Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat Actor

Threat Actor

Peretas mengambil alih akun CEO dengan aplikasi OAuth jahat

by

Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.

Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.

Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.

OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.

Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.

Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.

Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.

Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.

Selengkapnya: Bleeping Computer

Rusia Mengatakan Membongkar Kelompok Peretas REvil atas Permintaan AS

by

Rusia pada hari Jumat mengatakan telah membongkar kelompok peretas terkemuka REvil, yang melakukan serangan tingkat tinggi tahun lalu terhadap perusahaan perangkat lunak TI Kaseya, menyusul permintaan dari Washington.

Keamanan siber adalah salah satu isu utama dalam agenda pertemuan puncak antara Presiden Rusia Vladimir Putin dan Presiden AS Joe Biden Juni lalu.

Layanan Keamanan Federal Rusia (FSB) mengatakan dalam sebuah pernyataan bahwa mereka telah “menekan kegiatan ilegal” anggota kelompok selama penggerebekan di 25 alamat yang menyapu 14 orang.

Pencarian dilakukan setelah “banding dari otoritas AS yang relevan.”

Anggota kelompok itu “mengembangkan malware, mengorganisir penggelapan dana dari rekening bank warga negara asing,” kata FSB.

Setara dengan 426 juta rubel ($5,5 juta atau 4,8 juta euro) dan 20 mobil mewah disita dalam operasi tersebut, tambah pernyataan itu.

Selama panggilan telepon pada bulan Juli, Biden mengatakan kepada Putin untuk “mengambil tindakan” terhadap kelompok ransomware yang beroperasi di Rusia, memperingatkan bahwa jika tidak, Washington akan mengambil “tindakan apa pun yang diperlukan” untuk membela orang Amerika.

Serangan yang belum pernah terjadi sebelumnya yang menargetkan perusahaan perangkat lunak AS Kaseya mempengaruhi sekitar 1.500 bisnis.

Serangan Kaseya, yang dilaporkan pada 2 Juli, menutup jaringan supermarket besar Swedia dan memantul di seluruh dunia, berdampak pada bisnis di setidaknya 17 negara, dari apotek hingga pompa bensin, serta puluhan taman kanak-kanak Selandia Baru.

Tak lama setelah serangan itu, halaman “web gelap” REvil menjadi offline, memicu spekulasi tentang apakah langkah tersebut merupakan hasil dari tindakan yang dipimpin oleh pemerintah.

Selengkapnya: The Moscow Time

Layanan Keamanan Ukraina menangkap kelompok ransomware karena menyerang 50 perusahaan

by

Spesialis Siber Ukraina dari Dinas Keamanan Ukraina melakukan operasi bersama dengan polisi siber, mitra Amerika dan Inggris untuk melenyapkan sekelompok peretas yang kuat.

Dan mereka berhasil menahan lima penjahat yang tergabung dalam geng ransomware yang bertanggung jawab melancarkan serangan terhadap 50 perusahaan milik Amerika dan Eropa. Namun, geng ransomware milik mereka belum diungkapkan.

Penangkapan terjadi awal pekan ini dengan peretas utama adalah warga Kyiv berusia 36 tahun, pasangannya dan tiga orang lainnya. Penangkapan tersebut dibenarkan oleh kelompok-kelompok yang melakukan tindakan ilegal dan jahat terhadap badan-badan pemerintah dan swasta untuk mengenkripsi dan mencuri data, dengan serangan ransomware dan DDOS.

Sesuai pernyataan pihak berwenang Ukraina, Seluruh tindakan itu dilakukan dari perangkat pribadi mereka, dan untuk menghindari klaim ilegal, mereka menyamar dengan nama berbeda di jaringan Darknet.

Selain itu, mereka memiliki koneksi dan jaringan untuk mencuci uang dan keuntungan mereka ke kartu pembayaran yang dimiliki oleh individu fiktif.

Setelah beberapa analisis, pihak berwenang Ukraina mengklaim bahwa geng tersebut telah menghasilkan sekitar satu juta dollar dari serangan tersebut.

Pihak berwenang melakukan pencarian menyeluruh di sembilan lokasi berbeda yang penggerebekan dilakukan dengan bantuan dari lembaga penegak hukum AS dan Inggris. Peralatan yang disita meliputi laptop, desktop, ponsel, kartu kredit/debit, flash drive, dan tiga mobil.

