Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Middle East

Middle East

Cara lama: BabLock, ransomware baru yang diam-diam menjelajahi Eropa, Timur Tengah, dan Asia

by

Pada pertengahan Januari 2023, tim Digital Forensics and Incident Response Group-IB yang berbasis di Amsterdam dipanggil untuk menyelidiki salah satu serangan pasca-liburan Tahun Baru terhadap perusahaan sektor industri di Eropa.

Selama penyelidikan, para ahli Group-IB menetapkan bahwa korban telah dienkripsi dengan jenis ransomware yang sebelumnya tidak dikenal. Ketegangan, pertama kali ditemukan oleh peneliti Group-IB pada Januari 2023, diberi nama kode BabLock, karena versinya untuk Linux dan ESXi memiliki kesamaan dengan ransomware Babuk yang bocor.

Terlepas dari kesamaan kecil ini, grup ini memiliki modus operandi yang sangat berbeda dan ransomware canggih khusus untuk Windows. Selain itu, geng BabLock (juga dilacak dengan nama “Rorschach” oleh CheckPoint), tidak seperti kebanyakan “rekan industri”, tidak menggunakan Situs Kebocoran Data (DLS) dan berkomunikasi dengan korbannya melalui email.

Tidak adanya DLS, bersama dengan permintaan tebusan yang relatif sederhana mulai dari 50.000 hingga 1.000.000 USD, memungkinkan grup untuk beroperasi secara diam-diam dan tetap berada di bawah radar peneliti keamanan siber. Strain tersebut telah aktif setidaknya sejak Juni 2022, ketika versi ESXi yang paling awal diketahui dirilis. Menariknya, semua modul ransomware BabLock untuk Windows yang ditemukan oleh peneliti Group-IB dikompilasi pada tahun 2021, menurut stempel waktu.

Selain Eropa, kelompok tersebut diduga melakukan serangan di Asia dan Timur Tengah, berdasarkan sampel BabLock yang diserahkan ke VirusTotal. Khususnya, grup tersebut tidak mengenkripsi perangkat yang menggunakan bahasa Rusia dan bahasa lain yang digunakan di ruang pasca-Soviet.

Artefak yang dikumpulkan selama keterlibatan respons insiden di Eropa menyarankan BabLock menggunakan taktik canggih seperti eksploitasi CVE, pemuatan samping DLL serta anti-analisis kompleks dan teknik penghindaran deteksi.

Selengkapnya: Group IB

Operator telekomunikasi yang ditargetkan dalam kampanye peretasan spionase baru-baru ini

by

Para peneliti telah melihat kampanye peretasan spionase baru yang menargetkan penyedia layanan telekomunikasi dan TI di Timur Tengah dan Asia.

Kampanye telah dilakukan selama enam bulan terakhir, dan ada hubungan tentatif dengan aktor yang didukung Iran, MERCURY (alias MuddyWater, SeedWorm, atau TEMP.Zagros).

Laporan tersebut berasal dari Tim Pemburu Ancaman di Symantec, yang telah mengumpulkan bukti dan sampel perangkat dari serangan baru-baru ini di Israel, Yordania, Kuwait, Arab Saudi, Uni Emirat Arab, Pakistan, Thailand, dan Laos.

Penyerang tampaknya paling tertarik pada Server Exchange yang rentan, yang mereka gunakan untuk penyebaran shell web.

Setelah pelanggaran awal, mereka mencuri kredensial akun dan bergerak secara lateral di jaringan perusahaan. Dalam beberapa kasus, mereka menggunakan pijakan mereka untuk berporos ke organisasi lain yang terhubung.

Meskipun vektor infeksi tidak diketahui, Symantec dapat menemukan kasus file ZIP bernama “Special discount program.zip,” yang berisi installer untuk aplikasi perangkat lunak desktop jarak jauh. Pelaku ancaman mungkin mendistribusikan email spear-phishing ke target tertentu.

Meskipun atribusinya tidak pasti, Symantec mencatat dua alamat IP yang tumpang tindih dengan infrastruktur yang digunakan dalam serangan MuddyWater yang lebih lama.

Selain itu, perangkat yang digunakan memiliki beberapa kesamaan dengan serangan Maret 2021 yang dilaporkan oleh peneliti Trend Micro.

Namun, banyak aktor yang didukung negara Iran menggunakan alat yang tersedia dan secara teratur beralih infrastruktur, dan dengan demikian, tidak ada atribusi konklusif yang dapat dibuat saat ini.

Selengkapnya: Bleeping Computer

Seedworm: Grup Terkait Iran Terus Menargetkan Organisasi di Timur Tengah

by

Seedworm (alias MuddyWater), kelompok spionase yang memiliki kaitan dengan Iran, telah sangat aktif dalam beberapa bulan terakhir, menyerang berbagai sasaran, termasuk sejumlah besar organisasi pemerintah di Timur Tengah.

Banyak organisasi yang diserang oleh Seedworm dalam beberapa bulan terakhir juga menjadi sasaran alat yang baru ditemukan bernama PowGoop (Downloader.Covic), menunjukkan bahwa itu adalah alat yang telah dimasukkan Seedworm ke dalam gudang senjatanya.

Gelombang serangan Seedworm baru-baru ini diungkap oleh Targeted Attack Cloud Analytics dari Symantec. Di antara hal-hal yang ditandai oleh Cloud Analytics adalah kunci registri yang disebut “SecurityHealthCore”. Kode yang berada di kunci registri ini dijalankan oleh PowerShell dari tugas terjadwal. Di semua organisasi tempat kunci registri ini ditemukan, backdoor Seedworm (Pintu Belakang .Mori) kemudian terdeteksi.

Serangan ini ditemukan terhadap sasaran di Irak, Turki, Kuwait, Uni Emirat Arab, dan Georgia. Selain beberapa entitas pemerintah, organisasi di sektor telekomunikasi dan layanan komputer juga menjadi sasaran.

Aktivitas seedworm berlanjut hingga setidaknya Juli 2020, dengan pemasangan alat peretasan tambahan oleh penyerang.

Symantec mengamati Seedworm juga melakukan aktivitas pencurian kredensial serta menyiapkan terowongan ke infrastrukturnya sendiri untuk membantu pergerakan lateral menggunakan alat sumber terbuka yang disebut Secure Sockets Funneling (SSF) dan Chisel.

Detail teknis mengenai kelompok ini dan teknik serangan dapat diakses melalui link berikut;
Source: Symantec

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

by

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet