unik untuk setiap file.

Para korban varian GwisinLocker Linux diharuskan masuk ke portal yang dioperasikan oleh grup untuk menghubungi para penjahat.

“Analisis dan pelaporan publik dari kampanye GwisinLocker yang lebih besar menunjukkan bahwa ransomware ada di tangan aktor ancaman canggih yang mendapatkan akses ke dan kontrol atas lingkungan target sebelum penyebaran ransomware. Itu termasuk mengidentifikasi dan mencuri data sensitif untuk digunakan dalam apa yang disebut kampanye “pemerasan ganda”. menyimpulkan laporan yang diterbitkan oleh Reversinglabs.

“Rincian dalam contoh catatan tebusan kelompok menunjukkan keakraban dengan bahasa Korea serta pemerintah Korea Selatan dan penegak hukum. Hal ini menimbulkan spekulasi bahwa Gwisin mungkin adalah kelompok ancaman persisten lanjutan (APT) yang terkait dengan Korea Utara”

Sumber : Security Affairs

Peretas Kimsuki menggunakan RAT komoditas dengan malware Gold Dragon khusus

by

Peneliti Korea Selatan melihat aktivitas baru dari kelompok peretasan Kimsuky, yang melibatkan alat akses jarak jauh sumber terbuka komoditas yang dijatuhkan dengan pintu belakang khusus mereka, Gold dragon.

Grup ini telah menunjukkan keserbagunaan operasional yang mengesankan dan pluralisme aktivitas ancaman, terlibat dalam distribusi malware, phishing, pengumpulan data, dan bahkan pencurian cryptocurrency.

Analis di ASEC (AhnLab), Kimsuky menggunakan xRAT dalam serangan yang ditargetkan terhadap entitas Korea Selatan. Kampanye dimulai pada 24 Januari 2022, dan masih berlangsung.

xRAT adalah akses jarak jauh sumber terbuka dan alat administrasi yang tersedia secara gratis di GitHub. Malware ini menyediakan berbagai fitur seperti keylogging, remote shell, tindakan pengelola file, proxy HTTPS terbalik, komunikasi AES-128, dan rekayasa sosial otomatis.

Pelaku ancaman yang canggih dapat memilih untuk menggunakan RAT komoditas karena, untuk operasi pengintaian dasar, alat ini sangat memadai dan tidak memerlukan banyak konfigurasi.

Hal ini memungkinkan pelaku ancaman untuk memfokuskan sumber daya mereka pada pengembangan malware tahap selanjutnya yang memerlukan fungsionalitas lebih khusus tergantung pada alat/praktik pertahanan yang ada pada target.

Selain itu, RAT komoditas berbaur dengan aktivitas dari spektrum pelaku ancaman yang luas, sehingga mempersulit analis untuk mengaitkan aktivitas jahat dengan kelompok tertentu.

Pintu belakang Gold Dragon
Gold Dragon adalah backdoor tahap kedua yang biasanya disebarkan Kimsuky setelah serangan tahap pertama berbasis PowerShell tanpa file yang memanfaatkan steganografi.

Namun, seperti yang dijelaskan ASEC dalam laporannya, varian yang mereka temukan dalam kampanye terbaru ini memiliki fungsi tambahan seperti eksfiltrasi informasi sistem dasar.

Malware tidak lagi menggunakan proses sistem untuk fungsi ini, tetapi menginstal alat xRAT untuk mencuri informasi yang diperlukan secara manual.

RAT berada di bawah penyamaran yang dapat dieksekusi bernama cp1093.exe, yang menyalin proses PowerShell normal (powershell_ise.exe) ke jalur “C:\ProgramData\” dan dijalankan melalui proses lekukan.

Pada aspek operasional Naga Emas, ia terus menggunakan metode pengosongan proses yang sama pada iexplore.exe dan svchost.exe, dan masih mencoba untuk menonaktifkan fitur deteksi waktu nyata di produk AhnLab AV.

Selanjutnya, penginstal menambahkan kunci registri baru untuk membuat persistensi startup untuk muatan malware (glu32.dll).

Entri registri baru untuk muatan utama
Sumber: ASEC

Akhirnya, Kimsuky menjatuhkan uninstaller (UnInstall_kr5829.co.in.exe) yang dapat menghapus jejak kompromi jika dan saat dibutuhkan.

