peretas

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

May 25, 2022 by Eevee

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer

Peretas dapat meretas akun online Anda bahkan sebelum Anda mendaftarkannya

May 25, 2022 by Eevee

Peneliti keamanan telah mengungkapkan bahwa peretas dapat membajak akun online Anda bahkan sebelum Anda mendaftarkannya dengan mengeksploitasi kelemahan yang telah diperbaiki di situs web populer, termasuk Instagram, LinkedIn, Zoom, WordPress, dan Dropbox.

Andrew Paverd, seorang peneliti di Microsoft Security Response Center, dan Avinash Sudhodanan, seorang peneliti keamanan independen, menganalisis 75 layanan online populer dan menemukan bahwa setidaknya 35 rentan terhadap serangan pra-pembajakan akun.

Serangan ini bervariasi dalam jenis dan tingkat keparahannya, tetapi semuanya berasal dari praktik keamanan yang buruk di sisi situs web itu sendiri.

Agar serangan pra-pembajakan bekerja, peretas perlu mengetahui alamat email target, yang relatif mudah melalui korespondensi email atau melalui berbagai pelanggaran data yang mengganggu perusahaan setiap hari.

Selanjutnya, penyerang membuat akun di situs yang rentan menggunakan alamat email target dan berharap korban mengabaikan pemberitahuan yang masuk ke kotak masuk mereka, menganggapnya sebagai spam. Terakhir, penyerang menunggu korban membuat akun di situs atau secara tidak langsung menipu mereka untuk melakukannya.

Alur serangan pra-pembajakan umum (Microsoft)

Selama proses ini, ada lima serangan berbeda yang dapat dilakukan oleh aktor ancaman, yaitu gabungan federasi klasik (CFM), ID sesi yang belum kedaluwarsa (AS), pengenal trojan (TID), perubahan email yang belum kedaluwarsa (UEC), dan Serangan penyedia identitas (IdP) (NV) yang tidak memverifikasi.

Dalam kasus pertama, CFM, platform yang rentan menggunakan penggabungan akun ketika target membuat akun dengan alamat email yang ada dan, dalam beberapa kasus, bahkan tidak memberi tahu mereka tentang fakta tersebut. Serangan ini bergantung pada pemberian opsi masuk tunggal (SSO) kepada korban, sehingga mereka tidak pernah mengubah kata sandi yang ditetapkan oleh penyerang.

Dalam serangan sesi yang belum kedaluwarsa, peretas membuat sesi tetap aktif setelah membuat akun menggunakan skrip otomatis. Saat korban membuat akun dan mengatur ulang kata sandi, sesi aktif mungkin tidak dibatalkan, sehingga penyerang dapat terus mengakses akun.

Metode pengenal trojan menggabungkan serangan Classic-Federated Merge dan Unexpired Session.

Dalam serangan UEC, penyerang membuat akun menggunakan alamat email korban dan kemudian mengirimkan permintaan perubahan untuk email itu tetapi tidak mengonfirmasinya. Kemudian, setelah korban melakukan reset kata sandi, penyerang memvalidasi perubahan dan mengambil alih kendali akun.

Terakhir, dalam serangan NV, pelaku ancaman mengeksploitasi kurangnya verifikasi kepemilikan IdP saat membuat akun, membuka jalan untuk menyalahgunakan layanan login berbasis cloud seperti Okta dan Onelogin.

Metode serangan pra-pembajakan (arxiv.org)

Banyak layanan saat ini mengharuskan pengguna baru untuk memvalidasi kepemilikan alamat email, sehingga membuat akun baru dengan alamat email orang lain tidak akan berfungsi tanpa akses ke akun email tersebut.

Untuk melewati ini, penyerang dapat membuat akun menggunakan alamat email mereka dan kemudian beralih ke alamat email korban, menyalahgunakan fungsi standar yang tersedia di sebagian besar layanan online.

Dalam beberapa kasus, layanan tidak memerlukan verifikasi kedua untuk alamat email baru, yang memungkinkan pelaku ancaman untuk memasang serangan yang dijelaskan di atas.

