Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Spear Phishing

Spear Phishing

NCSC mengungkap kampanye spear-phishing Iran dan Rusia yang menargetkan Inggris

by

Kelompok ancaman persisten tingkat lanjut (APT) yang bermusuhan yang sejalan dengan kepentingan nasional Iran dan Rusia menargetkan warga negara Inggris termasuk akademisi, aktivis, pekerja amal dan LSM, pejabat pertahanan dan pemerintah, jurnalis, dan politisi, dengan spear-phishing yang dibuat dengan hati-hati dan sangat ditargetkan email, menurut intelijen baru dari National Cyber ​​Security Center (NCSC) Inggris.

Kampanye yang berbeda namun secara teknis serupa dikaitkan dengan keyakinan relatif terhadap TA453 Iran, yang juga menggunakan nama Charming Kitten, dan Seaborgium Rusia, yang juga menggunakan Cold River dan baru-baru ini dikaitkan dengan serangan terhadap mantan kepala MI6 Richard Dearlove dan seorang kelompok pendukung keras Brexit, dan insiden yang menargetkan ilmuwan nuklir AS.

Pola aktivitas dunia maya yang sedang berlangsung diduga, meskipun tidak dikonfirmasi oleh NCSC, terkait dengan pengumpulan intelijen untuk mendukung tujuan APT yang seharusnya membayar pemerintah di Teheran dan Moskow.

Skalanya relatif kecil dan tidak menimbulkan ancaman langsung bagi mayoritas publik Inggris dalam skema besar, menurut direktur operasi NCSC, Paul Chichester, yang mengatakan itu lebih merupakan kecanggihan serangan, daripada volumenya, itu mengkhawatirkan.

“Inggris berkomitmen untuk mengungkap aktivitas siber berbahaya bersama mitra industri kami, dan saran ini meningkatkan kesadaran akan ancaman terus-menerus yang ditimbulkan oleh serangan spear-phishing,” katanya.

Selengkapnya: Computer Weekly

SEABORGIUM dan TA453 Melanjutkan Kampanye Spear-phishing masing-masing

by Leave a Comment

Pelaku SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) yang berbasis di Rusia dan TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) yang berbasis di Iran terus berhasil menggunakan serangan spear-phishing terhadap organisasi dan individu yang ditargetkan di Inggris , dan bidang minat lainnya, untuk kegiatan pengumpulan informasi.

Menggunakan sumber daya sumber terbuka untuk melakukan pengintaian, termasuk media sosial dan platform jejaring profesional, SEABORGIUM dan TA453 mengidentifikasi pengait untuk melibatkan target mereka. Mereka meluangkan waktu untuk meneliti minat mereka dan mengidentifikasi kontak sosial atau profesional dunia nyata mereka.

Mereka juga telah membuat profil media sosial atau jaringan palsu yang menyamar sebagai pakar yang dihormati, dan menggunakan undangan konferensi atau acara yang seharusnya, serta pendekatan palsu dari jurnalis.

Pusat Intelijen Ancaman Microsoft (MSTIC) menyediakan daftar Indikator Kompromi (IOC) yang diamati di blog SEABORGIUM mereka, meskipun ini tidak boleh dianggap lengkap.

Meskipun spear-phishing adalah teknik mapan yang digunakan oleh banyak aktor, SEABORGIUM dan TA453 terus menggunakannya dengan sukses dan mengembangkan teknik tersebut untuk mempertahankan kesuksesan mereka.

Individu dan organisasi dari sektor yang ditargetkan sebelumnya harus waspada terhadap teknik di atas. Di Inggris Raya, laporkan aktivitas sesuai dengan yang dijelaskan di atas ke NCSC.

sumber : National Cyber Security Centre

Serangan DUCKTAIL Memakan Korban Ratusan Ribu Dolar

by Leave a Comment

“DUCKTAIL”, sebuah operasi kejahatan dunia maya yang berbasis di Vietnam yang ditemukan oleh WithSecure™ (sebelumnya dikenal sebagai bisnis F-Secure) awal tahun ini, terus mengembangkan operasinya, menurut sebuah analisis baru.

