Lazarus Group

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

November 16, 2022 by Coffee Bean

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Lazarus Group Menyebarkan Malware MagicRAT

September 8, 2022 by Eevee

Aktor negara-bangsa Korea Utara yang produktif yang dikenal sebagai Grup Lazarus telah dikaitkan dengan trojan akses jarak jauh baru yang disebut MagicRAT.

Bagian dari malware yang sebelumnya tidak diketahui dikatakan telah disebarkan di jaringan korban yang awalnya telah dilanggar melalui eksploitasi yang berhasil dari server VMware Horizon yang menghadap internet.

Lazarus Group, juga dikenal sebagai APT38, Dark Seoul, Hidden Cobra, dan Zinc, mengacu pada sekelompok aktivitas siber yang didorong oleh keuangan dan spionase yang dilakukan oleh pemerintah Korea Utara sebagai sarana untuk menghindari sanksi yang dikenakan pada negara tersebut dan memenuhi strateginya. tujuan.

Seperti kolektif payung lainnya, Winnti dan MuddyWater, kolektif peretas yang disponsori negara juga memiliki kelompok “spin-off” seperti Bluenoroff dan Andariel, yang fokus pada jenis serangan dan target tertentu.

Sementara subkelompok Bluenoroff berfokus pada menyerang lembaga keuangan asing dan melakukan pencurian moneter, Andariel mengabdikan diri untuk mengejar organisasi dan bisnis Korea Selatan.

“Lazarus mengembangkan alat serangan dan malware mereka sendiri, dapat menggunakan teknik serangan yang inovatif, bekerja dengan sangat metodis, dan membutuhkan waktu mereka,” kata perusahaan keamanan siber NCC Group dalam sebuah laporan yang merinci aktor ancaman tersebut.

“Secara khusus, metode Korea Utara bertujuan untuk menghindari deteksi oleh produk keamanan dan tetap tidak terdeteksi dalam sistem yang diretas selama mungkin.”

Penambahan terbaru untuk perangkat malware yang luas menunjukkan kemampuan grup untuk menggunakan banyak taktik dan teknik tergantung pada target dan tujuan operasional mereka.

Implan berbasis C++, MagicRAT dirancang untuk mencapai kegigihan dengan membuat tugas terjadwal pada sistem yang disusupi. Ini juga “agak sederhana” karena memberikan penyerang dengan shell jarak jauh untuk menjalankan perintah sewenang-wenang dan melakukan operasi file.

MagicRAT juga mampu meluncurkan muatan tambahan yang diambil dari server jauh pada host yang terinfeksi. Salah satu executable yang diambil dari server command-and-control (C2) berbentuk file gambar GIF, tetapi pada kenyataannya adalah pemindai port yang ringan.

Selain itu, infrastruktur C2 yang terkait dengan MagicRAT telah ditemukan menyimpan dan melayani versi TigerRAT yang lebih baru, pintu belakang yang sebelumnya dikaitkan dengan Andariel dan direkayasa untuk menjalankan perintah, mengambil tangkapan layar, mencatat penekanan tombol, dan memanen informasi sistem.

Juga tergabung dalam varian terbaru adalah fitur USB Dump yang memungkinkan musuh untuk berburu file dengan ekstensi tertentu, di samping meletakkan dasar untuk menerapkan pengambilan video dari webcam.

“Penemuan MagicRAT di alam liar merupakan indikasi motivasi Lazarus untuk dengan cepat membangun malware baru yang dipesan lebih dahulu untuk digunakan bersama dengan malware mereka yang sebelumnya dikenal seperti TigerRAT untuk menargetkan organisasi di seluruh dunia,” kata para peneliti.

Sumber:

$540 Juta Crypto Gaming Hack Dimungkinkan Dengan Skema Phishing yang Rumit

July 8, 2022 by Eevee

Klon Pokémon NFT, Axie Infinity, berubah dari terkenal karena pemain yang mengambil untung dari penipuan game “play-to-earn” menjadi terkenal karena diretas dari $ 540 juta dalam cryptocurrency.