Studi menunjukkan bahwa ketersediaan serangan yang berbeda serupa, dengan masalah sesi yang belum kedaluwarsa menjadi yang paling umum dalam kumpulan data terbatas.

Beberapa contoh platform yang rentan adalah Dropbox (UEC), Instagram (TID), LinkedIn (AS), WordPress.com (AS dan UEC), dan Zoom (CFM dan NV).

Situs yang rentan terhadap pra-pembajakan akun (arxiv.org)

Para peneliti melaporkan masalah ini secara bertanggung jawab ke platform, banyak di antaranya memperbaikinya setelah mengkategorikannya sebagai tingkat keparahan yang tinggi.

Namun, penting untuk digarisbawahi bahwa temuan ini hanya menyangkut segelintir situs, dan harus ada lebih banyak lagi yang mengikuti praktik keamanan buruk serupa.

Masalah utama dengan subkategori masalah keamanan ini dan akar penyebab kerentanan yang teridentifikasi adalah kurangnya verifikasi yang ketat.

Untuk menangani risiko akun yang dibajak sebelumnya, pengguna dapat segera mengatur MFA (autentikasi multi-faktor) di akun mereka, yang juga akan memaksa semua sesi sebelumnya menjadi tidak valid.

Sumber: Bleeping Computer

Peretas sekarang menyembunyikan malware di Windows Event Logs

May 10, 2022 by Eevee

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer

Coca-Cola menyelidiki klaim peretas tentang pelanggaran dan pencurian data

April 27, 2022 by Eevee

Coca-Cola, pembuat minuman ringan terbesar di dunia, telah mengkonfirmasi dalam sebuah pernyataan kepada BleepingComputer bahwa mereka mengetahui laporan tentang serangan siber di jaringannya dan saat ini sedang menyelidiki klaim tersebut.

Raksasa minuman Amerika telah mulai menyelidiki setelah geng Stormous mengatakan bahwa mereka berhasil menembus beberapa server perusahaan dan mencuri 161GB data.

Stormous mengumumkan viktimisasi Coca Cola

Pelaku ancaman mendaftarkan cache data untuk dijual di situs kebocoran mereka, meminta 1,65 Bitcoin, saat ini dikonversi menjadi sekitar $64,000.

Daftar Coca-Cola di situs kebocoran Stormous

Di antara file yang terdaftar, ada dokumen terkompresi, file teks dengan admin, email, dan kata sandi, arsip ZIP akun dan pembayaran, dan jenis informasi sensitif lainnya.

Meskipun mereka mengklaim sebagai grup ransomware, saat ini tidak ada indikasi bahwa mereka menyebarkan malware enkripsi file di jaringan korban mereka.

Lebih dekat dengan kelompok pemerasan data, Stormous telah menyatakan bahwa mereka akan mengambil tindakan terhadap serangan hacker terhadap Rusia setelah invasi ke Ukraina.

Ini adalah pertama kalinya Stormous memposting kumpulan data yang dicuri. Pekan lalu, geng meminta pengikut mereka untuk memilih siapa yang harus menjadi korban berikutnya.

Serangan itu menjanjikan penolakan layanan, peretasan, kebocoran kode sumber perangkat lunak, dan data klien. Coca-Cola memenangkan jajak pendapat dengan 72% suara. Geng mengatakan bahwa mereka hanya butuh beberapa hari untuk menerobos perusahaan.

Jajak pendapat diadakan di Telegram Stormous

Coca-Cola dan pilihan korban lainnya dalam jajak pendapat Stormous menunjukkan sikap anti-Barat. Sebelumnya, kelompok tersebut mengklaim Epic Games sebagai korbannya.

Mereka mengumumkan bahwa mereka mencuri 200 gigabyte data dan rincian 33 juta pengguna Epic store dan game. Namun, belum ada konfirmasi tentang keabsahan data tersebut, sehingga reputasi Stormous tentang klaim ini belum ditetapkan.