Sejak 2021, DUCKTAIL telah menggunakan LinkedIn untuk menargetkan individu dan organisasi yang beroperasi di platform Iklan dan Bisnis Facebook untuk membajak akun Facebook Business.

Aktivitas DUCKTAIL baru-baru ini yang diamati sejak awal September menampilkan beberapa perubahan pada mode operasinya, termasuk:

  • Jalan baru untuk menyasar target spear-phish, seperti WhatsApp.
  • Perubahan pada kemampuan malware dengan cara yang lebih kuat untuk mengambil alamat email yang dikontrol penyerang dan membuat malware terlihat lebih sah dengan membuka dokumen dummy dan file video saat diluncurkan.
  • Upaya berkelanjutan untuk penghindaran pertahanan dengan mengubah format dan kompilasi file, serta penandatanganan sertifikat.
  • Pengembangan sumber daya lebih lanjut dan perluasan operasional dengan mendirikan bisnis palsu tambahan di Vietnam dan memasukkan afiliasi ke dalam operasi.

Cara Mengatasi DUCKTAILL
Tim respons insiden WithSecure telah membantu beberapa organisasi korban merespons serangan dari DUCKTAIL dan ancaman lain yang menargetkan platform Iklan & Bisnis Facebook. Kerugian dari serangan ini berkisar antara satu hingga enam ratus ribu dolar kredit iklan.

Pembela dapat mengambil langkah-langkah berikut untuk melindungi diri dari DUCKTAIL dan ancaman serupa:

  • Tingkatkan kesadaran tentang spear-phishing di antara pengguna dengan akses ke akun bisnis Facebook/Meta.
  • Terapkan aplikasi yang diizinkan untuk mencegah eksekusi yang tidak diketahui berjalan.
  • Gunakan solusi EDR/EPP untuk mencegah dan mendeteksi malware pada tahap awal siklus serangan.
  • Pastikan perangkat terkelola atau pribadi yang digunakan dengan akun Facebook perusahaan memiliki kebersihan dan perlindungan dasar.
  • Gunakan penjelajahan pribadi untuk mengautentikasi setiap sesi kerja saat mengakses akun Facebook Business (sehingga sesi dilupakan setelah selesai, yang mencegah cookie dicuri dan disalahgunakan).
  • Follow Meta’s recommended security practices.
  • Unduh dan analisis log yang relevan secepat mungkin saat menanggapi insiden yang dicurigai.

sumber : with secure

Peretas ‘Mustang Panda’ Cina Secara Aktif Menargetkan Pemerintah di Seluruh Dunia

by

Seorang aktor ancaman gigih terkenal yang dikenal sebagai Mustang Panda telah dikaitkan dengan serentetan serangan spear-phishing yang menargetkan sektor pemerintah, pendidikan, dan penelitian di seluruh dunia.

Sasaran utama intrusi dari Mei hingga Oktober 2022 termasuk negara-negara di kawasan Asia Pasifik seperti Myanmar, Australia, Filipina, Jepang, dan Taiwan, kata perusahaan keamanan siber Trend Micro dalam laporan Jumat.

Dalam beberapa kasus, pesan phishing dikirim dari akun email yang sebelumnya disusupi milik entitas tertentu, menunjukkan upaya yang dilakukan oleh aktor Mustang Panda untuk meningkatkan kemungkinan keberhasilan kampanyenya.

File arsip, ketika dibuka, dirancang untuk menampilkan dokumen iming-iming kepada korban, sambil secara diam-diam memuat malware di latar belakang melalui metode yang disebut sebagai pemuatan samping DLL.

Rantai serangan pada akhirnya mengarah pada pengiriman tiga keluarga malware – PUBLOAD, TONEINS, dan TONESHELL – yang mampu mengunduh muatan tahap berikutnya dan terbang di bawah radar.

TONESHELL, pintu belakang utama yang digunakan dalam serangan, diinstal melalui TONEINS dan merupakan pemuat kode shell, dengan versi awal implan terdeteksi pada September 2021, menunjukkan upaya berkelanjutan dari pihak pelaku ancaman untuk memperbarui persenjataannya.

