Spionase Siber

Peretas Tiongkok Menggunakan Rantai Infeksi Tersembunyi untuk Menyebarkan Malware LODEINFO

November 3, 2022 by Eevee

Aktor ancaman China yang dikenal sebagai Stone Panda telah diamati menggunakan rantai infeksi tersembunyi baru dalam serangannya yang ditujukan pada entitas Jepang.

Target termasuk media, diplomatik, pemerintah dan organisasi sektor publik dan think-tank di Jepang, menurut laporan kembar yang diterbitkan oleh Kaspersky.

Stone Panda, juga disebut APT10, Bronze Riverside, Cicada, dan Potassium, adalah kelompok spionase dunia maya yang dikenal karena intrusinya terhadap organisasi yang diidentifikasi secara strategis signifikan bagi China. Pelaku ancaman diyakini telah aktif setidaknya sejak 2009.

Grup tersebut juga telah dikaitkan dengan serangan menggunakan keluarga malware seperti SigLoader, SodaMaster, dan web shell yang disebut Jackpot terhadap beberapa organisasi domestik Jepang sejak April 2021, menurut perusahaan keamanan siber Trend Micro, yang melacak grup tersebut dengan nama Earth Tengshe.

Serangkaian serangan terbaru, diamati antara Maret dan Juni 2022, melibatkan penggunaan file Microsoft Word palsu dan file arsip self-extracting (SFX) dalam format RAR yang disebarkan melalui email spear-phishing, yang mengarah ke eksekusi pintu belakang yang disebut LODEINFO.

Sementara maldoc mengharuskan pengguna untuk mengaktifkan makro untuk mengaktifkan killchain, kampanye Juni 2022 ditemukan untuk menjatuhkan metode ini demi file SFX yang, ketika dijalankan, menampilkan dokumen Word umpan yang tidak berbahaya untuk menyembunyikan aktivitas jahat.

Makro, setelah diaktifkan, menjatuhkan arsip ZIP yang berisi dua file, salah satunya (“NRTOLF.exe”) adalah executable yang sah dari perangkat lunak K7Security Suite yang kemudian digunakan untuk memuat DLL jahat (“K7SysMn1.dll”) melalui DLL pemuatan samping.

Kaspersky juga menemukan metode infeksi awal lain pada Juni 2022, di mana file Microsoft Word yang dilindungi kata sandi bertindak sebagai saluran untuk mengirimkan pengunduh tanpa file yang dijuluki DOWNIISSA setelah mengaktifkan makro.

DOWNIISSA dikonfigurasi untuk berkomunikasi dengan server jarak jauh berkode keras, menggunakannya untuk mengambil muatan BLOB terenkripsi dari LODEINFO, pintu belakang yang mampu mengeksekusi kode shell sewenang-wenang, mengambil tangkapan layar, dan mengekstrak file kembali ke server.

Malware tersebut, pertama kali terlihat pada tahun 2019, telah mengalami banyak peningkatan, dengan Kaspersky mengidentifikasi enam versi berbeda pada bulan Maret, April, Juni, dan September 2022.

Perubahan termasuk teknik penghindaran yang ditingkatkan untuk terbang di bawah radar, menghentikan eksekusi pada mesin dengan lokal “en_US,” merevisi daftar perintah yang didukung, dan memperluas dukungan untuk arsitektur Intel 64-bit.

Sumber: The Hackernews

Peretas mengkompromikan jaringan agen pemerintah Hong Kong selama setahun

October 20, 2022 by Eevee

Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.

Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.

Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.

Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.

Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.

Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:

menggunakan perpustakaan CryptoPP C++
penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)

Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”

Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.

Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”

Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.

Sumber: Bleeping Computer

Pemerintah dan Organisasi Asia Menjadi Sasaran Serangan Spionase Siber Terbaru

September 14, 2022 by Eevee

Pemerintah dan organisasi milik negara di sejumlah negara Asia telah menjadi sasaran kelompok peretas spionase yang berbeda sebagai bagian dari misi pengumpulan intelijen yang telah berlangsung sejak awal 2021.

Kampanye tersebut dikatakan secara eksklusif ditujukan untuk lembaga pemerintah yang terkait dengan keuangan, kedirgantaraan, dan pertahanan, serta perusahaan media, TI, dan telekomunikasi milik negara.

Pemuatan samping pustaka tautan dinamis (DLL) adalah metode serangan siber populer yang memanfaatkan cara aplikasi Microsoft Windows menangani file DLL. Dalam intrusi ini, DLL berbahaya palsu ditanam di direktori Windows Side-by-Side (WinSxS) sehingga sistem operasi memuatnya alih-alih file yang sah.

Serangan tersebut memerlukan penggunaan versi lama dan usang dari solusi keamanan, perangkat lunak grafis, dan browser web yang pasti tidak memiliki mitigasi untuk pemuatan samping DLL, menggunakannya sebagai saluran untuk memuat kode shell arbitrer yang dirancang untuk mengeksekusi muatan tambahan.

Selain itu, paket perangkat lunak juga berfungsi ganda sebagai sarana untuk memberikan alat untuk memfasilitasi pencurian kredensial dan pergerakan lateral di seluruh jaringan yang disusupi.

“Aktor ancaman memanfaatkan PsExec untuk menjalankan versi lama dari perangkat lunak sah yang kemudian digunakan untuk memuat alat malware tambahan seperti Trojan akses jarak jauh (RATS) yang tersedia melalui pemuatan samping DLL pada komputer lain di jaringan,” para peneliti mencatat.

Dalam salah satu serangan terhadap organisasi milik pemerintah di sektor pendidikan di Asia berlangsung dari April hingga Juli 2022, di mana musuh mengakses mesin hosting database dan email, sebelum mengakses pengontrol domain.

Penyusupan tersebut juga memanfaatkan Bitdefender Crash Handler (“javac.exe”) versi 11 tahun untuk meluncurkan versi Mimikatz (“calc.exe”) yang telah diganti namanya, kerangka kerja pengujian penetrasi Golang open source yang disebut LadonGo, dan muatan khusus lainnya di beberapa host.

Salah satunya adalah pencuri informasi kaya fitur yang sebelumnya tidak berdokumen yang dijuluki Logdatter yang mampu mencatat penekanan tombol, menangkap tangkapan layar, menghubungkan dan menanyakan database SQL, mengunduh file, dan mencuri data clipboard.

Dalam serangan, itu adalah alat pemindaian intranet yang tersedia untuk umum bernama Fscan untuk melakukan upaya eksploitasi yang memanfaatkan kerentanan ProxyLogon Microsoft Exchange Server.

Identitas kelompok ancaman tidak jelas, meskipun dikatakan telah menggunakan ShadowPad dalam kampanye sebelumnya, Backdoor modular yang dibuat sebagai penerus PlugX (alias Korplug) dan dibagikan di antara banyak aktor ancaman China.

Symantec mengatakan memiliki bukti terbatas yang menghubungkan serangan aktor ancaman sebelumnya yang melibatkan malware PlugX dengan kelompok peretas China lainnya seperti APT41 (alias Wicked Panda) dan Mustang Panda. Terlebih lagi, penggunaan file Bitdefender yang sah untuk melakukan sideload shellcode telah diamati pada serangan sebelumnya yang dikaitkan dengan APT41.

Sumber: The Hackernews

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Spionase Siber

Cookies Settings