Kimsuky’s infection trace wiper
Source: ASEC

AhnLab menyarankan agar pengguna tidak membuka lampiran pada email dari sumber yang tidak dikenal, karena ini tetap menjadi saluran utama distribusi malware untuk Kimsuky.

Sumber : Bleeping Computer

Jaringan Nasional di Korea Selatan Down Selama 40menit

by

Jaringan nasional KT mengalami pemadaman pada hari Senin selama sekitar 40 menit sekitar pukul 11 ​​pagi waktu setempat. Akibatnya pelanggan tidak dapat menggunakan kartu kredit, perdagangan saham, atau mengakses aplikasi, sementara beberapa situs web komersial besar juga ditutup selama periode tersebut.

Kementerian TI Korea Selatan masih menyelidiki apa yang menyebabkan pemadaman jaringan KT secara nasional. Perusahaan telekomunikasi Korea Selatan KT mengatakan pemadaman jaringannya pada hari Senin disebabkan oleh masalah router internal, berbeda dari klaim awalnya bahwa insiden itu disebabkan oleh serangan penolakan layanan (DDoS) skala besar.

Dalam sebuah pernyataan, perusahaan telekomunikasi itu awalnya mencurigai serangan DDoS karena terjadi kelebihan lalu lintas namun setelah meneliti lebih jauh, ditemukan bahwa penyebabnya adalah kesalahan perutean. KT menambahkan akan bekerja sama dengan pemerintah untuk menyelidiki penyebab pastinya.

Sampai Selasa malam belum ada pernyataan resmi apa yang menyebabkan kesalahan perutean dan bagaimana hal ini menyebabkan pemadaman.Polisi Korea Selatan mengatakan tidak dapat menemukan keadaan apa pun untuk menunjukkan bahwa ada serangan dunia maya eksternal dalam penyelidikan awal.

Sementara itu, Kementerian Sains dan TIK masih melakukan penyelidikan sendiri atas masalah tersebut. Kementerian telah memerintahkan KT untuk menyelidiki sejauh mana kerusakan yang diakibatkan oleh pemadaman tersebut kepada pelanggan.

source: ZDNET

Facebook didenda di Korea Selatan karena membagikan data pengguna tanpa persetujuan

by

Facebook telah didenda 6,7 ​​miliar won, sekitar $ 6 juta, di Korea Selatan karena membagikan data pengguna tanpa persetujuan mereka. Komisi Perlindungan Informasi Pribadi (PIPC) mengatakan perusahaan AS membagikan data setidaknya 3,3 juta dari 18 juta penggunanya di Korea ke perusahaan lain tanpa persetujuan mereka antara Mei 2012 hingga Juni 2018.

Komisi tersebut mengatakan akan mengajukan tuntutan pidana terhadap Facebook karena melanggar undang-undang informasi pribadi setempat. Informasi yang dibagikan oleh Facebook termasuk nama pengguna, riwayat akademis, riwayat pekerjaan, kota asal, dan status hubungan.

Ketika pengguna masuk ke aplikasi pihak ketiga lainnya menggunakan akun Facebook mereka, informasi mereka dan milik teman mereka dibagikan dengan layanan yang mereka gunakan, kata PIPC. Teman-teman ini tidak menyadari bahwa informasi mereka dibagikan dengan layanan tersebut tanpa izin mereka, katanya.

“Seorang pengguna setuju untuk membagikan informasi mereka dengan layanan tertentu ketika mereka masuk dengan akun Facebook mereka. Namun, teman-teman pengguna tersebut tidak, dan mereka tidak menyadari bahwa data mereka juga sedang dibagikan,” kata komisi tersebut.

Aplikasi pihak ketiga ini kemudian menggunakan data yang disediakan oleh Facebook tanpa izin pengguna untuk membuat iklan yang disesuaikan untuk ditampilkan di layanan media sosial. Facebook akhirnya menghasilkan keuntungan yang tidak adil dengan membagikan data pengguna tanpa persetujuan mereka, kata PIPC.

Facebook juga menyimpan data kata sandi pengguna tanpa enkripsi, dan tidak memberi tahu pengguna secara teratur ketika perusahaan mengakses data mereka, tambahnya.

sumber : ZDNET