Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for spionase

spionase

Pemerintah dan Organisasi Asia Menjadi Sasaran Serangan Spionase Siber Terbaru

by

Pemerintah dan organisasi milik negara di sejumlah negara Asia telah menjadi sasaran kelompok peretas spionase yang berbeda sebagai bagian dari misi pengumpulan intelijen yang telah berlangsung sejak awal 2021.

Kampanye tersebut dikatakan secara eksklusif ditujukan untuk lembaga pemerintah yang terkait dengan keuangan, kedirgantaraan, dan pertahanan, serta perusahaan media, TI, dan telekomunikasi milik negara.

Pemuatan samping pustaka tautan dinamis (DLL) adalah metode serangan siber populer yang memanfaatkan cara aplikasi Microsoft Windows menangani file DLL. Dalam intrusi ini, DLL berbahaya palsu ditanam di direktori Windows Side-by-Side (WinSxS) sehingga sistem operasi memuatnya alih-alih file yang sah.

Serangan tersebut memerlukan penggunaan versi lama dan usang dari solusi keamanan, perangkat lunak grafis, dan browser web yang pasti tidak memiliki mitigasi untuk pemuatan samping DLL, menggunakannya sebagai saluran untuk memuat kode shell arbitrer yang dirancang untuk mengeksekusi muatan tambahan.

Selain itu, paket perangkat lunak juga berfungsi ganda sebagai sarana untuk memberikan alat untuk memfasilitasi pencurian kredensial dan pergerakan lateral di seluruh jaringan yang disusupi.

“Aktor ancaman memanfaatkan PsExec untuk menjalankan versi lama dari perangkat lunak sah yang kemudian digunakan untuk memuat alat malware tambahan seperti Trojan akses jarak jauh (RATS) yang tersedia melalui pemuatan samping DLL pada komputer lain di jaringan,” para peneliti mencatat.

Dalam salah satu serangan terhadap organisasi milik pemerintah di sektor pendidikan di Asia berlangsung dari April hingga Juli 2022, di mana musuh mengakses mesin hosting database dan email, sebelum mengakses pengontrol domain.

Penyusupan tersebut juga memanfaatkan Bitdefender Crash Handler (“javac.exe”) versi 11 tahun untuk meluncurkan versi Mimikatz (“calc.exe”) yang telah diganti namanya, kerangka kerja pengujian penetrasi Golang open source yang disebut LadonGo, dan muatan khusus lainnya di beberapa host.

Salah satunya adalah pencuri informasi kaya fitur yang sebelumnya tidak berdokumen yang dijuluki Logdatter yang mampu mencatat penekanan tombol, menangkap tangkapan layar, menghubungkan dan menanyakan database SQL, mengunduh file, dan mencuri data clipboard.

Dalam serangan, itu adalah alat pemindaian intranet yang tersedia untuk umum bernama Fscan untuk melakukan upaya eksploitasi yang memanfaatkan kerentanan ProxyLogon Microsoft Exchange Server.

Identitas kelompok ancaman tidak jelas, meskipun dikatakan telah menggunakan ShadowPad dalam kampanye sebelumnya, Backdoor modular yang dibuat sebagai penerus PlugX (alias Korplug) dan dibagikan di antara banyak aktor ancaman China.

Symantec mengatakan memiliki bukti terbatas yang menghubungkan serangan aktor ancaman sebelumnya yang melibatkan malware PlugX dengan kelompok peretas China lainnya seperti APT41 (alias Wicked Panda) dan Mustang Panda. Terlebih lagi, penggunaan file Bitdefender yang sah untuk melakukan sideload shellcode telah diamati pada serangan sebelumnya yang dikaitkan dengan APT41.

Sumber: The Hackernews

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

by

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Peretas yang Didukung Negara Menggunakan Ransomware sebagai Umpan untuk Serangan Spionase

by

Sebuah kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di China mungkin menyebarkan keluarga ransomware berumur pendek sebagai umpan untuk menutupi tujuan operasional dan taktis yang sebenarnya di balik kampanyenya.

Cluster aktivitas, yang dikaitkan dengan grup peretasan yang dijuluki Bronze Starlight oleh Secureworks, melibatkan penyebaran ransomware pasca-intrusi seperti LockFile, Atom Silo, Rook, Night Sky, Pandora, dan LockBit 2.0.

