Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for MSTIC

MSTIC

Raspberry Robin Worm Menetaskan Peningkatan yang Sangat Kompleks

by

Kelompok peretas menggunakan versi baru kerangka kerja Raspberry Robin untuk menyerang lembaga keuangan berbasis bahasa Spanyol dan Portugis

Raspberry Robin adalah worm backdoor yang menginfeksi PC melalui perangkat USB Trojan sebelum menyebar ke perangkat lain di jaringan target, bertindak sebagai loader untuk malware lainnya.

Versi Malware yang Ditingkatkan
Dalam iterasi terbaru, mekanisme perlindungan malware telah ditingkatkan untuk menerapkan setidaknya lima lapis perlindungan sebelum kode jahat diterapkan, termasuk pengemas tahap pertama untuk mengaburkan kode tahap serangan selanjutnya diikuti oleh pemuat kode shell.

Penelitian juga menunjukkan operator Raspberry Robin mulai mengumpulkan lebih banyak data tentang korban mereka daripada yang dilaporkan sebelumnya.

Dalam kasus kedua, muatan jahat dihosting di server Discord, yang digunakan oleh pelaku ancaman untuk mengirimkan malware ke mesin korban, untuk menghindari deteksi dan melewati kontrol keamanan.

Raspberry Robin Beraksi
Ancamannya bertingkah, mengikuti pola muncul, menghilang, lalu muncul kembali dengan kemampuan yang ditingkatkan secara signifikan.

Perusahaan keamanan Red Canary pertama kali menganalisis dan menamai Raspberry Robin pada bulan Mei, mencatat bahwa itu menginfeksi target melalui drive USB berbahaya dan menyebar ke titik akhir lainnya – tetapi kemudian tetap tidak aktif.

sumber : darkreading

Microsoft memperingatkan tentang serangan ransomware yang tidak biasa

by

Microsoft telah menandai bagian baru dari ransomware yang menyerang organisasi transportasi dan logistik di Ukraina dan Polandia.

Microsoft belum melihat penyerang menggunakan eksploitasi perangkat lunak tertentu tetapi semua serangan menggunakan kredensial akun admin Active Directory yang dicuri.

Catatan tebusan mengidentifikasi dirinya sebagai “ranusomeware Prestise”, menurut Microsoft Threat Intelligence Center (MSTIC).

Ransomware diluncurkan pada 11 Oktober dan menonjol bagi para peneliti karena itu adalah contoh langka di Ukraina dari penyebaran ransomware di seluruh perusahaan dan berbeda dari 94 geng ransomware lain yang dilacak Microsoft.

Selain itu, profil korban selaras dengan aktivitas negara Rusia baru-baru ini dan tumpang tindih dengan korban malware perusak HermeticWiper yang disebarkan pada awal invasi Rusia ke Ukraina. Pemerintah AS pada bulan Februari khawatir malware yang sama dapat digunakan terhadap organisasi AS.

MSTIC mengatakan kampanye Prestige terpisah dari HermeticWiper dan malware destruktif lainnya yang telah disebarkan di beberapa operator infrastruktur penting Ukraina dalam dua minggu terakhir. Microsoft telah melacak malware destruktif yang dikerahkan terhadap organisasi Ukraina sejak Januari.

MSTIC melacak aktivitas ini sebagai DEV-0960. DEV adalah istilah untuk aktor ancaman yang sebelumnya tidak dikenal. Ini akan menggabungkan aktivitas grup dengan aktor ancaman yang dikenal, seperti Nobelium, yang merupakan grup di balik serangan rantai pasokan SolarWinds, jika membuat koneksi ke grup tertentu.

Grup ini menggunakan beberapa alat yang tersedia untuk umum untuk eksekusi kode jarak jauh dan meraih kredensial administrator dengan hak istimewa tinggi. Tapi MSTIC tidak tahu bagaimana penyerang mendapatkan akses awal ke jaringan. Diduga penyerang sudah memiliki kredensial istimewa dari kompromi sebelumnya. Dalam semua kasus, bagaimanapun aktor memperoleh akses, mereka sudah memiliki hak tingkat admin domain sebelum menyebarkan ransomware.

Microsoft menguraikan tiga metode utama yang digunakan kelompok tersebut dalam satu jam setiap serangan. Fakta bahwa mereka menggunakan beberapa metode, bukan satu, tidak biasa.

