Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat Actor

Threat Actor

Asylum Ambuscade: Grup Cybercrime dengan Ambisi Spionase

by

Kelompok ancaman yang dikenal dengan nama Asylum Ambuscade telah terlihat dalam operasi cybercrime dan cyber espionage sejak awal 2020.

“Mereka adalah kelompok crimeware yang menargetkan pelanggan bank dan pedagang cryptocurrency di berbagai wilayah, termasuk Amerika Utara dan Eropa,” kata ESET dalam analisis yang diterbitkan pada hari Kamis. “Asylum Ambuscade juga melakukan spionase terhadap entitas pemerintah di Eropa dan Asia Tengah.”

Asylum Ambuscade pertama kali didokumentasikan oleh Proofpoint pada Maret 2022 sebagai kampanye phishing yang disponsori oleh negara yang menargetkan entitas pemerintah Eropa dalam upaya untuk memperoleh intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.

Tujuan para penyerang, menurut perusahaan keamanan Siber Slovakia, adalah untuk mencuri informasi rahasia dan kredensial email web dari portal email resmi pemerintah.

Serangan ini dimulai dengan email spear-phishing yang membawa lampiran spreadsheet Excel berbahaya yang, ketika dibuka, akan mengeksploitasi kode VBA atau kerentanan Follina (CVE-2022-30190) untuk mengunduh paket MSI dari server jarak jauh.

Kemudian, installer menggunakan downloader yang ditulis dalam Lua yang disebut SunSeed (atau versi Visual Basic Script) untuk mengunduh malware berbasis AutoHotkey yang dikenal sebagai AHK Bot dari server jarak jauh.

Yang mencolok tentang Asylum Ambuscade adalah aksi kejahatan siber mereka yang telah menyerang lebih dari 4.500 korban di seluruh dunia sejak Januari 2022, dengan sebagian besar dari mereka berlokasi di Amerika Utara, Asia, Afrika, Eropa, dan Amerika Selatan.

Rantai kompromi ini mengikuti pola yang serupa kecuali vektor intrusi awalnya, yang melibatkan penggunaan iklan Google palsu atau sistem traffic direction system (TDS) untuk mengarahkan korban potensial ke situs web palsu yang mengirimkan file JavaScript berisi malware.

Serangan ini juga menggunakan versi Node.js dari AHK Bot yang diberi nama kode NODEBOT yang kemudian digunakan untuk mengunduh plugin yang bertanggung jawab atas pengambilan tangkapan layar, pencurian kata sandi, pengumpulan informasi sistem, dan instalasi trojan dan stealer tambahan.

Serangan ini menunjukkan bahwa para pelaku ancaman terus mengembangkan metode dan alat untuk mencapai tujuan jahat mereka. Penting bagi pengguna komputer dan internet untuk selalu waspada terhadap tautan yang mencurigakan, iklan palsu, dan situs web yang tidak dikenal.

Selain itu, penting juga untuk memperbarui perangkat lunak dan sistem keamanan secara teratur serta menggunakan solusi keamanan yang andal untuk melindungi diri dari serangan siber. Kesadaran akan teknik-teknik serangan dan kebijakan keamanan yang kuat adalah langkah-langkah yang krusial dalam menghadapi ancaman siber saat ini.

Selengkapnya: The Hacker News

Kelompok Peretas DeltaBoys Bangkit Kembali

by

DeltaBoys, sekelompok peretas yang beroperasi sejak Desember 2021, awalnya bergerak sebagai pialang basis data dan pelaku carding. Namun, pada Agustus 2022, operasi mereka berkembang menjadi defacement massal dan pasar “akses awal”, yang menyediakan webshell untuk situs web sensitif.

Untuk mendanai operasi mereka yang memiliki motif geopolitik, mereka membangun katalog beragam basis data yang baru saja diretas, “zero-day”, “exploit untuk kerentanan yang diketahui”, webshell, dan kartu kredit yang bocor untuk dijual.

