Threat Actor

Geng kejahatan dunia maya merekrut tidak seperti sebelumnya

November 6, 2022 by Søren

Sejumlah kelompok penjahat dunia maya terkemuka telah diamati merekrut anggota baru pada tingkat yang mengkhawatirkan, laporan baru telah memperingatkan.

Laporan Ancaman Q3/2022 Avast baru-baru ini menemukan bahwa beberapa aktor ancaman mulai merekrut karena tidak berhasil, yang lain karena ditembaki oleh peneliti keamanan siber.

Grup LockBit, misalnya, yang dikenal dengan varian ransomware dengan nama yang sama, “sangat aktif pada kuartal ini”, kata para peneliti.

Pada akhir Juni 2022, LockBit merilis versi baru penyandinya, dan untuk memastikannya kedap udara, menawarkan $50.000 kepada siapa pun yang menemukan kerentanan dalam enkripsi file basis data besar. Ada hadiah lain yang ditawarkan juga. Misalnya, siapa pun yang mengetahui nama bos afiliasi mendapat satu juta dolar.

Ada juga pembayaran tinggi untuk kelemahan yang ditemukan dalam proses enkripsi, kerentanan di situs web LockBit, atau kerentanan di messenger TOX atau jaringan TOR.

Selain itu, ia menawarkan $1.000 kepada siapa saja yang akan menato logo LockBit ke tubuh mereka.

Kelompok peretas NoName057(16), yang mengalami pukulan besar setelah server utama Bobik C2 dimatikan dan botnetnya berhenti bekerja, mulai merekrut untuk proyek baru pada pertengahan Agustus tahun ini, para peneliti mengungkap lebih lanjut. Mencurigai mereka membutuhkan darah segar untuk melanjutkan serangan DDoS aktif, para peneliti mengamati aktor ancaman membuka grup baru yang didedikasikan untuk proyek DDDOSIA. Akhir bulan lalu, grup ini memiliki lebih dari 700 anggota.

Selengkapnya: Tech Radar

Peretas OPERA1ER mencuri lebih dari $11 juta dari bank dan perusahaan telekomunikasi

November 6, 2022 by Søren

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil, sekitar sepertiganya dilakukan pada tahun 2020.

Analis di Group-IB, yang bekerja dengan departemen CERT-CC di Orange, telah melacak OPERA1ER sejak 2019 dan memperhatikan bahwa grup tersebut mengubah teknik, taktik, dan prosedur (TTP) tahun lalu.

Khawatir kehilangan jejak aktor ancaman, perusahaan keamanan siber menunggu kelompok itu muncul kembali untuk menerbitkan laporan terbaru. Tahun ini, Group-IB mengamati bahwa para peretas kembali aktif.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

Email tersebut memiliki lampiran yang mengirimkan malware tahap pertama, di antaranya Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, dan Venom RAT. Group-IB juga mengatakan bahwa para peretas mendistribusikan sniffer dan dumper kata sandi.

Menurut para peneliti, OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

Para peneliti mengatakan bahwa setelah mendapatkan akses ke jaringan korban, peretas juga dapat menggunakan infrastruktur sebagai titik pivot ke target lain.

Group-IB mengatakan bahwa pelaku ancaman membuat email spear-phishing “berkualitas tinggi” yang ditulis dalam bahasa Prancis. Sebagian besar waktu, pesan tersebut menyamar sebagai kantor pajak pemerintah atau agen perekrutan dari Bank Sentral Negara-negara Afrika Barat (BCEAO).

Selengkapnya: Bleeping Computer

BlackByte ransomware menggunakan alat pencurian data baru untuk pemerasan ganda

October 22, 2022 by Søren

Afiliasi ransomware BlackByte menggunakan alat pencurian data khusus baru yang disebut ‘ExByte’ untuk mencuri data dari perangkat Windows yang disusupi dengan cepat.

Eksfiltrasi data diyakini sebagai salah satu fungsi terpenting dalam serangan pemerasan ganda, dengan BleepingComputer mengatakan bahwa perusahaan lebih sering membayar permintaan tebusan untuk mencegah kebocoran data daripada menerima decryptor.

Karena itu, operasi ransomware, termasuk ALPHV dan LockBit, terus berupaya meningkatkan alat pencurian data mereka.

Pada saat yang sama, pelaku ancaman lainnya, seperti Karakurt, bahkan tidak repot-repot mengenkripsi salinan lokal, hanya berfokus pada eksfiltrasi data.

Exbyte ditemukan oleh peneliti keamanan di Symantec, yang mengatakan bahwa pelaku ancaman menggunakan alat eksfiltrasi berbasis Go untuk mengunggah file curian langsung ke layanan penyimpanan cloud Mega.

Setelah dieksekusi, alat ini melakukan pemeriksaan anti-analisis untuk menentukan apakah itu berjalan di lingkungan kotak pasir dan memeriksa proses debugger dan anti-virus.

