Spear Phishing

Cyberspies Iran di balik kampanye spear-phishing SMS Natal

January 14, 2021 by Winnie the Pooh

Sebuah kelompok spionase siber Iran yang dikenal sebagai Charming Kitten (APT35 atau Phosphorus) telah menggunakan liburan musim dingin baru-baru ini untuk menyerang target dari seluruh dunia menggunakan kampanye spear-phishing yang sangat canggih yang tidak hanya melibatkan serangan email tetapi juga pesan SMS.

CERTFA, organisasi keamanan siber yang khusus melacak operasi Iran, mengatakan mereka mendeteksi serangan yang menargetkan anggota lembaga think tank, pusat penelitian politik, profesor universitas, jurnalis, dan aktivis lingkungan.

Para korban berada di negara-negara sekitar Teluk Persia, Eropa, dan AS.

Peneliti CERTFA mengatakan bahwa kampanye khusus ini menunjukkan tingkat kompleksitas yang tinggi. Korban menerima pesan spear-phishing dari penyerang tidak hanya melalui email tetapi juga melalui SMS, saluran yang tidak banyak digunakan oleh pelaku ancaman.

Sementara pesan SMS berperan sebagai peringatan keamanan Google, email tersebut memanfaatkan akun yang sebelumnya diretas dan menggunakan umpan terkait liburan.

Persamaan yang umum di kedua kampanye tersebut adalah bahwa operator Charming Kitten berhasil menyembunyikan serangan mereka di balik URL Google yang sah https://www.google[.]com/url?q=https://script.google.com/xxxx, yang akan menipu bahkan penerima yang paling paham teknologi.

Namun ternyata, CERTFA mengatakan bahwa URL Google yang sah pada akhirnya akan mengarahkan pengguna melalui situs web yang berbeda dan akhirnya membawanya ke halaman phishing, di mana mereka akan dimintai kredensial masuk untuk layanan email pribadi seperti Gmail, Yahoo, dan Outlook, tetapi juga email bisnis.

Sumber: ZDNet

TA416 APT Kembali Dengan Varian Baru PlugX Malware

November 25, 2020 by Winnie the Pooh

Aktor TA416 Advanced Persistent Threat (APT) telah kembali. Setelah sebulan tidak aktif, grup tersebut terlihat meluncurkan serangan spear-phishing dengan varian Golang yang belum pernah dilihat sebelumnya dari malware loader PlugX-nya.

TA416, yang juga dikenal sebagai “Mustang Panda” dan “RedDelta”, terlihat dalam kampanye baru-baru ini yang menargetkan entitas yang terkait dengan hubungan diplomatik antara Vatikan dan Partai Komunis China, serta entitas di Myanmar (semua ini adalah kampanye yang dilaporkan sebelumnya).

Dalam analisis lebih lanjut dari serangan ini, para peneliti menemukan grup tersebut telah memperbarui perangkatnya – khususnya, memberikan varian malware PlugX facelift. Remote access tool (RAT) PlugX sebelumnya telah digunakan dalam serangan yang ditujukan pada lembaga pemerintah dan memungkinkan pengguna jarak jauh untuk melakukan pencurian data atau mengendalikan sistem yang terpengaruh tanpa izin atau otorisasi. Itu dapat menyalin, memindahkan, mengganti nama, mengeksekusi dan menghapus file; log penekanan tombol; sidik jari sistem yang terinfeksi; dan lainnya.

Setelah penyelidikan lebih dekat, peneliti mengidentifikasi dua arsip RAR yang berfungsi sebagai dropper malware PlugX.

Para peneliti mengatakan, vektor pengiriman awal untuk arsip RAR ini tidak dapat diidentifikasi, “namun, secara historis TA416 telah diamati menggunakan URL Google Drive dan Dropbox dalam email phishing yang mengirimkan arsip yang berisi malware PlugX dan komponen terkait,” kata mereka.

Malware Loader ini diidentifikasi sebagai Golang binary; Peneliti mengatakan mereka sebelumnya tidak mengamati jenis file ini digunakan oleh TA416. Meskipun jenis file dari loader PlugX berubah, fungsinya sebagian besar tetap sama, kata para peneliti.

Sumber: Threat Post

Spammer Menyelundupkan LokiBot Melalui Taktik Obfuscation URL

October 2, 2020 by Winnie the Pooh

Pelaku spam mulai menggunakan teknik penyamaran URL rumit untuk menghindari deteksi – dan pada akhirnya menginfeksi korban dengan trojan LokiBot.

Taktik itu ditemukan dalam email spear-phishing baru-baru ini dengan lampiran PowerPoint, yang berisi makro berbahaya.

Saat file PowerPoint dibuka, dokumen mencoba mengakses URL melalui binary Windows (mshta.exe), dan ini menyebabkan berbagai malware diinstal ke sistem.

Proses ini bukan hal baru untuk pengunduh makro. Namun, karena domain yang terkait dengan kampanye telah diketahui menghosting file dan data berbahaya, penyerang menggunakan serangan semantik unik pada URL kampanye untuk mengelabui penerima email dan menghindari dideteksi oleh email dan AV.