DeltaBoys membuat saluran Telegram mereka pada 1 Desember 2021 untuk memonetisasi upaya peretasan mereka. Tidak lama kemudian terbukti bahwa pasar untuk basis data tertentu lebih kecil daripada pasar yang mencari akses domain awal. Para pelaku ancaman ini memposting set pertama webshell mereka untuk dijual pada Agustus 2022.

Akses webshell biasanya terjual sangat cepat di dark web: hal ini tergantung pada siapa yang menemukan kerentanan/konfigurasi yang salah terlebih dahulu, karena secara alami, pelaku ancaman tidak ingin membagikan korban mereka. Dalam kasus ini, 170 webshell terjual dalam waktu satu menit, yang menunjukkan permintaan akan data semacam itu.

DeltaBoys muntul dengan hanya melakukan 2 defacement pada tahun 2021, sedangkan pada bulan April 2023 saja, DeltaBoys telah melakukan defacement terhadap 59 situs web, dengan sebagian besar korban berasal dari Israel, Taiwan, Tiongkok, dan Spanyol.

Kelompok DeltaBoys dikenal menggunakan utilitas “bashupload”, yang memungkinkan pengguna mengunggah file untuk diakses nanti, dan juga memfasilitasi penggalian data. Selain itu, hanya 3 dari 88 vendor antivirus yang mengindikasikan domain ini sebagai berbahaya.

Selengkapnya: CYFIRMA

Magecart threat actor rolls out convincing modal forms

by

Untuk menjerat korban baru, penjahat sering kali merancang skema yang berusaha terlihat serealistis mungkin. Karena itu, tidak setiap hari kita melihat salinan palsu melebihi karya aslinya.

Saat menindaklanjuti kampanye skimmer kartu kredit Magecart yang sedang berlangsung, kami hampir tertipu oleh formulir pembayaran yang terlihat sangat bagus sehingga kami pikir itu asli. Pelaku ancaman menggunakan logo asli dari toko yang disusupi dan menyesuaikan elemen web yang dikenal sebagai modal untuk membajak halaman checkout dengan sempurna.

Meskipun teknik memasukkan bingkai atau lapisan bukanlah hal baru, hal yang luar biasa di sini adalah skimmer terlihat lebih asli daripada halaman pembayaran asli. Kami dapat mengamati beberapa situs yang lebih disusupi dengan pola yang sama menggunakan modal yang dibuat khusus dan curang.

Skimmer dan kampanye terkait ini merupakan salah satu serangan Magecart paling aktif yang telah kami lacak dalam beberapa bulan terakhir.

selengkapnya : malwarebytes.com

Peringatan: Pelaku ancaman menggunakan sertifikat penandatanganan kode Emsisoft palsu untuk menyamarkan serangan mereka

by

Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami. Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi tersebut mengizinkan aplikasi yang dipasang dan ingin digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.

Serangan gagal – produk kami mendeteksi dan memblokirnya – tetapi kami mengeluarkan peringatan ini agar pelanggan dan pengguna produk perusahaan lain mengetahui taktik yang digunakan dalam kasus ini.

Sementara metode akses awal diperoleh tidak jelas, kemungkinan besar melalui serangan brute-force pada RDP atau penggunaan kredensial yang disusupi (login yang dicuri).

Setelah penyerang mengamankan akses ke titik akhir, mereka memasang aplikasi akses jarak jauh sumber terbuka yang disebut MeshCentral. Ini adalah aplikasi tujuan ganda, artinya ini adalah alat yang sah yang dapat digunakan untuk tujuan jahat. Karena dapat digunakan untuk tujuan yang sah dan tidak berbahaya, keberadaannya di titik akhir tidak serta merta memicu alarm apa pun, baik dari solusi keamanan atau dari manusia.

Penyerang menandatangani eksekusi MeshCentral dengan sertifikat yang disebut “Emsisoft Server Trusted Network CA”. Kami yakin ini dilakukan untuk membuat pendeteksian aplikasi apa pun tampak positif palsu. Bagaimanapun, salah satu produk kami diinstal dan dijalankan pada titik akhir yang disusupi, sehingga aplikasi yang diduga telah ditandatangani oleh sertifikat Emsisoft dapat dianggap aman dan diizinkan.