“Ransomware dapat mengalihkan perhatian responden insiden dari mengidentifikasi maksud sebenarnya dari pelaku ancaman dan mengurangi kemungkinan mengaitkan aktivitas jahat dengan kelompok ancaman China yang disponsori pemerintah,” kata para peneliti dalam sebuah laporan baru. “Dalam setiap kasus, ransomware menargetkan sejumlah kecil korban selama periode waktu yang relatif singkat sebelum berhenti beroperasi, tampaknya secara permanen.”

Bronze Starlight, aktif sejak pertengahan 2021, juga dilacak oleh Microsoft di bawah klaster ancaman yang muncul DEV-0401, dengan raksasa teknologi itu menekankan keterlibatannya dalam semua tahap siklus serangan ransomware langsung dari akses awal hingga penyebaran muatan.

Tidak seperti grup RaaS lain yang membeli akses dari broker akses awal (IAB) untuk memasuki jaringan, serangan yang dipasang oleh aktor ditandai dengan penggunaan kerentanan yang belum ditambal yang memengaruhi Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (termasuk kelemahan yang baru diungkapkan), dan Apache Log4j.

Dalam waktu kurang dari satu tahun, kelompok tersebut dikatakan telah melewati sebanyak enam jenis ransomware yang berbeda seperti LockFile (Agustus 2021), Atom Silo (Oktober), Rook (November), Night Sky (Desember), Pandora (Februari 2022 ), dan yang terbaru LockBit 2.0 (April).

Terlebih lagi, kesamaan telah ditemukan antara LockFile dan Atom Silo serta antara Rook, Night Sky, dan Pandora — tiga yang terakhir berasal dari ransomware Babuk, yang kode sumbernya bocor pada September 2021 — menunjukkan pekerjaan aktor yang sama.

“Karena DEV-0401 memelihara dan sering mengubah nama muatan ransomware mereka sendiri, mereka dapat muncul sebagai kelompok yang berbeda dalam pelaporan berbasis muatan dan menghindari deteksi dan tindakan terhadap mereka,” Microsoft mencatat bulan lalu.

Setelah mendapatkan pijakan di dalam jaringan, Bronze Starlight diketahui mengandalkan teknik seperti menggunakan Cobalt Strike dan Windows Management Instrumentation (WMI) untuk gerakan lateral, meskipun mulai bulan ini, grup tersebut mulai mengganti Cobalt Strike dengan kerangka Sliver dalam serangan mereka. .

Tradecraft lain yang diamati terkait dengan penggunaan HUI Loader untuk meluncurkan payload terenkripsi tahap berikutnya seperti PlugX dan Cobalt Strike Beacons, yang terakhir digunakan untuk mengirimkan ransomware, tetapi tidak sebelum mendapatkan kredensial Administrator Domain istimewa.

“Penggunaan HUI Loader untuk memuat Cobalt Strike Beacon, informasi konfigurasi Cobalt Strike Beacon, infrastruktur C2, dan kode yang tumpang tindih menunjukkan bahwa kelompok ancaman yang sama dikaitkan dengan lima keluarga ransomware ini,” jelas para peneliti.

Perlu ditunjukkan bahwa baik HUI Loader dan PlugX, bersama ShadowPad, adalah malware yang secara historis digunakan oleh kolektif musuh negara-bangsa China, memberikan kepercayaan pada kemungkinan bahwa Bronze Starlight lebih diarahkan untuk spionase daripada keuntungan moneter langsung.

Selain itu, pola viktimologi yang mencakup berbagai jenis ransomware menunjukkan bahwa sebagian besar target cenderung lebih menarik bagi kelompok yang disponsori pemerintah China yang berfokus pada pengumpulan intelijen jangka panjang.

Korban utama mencakup perusahaan farmasi di Brasil dan AS, organisasi media yang berbasis di AS dengan kantor di China dan Hong Kong, perancang dan produsen komponen elektronik di Lituania dan Jepang, firma hukum di AS, dan divisi kedirgantaraan dan pertahanan dari seorang konglomerat India.

Untuk itu, operasi ransomware, selain menyediakan sarana untuk mengekstrak data sebagai bagian dari skema pemerasan ganda “nama-dan-malu”, juga menawarkan keuntungan ganda karena memungkinkan pelaku ancaman untuk menghancurkan bukti forensik dari aktivitas jahat mereka dan bertindak sebagai pengalih perhatian dari pencurian data.

“Masuk akal bahwa Bronze Starlight menyebarkan ransomware sebagai tabir asap daripada untuk keuntungan finansial, dengan motivasi yang mendasari mencuri kekayaan intelektual atau melakukan spionase,” kata para peneliti.