Biner ransomware BlackByte juga menerapkan pengujian yang sama ini, tetapi alat eksfiltrasi perlu menjalankannya secara independen karena eksfiltrasi data dilakukan sebelum enkripsi file.

Jika tesnya bersih, Exbyte menghitung semua file dokumen pada sistem yang dilanggar dan mengunggahnya ke folder yang baru dibuat di Mega menggunakan kredensial akun yang di-hardcode.

“Selanjutnya, Exbyte menghitung semua file dokumen di komputer yang terinfeksi, seperti file .txt, .doc, dan .pdf, dan menyimpan path lengkap dan nama file ke %APPDATA%\dummy,” jelas laporan Symantec.

Selengkapnya: Bleeping Computer

Peretas Colonial Pipeline menambahkan kemampuan baru yang mengejutkan ke operasi ransomware

September 24, 2022 by Søren

Grup ransomware di balik peretasan Colonial Pipeline baru-baru ini menambahkan serangkaian taktik, alat, dan prosedur baru ke dalam operasinya, membuatnya semakin mudah bagi anggota untuk mengenkripsi, mencuri, dan menyortir data.

Dalam laporan dari Tim Pemburu Ancaman Symantec, para peneliti memeriksa evolusi terbaru dari kelompok yang mereka beri nama Coreid.

Peneliti Symantec menguraikan bagaimana kelompok tersebut telah menghindari penegakan hukum dengan menyebarkan jenis ransomware baru, setelah sekarang menetap di Noberus — yang merupakan singkatan dari ransomware BlackCat ALPHV yang telah digunakan dalam serangan di beberapa universitas AS.

Geng kriminal telah ada dalam beberapa bentuk sejak 2012, menurut para peneliti, yang mengatakan mulai menggunakan malware Carbanak untuk mencuri uang dari organisasi di sektor perbankan, perhotelan dan ritel.

Tiga anggota kelompok itu ditangkap pada tahun 2018 sebelum berkembang menjadi operasi ransomware-as-a service (RaaS) sekitar tahun 2020.

Coreid telah berulang kali memperbarui operasi ransomware-nya sejak serangan yang menjadi berita utama di Colonial Pipeline — di mana ia menggunakan ransomware Darkside untuk melumpuhkan pompa bensin di seluruh Pantai Timur pada Mei 2021.

Pengawasan dari penegak hukum memaksa kelompok itu untuk mengesampingkan ransomware dan membuat yang baru bernama BlackMatter, yang digunakan untuk menargetkan perusahaan pertanian selama musim panen pada musim gugur 2021.

Serangkaian serangan itu menarik pengawasan penegakan hukum tingkat tinggi yang sama, mendorong kelompok tersebut untuk beralih dari menggunakan ransomware BlackMatter ke merek baru bernama Noberus.

Selengkapnya: The Record

ZuoRAT Malware dengan Keunggulan Threat Actor yang Didukung Negara

July 7, 2022 by Eevee

Baru-baru ini, Black Lotus Labs mengamati kampanye canggih, yang mungkin dilakukan oleh organisasi yang disponsori negara. Kampanye ini mendistribusikan RAT multistage, dijuluki ZuoRAT, yang dikembangkan khusus untuk router kantor kecil/rumah (SOHO).

ZuoRAT dan aktivitas terkait mewakili kampanye yang sangat bertarget terhadap organisasi Amerika Utara dan Eropa.
Kampanye ini menargetkan banyak router SOHO yang diproduksi oleh ASUS, Cisco, DrayTek, dan NETGEAR.

Malware disebarkan di router, setelah mengeksploitasi kerentanan yang diketahui (CVE-2020-26878 dan CVE-2020-26879, dalam beberapa kasus), dengan bantuan skrip eksploit bypass otentikasi.

Kampanye ini menggunakan infrastruktur pihak ketiga yang berbasis di China seperti platform Yuque Alibaba untuk infrastruktur komando dan kontrol rahasia dan platform Tencent sebagai redirector untuk perintah dan kontrol.

ZuoRAT tampaknya merupakan versi botnet Mirai yang sangat dimodifikasi. Fungsionalitasnya dapat dibagi menjadi dua komponen: dijalankan otomatis saat dieksekusi (komponen inti) dan fungsi ekspor yang disematkan secara eksplisit (perintah bantu).
Komponen fungsionalitas inti mengumpulkan informasi tentang router dan LAN, memungkinkan pengambilan paket lalu lintas jaringan, dan mengirimkan informasi kembali ke C2.

Perintah bantu fokus pada kemampuan enumerasi LAN, yang menyediakan aktor dengan informasi penargetan tambahan untuk lingkungan LAN, kemampuan pembajakan DNS dan HTTP berikutnya, kegigihan dan pemeliharaan agen, dan gaya serangan yang secara tradisional sulit dideteksi oleh pembela HAM.

Kampanye malware ZuoRAT telah diamati menggunakan pemuat Windows untuk mendapatkan sumber daya jarak jauh dan menjalankannya di mesin host. Selanjutnya, itu digunakan untuk memuat salah satu agen tahap kedua yang berfungsi penuh.