Selengkapnya: Emisoft

Bluebottle: Kampanye Memukul Bank di Negara-negara berbahasa Prancis di Afrika

by

Bluebottle, kelompok kejahatan dunia maya yang berspesialisasi dalam serangan bertarget terhadap sektor keuangan, terus meningkatkan serangan terhadap bank-bank di negara-negara berbahasa Prancis. Grup ini memanfaatkan hidup dari tanah secara ekstensif, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang diterapkan dalam kampanye ini.

Aktivitas yang diamati oleh Symantec, sebuah divisi dari Broadcom Software, tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan dalam laporan Grup-IB dari November 2022. Aktivitas yang didokumentasikan oleh Grup-IB berlangsung dari pertengahan 2019 hingga 2021, dan dikatakan bahwa selama periode itu kelompok ini, yang disebut OPERA1ER, mencuri setidaknya $11 juta selama 30 serangan yang ditargetkan.

Kemiripan dalam taktik, teknik, dan prosedur (TTP) antara aktivitas yang didokumentasikan oleh Group-IB dan aktivitas yang dilihat oleh Symantec meliputi:

  • Domain yang sama terlihat di kedua rangkaian aktivitas: personel[.]bdm-sa[.]fr
  • Beberapa alat yang digunakan sama: Ngrok; PsExec; RDPBungkus; Keylogger Pengungkap; Cobalt Strike Beacon
  • Tidak ada malware khusus yang ditemukan di salah satu rangkaian aktivitas
  • Crossover dalam penargetan negara-negara berbahasa Perancis di Afrika
  • Kedua rangkaian aktivitas tersebut juga menampilkan penggunaan nama domain khusus industri dan khusus kawasan

Meskipun ini tampaknya merupakan kelanjutan dari aktivitas yang didokumentasikan oleh Group-IB, aktivitas yang dilihat oleh Symantec lebih baru, berjalan setidaknya dari Juli 2022 hingga September 2022, meskipun beberapa aktivitas mungkin telah dimulai sejak Mei 2022 .

Selengkapnya: Symantec

Malware-As-A-Service Memberikan Fitur Canggih Untuk Pelaku Ancaman

by

Cyble Research and Intelligence Labs (CRIL) terus memantau keluarga malware yang baru dan aktif di alam bebas. Baru-baru ini, CRIL mengamati jenis malware baru bernama DuckLogs, yang melakukan berbagai aktivitas jahat seperti Stealer, Keylogger, Clipper, Remote access, dll. sekarang.

DuckLogs adalah MaaS (Malware-as-a-Service). Itu mencuri informasi sensitif pengguna, seperti kata sandi, cookie, data login, riwayat, detail dompet crypto, dll., Dan mengekstraksi data yang dicuri dari mesin korban ke server C&C-nya. Gambar di bawah menunjukkan iklan Threat Actors (TAs) di forum cybercrime tentang DuckLogs.

DuckLogs menyediakan panel web canggih yang memungkinkan TA melakukan beberapa operasi, seperti membuat biner malware, memantau, dan mengunduh log korban yang dicuri, dll.

DuckLogs adalah kombinasi unik dari malware Stealer, Keylogger, dan Clipper yang dibundel menjadi satu paket perangkat lunak berbahaya yang tersedia di forum kejahatan dunia maya dengan harga yang relatif rendah, menjadikan ancaman ini berbahaya bagi calon korban yang lebih luas.

Cyble Research and Intelligence Labs akan terus memantau jenis malware baru di alam liar dan memperbarui blog dengan kecerdasan yang dapat ditindaklanjuti untuk melindungi pengguna dari serangan terkenal tersebut.