“Begitu kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor masuk untuk gelombang penyusupan berikutnya. Strategi ini sebagian besar memperluas cakupan yang terpengaruh di wilayah yang terlibat.”

sumber : the hacker news

Peretas Menggunakan Tawaran Pekerjaan Palsu untuk Meretas dan Mencuri $540 Juta dari Axie Infinity

by

Peretasan Bridge Ronin Axie Infinity senilai $ 540 juta pada akhir Maret 2022 adalah konsekuensi dari salah satu mantan karyawannya yang ditipu oleh tawaran pekerjaan palsu di LinkedIn, telah muncul.

Menurut sebuah laporan, seorang insinyur senior di perusahaan tersebut ditipu untuk melamar pekerjaan di perusahaan yang tidak ada, menyebabkan individu tersebut mengunduh dokumen penawaran palsu yang disamarkan sebagai PDF.

Dokumen penawaran kemudian bertindak sebagai saluran untuk menyebarkan malware yang dirancang untuk menembus jaringan Ronin, yang pada akhirnya memfasilitasi salah satu peretasan terbesar di sektor kripto hingga saat ini.

“Karyawan Sky Mavis berada di bawah serangan spear-phishing tingkat lanjut yang konstan di berbagai saluran sosial dan satu karyawan dikompromikan,” kata perusahaan itu dalam analisis post-mortem pada bulan April.

“Karyawan ini tidak lagi bekerja di Sky Mavis. Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator.”

Pada April 2022, Departemen Keuangan AS melibatkan Grup Lazarus yang didukung Korea Utara dalam insiden tersebut, dengan menyebut sejarah serangan kolektif musuh yang menargetkan sektor cryptocurrency untuk mengumpulkan dana bagi kerajaan pertapa.

Tawaran pekerjaan palsu telah lama digunakan oleh ancaman terus-menerus yang canggih sebagai iming-iming rekayasa sosial, sejak Agustus 2020 hingga kampanye yang dijuluki oleh perusahaan keamanan siber Israel ClearSky sebagai “Operation Dream Job.”

Dalam Laporan Ancaman T1 untuk tahun 2022, ESET mencatat bagaimana aktor yang beroperasi di bawah payung Lazarus telah menggunakan tawaran pekerjaan palsu melalui media sosial seperti LinkedIn sebagai strategi mereka untuk menyerang kontraktor pertahanan dan perusahaan kedirgantaraan.

Sementara Bridge Ethereum Ronin diluncurkan kembali pada bulan Juni, tiga bulan setelah peretasan, Grup Lazarus juga diduga berada di balik pencurian altcoin senilai $100 juta baru-baru ini dari Jembatan Harmony Horizon.

Temuan ini juga datang ketika proyek blockchain yang berpusat di sekitar Web 3.0 telah kehilangan lebih dari $2 miliar karena peretasan dan eksploitasi dalam enam bulan pertama tahun ini, audit blockchain dan perusahaan keamanan CertiK mengungkapkan dalam sebuah laporan minggu lalu.

Sumber : The Hacker News

Hacker Menyisipkan Malware ‘More_Eggs’ ke dalam Resume Dikirim ke Manajer Perekrutan Perusahaan

by

Satu set baru serangan phishing yang memberikan malware more_eggs telah diamati menyerang manajer perekrutan perusahaan dengan resume palsu sebagai vektor infeksi, setahun setelah kandidat potensial yang mencari pekerjaan di LinkedIn terpikat dengan tawaran pekerjaan bersenjata.

“Tahun ini operasi more_eggs telah membalik skrip rekayasa sosial, menargetkan manajer perekrutan dengan resume palsu alih-alih menargetkan pencari kerja dengan tawaran pekerjaan palsu,” kata pemimpin penelitian dan pelaporan eSentire, Keegan Keplinger, dalam sebuah pernyataan.

Perusahaan cybersecurity Kanada mengatakan telah mengidentifikasi dan mengganggu empat insiden keamanan terpisah, tiga di antaranya terjadi pada akhir Maret. Entitas yang ditargetkan termasuk perusahaan kedirgantaraan yang berbasis di AS, bisnis akuntansi yang berlokasi di Inggris, sebuah firma hukum, dan agen kepegawaian, keduanya berbasis di Kanada.