Mengingat kurangnya kerentanan perangkat lunak yang diketahui para penyerang digunakan, Microsoft telah menyediakan beberapa tindakan yang dapat digunakan organisasi untuk melindungi diri mereka sendiri, termasuk dengan mengaktifkan perlindungan tamper untuk menghentikan perubahan pada antivirus dan untuk mengaktifkan otentikasi multi-faktor. Mitigasi tersebut antara lain:

  • Blokir kreasi proses yang berasal dari perintah PSExec dan WMI untuk menghentikan gerakan lateral menggunakan komponen WMIexec dari Impacket
  • Aktifkan perlindungan Tamper untuk mencegah serangan berhenti atau mengganggu Microsoft Defender
  • Aktifkan perlindungan yang diberikan cloud di Microsoft Defender Antivirus atau yang setara
  • Aktifkan MFA dan pastikan MFA diterapkan untuk semua konektivitas jarak jauh – termasuk VPN

Sumber: ZD Net

Microsoft: Windows, Adobe zero-days digunakan untuk menyebarkan malware Subzero

by

Microsoft telah menghubungkan kelompok ancaman yang dikenal sebagai Knotweed ke vendor spyware Austria yang juga beroperasi sebagai tentara bayaran cyber bernama DSIRF yang menargetkan entitas Eropa dan Amerika Tengah menggunakan perangkat malware yang dijuluki Subzero.

Di situs webnya, DSIRF mempromosikan dirinya sebagai perusahaan yang menyediakan penelitian informasi, forensik, dan layanan intelijen berbasis data kepada perusahaan.

Namun, itu telah dikaitkan dengan pengembangan malware Subzero yang dapat digunakan pelanggannya untuk meretas ponsel, komputer, dan jaringan serta perangkat yang terhubung ke internet target.

Menggunakan data DNS pasif saat menyelidiki serangan Knotweed, firma intelijen ancaman RiskIQ juga menemukan bahwa infrastruktur yang secara aktif melayani malware sejak Februari 2020 terkait dengan DSIRF, termasuk situs web dan domain resminya yang kemungkinan digunakan untuk men-debug dan mementaskan malware Subzero.

Microsoft Threat Intelligence Center (MSTIC) juga telah menemukan banyak tautan antara DSIRF dan alat berbahaya yang digunakan dalam serangan Knotweed.

Beberapa serangan Knotweed yang diamati oleh Microsoft telah menargetkan firma hukum, bank, dan organisasi konsultan strategis di seluruh dunia, termasuk Austria, Inggris, dan Panama.

Pada perangkat yang disusupi, penyerang menyebarkan Corelump, muatan utama yang berjalan dari memori untuk menghindari deteksi, dan Jumplump, pemuat malware yang sangat disamarkan yang mengunduh dan memuat Corelump ke dalam memori.

Payload Subzero utama memiliki banyak kemampuan, termasuk keylogging, menangkap tangkapan layar, mengekstrak data, dan menjalankan shell jarak jauh dan plugin arbitrer yang diunduh dari server perintah-dan-kontrolnya.

Pada sistem di mana Knotweed menyebarkan malware-nya, Microsoft telah mengamati berbagai tindakan pasca-kompromi, termasuk:

  • Pengaturan UseLogonCredential ke “1” untuk mengaktifkan kredensial teks biasa
  • Pembuangan kredensial melalui comsvcs.dll
  • Mencoba mengakses email dengan kredensial yang dibuang dari alamat IP KNOTWEED
  • Menggunakan Curl untuk mengunduh perkakas KNOTWEED dari berbagi file publik seperti vultrobjects[.]com
  • Menjalankan skrip PowerShell langsung dari inti GitHub yang dibuat oleh akun yang terkait dengan DSIRF
  • Di antara zero-days yang digunakan dalam kampanye Knotweed, Microsoft menyoroti CVE-2022-22047 yang baru-baru ini ditambal, yang membantu penyerang meningkatkan hak istimewa, keluar dari kotak pasir, dan mendapatkan eksekusi kode tingkat sistem.

Tahun lalu, Knotweed juga menggunakan rantai eksploitasi yang terbuat dari dua eksploitasi eskalasi hak istimewa Windows (CVE-2021-31199 dan CVE-2021-31201) bersama dengan eksploitasi Adobe Reader (CVE-2021-28550), semuanya ditambal pada bulan Juni 2021.