Pihak berwenang dari negara lain juga siap untuk menahan dan menyelidiki para penjahat karena serangan itu juga dilakukan di luar negeri.

Namun, kita perlu apresiasi pihak berwenang Ukraina atas penyaringan berkelanjutan dan prosedur perang siber yang telah mereka lakukan sejak awal tahun 2021.

Selengkapnya: The Cybersecurity Times

Aktor FIN7 mengirim drive USB Berbahaya ke perusahaan AS dengan ransomware

by

FBI telah mengidentifikasi perangkat USB berbahaya yang dikirim ke perusahaan AS dalam beberapa bulan terakhir dengan motif untuk menginfeksi jaringan perusahaan dengan malware dan penurunan muatan lebih lanjut.

Kelompok di balik operasi USB berbahaya ini diketahui sebagai aktor FIN7, yang berada di balik ransomware BlackMatter dan Darkside.

Sesuai laporan FBI, beberapa paket dengan drive USB telah dikirim ke perusahaan AS termasuk industri pertahanan, asuransi, dan transportasi.

Pengiriman dilakukan melalui United Parcel Service dan United States Postal Service. Paket datang dalam dua varian, satu dengan nama Departemen Kesehatan dan Layanan Kemanusiaan AS, dengan beberapa pedoman COVID-19 dan drive USB.

Yang lainnya disamarkan sebagai Paket Amazon dengan dekorasi hadiah, pesan terima kasih, kartu hadiah, dan drive USB. Satu hal yang umum di antara kedua paket ini adalah bahwa drive USB berasal dari merek LilyGo.

Setelah penerima menyambungkan drive USB ini ke perangkat mereka, serangan BadUSB dimulai.

Serangan BadUSB adalah serangan keamanan yang menginfeksi perangkat dengan memprogram ulang drive USB dengan perangkat lunak berbahaya.

Dengan program jahat ini, para aktor dapat mengunduh banyak muatan ke dalam perangkat dan menjadikannya sebagai pintu belakang untuk penyusupan lebih lanjut.

Setelah aktor mendapatkan hak istimewa admin untuk sistem, mereka melanjutkan serangan mereka dengan menyebarkan malware secara lateral di seluruh jaringan yang memengaruhi perangkat rekan lainnya.

Setelah distribusi lateral yang sukses, aktor FIN7 menggunakan beberapa alat untuk menyebarkan ransomware REvil dan BlackMatter. Alat-alat tersebut antara lain Cobalt Strike, Metasploit, Carbanak, TIRION, DICELOADER, GRIFFON, dan Carbanak.

Selengkapnya: The Cybersecurity Times

‘Elephant Beetle’ Mengintai selama Berbulan-bulan di Jaringan

by

Para peneliti telah mengidentifikasi kelompok ancaman yang diam-diam menyedot jutaan dolar dari perusahaan sektor keuangan dan perdagangan, menghabiskan waktu berbulan-bulan dengan sabar mempelajari sistem keuangan target mereka dan menyelinap dalam transaksi penipuan di antara aktivitas rutin.

Tim Respon Insiden Sygnia telah melacak kelompok yang diberi nama Kumbang Gajah, alias TG2003, selama dua tahun.

Dalam laporan hari Rabu, para peneliti menyebut serangan Elephant Beetle tanpa henti, karena kelompok itu telah bersembunyi “di depan mata” tanpa perlu mengembangkan eksploitasi.

Mungkin Elephant Beetle tidak memiliki eksploit, tetapi penyerangnya tentu tidak muncul dengan tangan kosong.

Mereka mengandalkan gudang lebih dari 80 alat dan skrip unik untuk beroperasi tanpa terdeteksi “untuk waktu yang lama” saat mereka dengan sabar menanam transaksi palsu mereka, kata Sygnia, “menyatu dengan lingkungan target dan benar-benar tidak terdeteksi sementara secara diam-diam membebaskan organisasi sejumlah uang yang sangat mahal.”

Elephant Beetle terutama memusatkan perhatiannya pada pasar Amerika Latin, tetapi tidak menyayangkan organisasi yang tidak berbasis di sana.

Tim IR Sygnia baru-baru ini menemukan dan menanggapi satu insiden di sebuah perusahaan yang berbasis di AS yang menjalankan cabang di Amerika Latin. “Karena itu, baik organisasi regional maupun global harus waspada,” Sygnia memperingatkan.