Malware, yang diduga merupakan hasil karya aktor ancaman yang disebut Golden Chickens (alias Venom Spider), adalah suite backdoor modular yang tersembunyi yang mampu mencuri informasi berharga dan melakukan gerakan lateral di seluruh jaringan yang dikompromikan.

“More_eggs mencapai eksekusi dengan meneruskan kode berbahaya ke proses windows yang sah dan membiarkan proses windows tersebut melakukan pekerjaan untuk mereka,” kata Keplinger. Tujuannya adalah untuk memanfaatkan resume sebagai umpan untuk meluncurkan malware dan menghindari deteksi.

“Aktor ancaman di balik more_eggs menggunakan pendekatan spear-phishing yang terukur yang mempersenjatai komunikasi yang diharapkan, seperti resume, yang sesuai dengan harapan manajer perekrutan atau tawaran pekerjaan, menargetkan kandidat yang penuh harapan yang sesuai dengan jabatan mereka saat ini atau masa lalu,” kata Keplinger.

Sumber: The Hacker News

AS mengatakan peretas negara Rusia mengintai di jaringan kontraktor pertahanan selama berbulan-bulan

by

Peretas yang didukung oleh pemerintah Rusia telah menembus jaringan beberapa kontraktor pertahanan AS dalam kampanye berkelanjutan yang telah mengungkapkan informasi sensitif tentang infrastruktur komunikasi pengembangan senjata AS, kata pemerintah federal pada hari Rabu.

Kampanye dimulai pada Januari 2020 dan berlanjut hingga bulan ini, menurut penasihat bersama oleh FBI, Badan Keamanan Nasional, dan Badan Keamanan Cybersecurity dan Infrastruktur. Para peretas telah menargetkan dan berhasil meretas kontraktor pertahanan yang dibersihkan, atau CDC, yang mendukung kontrak untuk Departemen Pertahanan AS dan komunitas intelijen.

“Selama periode dua tahun ini, para aktor ini telah mempertahankan akses terus-menerus ke beberapa jaringan CDC, dalam beberapa kasus setidaknya selama enam bulan,” tulis para pejabat dalam nasihat tersebut. “Dalam kasus ketika para aktor telah berhasil memperoleh akses, FBI, NSA, dan CISA telah mencatat pemusnahan email dan data secara teratur dan berulang. Misalnya, pada saat kompromi pada tahun 2021, pelaku ancaman melakukan eksfiltrasi ratusan dokumen terkait produk perusahaan, hubungan dengan negara lain, serta personel internal dan masalah hukum.”

Dokumen-dokumen yang diekstraksi telah memasukkan informasi eksklusif CDC dan dikendalikan ekspor yang tidak terklasifikasi. Informasi ini memberikan pemerintah Rusia “wawasan yang signifikan” ke dalam pengembangan platform senjata AS dan jadwal waktu penyebaran, rencana infrastruktur komunikasi, dan teknologi khusus yang digunakan oleh pemerintah dan militer AS. Dokumen tersebut juga mencakup email yang tidak diklasifikasikan di antara karyawan dan pelanggan pemerintah mereka yang membahas perincian kepemilikan tentang penelitian teknologi dan ilmiah.

Para peretas telah menggunakan berbagai metode untuk menembus target mereka. Metodenya termasuk memanen kata sandi jaringan melalui spear-phishing, pelanggaran data, teknik cracking, dan eksploitasi kerentanan perangkat lunak yang belum ditambal.

Setelah mendapatkan pijakan di jaringan yang ditargetkan, pelaku ancaman meningkatkan hak sistem mereka dengan memetakan Direktori Aktif dan menghubungkan ke pengontrol domain. Dari sana, mereka dapat mengekstrak kredensial untuk semua akun lain dan membuat akun baru.

Peretas menggunakan server pribadi virtual untuk mengenkripsi komunikasi mereka dan menyembunyikan identitas mereka, tambah penasihat itu. Mereka juga menggunakan perangkat “kantor kecil dan kantor rumah (SOHO), sebagai simpul operasional untuk menghindari deteksi.” Pada tahun 2018, Rusia ketahuan menginfeksi lebih dari 500.000 router konsumen sehingga perangkat tersebut dapat digunakan untuk menginfeksi jaringan tempat mereka terhubung, mengekstrak kata sandi, dan memanipulasi lalu lintas yang melewati perangkat yang disusupi.