Serangan URL semantik adalah ketika klien secara manual menyesuaikan parameter permintaannya dengan mempertahankan sintaks URL – tetapi mengubah arti semantiknya.

Email berbahaya yang diamati oleh peneliti berjudul: “URGENT: REQUEST FOR OFFER (University of Auckland)” dan PowerPoint terlampir berjudul “Request For Offer.”

Para spammer di balik serangan ini telah menerobos salah satu komponen skema URI yang disebut komponen Authority, yang memegang bagian informasi pengguna opsional.

Contoh dari struktur Authority ini adalah sebagai berikut: otoritas=[userinfo @]host[:port].

Karena “userinfo” tidak umum digunakan, kadang-kadang diabaikan oleh server, kata peneliti. Dalam kampanye khusus ini, penyerang memanfaatkan fakta ini, memanfaatkan apa yang oleh peneliti disebut sebagai userinfo “dummy” untuk menyembunyikan maksud sebenarnya.

Dalam kampanye khusus ini, URL yang digunakan (j [.] Mp / kassaasdskdd) sebenarnya menggunakan layanan pemendekan URL Bit.ly dan mengarah ke Pastebin. Untuk menghindari deteksi, penyerang berulang kali menggunakan string pendek acak (“% 909123id”) di bagian userinfo di URL mereka.

“Aktor siber mencoba membuat domain tidak terlalu mencolok namun tetap sesuai dengan sintaks URI generik,” kata peneliti.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Korea Utara telah mencoba meretas 11 pejabat Dewan Keamanan PBB

October 1, 2020 by Winnie the Pooh

Sebuah kelompok peretas yang sebelumnya terkait dengan rezim Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat bagian dari Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan tersebut, yang diungkapkan dalam laporan PBB bulan lalu, telah terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok peretas Korea Utara yang dikenal di komunitas keamanan siber dengan nama sandi Kimsuky.

Operasi Kimsuky berlangsung sepanjang Maret dan April tahun ini dan terdiri dari serangkaian kampanye spear-phishing yang ditujukan ke akun Gmail pejabat PBB.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Namun serangan ini tidak berhenti pada bulan April, seperti yang dinyatakan dalam laporan PBB terbaru tentang Korea Utara, dan kelompok Kimsuky terus menargetkan PBB, sebagai bagian dari upaya yang lebih luas untuk memata-matai pengambilan keputusan PBB sehubungan dengan urusan Korea Utara dan kemungkinan rencana untuk menjatuhkan sanksi baru.

Analis PwC, yang ahli dalam operasi Kimsuky, mengatakan sebagian besar operasi grup adalah serangan spear-phishing yang bertujuan untuk mendapatkan kredensial korban untuk berbagai akun online. Operasi spear-phishing lainnya juga bertujuan agar para korban terinfeksi malware.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Peretasan Twitter Diawali Dengan Serangan Spear Phishing Melalui Telepon

August 3, 2020 by Winnie the Pooh

Twitter telah memberikan update terbaru mengenai pelanggaran keamanan yang terjadi dua minggu lalu pada akun beberapa Twitter bercentang biru yang diretas oleh penipu bitcoin.

Menurut perusahaan itu, sejumlah kecil karyawannya menjadi sasaran dalam “serangan spear phishing telepon”. Serangan tersebut membuat para karyawan Twitter mengira bahwa mereka telah berkomunikasi dengan teman kerjanya sendiri, yang sebenarnya adalah seorang peretas. Peretas mengarahkan mereka untuk mengungkapkan kredensial yang dibutuhkan untuk mengakses tool support akun internal.

Serangan pada 15 Juli 2020, menargetkan sejumlah kecil karyawan melalui serangan spear phishing telepon. Serangan ini bergantung pada upaya yang signifikan dan terpadu untuk menyesatkan karyawan tertentu dan mengeksploitasi kerentanan manusia untuk mendapatkan akses ke sistem internal kami.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: MacRumors

A New Campaign Targets Infrastructure Equipment Manufacturers

December 19, 2019 by Winnie the Pooh

Source: CSO Online

Para peneliti baru-baru ini mendeteksi kampanye advanced persistent threat (APT) yang menargetkan produsen peralatan infrastruktur dengan menggunakan email spear phishing bertema sektor industri dan kombinasi alat gratis.

Menurut perusahaan cybersecurity industri CyberX, lebih dari setengah dari perusahaan yang ditargetkan berbasis di Korea Selatan, tetapi para korban juga terdeteksi di Cina, Thailand, Jepang, Indonesia, Turki, Jerman, Inggris dan Ekuador. Sebuah pabrik di Korea Selatan yang sudah terinfeksi dapat memberi para penyerang informasi yang dibutuhkan untuk menyerang para mitra dan pelanggannya di seluruh dunia.

Buka link di atas untuk mengetahui bagaimana para hacker tersebut menyebarkan malware nya.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Spear Phishing

Cookies Settings