Threat Actor

Server Microsoft Exchange Diretas Dalam Serangan Reply-Chain Internal

November 21, 2021 by Søren

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email reply-chain internal yang dicuri.

Saat pelaku ancaman melakukan kampanye email berbahaya, bagian tersulit adalah mengelabui pengguna agar cukup memercayai pengirim sehingga mereka membuka tautan atau menyertakan lampiran yang menyebarkan malware.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Sebagai cara untuk mengelabui target perusahaan agar membuka lampiran berbahaya, pelaku ancaman mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

“Dalam gangguan yang sama, kami menganalisis header email untuk email berbahaya yang diterima, jalur email internal (antara tiga kotak pesan server pertukaran internal), menunjukkan bahwa email tidak berasal dari pengirim eksternal, relai email terbuka, atau semua agen transfer pesan (MTA),” jelas laporan Trend Micro.

Selengkapnya: Bleeping Computer

Grup Cyber-Mercenary “Void Balaur” Menyerang Target Berprofil Tinggi untuk Uang Tunai

November 13, 2021 by Søren

Grup berbahasa Rusia Void Balaur, juga dilacak dengan nama Rockethack, telah diidentifikasi sebagai kelompok tentara bayaran cyber yang produktif, tersedia untuk disewa untuk membobol email dan akun media sosial dari target profil tinggi dan berisiko tinggi di seluruh dunia. .

Setelah memantau Void Balaur selama lebih dari setahun, Trend Micro telah merilis laporan yang mengidentifikasi lebih dari 3.500 target grup. Amnesty International juga telah mengidentifikasi serangan siber terhadap aktivis dan jurnalis yang bekerja di Uzbekistan yang dilakukan oleh layanan tentara bayaran siber.

“Penelitian kami mengungkapkan gambaran yang jelas: Void Balaur mengejar data paling pribadi dari bisnis dan individu kemudian menjual data itu kepada siapa pun yang ingin membayarnya,” kata laporan Trend Micro.

Target populer kelompok tersebut termasuk situs media dan berita politik, jurnalis dan aktivis hak asasi manusia, kata Trend Micro.

“Void Balaur juga tidak menolak untuk mengejar target profil tinggi, karena kelompok itu juga melancarkan serangan terhadap mantan kepala badan intelijen, menteri pemerintah yang aktif, anggota parlemen nasional di negara Eropa Timur, dan bahkan kandidat presiden, “tambahnya.

Grup tersebut saat ini mengiklankan layanannya di forum bawah tanah Rusia Darkmoney dan Probiv, menurut Trend Micro.

“Void Balaur tampaknya sangat dihormati di forum bawah tanah ini, karena umpan balik untuk layanan mereka hampir dengan suara bulat positif, dengan pelanggan mereka menunjukkan kemampuan aktor ancaman untuk memberikan informasi yang diminta tepat waktu, serta kualitas data yang tersedia. disediakan,” kata laporan itu.

Kelompok ini menggunakan alat malware seperti pencuri kredensial Z*Stealer dan DroidWatcher, yang mencuri data dan menambahkan kemampuan pelacakan dan mata-mata, Trend Micro melaporkan.

Trend Micro menawarkan indikator kompromi Void Balaur sebagai bagian dari laporannya.

Selengkapnya: Threat Post

Google Menangkap Peretas Yang Menggunakan Mac Zero-Day Terhadap Pengguna Hong Kong

November 13, 2021 by Søren

Peneliti Google menangkap peretas yang menargetkan pengguna di Hong Kong yang mengeksploitasi apa yang pada saat itu tidak diketahui kerentanannya di sistem operasi Apple Mac. Menurut para peneliti, serangan tersebut memiliki ciri khas peretas yang didukung pemerintah.

Pada hari Kamis, Grup Analisis Ancaman Google (TAG), tim elit pemburu peretas perusahaan, menerbitkan laporan yang merinci kampanye peretasan.

Para peneliti tidak melangkah sejauh menunjuk pada kelompok atau negara peretasan tertentu, tetapi mereka mengatakan itu adalah “kelompok yang memiliki sumber daya yang baik, kemungkinan didukung oleh negara.”

“Kami tidak memiliki cukup bukti teknis untuk memberikan atribusi dan kami tidak berspekulasi tentang atribusi,” kata kepala TAG Shane Huntley kepada Motherboard melalui email. “Namun, sifat kegiatan dan penargetan konsisten dengan aktor yang didukung pemerintah.”

Erye Hernandez, peneliti Google yang menemukan kampanye peretasan dan menulis laporan tersebut, menulis bahwa TAG menemukan kampanye tersebut pada akhir Agustus tahun ini.

Para peretas telah membuat serangan lubang air, yang berarti mereka menyembunyikan malware di dalam situs web sah “outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka” di Hong Kong.

Pengguna yang mengunjungi situs web tersebut akan diretas dengan kerentanan yang tidak diketahui—dengan kata lain, zero-day—dan eksploitasi lain yang memanfaatkan kerentanan yang sebelumnya ditambal untuk MacOS yang digunakan untuk memasang pintu belakang di komputer mereka, menurut Hernandez.