“Dalam beberapa kasus, pelaku ancaman mempertahankan akses terus-menerus selama setidaknya enam bulan,” kata penasihat bersama. “Meskipun para pelaku telah menggunakan berbagai malware untuk mempertahankan persistensi, FBI, NSA, dan CISA juga telah mengamati intrusi yang tidak bergantung pada malware atau mekanisme persistensi lainnya. Dalam kasus ini, kemungkinan pelaku ancaman mengandalkan kepemilikan kredensial yang sah untuk bertahan, memungkinkan mereka untuk beralih ke akun lain, sesuai kebutuhan, untuk mempertahankan akses ke lingkungan yang disusupi.”

Penasihat berisi daftar indikator teknis yang dapat digunakan admin untuk menentukan apakah jaringan mereka telah disusupi dalam kampanye. Selanjutnya mendesak semua CDC untuk menyelidiki aktivitas mencurigakan di lingkungan perusahaan dan cloud mereka.

Sumber : Arstechnica

Apa itu spear phishing? Mengapa serangan email yang ditargetkan begitu sulit dihentikan

by

Spear phishing adalah tindakan mengirim dan mengirim email ke target tertentu dan diteliti dengan baik sambil mengaku sebagai pengirim tepercaya. Tujuannya adalah untuk menginfeksi perangkat dengan malware atau meyakinkan korban untuk menyerahkan informasi atau uang.

Sementara kampanye phishing biasa mengejar sejumlah besar target hasil yang relatif rendah, spear phishing bertujuan pada target tertentu menggunakan email khusus yang dibuat untuk korban yang dituju. “Phishing hanyalah jenis serangan generik, berteknologi rendah, bukan bertarget,” kata Aaron Higbee, salah satu pendiri dan CTO dari perusahaan anti-phishing Cofense (sebelumnya dikenal sebagai PhishMe). “Mereka tidak terlalu peduli tentang siapa target mereka. Mereka hanya memasang jaring lebar untuk mencoba menjerat sebanyak mungkin orang dan perusahaan. ”

“Spear phishing adalah kampanye yang sengaja dibuat oleh pelaku ancaman dengan tujuan menembus satu organisasi, dan di mana mereka benar-benar akan meneliti nama dan peran dalam sebuah perusahaan,” tambah Higbee.

Meskipun email spear phishing sangat bertarget dan oleh karena itu kemungkinan besar berbeda dari satu organisasi ke organisasi lain, tren pemersatu harus menimbulkan tanda bahaya di antara pengguna. Tanda peringatan yang paling jelas adalah alamat email yang salah atau yang terlihat mirip dengan yang Anda harapkan tetapi sedikit berbeda. Namun, alamat email dapat dipalsukan atau mungkin tidak akan terlihat berbeda tanpa pemeriksaan yang cermat.

Urgensi ini sering kali dibarengi dengan dorongan untuk melanggar kebijakan atau norma perusahaan, pembayaran pelacakan cepat tanpa pemeriksaan dan prosedur biasa. Mereka mungkin juga menggunakan bahasa emosi untuk membangkitkan simpati atau ketakutan; CEO yang menyamar mungkin mengatakan Anda mengecewakan mereka jika Anda tidak melakukan pembayaran mendesak, misalnya.

Dia menambahkan bahwa seringkali email akan berisi file – atau tautan ke file – yang membutuhkan makro untuk diaktifkan. “Itu tanda peringatan. Sebagian besar makro tidak berbahaya, tetapi apakah Anda biasanya berharap menerimanya? Jika ya, apakah Anda perlu mengaktifkan makro untuk melakukan tugas ini? ”

Organisasi dapat menerapkan kontrol teknis dan manusia untuk mengurangi ancaman phishing tombak. Bersamaan dengan kontrol standar seperti filter spam, deteksi malware, dan antivirus, perusahaan harus mempertimbangkan pengujian simulasi phishing, pendidikan pengguna, dan memiliki proses yang mapan bagi pengguna untuk melaporkan email yang mencurigakan kepada tim keamanan TI.

selengkapnya : www.csoonline.com