Selengkapnya: Cyble

BEC Group Mengkompromi Akun Pribadi dan Menarik Hati untuk Meluncurkan Serangan Kartu Hadiah Massal

by

Ada satu kelompok kriminal yang sekarang menyempurnakan eksploitasi kesediaan orang untuk membantu orang lain ketika mereka sakit atau berduka. Penjahat ini memanfaatkan salah satu instrumen bantuan orang-ke-orang yang disukai di era pandemi untuk memberikan sentuhan baru yang berbahaya pada penipuan kartu hadiah, menggunakan taktik manipulasi dan kompromi email bisnis (BEC).

Lilac Wolverine adalah grup BEC yang menyusup ke akun email pribadi, lalu mengirimkan kampanye email yang sangat besar yang menargetkan semua orang di setiap daftar kontak akun yang disusupi untuk meminta bantuan membeli kartu hadiah untuk teman atau kerabat. Berdasarkan keterlibatan pertahanan aktif yang telah kami lakukan dengan para aktor Lilac Wolverine, grup ini sangat tersentralisasi di Nigeria, yang secara historis menjadi titik panas bagi para aktor BEC.

Untuk serangan BEC penipuan pembayaran, target scammer umumnya terbatas pada karyawan di tim keuangan perusahaan. Serangan pengalihan gaji biasanya hanya dapat dilakukan dengan menyerang karyawan di departemen sumber daya manusia. Serangan kartu hadiah, di sisi lain, dapat menargetkan karyawan mana pun di suatu organisasi, terlepas dari departemen apa yang mereka duduki.

Alih-alih memiliki jumlah target yang terbatas, scammer berpotensi memiliki ratusan karyawan yang dapat mereka kejar dalam satu kampanye. . Dan sementara tingkat keberhasilan keseluruhan mungkin jauh lebih rendah untuk setiap email serangan BEC kartu hadiah individu, peluang sukses keseluruhan scammer dalam kampanye email yang jauh lebih besar naik, karena mereka hanya perlu persentase kecil dari populasi target yang jauh lebih besar untuk jatuh. penipuan.

Selengkapnya: Abnormal Security

Ducktail Hacker Group Berkembang, Menargetkan Akun Bisnis Facebook

by

Operasi peretasan yang berbasis di Vietnam yang dijuluki “Ducktail” menargetkan individu dan perusahaan yang beroperasi di platform Iklan dan Bisnis Facebook.

Peneliti keamanan di WithSecure menemukan kampanye tersebut awal tahun ini dan menjelaskan perkembangan baru dalam sebuah nasihat yang diterbitkan sebelumnya hari ini.

“Kami tidak melihat tanda-tanda Ducktail akan segera melambat, tetapi melihat mereka berkembang pesat dalam menghadapi kemunduran operasional,” komentar peneliti WithSecure Mohammad Kazem Hassan Nejad.

“Sampai saat ini, tim operasional di belakang Ducktail tampaknya kecil, tetapi itu telah berubah.”

Selanjutnya, Ducktail telah melakukan upaya penghindaran pertahanan lanjutan dan berkelanjutan dengan mengubah format file dan kompilasi serta sertifikat tanda tangan.

Grup tersebut juga akan berinvestasi dalam pengembangan sumber daya dan perluasan operasional dengan mendirikan bisnis palsu lainnya di Vietnam dan mengikutsertakan afiliasi ke dalam operasi tersebut.

“Serangan Ransomware mendapat banyak perhatian, tetapi ancaman seperti Ducktail dapat menyebabkan kerugian finansial dan merek yang besar dan tidak boleh diabaikan,” jelas Paolo Palumbo, wakil presiden WithSecure.

“Dengan meningkatnya aktivitas, afiliasi baru, dan bisnis palsu, kami mengharapkan peningkatan insiden terkait Ducktail di masa mendatang.”

Untuk mempertahankan diri dari kampanye ini dan kampanye serupa, peneliti WithSecure telah merekomendasikan perusahaan untuk memastikan karyawan mereka memiliki akun terpisah untuk tujuan pribadi dan bisnis.

Selengkapnya: Info Security Magazine