Selengkapnya: VICE

Geng Ransomware ‘Groove’ Adalah Tipuan

November 6, 2021 by Søren

Groove pertama kali diumumkan pada 22 Agustus di RAMP, forum cybercrime darknet berbahasa Rusia yang baru dan cukup eksklusif.

“GROOVE adalah yang pertama dan terutama organisasi kriminal agresif bermotivasi finansial yang berurusan dengan spionase industri selama sekitar dua tahun,” tulis administrator RAMP “Oranye” dalam sebuah posting yang meminta anggota forum untuk bersaing dalam kontes merancang situs web untuk grup baru.

Menurut sebuah laporan yang diterbitkan oleh McAfee, Orange meluncurkan RAMP untuk menarik pelaku ancaman terkait ransomware yang dikeluarkan dari forum kejahatan dunia maya utama karena terlalu beracun, atau kepada penjahat dunia maya yang mengeluhkan perubahan singkat atau kaku sama sekali oleh program afiliasi ransomware yang berbeda. .

Laporan itu mengatakan RAMP adalah produk dari perselisihan antara anggota geng ransomware Babuk, dan bahwa anggotanya kemungkinan memiliki koneksi ke grup ransomware lain yang disebut BlackMatter.

“[McAfee] percaya, dengan keyakinan tinggi, bahwa geng Groove adalah mantan afiliasi atau subkelompok geng Babuk, yang bersedia bekerja sama dengan pihak lain, selama ada keuntungan finansial bagi mereka,” kata laporan itu. “Jadi, kemungkinan berafiliasi dengan geng BlackMatter.”

Pada minggu pertama bulan September, Groove memposting di blog darknetnya hampir 500.000 kredensial masuk untuk pelanggan produk Fortinet VPN, nama pengguna, dan kata sandi yang dapat digunakan untuk terhubung dari jarak jauh ke sistem yang rentan. Fortinet mengatakan kredensial dikumpulkan dari sistem yang belum menerapkan tambalan yang dikeluarkan pada Mei 2019.

Beberapa pakar keamanan mengatakan posting nama pengguna dan kata sandi Fortinet VPN ditujukan untuk menarik afiliasi baru ke Groove. Tapi sepertinya kredensial itu diposting untuk menarik perhatian peneliti keamanan dan jurnalis.

Suatu saat dalam seminggu terakhir, blog darknet Groove menghilang. Dalam sebuah posting di forum kejahatan dunia maya Rusia XSS, seorang penjahat dunia maya yang mapan menggunakan pegangan “Boriselcin” menjelaskan bahwa Groove tidak lebih dari sebuah proyek hewan peliharaan untuk mengacaukan industri media dan keamanan.

Selengkapnya: Krebs on Security

Geng Peretas TrickBot dari Russia Diekstradisi ke AS, Didakwa dengan Kejahatan Dunia Maya

October 30, 2021 by Søren

Seorang warga negara Rusia, yang ditangkap di Korea Selatan bulan lalu dan diekstradisi ke AS pada 20 Oktober, muncul di pengadilan federal di negara bagian Ohio pada hari Kamis (28/10/2021) untuk menghadapi dakwaan atas dugaan perannya sebagai anggota kelompok TrickBot yang terkenal.

Dokumen pengadilan menunjukkan bahwa Vladimir Dunaev, 38, bersama dengan anggota lain dari organisasi kejahatan dunia maya transnasional, mencuri uang dan informasi rahasia dari korban yang tidak menaruh curiga, termasuk individu, lembaga keuangan, distrik sekolah, perusahaan utilitas, entitas pemerintah, dan bisnis swasta.

Dimulai dari trojan perbankan pada tahun 2016, TrickBot telah berkembang menjadi solusi crimeware modular multi-tahap berbasis Windows yang mampu mencuri informasi pribadi dan keuangan yang berharga, dan bahkan menjatuhkan ransomware dan toolkit pasca-eksploitasi pada perangkat yang disusupi. Malware ini juga terkenal karena ketahanannya, setelah selamat dari setidaknya dua pencopotan yang dipelopori oleh Microsoft dan US Cyber Command setahun yang lalu.

Namun, di bidang hukum, pemerintah AS awal tahun ini mendakwa seorang wanita Latvia berusia 55 tahun, bernama Alla Witte, yang menurut jaksa bekerja sebagai programmer “mengawasi pembuatan kode yang terkait dengan pemantauan dan pelacakan pengguna yang berwenang. dari malware Trickbot.” Dunaev adalah terdakwa Trickbot kedua yang ditangkap pada tahun 2021.

Dunaev, secara khusus, dikatakan telah bekerja sebagai pengembang untuk grup tersebut, yang bertugas membuat, menyebarkan, dan mengelola malware Trickbot mulai November 2015, sembari juga mengawasi eksekusi malware, serta merancang modifikasi browser web Firefox dan membantu untuk menyembunyikan malware dari deteksi oleh perangkat lunak keamanan.