Pada tahun 2021, kelompok cybermercenary juga dikaitkan dengan eksploitasi zero-day keempat, cacat eskalasi hak istimewa Windows di Layanan Medis Pembaruan Windows (CVE-2021-36948) yang digunakan untuk memaksa layanan memuat DLL yang ditandatangani secara sewenang-wenang.

Untuk mempertahankan diri dari serangan tersebut, Microsoft menyarankan pelanggan untuk:

  • Prioritaskan patching CVE-2022-22047.
  • Konfirmasikan bahwa Microsoft Defender Antivirus diperbarui ke pembaruan intelijen keamanan 1.371.503.0 atau lebih baru untuk mendeteksi indikator terkait.
  • Gunakan indikator kompromi yang disertakan untuk menyelidiki apakah mereka ada di lingkungan Anda dan menilai potensi gangguan.
  • Ubah pengaturan keamanan makro Excel untuk mengontrol makro mana yang dijalankan dan dalam situasi apa saat Anda membuka buku kerja. Pelanggan juga dapat menghentikan makro XLM atau VBA berbahaya dengan memastikan pemindaian makro runtime oleh Antimalware Scan Interface (AMSI) aktif.
  • Aktifkan autentikasi multifaktor (MFA) untuk mengurangi kredensial yang berpotensi disusupi dan memastikan bahwa MFA diterapkan untuk semua konektivitas jarak jauh.
  • Tinjau semua aktivitas otentikasi untuk infrastruktur akses jarak jauh, dengan fokus pada akun yang dikonfigurasi dengan otentikasi satu faktor, untuk mengonfirmasi keaslian dan menyelidiki aktivitas abnormal apa pun.

Selengkapnya : Bleeping Computer

Operasi Ransomware Holy Ghost terkait dengan peretas Korea Utara

by

Selama lebih dari setahun, peretas Korea Utara telah menjalankan operasi ransomware yang disebut HolyGhost, menyerang usaha kecil di berbagai negara.

Para peneliti di Microsoft Threat Intelligence Center (MSTIC) melacak geng ransomware Holy Ghost sebagai DEV-0530. Dalam sebuah laporan sebelumnya hari ini, mereka mengatakan bahwa muatan pertama dari aktor ancaman ini terlihat tahun lalu pada bulan Juni.

Diklasifikasikan sebagai SiennaPurple (BTLC_C.exe), varian Ransomware Holy Ghost awal tidak datang dengan banyak fitur dibandingkan dengan versi berbasis Go berikutnya yang muncul pada Oktober 2021.

Microsoft melacak varian yang lebih baru sebagai SiennaBlue (HolyRS.exe, HolyLocker.exe, dan BTLC.exe) dan mencatat bahwa fungsinya diperluas dari waktu ke waktu untuk menyertakan beberapa opsi enkripsi, kebingungan string, manajemen kunci publik, dan dukungan internet/intranet.

Muatan ransomware Holy Ghost
Microsoft

Para peneliti mengatakan bahwa DEV-0530 berhasil mengkompromikan beberapa target, terutama usaha kecil hingga menengah. Di antara korban adalah bank, sekolah, organisasi manufaktur, dan perusahaan perencanaan acara dan pertemuan.

Aktor Holy Ghost mengikuti pola serangan ransomware yang khas dan mencuri data sebelum menerapkan rutin enkripsi pada sistem yang terinfeksi.

Penyerang meninggalkan catatan tebusan pada mesin yang disusupi dan mereka juga mengirim email kepada korban dengan tautan ke sampel data yang dicuri untuk mengumumkan bahwa mereka bersedia menegosiasikan uang tebusan dengan imbalan kunci dekripsi.

Catatan tebusan Roh Kudus
Microsoft

Biasanya, para pelaku menuntut pembayaran kecil antara 1,2 hingga 5 bitcoin, atau hingga sekitar $100.000 dengan nilai tukar saat ini.

Detail ini, tingkat serangan yang jarang, dan pemilihan korban secara acak menambah teori bahwa operasi ransomware HolyGhost mungkin tidak dikendalikan oleh pemerintah Korea Utara.