Selengkapnya: Threat Post

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

by

Pelaku ancaman telah menghidupkan kembali keluarga ransomware lama dan relatif tidak aktif yang dikenal sebagai TellYouThePass, menyebarkannya dalam serangan terhadap perangkat Windows dan Linux yang menargetkan bug eksekusi kode jarak jauh yang kritis di perpustakaan Apache Log4j.

Heige dari Tim KnownSec 404 pertama kali melaporkan serangan ini di Twitter pada hari Senin setelah mengamati bahwa ransomware dijatuhkan pada sistem Windows lama menggunakan eksploitasi yang menyalahgunakan kelemahan yang dilacak sebagai CVE-2021-44228 dan dikenal sebagai Log4Shell.

Laporan Heige dikonfirmasi oleh Tim Intelijen Ancaman Sangfor, yang berhasil menangkap salah satu sampel ransomware TellYouThePass yang digunakan dalam serangan menggunakan eksploitasi Log4Shell yang sebagian besar berdampak pada target China, menurut Curated Intelligence.

Ketika mereka menemukan lebih lanjut (temuan yang juga dikonfirmasi oleh CronUP’s Germán Fernández), ransomware memiliki versi Linux yang memanen kunci SSH dan bergerak secara lateral di seluruh jaringan korban.

“Perlu dicatat bahwa ini bukan pertama kalinya Tellyouthepass ransomware menggunakan kerentanan berisiko tinggi untuk meluncurkan serangan,” kata peneliti Sangfor. “Pada awal tahun lalu, ia telah menggunakan kerentanan Eternal Blue untuk menyerang beberapa unit organisasi.”

Peneliti keamanan lainnya [1, 2] juga telah menganalisis salah satu sampel ransomware yang digunakan dalam serangan ini dan menandainya sebagai “kemungkinan milik” keluarga TellYouThePass.

Menurut statistik pengiriman ke layanan ID Ransomware, ransomware TellYouThePass telah melihat lonjakan aktivitas yang besar dan tiba-tiba setelah eksploitasi proof-of-concept Log4Shell dirilis secara online.

Selengkapnya: Bleeping Computer

‘Tropic Trooper’ Muncul Kembali untuk Menargetkan Sektor Transportasi

by

Analis memperingatkan bahwa kelompok penyerang, yang sekarang dikenal sebagai ‘Earth Centaur,’ sedang mengasah serangannya untuk mengejar transportasi dan lembaga pemerintah.

Mereka telah menjadi kelompok ancaman aktif sejak 2011, tetapi peningkatan aktivitas baru-baru ini dari Earth Centaur – sebelumnya dikenal sebagai Tropic Trooper – yang ditujukan khusus untuk transportasi dan lembaga pemerintah memicu lonceng alarm di antara para ahli.

Peneliti Trend Micro telah melacak kebangkitan Tropic Trooper, yang dimulai pada Juli 2020 dan baru-baru ini termasuk upaya mengganggu untuk melanggar data sensitif terkait transportasi seperti jadwal penerbangan dan dokumen perencanaan keuangan.

Para analis dapat menghubungkan aktivitas Earth Centaur yang baru dengan Tropic Trooper setelah menemukan kode serupa dalam decoding konfigurasi, mereka melaporkan.

“Saat ini, kami belum menemukan kerusakan substansial pada para korban ini yang disebabkan oleh kelompok ancaman,” jelas analis Trend Micro. “Namun, kami percaya bahwa itu akan terus mengumpulkan informasi internal dari para korban yang dikompromikan dan hanya menunggu kesempatan untuk menggunakan data ini.”

Taktik, teknik, dan prosedur (TTPs) ciri khas kelompok itu termasuk kerja tim merah yang cerdas, catat para peneliti. Earth Centaur mahir melewati keamanan dan bertahan tanpa terdeteksi, tambah laporan itu.

“Tergantung pada targetnya, ia menggunakan pintu belakang dengan protokol yang berbeda, dan juga dapat menggunakan proxy terbalik untuk melewati pemantauan sistem keamanan jaringan. Penggunaan kerangka kerja sumber terbuka juga memungkinkan grup untuk mengembangkan varian pintu belakang baru secara efisien. ”

Biasanya, kelompok ancaman melanggar sistem target melalui server Exchange atau Internet Information Services (IIS) yang rentan, diikuti dengan menjatuhkan backdoor seperti ChiserClient dan SmileSvr, kata laporan itu.

Selengkapnya: Threat Post

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel