Lazarus

Kelompok peretas juga menggunakan IE zero-day melawan peneliti keamanan

February 5, 2021 by Winnie the Pooh

Kerentanan Internet Explorer zero-day telah ditemukan digunakan dalam serangan Korea Utara baru-baru ini terhadap peneliti keamanan dan kerentanan.

Bulan lalu, Google mengungkapkan bahwa kelompok peretas yang disponsori negara Korea Utara yang dikenal sebagai Lazarus sedang melakukan serangan rekayasa sosial terhadap peneliti keamanan.

Untuk melakukan serangan mereka, para pelaku ancaman menciptakan persona ‘peneliti keamanan’ online yang rumit yang kemudian akan menggunakan media sosial untuk menghubungi peneliti keamanan terkenal untuk berkolaborasi dalam pengembangan kerentanan dan eksploitasi.

Sebagai bagian dari kolaborasi ini, para penyerang mengirim Proyek Visual Studio berbahaya dan tautan ke situs web yang menghosting alat eksploitasi yang akan memasang backdoor di komputer peneliti.

Hari ini, firma keamanan siber Korea Selatan ENKI melaporkan bahwa Lazarus menargetkan peneliti keamanan di tim mereka dengan file MHTML dalam kampanye rekayasa sosial ini.

Sementara mereka menyatakan bahwa serangan tersebut gagal, mereka menganalisis muatan yang diunduh oleh file MHT dan menemukan bahwa itu berisi eksploitasi untuk kerentanan zero-day Internet Explorer.

File MHT yang dikirim ke peneliti ENKI berisi apa yang diduga eksploitasi Chrome 85 RCE dan diberi nama ‘Chrome_85_RCE_Full_Exploit_Code.mht.’

Saat file MHT/MHTML dibuka, Internet Explorer secara otomatis diluncurkan untuk menampilkan konten file MHT. Jika eksekusi skrip diizinkan, ENKI mengatakan bahwa javascript berbahaya akan mengunduh dua muatan, dengan satu muatan mengandung zero-day melawan Internet Explorer.

Selengkapnya: Bleeping Computer

Peretas negara Korea Utara meretas entitas penelitian COVID-19

December 30, 2020 by Winnie the Pooh

Peretas negara Korea Utara yang dilacak sebagai Lazarus Group baru-baru ini membobol organisasi yang terlibat dalam penelitian dan pengembangan vaksin COVID-19.

Untuk melakukan itu, mereka menyusup ke jaringan perusahaan farmasi dan kementerian kesehatan pemerintah pada bulan September dan Oktober.

Setelah menyusup ke jaringan mereka, peretas negara bagian Korea Utara menyebarkan Bookcode (secara eksklusif digunakan oleh Lazarus) dan malware wAgent dengan kemampuan backdoor.

Dalam serangan yang terjadi pada 27 Oktober, malware wAgent memiliki “skema infeksi yang sama dengan malware yang digunakan oleh grup Lazarus sebelumnya dalam serangan terhadap bisnis cryptocurrency.”

Dalam serangan yang menargetkan perusahaan farmasi mulai 25 September, operator Lazarus menggunakan malware Bookcode untuk mengumpulkan informasi sistem, “registri sam dump yang berisi hash sandi”, dan info Active Directory.

Meskipun di masa lalu para peretas menyebarkan malware ini dalam serangan rantai pasokan dan melalui spearphishing, dalam hal ini vektor serangan tidak ditemukan.

Kaspersky tidak mengungkapkan identitas perusahaan farmasi yang dikompromikan dalam serangan ini, tetapi mereka mengatakan bahwa mereka terlibat dalam pengembangan vaksin COVID-19 dan juga “diberi wewenang untuk memproduksi dan mendistribusikan vaksin COVID-19”.

Sumber: Bleeping Computer

Malware Lazarus menyerang rantai pasokan Korea Selatan

November 17, 2020 by Winnie the Pooh

Malware Lazarus telah dilacak dalam kampanye baru melawan rantai pasokan Korea Selatan, yang kemungkinan menggunakan sertifikat keamanan yang dicuri.

