North Korea

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

May 5, 2023 by Flamango

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Malware WhiskerSpy Baru Dikirimkan Melalui Penginstal Codec Trojanized

February 20, 2023 by Coffee Bean

Peneliti keamanan telah menemukan pintu belakang baru yang disebut WhiskerSpy yang digunakan dalam kampanye dari aktor ancaman tingkat lanjut yang relatif baru dilacak sebagai Earth Kitsune, yang dikenal menargetkan individu yang menunjukkan minat di Korea Utara.

Aktor tersebut menggunakan metode yang telah dicoba dan diuji dan mengambil korban dari pengunjung situs web pro Korea Utara, sebuah taktik yang dikenal sebagai serangan lubang berair.

Menurut Trend Micro, WhiskerSpy disampaikan saat pengunjung mencoba menonton video di website. Penyerang mengkompromikan situs web dan menyuntikkan skrip jahat yang meminta korban untuk memasang codec video agar media dapat dijalankan.

Untuk menghindari kecurigaan, aktor ancaman memodifikasi penginstal codec yang sah sehingga pada akhirnya memuat “pintu belakang yang sebelumnya tidak terlihat” pada sistem korban.

WhiskerSpy backdoor infection chain
source: Trrend Micro

Para peneliti mengatakan bahwa pelaku ancaman hanya menargetkan pengunjung situs web dengan alamat IP dari Shenyang, China; Nagoya, Jepang; dan Brasil.

Kemungkinan Brasil hanya digunakan untuk menguji serangan lubang air menggunakan koneksi VPN dan target sebenarnya adalah pengunjung dari dua kota di China dan Jepang. Korban yang relevan akan disajikan pesan kesalahan palsu di bawah ini yang meminta mereka memasang codec untuk menonton video.

Trend Micro telah menemukan versi sebelumnya dari WhiskerSpy yang menggunakan protokol FTP alih-alih HTTP untuk komunikasi C2. Varian yang lebih lama ini juga memeriksa keberadaan debugger pada saat eksekusi dan menginformasikan C2 dengan kode status yang sesuai.

Untuk dicatat, kepercayaan para peneliti dalam mengaitkan serangan lubang air ini dengan Earth Kitsune adalah sedang tetapi modus operandi dan targetnya mirip dengan aktivitas yang sebelumnya terkait dengan grup.

selengkapnya : bleepingcomputer

FBI Menyalahkan Hacker Korea Utara atas $100 Juta Crypto Heist

January 25, 2023 by Flamango

Hacker Hermit Kingdom dituduh menjarah proyek cryptocurrency selama bertahun-tahun.

Menurut FBI, penjahat dunia maya yang terhubung dengan rezim Korea Utara bertanggung jawab atas serangan terhadap proyek crypto yang berbasis di AS, Harmony Protocol, yang menyebabkan kerugian lebih dari $100 juta tahun lalu.

FBI menerbitkan pernyataan singkat bahwa mereka baru saja menyelesaikan penyelidikan. Mereka mengonfirmasi bahwa kelompok hacker terkenal Korea Utara “Lazarus” bertanggung jawab atas hackeran mengeksploitasi kerentanan keamanan di dalam jembatan berbasis Ethereum Harmony.

Pencurian token senilai $60 juta telah dicuci oleh hacker Korea Utara ke berbagai dompet kripto menggunakan protokol privasi “Railgun”. Beberapa dana tersebut kemudian dibekukan oleh penyedia layanan crypto yang mengendalikan dompet.

Peneliti mengatakan bahwa selain untuk kantong mereka sendiri, para hacker juga sering menggunakan uang yang dicuri dalam hackeran crypto untuk membantu mendanai inisiatif rezim selama bertahun-tahun.

FBI mengatakan bahwa mereka terus bekerja sama dengan mitra penegakan hukumnya untuk mengidentifikasi dan menghentikan pencurian dan pencucian mata uang virtual Korea Utara.

Selengkapnya: Gizmodo

Serangan peretasan terkait Korea Utara berpura-pura menjadi topik diskusi di konferensi diplomatik dan keamanan Waspadalah!