Sebaliknya, peretas yang bekerja untuk rezim Pyongyang mungkin melakukan ini sendiri, untuk keuntungan finansial pribadi.

Koneksi dengan kelompok peretas yang didukung negara hadir, karena MSTIC menemukan komunikasi antara akun email milik HolyGhost dan Andariel, aktor ancaman bagian dari Grup Lazarus di bawah Biro Umum Pengintaian Korea Utara.

Hubungan antara kedua kelompok menjadi lebih kuat dengan fakta bahwa keduanya “beroperasi dari set infrastruktur yang sama, dan bahkan menggunakan pengontrol malware khusus dengan nama yang mirip,” kata para peneliti.

Situs web Holy Ghost sedang down saat ini tetapi penyerang menggunakan visibilitas kecil yang dimilikinya untuk berpura-pura sebagai entitas yang sah yang mencoba membantu korban meningkatkan postur keamanan mereka.

Seperti aktor lain dalam bisnis ransomware, Holy Ghost meyakinkan para korban bahwa mereka tidak akan menjual atau membocorkan data yang dicuri jika mereka dibayar.

Laporan Microsoft mencakup serangkaian tindakan yang direkomendasikan untuk mencegah infeksi dengan muatan HolyGhost serta beberapa indikator kompromi yang ditemukan saat menyelidiki malware.

Sumber: Bleeping Computer

Microsoft: Ukraina terkena malware FoxBlade baru beberapa jam sebelum invasi

by

Microsoft mengatakan bahwa jaringan Ukraina ditargetkan dengan malware yang baru ditemukan beberapa jam sebelum invasi Rusia ke Ukraina pada 24 Februari.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) mengamati serangan destruktif yang menargetkan Ukraina dan menemukan jenis malware baru yang mereka namakan FoxBlade.

“Kami segera memberi tahu pemerintah Ukraina tentang situasinya, termasuk identifikasi kami tentang penggunaan paket malware baru (yang kami denominasikan FoxBlade), dan memberikan saran teknis tentang langkah-langkah untuk mencegah keberhasilan malware.”

Smith juga mengatakan bahwa perusahaan memperbarui platform keamanan Defender dengan tanda tangan baru untuk memblokir malware FoxBlade dalam waktu tiga jam setelah menemukan alat berbahaya yang digunakan di alam liar.

Microsoft menggambarkan malware dalam penasehat Intelijen Keamanan yang diterbitkan pada 23 Februari sebagai trojan yang dapat menggunakan komputer “untuk serangan penolakan layanan (DDoS) terdistribusi” tanpa sepengetahuan pemiliknya.

Serangan siber yang baru-baru ini terlihat dan masih aktif ini “telah ditargetkan dengan tepat,” Smith juga mengungkapkan.

Ini kontras dengan serangan malware tanpa pandang bulu yang berdampak pada ekonomi Ukraina dan negara lain selama serangan NotPetya di seluruh dunia tahun 2017 yang terkait dengan grup peretasan Direktorat Intelijen Utama GRU Rusia yang dikenal sebagai Sandworm.

Jaringan Ukraina diserang dengan malware yang merusak
Serangan siber ofensif yang terdeteksi oleh peneliti MSTIC tepat sebelum invasi Rusia mengikuti beberapa rangkaian serangan malware lainnya sejak awal tahun 2021.

Awal bulan ini, malware HermeticWiper yang baru ditemukan digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware untuk menghapus data dan membuat perangkat tidak dapat di-boot.

Pada bulan Januari, negara itu dilanda serangkaian serangan malware lainnya yang menggunakan wiper WhisperGate yang disamarkan sebagai muatan ransomware.

Selama akhir pekan, CISA dan FBI memperingatkan organisasi AS bahwa data yang menghapus serangan terhadap Ukraina dapat menyebar ke negara lain, mendesak organisasi AS untuk “meningkatkan kewaspadaan” dan memperkuat pertahanan mereka.

Pada hari yang sama, Wakil Perdana Menteri Ukraina Mykhailo Fedorov juga mengungkapkan pembentukan “tentara TI” untuk membantu negara “bertarung di front cyber.”

Tepat sebelum perang dimulai, Layanan Keamanan Ukraina (SSU) melaporkan bahwa Ukraina menjadi sasaran “gelombang besar perang hibrida”.

Sumber : Bleeping Computer