Pada hari Senin, peneliti keamanan siber dari ESET mengungkapkan penyalahgunaan sertifikat, yang dicuri dari dua perusahaan resmi Korea Selatan yang terpisah.

Lazarus, juga dikenal sebagai Hidden Cobra, adalah istilah umum untuk kelompok ancaman tertentu – termasuk entitas cabang – yang dicurigai terkait dengan Korea Utara.

Dalam serangan rantai pasokan ini, pelaku ancaman menggunakan “mekanisme rantai pasokan yang tidak biasa,” kata ESET, di mana Lazarus menyalahgunakan persyaratan standar untuk pengguna internet Korea Selatan – kebutuhan untuk memasang perangkat lunak keamanan tambahan saat mereka mengunjungi situs web pemerintah atau layanan keuangan.

Biasanya, pengguna akan diminta untuk mengunduh WIZVERA VeraPort, program yang digunakan untuk mengatur unduhan perangkat lunak yang diperlukan untuk mengunjungi domain tertentu. WIZVERA VeraPort menandatangani secara digital dan memverifikasi unduhan secara kriptografis.

“[Inilah] mengapa penyerang tidak dapat dengan mudah mengubah konten file konfigurasi ini atau membuat situs palsu mereka sendiri,” kata para peneliti. “Namun, para penyerang dapat mengganti perangkat lunak yang akan dikirimkan ke pengguna WIZVERA VeraPort dari situs web yang sah tetapi disusupi. Kami yakin ini adalah skenario yang digunakan penyerang Lazarus”.

Lazarus telah menargetkan link yang lebih lemah dalam rantai tersebut dengan secara ilegal memperoleh sertifikat penandatanganan kode dari dua perusahaan keamanan Korea Selatan.

Untuk mengeksploitasi perangkat lunak, sertifikat yang dicuri – tetapi valid – digunakan untuk meluncurkan muatan malware Lazarus.

Jika korban mengunjungi situs web berbahaya, misalnya, dan tanpa disadari mengunduh perangkat lunak yang dikompromikan, Lazarus kemudian akan meluncurkan dropper melalui WIZVERA VeraPort yang mengekstrak downloader dan file konfigurasi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Lazarus membuat ransomware baru yang dicurigai disponsori oleh Korea Utara

August 2, 2020 by Winnie the Pooh Leave a Comment

VHD, Ransomware baru yang dicurigai sebagai penerus WannaCry pertama kali menarik perhatian para peneliti karena mereka belum pernah melihat ransomware yang teknik penyebarannya tidak seperti biasanya. Ransomware ini, mencoba memecahkan kata sandi SMB pada setiap mesin yang ditemukannya, dan setelah berhasil, ransomware ini menggunakan Windows Management Instrumentation untuk mengeksekusi dirinya sendiri kedalam jaringan.

Setelah mencari tahu lebih dalam, para peneliti menemukan VHD menggunakan backdoor MATA, sebuah framework yang pada Windows, macOS, dan Linux. Dalam sebuah posting yang diterbitkan minggu lalu, Kaspersky Lab menunjukkan bukti hubungan antara MATA dan Lazarus. Keduanya menggunakan backdoor Dacls.

Penggunaan VHD Lazarus konsisten dengan tujuan mendapatkan uang, yang pada September lalu, dilaporkan menghasilkan $ 2 miliar untuk mendanai senjata program pemusnah massal negara. Seperti yang dicatat oleh para peneliti, VHD memiliki jalan panjang untuk mengejar ketertinggalan dengan ransomware yang lebih canggih.

Membangun Arsitektur Security untuk mengatasi Operation North Star Campaign

August 2, 2020 by Winnie the Pooh Leave a Comment

Beberapa bulan terakhir, McAfee Advanced Threat Research (ATR) mengamati adanya aktivitas cyber-kriminal yang menargetkan Industri Penerbangan dan Pertahanan. Aktivitas ini mempunyai kemiripan teknik dengan aktivitas cyber kriminal pada tahun 2017 dan 2019. Aktivitas ini diberi nama Operation North Star.