December 4, 2022 by Søren

Serangan peretasan terkait Korea Utara yang disamarkan sebagai topik diskusi dan permintaan untuk presentasi di konferensi keamanan dan diplomasi antar-Korea telah muncul, yang mengharuskan pengguna untuk memberikan perhatian khusus.

Serangan ini tampaknya ditujukan kepada pekerja di bidang diplomasi domestik, keamanan, dan unifikasi, dan telah dipastikan bahwa target menghadiri konferensi akademik atau acara akhir tahun yang akan datang didekati melalui email dengan menipu mereka seperti jadwal. pertanyaan atau permintaan data.

Awalnya, penyerang mengirim email dengan konten umum, seperti pertanyaan umum, tetapi saat ini, lampiran terpisah atau tautan URL tidak sengaja disertakan. Setelah itu, apa yang disebut serangan phishing tombak dua jalur dilakukan di mana hanya mereka yang menunjukkan minat dengan membalas email yang dipilih dan serangan lebih lanjut dilakukan.

Jenis serangan ini dimaksudkan untuk menghindari kecurigaan dari pihak penyerang. Pada umumnya, dalam kasus orang yang telah mendapatkan pelatihan pencegahan insiden keamanan siber atau telah mengikuti pelatihan simulasi peretasan, jika sebuah file dilampirkan atau tautan disertakan dalam email, mereka seringkali tidak membukanya atau meneruskannya ke tim keamanan internal, mencurigai bahwa itu berbahaya. Namun, jika tidak ada konten tertentu, mereka dapat dengan mudah mempercayai dan membalas email tanpa pertanyaan, jadi mereka menggunakan strategi yang dengan cerdik menggali psikologi keamanan dan kesadaran akan masalah ini.

Penyerang mengirimkan file berbahaya dengan menyamar sebagai target tambahan untuk serangan yang dipilih sebagai permintaan presentasi di konferensi akademik tahunan tertentu. File jahat adalah file ‘pintasan (LNK)’, tetapi serangan menggunakan ekstensi ganda yang terlihat seperti dokumen PDF biasa. Itu mendorong eksekusi target.

Selengkapnya: Alyac

Internet Korea Utara untuk Sementara Dimatikan

November 18, 2022 by Coffee Bean

Internet Korea Utara dilanda pemadaman terbesar dalam beberapa bulan pada hari Kamis, seorang peneliti keamanan dunia maya mengatakan kepada Reuters, setelah gangguan layanan serupa pada bulan Januari disalahkan atas dugaan serangan dunia maya.

Akses internet sangat dibatasi di Korea Utara. di bawah 1%- dari populasi sekitar 25 juta. Banyak lagi yang memiliki akses ke jaringan internal yang tidak terhubung ke dunia luar

Kurang lebih dua gelombang pemadaman melanda internet negara yang terisolasi itu selama kira kira 2,5 jam, memuncak dengan lonjakan tekanan jaringan yang membuat seluruh internet Korea Utara yang dapat dijangkau

Situs web Kementerian Luar Negeri Korea Utara dan Naenara, yang merupakan portal resmi untuk pemerintah Korea Utara, tampaknya melihat dampak dari dugaan serangan tersebut, sebelum menjadi begitu hebat sehingga seluruh internet dimatikan, kata Ali.

Situs web utama lainnya yang terpengaruh termasuk maskapai penerbangan nasional Air Koryo dan server email internal utama.

Korea Utara menembakkan rudal balistik pada hari Kamis karena memperingatkan “tanggapan militer yang lebih keras” terhadap upaya AS untuk meningkatkan kehadiran keamanannya di kawasan itu dengan sekutunya, dengan mengatakan Washington mengambil “pertaruhan yang akan disesalinya”.

Para peneliti mengatakan pemadaman seperti itu menunjukkan tanda-tanda yang mereka sebut serangan denial-of-service (DDoS) terdistribusi, di mana peretas mencoba membanjiri jaringan dengan volume lalu lintas data yang sangat tinggi untuk melumpuhkannya.

sumber : reuters

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

November 16, 2022 by Coffee Bean

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Influencer ‘Hushpuppi’ mendapat 11 tahun penjara karena penipuan dunia maya

November 9, 2022 by Coffee Bean

Nama asli Nigeria berusia 40 tahun adalah Ramon Olorunwa Abbas, dan diperintahkan untuk membayar ganti rugi sebesar $ 1.732.841 kepada dua korban dikonfirmasi, sebuah firma hukum di AS dan seorang pengusaha di Qatar.