Sumber: The Hacker News

Peretas Iran terungkap dalam kampanye spionase yang sangat ditargetkan

by

Analis ancaman telah melihat serangan baru yang dikaitkan dengan kelompok peretasan Iran yang dikenal sebagai kelompok APT34 atau Oilrig, yang menargetkan seorang diplomat Yordania dengan alat yang dibuat khusus.

Serangan itu melibatkan teknik anti-deteksi dan anti-analisis tingkat lanjut dan memiliki beberapa karakteristik yang menunjukkan persiapan yang panjang dan hati-hati.

Peneliti keamanan di Fortinet telah mengumpulkan bukti dan artefak dari serangan pada Mei 2022 dan menyusun laporan teknis untuk menyoroti teknik dan metode terbaru APT34.

Email spear-phishing yang dilihat oleh Fortinet menargetkan seorang diplomat Yordania, berpura-pura dari seorang rekan di pemerintahan, dengan alamat email yang dipalsukan.

Email tersebut membawa lampiran Excel berbahaya yang berisi kode makro VBA yang dijalankan untuk membuat tiga file, file yang dapat dieksekusi berbahaya, file konfigurasi, dan DLL yang ditandatangani dan dibersihkan.

Makro juga menciptakan kegigihan untuk executable berbahaya (update.exe) dengan menambahkan tugas terjadwal yang berulang setiap empat jam.

Temuan lain yang tidak biasa menyangkut dua mekanisme anti-analisis yang diterapkan di makro: pengalihan visibilitas lembar dalam spreadsheet dan yang lainnya memeriksa keberadaan mouse, yang mungkin tidak ada pada layanan kotak pasir analisis malware.

Eksekusi berbahaya adalah biner .NET yang memeriksa status program dan membuat dirinya tertidur selama delapan jam setelah diluncurkan. Para analis percaya para peretas mungkin menetapkan penundaan ini dengan asumsi bahwa diplomat akan membuka email di pagi hari dan pergi setelah delapan jam sehingga komputer tidak akan dijaga.

Saat aktif, malware berkomunikasi dengan subdomain C2 menggunakan alat algoritma pembuatan domain (DGA). DGA adalah teknik yang digunakan secara luas yang membuat operasi malware lebih tahan terhadap penghapusan domain dan daftar blokir.

Sistem algoritma pembuatan domain (Fortinet)

Kemudian membuat terowongan DNS untuk berkomunikasi dengan alamat IP yang disediakan. Ini adalah teknik yang jarang terlihat yang membantu pelaku ancaman mengenkripsi data yang dipertukarkan dalam konteks komunikasi ini, sehingga menyulitkan pemantau jaringan untuk menangkap sesuatu yang mencurigakan.

Terowongan DNS dalam komunikasi C2 (Fortinet)

Beberapa domain yang digunakan dalam kampanye diberi nama yang mencurigakan, jelas berusaha menyamar sebagai entitas terkenal dan tepercaya seperti AstraZeneca, HSBC, dan Cisco.

Selanjutnya, C2 mengirimkan dua puluh dua perintah backdoor yang berbeda ke malware, yang dijalankan melalui PowerShell atau Windows CMD interpreter.

Terakhir, eksfiltrasi data yang dicuri dilakukan melalui DNS, dengan data yang disematkan ke dalam permintaan, membuatnya tampak standar dalam log jaringan.

Eksfiltrasi DNS APT34 (Fortinet)

APT34 sebelumnya telah dikaitkan dengan pemerintah Iran dan merupakan aktor ancaman yang cakap yang beroperasi dalam bayang-bayang, tidak meninggalkan banyak jejak.

Dengan demikian, laporan Fortinet sangat berharga bagi para peneliti dan pembela, yang harus memperhatikan indikator kompromi yang dipublikasikan.

Sumber: Bleeping Computer

Kelompok spionase dunia maya China Moshen Dragon menargetkan perusahaan telekomunikasi Asia

by

Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.

Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.

Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.

Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.

Rantai operasi keseluruhan Moshen Dragon (Laboratorium Sentinel)

Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.

Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.

Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).

Fitur gerakan lateral Impacket (Lab Sentinel)

Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.

Filter kata sandi yang digunakan untuk mencuri kredensial (Sentinel Labs)

Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.

Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.

Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).

Fungsi yang diekspor loader (Lab Sentinel)

Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.

Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.

Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.

Sumber: Bleeping Computer