MuddyWater

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

December 9, 2022 by Eevee

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Hacker Iran Menggunakan Perangkat Lunak Utilitas Jarak Jauh untuk Memata-matai Sasarannya

March 28, 2021 by Winnie the Pooh

Peretas yang diduga memiliki hubungan dengan Iran secara aktif menargetkan akademisi, lembaga pemerintah, dan entitas pariwisata di Timur Tengah dan kawasan tetangga sebagai bagian dari kampanye spionase yang ditujukan untuk pencurian data.

Dijuluki “Earth Vetala” oleh Trend Micro, temuan terbaru memperluas penelitian sebelumnya yang diterbitkan oleh Anomali bulan lalu, yang menemukan bukti aktivitas jahat yang ditujukan pada badan pemerintah UEA dan Kuwait dengan mengeksploitasi alat manajemen jarak jauh ScreenConnect.

Perusahaan keamanan siber mengaitkan serangan yang sedang berlangsung dengan keyakinan sedang dengan aktor ancaman yang secara luas dilacak sebagai MuddyWater, sebuah kelompok peretas Iran yang dikenal karena serangannya terutama terhadap negara-negara Timur Tengah.

Earth Vetala dikatakan telah memanfaatkan email spear-phishing yang berisi tautan tertanam ke layanan berbagi file populer yang disebut Onehub untuk mendistribusikan malware yang berkisar dari utilitas pembuangan kata sandi hingga pintu belakang khusus, sebelum memulai komunikasi dengan server perintah-dan-kontrol (C2) untuk menjalankan skrip PowerShell yang dikaburkan.

selengkapnya : thehackernews.com

Malware yang dihosting di GitHub menghitung muatan Cobalt Strike dari gambar Imgur

December 29, 2020 by Winnie the Pooh

Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.

Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.

Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.

Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.

Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.

Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.

Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.

IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

MuddyWater

Cookies Settings