Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for North Korea APT

North Korea APT

APT37 Menggunakan Internet Explorer Zero-Day untuk Menyebarkan Malware

by

Grup ancaman Korea Utara APT37 dapat mengeksploitasi kerentanan zero-day Internet Explorer untuk menyebarkan dokumen yang sarat dengan malware sebagai bagian dari kampanye yang menargetkan pengguna di Korea Selatan, termasuk pembelot, jurnalis, dan kelompok hak asasi manusia.

Threat Analysis Group (TAG) milik google menemukan kelemahan zero-day di mesin JScript Internet Explorer pada akhir Oktober, dilacak di bawah CVE-2022-41128, dan sekarang melaporkan bahwa Microsoft responsif dan telah mengeluarkan tambalan yang sesuai.

Untuk memikat calon korban, dokumen jahat tersebut merujuk pada insiden penghancuran massa yang mematikan di Seoul yang terjadi selama perayaan Halloween pada 29 Oktober.

“Insiden ini dilaporkan secara luas, dan iming-iming tersebut memanfaatkan minat publik yang luas terhadap kecelakaan tersebut,” lapor tim TAG. “Ini bukan pertama kalinya APT37 menggunakan eksploitasi 0 hari Internet Explorer untuk menargetkan pengguna.”

sumber : dark reading

Google: Peretas Korea Utara menargetkan peneliti keamanan lagi

by

Grup Threat Analysis (TAG) Google mengatakan bahwa peretas yang disponsori pemerintah Korea Utara sekali lagi menargetkan peneliti keamanan menggunakan akun Twitter dan media sosial LinkedIn palsu.

Para peretas juga membuat situs web untuk perusahaan palsu bernama SecuriElite (berlokasi di Turki) dan diduga menawarkan layanan keamanan ofensif ketika tim keamanan Google fokus memburu peretas yang didukung negara yang ditemukan pada 17 Maret.

Semua akun LinkedIn dan Twitter yang dibuat oleh peretas Korea Utara dan terkait dengan kampanye baru ini dilaporkan oleh Google dan sekarang dinonaktifkan.

Sama seperti serangan yang terdeteksi selama Januari 2021, situs ini juga menghosting public key PGP penyerang, yang digunakan sebagai umpan untuk menginfeksi peneliti keamanan dengan malware setelah memicu eksploitasi browser saat membuka halaman.

Sumber: BleepingComputer

Namun, serangan tersebut terlihat pada fase awal karena situs SecuriElite belum disiapkan untuk mengirimkan muatan berbahaya apa pun.

“Saat ini, kami belum mengamati situs web penyerang baru yang menyajikan konten berbahaya, tetapi kami telah menambahkannya ke Penjelajahan Aman Google sebagai tindakan pencegahan,” kata Adam Weidemann dari Grup Threat Analysis.

“Berdasarkan aktivitas mereka, kami terus percaya bahwa aktor ini berbahaya, dan kemungkinan memiliki lebih banyak zero day.

“Kami mendorong siapa pun yang menemukan kerentanan Chrome untuk melaporkan aktivitas tersebut melalui proses pengiriman Chrome Vulnerabilities Rewards Program.”

Selengkapnya: Bleeping Computer

Grup APT Kimsuky Korea Utara terus mengancam Korea Selatan dengan mengembangkan TTP-nya

by

Tim peneliti keamanan di Cybaze-Yoroi ZLab baru-baru ini menganalisis salah satu grup APT Korea Utara yang dijuluki Kimsuky. Grup APT Kimsuky telah dianalisis oleh beberapa tim keamanan. Grup ini pertama kali ditemukan oleh peneliti Kaspersky pada tahun 2013, baru-baru ini aktivitasnya dirinci oleh ESTsurity

 

Tidak seperti kelompok APT lain yang menggunakan rantai infeksi yang panjang dan kompleks, kelompok Kimsuky memanfaatkan rantai serangan yang lebih pendek, dipercaya bahwa cara ini sangat efektif dalam mencapai tingkat deteksi yang rendah.

 

Infeksi dimulai dengan file executable dengan ekstensi “scr”, ekstensi yang digunakan oleh Windows untuk mengidentifikasi artefak Screensaver. Berakhir dengan, setiap 15 menit malware yang berhasil ditanam menghubungi pusat data C2 (suzuki.].Pe.]Hu) dan mengirimkan kembali informasi tentang mesin yang dikompromikan.

 

Baca analisis selengkapnya pada tautan di bawah ini;

Source: Yoroi