Sumber: Bleeping Computer

Peretas Korea Utara menargetkan jurnalis dengan malware baru

April 26, 2022 by Eevee

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer

Peretas menargetkan cabang Jerman dari raksasa minyak Rusia Rosneft

March 15, 2022 by Eevee

Anak perusahaan Jerman dari raksasa energi Rusia Rosneft telah terkena serangan siber, Kantor Federal untuk Keamanan Informasi (BSI) mengatakan pada hari Senin, dengan kelompok peretas Anonymous mengklaim bertanggung jawab.

Rosneft Deutschland melaporkan insiden itu pada dini hari Sabtu pagi, kata BSI.

Anonymous telah menerbitkan sebuah pernyataan pada hari Jumat yang mengklaim bertanggung jawab atas serangan itu dan mengatakan bahwa serangan itu telah menangkap 20 terabyte data.

Jaksa di Berlin telah membuka penyelidikan, menurut sebuah laporan di majalah Der Spiegel.

Rosneft Deutschland dilaporkan kemudian membuat sistemnya offline. Pipa dan kilangnya terus beroperasi seperti biasa, tambah laporan itu.

BSI telah memperingatkan pada awal Maret tentang peningkatan risiko serangan siber dan “peningkatan situasi ancaman bagi Jerman” setelah invasi Rusia ke Ukraina, menyarankan bisnis untuk meningkatkan langkah-langkah keamanan TI.

Sekarang telah mengeluarkan peringatan keamanan siber baru kepada perusahaan lain di industri minyak.

Rosneft Deutschland mengatakan telah bertanggung jawab atas sekitar seperempat dari semua impor minyak mentah ke Jerman dalam beberapa tahun terakhir dan memiliki saham di tiga kilang di negara itu.

Kepala eksekutif Rosneft Igor Sechin adalah sekutu dekat Presiden Rusia Vladimir Putin.

Mantan Kanselir Jerman Gerhard Schroeder adalah ketua dewan direksi, peran yang membuatnya mendapat kritik keras dalam beberapa pekan terakhir.

Kelompok peretas Anonymous telah mengklaim bertanggung jawab atas serangan siber di beberapa institusi Rusia sejak awal konflik di Ukraina, termasuk Kremlin sendiri, kementerian pertahanan, majelis rendah parlemen Duma dan media Rusia pro-Kremlin.

Anonymous mengatakan “tidak ingin dipusingkan secara langsung dengan perusahaan energi Rusia… karena ada beberapa negara yang memberikan sanksi yang pasokan energinya terkait dengan Rusia”.

Sumber : Macau Business

Peringatan keamanan: Peretas menggunakan malware baru ini untuk menargetkan peralatan firewall

February 24, 2022 by Eevee

Peretas yang terkait dengan militer Rusia mengeksploitasi kerentanan keamanan di firewall untuk menyusup ke jaringan dan menginfeksi mereka dengan malware, memungkinkan mereka untuk mendapatkan akses dari jarak jauh.

Peringatan oleh Pusat Keamanan Siber Nasional Inggris (NCSC), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA) dan Biro Investigasi Federal (FBI) telah merinci malware baru, Cyclops Blink, yang menghubungkannya ke Sandworm, operasi peretasan ofensif yang sebelumnya mereka tautkan ke GRU Rusia.

Analisis oleh NCSC menggambarkan Cyclops Blink sebagai “malware yang sangat canggih” yang telah “dikembangkan secara profesional”.

Cyclops Blink tampaknya menjadi pengganti VPNFilter, malware yang digunakan oleh kelompok peretas Rusia yang terkait dengan negara dalam serangan luas yang digunakan untuk mengkompromikan perangkat jaringan, terutama router, untuk mengakses jaringan.

Menurut NCSC, CISA, FBI dan NSA, Cyclops Blink telah aktif setidaknya sejak Juni 2019, dan seperti VPNFilter sebelumnya, penargetan digambarkan sebagai “tidak pandang bulu dan tersebar luas” dengan kemampuan untuk mendapatkan akses jarak jauh yang persisten ke jaringan.

Itu juga dapat mengunggah dan mengunduh file dari mesin yang terinfeksi dan bersifat modular, memungkinkan fungsionalitas baru ditambahkan ke malware yang sudah berjalan.