Meskipun tidak semua penipuan berhasil menipu target, Departemen Kehakiman AS mengatakan Abbas mengakui kepada jaksa bahwa selama 18 bulan, antara 2019 dan 2022, ia berkonspirasi untuk mencuci lebih dari $300 juta.

“Ramon Abbas, alias ‘Hushpuppi,’ menargetkan korban Amerika dan internasional, menjadi salah satu pencuci uang paling produktif di dunia,” kata Don Alway, Asisten Direktur yang Bertanggung Jawab Kantor Lapangan FBI di Los Angeles.

Hasil yang diperoleh Abbas dari kegiatan ini membantunya membangun persona di Instagram dengan memamerkan gaya hidup mewah, di mana ia memperoleh status influencer, yang selanjutnya membantu serangan rekayasa sosial terhadap target.

Abbas akhirnya ditangkap di Dubai, UEA, pada Juni 2020 dan mengaku bersalah atas tuduhan pencucian uang pada April 2021.

Pengumuman DoJ menggambarkan beberapa contoh percobaan penipuan yang dilakukan Abbas, dirangkum di bawah ini:

Januari 2019 – ditawarkan untuk mencuci $14,7 juta yang dicuri oleh peretas Korea Utara dalam perampokan siber bank Malta, mengarahkan jumlah tersebut melalui rekening di Rumania dan Bulgaria.

Mei 2019 – mencuci jutaan pound yang dicuri dari klub sepak bola (sepak bola) profesional di Inggris, menggunakan rekening bank Meksiko.

Oktober 2019 – menipu firma hukum yang berbasis di New York untuk mengirim $922.857 ke akun di bawah kendali seorang konspirator.

Alaumary diperintahkan untuk membayar ganti rugi lebih dari $30.000.000, yang menunjukkan bahwa ia memegang peran yang lebih sentral dalam skema tersebut, sebagai penerima utama dana yang dicuri.

sumber : bleeping computer

Korea Utara mencuri rekor $400 juta dalam cryptocurrency tahun lalu, kata para peneliti

January 16, 2022 by Søren

Korea Utara mencuri hampir $400 juta dalam cryptocurrency pada tahun 2021, khususnya ethereum, para peneliti telah menemukan, menunjukkan strategi nasional peretasan dan pencucian uang digital tetap berhasil.

Negara yang terisolasi, yang dilanda sanksi dari Amerika Serikat dan negara-negara lain, telah lama mengandalkan korps peretasnya untuk membobol lembaga keuangan di seluruh dunia untuk mencuri uang.

Dalam beberapa tahun terakhir, para peretas tersebut semakin fokus pada perusahaan yang menangani dan memperdagangkan mata uang kripto, yang disimpan dalam dompet digital dan dapat dengan mudah dikirim ke seluruh dunia jika seorang peretas memperoleh akses.

Sebuah laporan PBB tahun lalu menemukan bahwa Korea Utara telah meretas dan mencuri aset virtual senilai $316 juta antara 2019 dan 2020 untuk digunakan dalam program senjata nuklirnya.

Taktik itu sangat efektif tahun lalu, menurut para peneliti di Chainalysis, sebuah perusahaan yang memantau transaksi di blockchain, yang merupakan semacam catatan publik yang melacak semua transaksi untuk sebagian besar cryptocurrency. Peretas Korea Utara berhasil menembus setidaknya tujuh pertukaran mata uang kripto dan mencuci uangnya, kata perusahaan itu.

Korea Utara terus-menerus mencuci mata uang kripto yang diretas dalam jumlah sedang sambil mempertahankan sekitar $ 170 juta dari peretasan yang sebelumnya, katanya, memanfaatkan fakta bahwa mata uang kripto utama seperti bitcoin dan ethereum telah meningkat nilainya dalam beberapa tahun terakhir.

“Mereka sangat strategis. Mereka tidak terburu-buru dalam menguangkan, ”kata Plante. “Mereka melihat jumlah yang jauh lebih besar” karena mereka menunggu, katanya

Selengkapnya: NBC News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

North Korea

Cookies Settings