Pada blog tersebut, dibahas langkah-langkah serangan dan cara pencegahan dengan menggunakan tools McAfee

Metode Operasi

Threat Aktor menggunakan metode spear phising dan Sosial media sebagai langkah awal untuk masauk ke sistem jaringan.Dengan menggunakan iming-iming berupa tawaran pekerjaan dalam bentuk Microsoft Word. Microsoft Word tersebut mengandung script VBA yang akan mengaktifkan file DLL. File DLL tersebut lalu mengeluarkan payload berbahaya yang terkoneksi dengan server C2 (Command and Control) Threat Aktor.

Berita selengkapnya lihat pada Blog McAfee

MATA, Malware Yang Menargetkan Organisasi Di Seluruh Dunia

July 24, 2020 by Winnie the Pooh

Peneliti keamanan di Kaspersky telah menemukan kerangka kerja multi-platform malware yang disebut “MATA” yang telah berhasil menargetkan korban di seluruh dunia.

Kaspersky menjelaskan dalam analisisnya bahwa artefak pertama yang berkaitan dengan MATA muncul kembali pada bulan April 2018. Siapa pun yang berada di belakang kerangka kerja malware ini kemudian menggunakan ancaman ini untuk menargetkan perusahaan di Polandia, Jerman, Turki, Korea, Jepang, dan India.

Organisasi yang ditargetkan beroperasi di beberapa sektor ekonomi yang berbeda. Di antara para korban adalah perusahaan perangkat lunak, bisnis e-commerce dan Penyedia Layanan Internet (ISP).

Kaspersky Lab menemukan tiga versi MATA yang menargetkan Windows, Linux dan macOS. Versi Windows terdiri dari beberapa komponen termasuk loader, orkestrator dan plugin.

Versi Linux dari MATA tersedia di situs distribusi yang sah, sedangkan varian macOS tiba sebagai trojan aplikasi otentikasi dua faktor (2FA).

Dalam analisisnya, Kaspersky Lab menghubungkan malware MATA dengan aktor ancaman terkenal:

Kami menyimpulkan bahwa kerangka kerja MATA dapat dikaitkan dengan grup APT Lazarus. Orkestrator MATA menggunakan dua nama file unik, c_2910.cls dan k_3872.cls, yang sebelumnya hanya terlihat dalam beberapa varian Manuscrypt, termasuk sampel (0137f688436c468d43b3e50878ec1a1f) yang disebutkan dalam publikasi US-CERT.

Perusahaan keamanan itu mengungkapkan bahwa varian Manuscrypt, keluarga malware yang didistribusikan oleh Lazarus, juga memiliki struktur konfigurasi yang sama dengan MATA.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Kaspersky Lab | Tripwire

Pemerintah A.S. Memastikan Ancaman Malware Baru yang ‘Berbahaya’

February 17, 2020 by Winnie the Pooh

Beberapa lembaga pemerintahan A.S. telah memperingatkan ancaman baru yang semakin meningkat dari Korea Utara. Beberapa malware tersebut baru dan sebagian lagi diperbarui.

Pada pemberitahuan yang dikeluarkan pada Hari Valentine di Twitter mengatakan, “Malware tersebut saat ini digunakan untuk phishing dan akses jarak jauh oleh aktor siber [Korea Utara] untuk melakukan aktivitas ilegal, mencuri dana dan menghindari sanksi.”

Peringatan itu memuat laporan analisis malware (MARs) untuk tujuh trojan “yang dirancang untuk memungkinkan network defender mengidentifikasi dan mengurangi peluang adanya aktivitas cyber berbahaya pemerintah Korea Utara.” Ketujuh sampel trojan (Bistromath, Slickshoes, Crowdedflounder, Hotcroissant, Artfulpie, Buffetline dan Hoplight) tersebut sudah dibagikan ke VirusTotal oleh pemerintah A.S.

Mereka berasumsi bahwa penyerang yang sama yang bertanggung jawab atas serangan ransomware WannaCry pada tahun 2017 kemungkinan berada di balik kampanye terbaru ini — disebut sebagai Lazarus oleh sektor swasta dan “Hidden Cobra” oleh pemerintah A.S.

Klik link dibawah ini untuk membaca berita selengkapnya!

Source: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Lazarus

Metode Operasi

Cookies Settings