Kemampuan yang ditunjukkan oleh ZuoRAT menunjukkan aktor yang sangat canggih yang mungkin telah hidup tanpa terdeteksi di tepi jaringan yang ditargetkan selama bertahun-tahun. Untuk mitigasi, organisasi harus memastikan perencanaan patch untuk router dan memastikan perangkat ini menjalankan perangkat lunak terbaru yang tersedia.

Sumber: CYWARE

Malware sekarang menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri

March 6, 2022 by Søren

Pelaku ancaman menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri untuk menandatangani malware agar tampak tepercaya dan memungkinkan driver jahat dimuat di Windows.

Minggu ini, NVIDIA mengonfirmasi bahwa mereka mengalami serangan siber yang memungkinkan pelaku ancaman mencuri kredensial karyawan dan data kepemilikan.

Kelompok pemerasan, yang dikenal sebagai Lapsus$, menyatakan bahwa mereka mencuri 1TB data selama serangan dan mulai membocorkan data secara online setelah NVIDIA menolak untuk bernegosiasi dengan mereka.

Setelah Lapsus$ membocorkan sertifikat penandatanganan kode NVIDIA, peneliti keamanan dengan cepat menemukan bahwa sertifikat tersebut digunakan untuk menandatangani malware dan alat lain yang digunakan oleh pelaku ancaman.

Menurut sampel yang diunggah ke layanan pemindaian malware VirusTotal, sertifikat yang dicuri digunakan untuk menandatangani berbagai malware dan alat peretasan, seperti suar Cobalt Strike, Mimikatz, pintu belakang, dan trojan akses jarak jauh.

Misalnya, satu aktor ancaman menggunakan sertifikat untuk menandatangani trojan akses jarak jauh Quasar [VirusTotal], sementara orang lain menggunakan sertifikat untuk menandatangani driver Windows [VirusTotal].

Selengkapnya: Bleeping Computer

Peretas membocorkan 190GB dugaan data Samsung, kode sumber

March 6, 2022 by Søren

Kelompok pemerasan data Lapsus hari ini membocorkan sejumlah besar data rahasia yang mereka klaim berasal dari Samsung Electronics, perusahaan elektronik konsumen raksasa Korea Selatan.

Kebocoran terjadi kurang dari seminggu setelah Lapsus$ merilis arsip dokumen 20GB dari 1TB data yang dicuri dari desainer GPU Nvidia.

Dalam catatan yang diposting sebelumnya hari ini, geng pemerasan menggoda tentang merilis data Samsung dengan snapshot dari arahan C/C++ dalam perangkat lunak Samsung.

Tak lama setelah menggoda pengikut mereka, Lapsus$ menerbitkan deskripsi kebocoran yang akan datang, mengatakan bahwa itu berisi “kode sumber rahasia Samsung” yang berasal dari pembobolan.

Kode sumber tersebut terdiri dari: kode sumber untuk setiap Trusted Applet (TA) yang dipasang di lingkungan TrustZone Samsung yang digunakan untuk operasi sensitif (misalnya kriptografi perangkat keras, enkripsi biner, kontrol akses); algoritma untuk semua operasi buka kunci biometrik; kode sumber bootloader untuk semua perangkat Samsung terbaru; kode sumber rahasia dari Qualcomm; kode sumber untuk server aktivasi Samsung; kode sumber lengkap untuk teknologi yang digunakan untuk mengesahkan dan mengautentikasi akun Samsung, termasuk API dan layanan.

Jika detail di atas akurat, Samsung telah mengalami pelanggaran data besar yang dapat menyebabkan kerusakan besar pada perusahaan.

Lapsus$ membagi data yang bocor menjadi tiga file terkompresi yang menambah hampir 190GB dan membuatnya tersedia dalam torrent yang tampaknya sangat populer, dengan lebih dari 400 rekan berbagi konten.

Kelompok pemerasan juga mengatakan bahwa mereka akan menyebarkan lebih banyak server untuk meningkatkan kecepatan unduhan.

Selengkapnya: Bleeping Computer

Peretas Menggunakan Trik Registrasi Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

January 30, 2022 by Søren

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kumpulan infeksi.

Raksasa teknologi itu mengatakan serangan itu diwujudkan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk memanfaatkan kebijakan bawa perangkat Anda sendiri (BYOD) target dan memperkenalkan kebijakan mereka sendiri. perangkat jahat menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang sebagian besar berlokasi di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam laporan teknis yang diterbitkan minggu ini.

“Kredensial yang dicuri kemudian dimanfaatkan pada fase kedua, di mana penyerang menggunakan akun yang disusupi untuk memperluas pijakan mereka di dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.”

Kampanye dimulai dengan pengguna menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah diklik, mengarahkan penerima ke situs web jahat yang menyamar sebagai halaman masuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instance Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat Actor

Cookies Settings