Serangan dunia maya terutama difokuskan pada perangkat firewall WatchGuard, tetapi agensi memperingatkan bahwa Sandworm mampu mengarahkan kembali malware untuk menyebarkannya melalui arsitektur dan firmware lain.

Cyclops Blink tetap ada saat reboot dan selama proses pembaruan firmware yang sah. Ini menargetkan perangkat WatchGuard yang dikonfigurasi ulang dari pengaturan default pabrikan untuk membuka antarmuka manajemen jarak jauh ke akses eksternal.

Infeksi tidak berarti organisasi adalah target utama, tetapi mungkin saja mesin yang terinfeksi dapat digunakan untuk melakukan serangan tambahan.

NCSC mendesak organisasi yang terkena dampak untuk mengambil langkah-langkah untuk menghapus malware, yang telah dirinci oleh WatchGuard.

NCSC memperingatkan bahwa setiap kata sandi yang ada pada perangkat yang terinfeksi oleh Cyclops Blink harus dianggap telah disusupi dan harus diubah.

Saran lain tentang melindungi jaringan dari serangan dunia maya termasuk menghindari paparan antarmuka manajemen perangkat jaringan ke internet, menjaga perangkat tetap up to date dengan patch keamanan terbaru dan menggunakan otentikasi multi-faktor.

Sumber :

Peretas China terkait dengan serangan berbulan-bulan di sektor keuangan Taiwan

February 23, 2022 by Eevee

Sebuah kelompok peretas yang berafiliasi dengan pemerintah China diyakini telah melakukan serangan selama berbulan-bulan terhadap sektor keuangan Taiwan dengan memanfaatkan kerentanan dalam solusi perangkat lunak keamanan yang digunakan oleh sekitar 80% dari semua organisasi keuangan lokal.

Serangan itu diyakini telah dimulai pada akhir November 2021 dan masih berlangsung bulan ini, Perusahaan menghubungkan penyusupan—yang dilacak dengan nama sandi Operation Cache Panda—dengan kelompok spionase siber China yang terkenal di industri keamanan siber sebagai APT10.

Perusahaan keamanan mengatakan bahwa mereka tidak dapat membagikan nama produk yang dieksploitasi dalam serangan saat ini karena penyelidikan penegakan hukum yang sedang berlangsung dan karena upaya untuk merilis dan memasang patch di seluruh keuangan lokal.

Sebaliknya, perusahaan mengatakan bahwa serangan awalnya tidak terdeteksi karena salah klasifikasi.

Investigasi terhadap serangan November 2021 melewatkan bagian di mana peretas mengeksploitasi kerentanan perangkat lunak dan hanya melihat serangan isian kredensial yang digunakan APT10 sebagai kedok dan cara untuk mendapatkan akses ke beberapa akun perdagangan, yang mereka gunakan untuk melakukan transaksi besar di Hong Kong. pasar saham.

Namun peneliti CyCraft mengatakan bahwa serangan credential stuffing hanya digunakan sebagai kedok. Pada kenyataannya, APT10 mengeksploitasi kerentanan di antarmuka web dari alat keamanan, menanam versi shell web ASPXCSharp, dan kemudian menggunakan alat yang disebut Impacket untuk memindai jaringan internal perusahaan target.

Penyerang kemudian menggunakan teknik yang disebut pemuatan kode reflektif untuk menjalankan kode berbahaya pada sistem lokal dan menginstal versi Quasar RAT yang memungkinkan penyerang terus-menerus mengakses sistem yang terinfeksi menggunakan terowongan RDP terbalik.

CyCraft mengatakan dapat mengungkap kebenaran di balik serangan November 2021 setelah salah satu pelanggannya diserang pada Februari 2022.

“Tujuan dari serangan itu tampaknya bukan untuk keuntungan finansial, melainkan pemusnahan informasi perantara, data PII, dan gangguan investasi selama periode pertumbuhan ekonomi untuk Taiwan,” tambahnya.

Serangan itu tidak mengejutkan, karena kelompok spionase siber China telah mengincar Taiwan selama bertahun-tahun, setelah berulang kali dan tanpa henti menyerang hampir semua sektor pemerintah lokal dan ekonominya.

Sumber : The Record Media

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

peretas

Cookies Settings