Bagi mereka yang tidak terbiasa dengan grift Axie, pengembang Sky Mavis mengembangkan sidechain terkait Ethereum yang disebut Ronin Network dan mencangkok pada game tentang bertarung dan membiakkan monster lucu yang disebut Axie Infinity.

Di game tersebut pemain diundang untuk mendapatkan cryptocurrency berbasis Ethereum, awalnya game tersebut menghasilkan keuntungan besar karena pemain baru mencurahkan waktu dan uang mereka ke dalam platform. Namun pada awal tahun ini, perusahaan itu menghadapi segala macam hambatan, mulai dari pertumbuhan yang stagnan hingga inflasi mata uang dan, yang paling penting, salah satu peretasan crypto terbesar sepanjang masa.

Pengembang Sky Mavis mengungkapkan kembali pada bulan April bahwa pelanggaran keamanan dimungkinkan oleh seorang karyawan yang “dikompromikan” oleh “serangan spear-phishing tingkat lanjut.” “Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator,” tulis perusahaan saat itu.

The Block sekarang melaporkan, berdasarkan dua sumber yang mengetahui langsung insiden tersebut, bahwa karyawan tersebut adalah seorang insinyur senior di Axie Infinity dan cara untuk menyusup ke komputer mereka adalah tawaran pekerjaan yang terlalu bagus untuk menjadi kenyataan.

Menurut The Block, penipu yang mewakili perusahaan palsu mendekati insinyur melalui LinkedIn, mendorong mereka untuk melamar pekerjaan, mengadakan beberapa putaran wawancara, dan akhirnya membuat tawaran pekerjaan yang mencakup “paket kompensasi yang sangat murah hati.” Namun tawaran itu tertuang dalam file PDF.

Setelah Mark mengunduhnya, spyware dilaporkan dapat menyusup ke sistem Jaringan Ronin dan memberi peretas akses ke empat dari lima node (dari total sembilan) yang mereka butuhkan untuk diuangkan. Akses ke yang kelima diperoleh melalui sesuatu yang disebut Axie DAO—organisasi terpisah yang diminta oleh Sky Mavis untuk membantu masuknya transaksi selama puncak popularitas Axie Infinity. Sky Mavis gagal menghapus akses DAO dari sistemnya setelah bantuannya tidak lagi diperlukan.

Salah satu daya tarik teknologi blockchain yang banyak digembar-gemborkan adalah kemampuannya untuk membuat basis data publik dan dapat diakses oleh semua orang sambil tetap menjaganya tetap aman. Tetapi setiap pintu yang terkunci, tidak peduli seberapa kuatnya, hanya akan seaman orang yang memegang kuncinya.

Di sini, dengan Axie Infinity, kerentanan karyawan Sky Mavis diperparah oleh pintasan ceroboh yang diperlukan untuk tetap berada di puncak pertumbuhan meteorik game musim gugur lalu. (Sky Mavis telah meningkatkan total node validatornya menjadi 11, dengan rencana jangka panjang untuk memiliki lebih dari 100.)

Tentu saja, sementara itu perusahaan masih perlu membayar kembali semua orang yang kehilangan uang dalam peretasan. Pada bulan April, ia mengumpulkan $150 juta lagi, sebagian dalam upaya untuk membuat playerbase yang ada menjadi utuh kembali.

Pada bulan yang sama, FBI mengidentifikasi peretas Korea Utara “Lazarus Group” sebagai pelaku di balik serangan Axie Infinity. Badan penegak hukum federal juga baru-baru ini memperingatkan perusahaan agar tidak secara tidak sengaja mempekerjakan peretas Korea Utara sebagai spesialis TI jarak jauh.

Sumber: Kotaku

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Lazarus Group

Cookies Settings