Selengkapnya: The Hacker News

Grup Ransomware REvil Yang Meretas Desain Apple Telah Diretas Oleh FBI

October 23, 2021 by Søren

Grup Ransomware REvil mengatakan pada bulan April bahwa mereka telah meretas sistem milik pemasok Apple Quanta Computer dan memperoleh skema rekayasa internal untuk sejumlah produk baru yang belum dirilis. Ini mendukung klaim ini dengan berbagi contoh, yang awalnya tidak mengungkapkan hal baru.

REvil pertama kali mencoba memeras Quanta untuk $50 juta sebagai imbalan karena tidak membuat file tersedia untuk umum, dan kemudian mencoba hal yang sama dengan Apple.

Ketika ini gagal, REvil melanjutkan dan merilis skema yang mengungkapkan port baru yang ditemukan di MacBook Pro 2021. Skema terbukti akurat saat mesin diluncurkan dengan MagSafe, HDMI, dan slot kartu SD I/O ditampilkan.

Reuters melaporkan bahwa FBI dan lembaga penegak hukum lainnya kini telah membalikkan keadaan pada kelompok tersebut.

Kelompok ransomware REvil sendiri diretas dan dipaksa offline minggu ini oleh operasi multi-negara, menurut tiga pakar dunia maya sektor swasta yang bekerja dengan Amerika Serikat dan satu mantan pejabat […] Situs web kelompok kejahatan “Happy Blog”, yang telah digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia […]

Kepala strategi keamanan siber VMWare Tom Kellermann mengatakan aparat penegak hukum dan intelijen menghentikan kelompok itu dari mengorbankan perusahaan tambahan.

“FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini,” kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas daftar.”

Selengkapnya: 9T05Mac

Evil Corp Menuntut $40 Juta pada Serangan Ransomware Baru “Macaw”

October 23, 2021 by Søren

Evil Corp telah meluncurkan ransomware baru bernama Macaw Locker untuk menghindari sanksi AS yang mencegah korban melakukan pembayaran uang tebusan.

Kelompok peretasan Evil Corp, juga dikenal sebagai Indrik Spider dan geng Dridex, telah terlibat dalam kegiatan kejahatan dunia maya sejak 2007, tetapi sebagian besar sebagai afiliasi dengan organisasi lain.

Bulan ini, beberapa operasi Olympus dan Sinclair Broadcast Group sangat terganggu oleh serangan ransomware di akhir pekan.

Bagi Sinclair, itu menyebabkan siaran TV dibatalkan, berbagai acara ditayangkan, dan penyiar berita melaporkan cerita mereka dengan papan tulis dan kertas.

Minggu ini, ditemukan bahwa kedua serangan itu dilakukan oleh ransomware baru yang dikenal sebagai Macaw Locker.

Dalam percakapan dengan Emsisoft CTO Fabian Wosar, BleepingComputer diberitahu bahwa, berdasarkan analisis kode, MacawLocker adalah rebrand terbaru dari keluarga ransomware Evil Corp.

BleepingComputer juga mengetahui dari sumber di industri keamanan siber bahwa hanya dua korban Macaw Locker yang diketahui adalah Sinclair dan Olympus.

Sumber juga membagikan halaman pribadi korban Macaw Locker untuk dua serangan, di mana pelaku ancaman meminta tebusan 450 bitcoin, atau $28 juta, untuk satu serangan dan $40 juta untuk korban lainnya.

Tidak diketahui perusahaan apa yang terkait dengan setiap permintaan tebusan.

Ransomware Macaw Locker akan mengenkripsi file korban dan menambahkan ekstensi .macaw ke nama file saat melakukan serangan.

Selengkapnya: Bleeping Computer

Peretas China Menggunakan Rootkit Baru untuk Memata-matai Pengguna Windows 10 yang Ditargetkan

October 2, 2021 by Søren

Aktor ancaman siber berbahasa China yang sebelumnya tidak dikenal telah dikaitkan dengan operasi yang sudah berlangsung lama yang ditujukan untuk target Asia Tenggara sejauh Juli 2020 untuk menyebarkan rootkit mode kernel pada sistem Windows yang disusupi.

Serangan yang dilakukan oleh kelompok peretas, yang dijuluki GhostEmperor oleh Kaspersky, juga dikatakan telah menggunakan “kerangka kerja malware multi-tahap yang canggih” yang memungkinkan untuk memberikan ketekunan dan kendali jarak jauh atas host yang ditargetkan.

Perusahaan keamanan siber Rusia menyebut rootkit Demodex, dengan infeksi yang dilaporkan di beberapa entitas terkenal di Malaysia, Thailand, Vietnam, dan Indonesia, selain outlier yang berlokasi di Mesir, Ethiopia, dan Afghanistan.

“[Demodex] digunakan untuk menyembunyikan artefak malware mode pengguna dari penyelidik dan solusi keamanan, sambil menunjukkan skema pemuatan tidak terdokumentasi yang menarik yang melibatkan komponen mode kernel dari proyek sumber terbuka bernama Cheat Engine untuk melewati mekanisme Windows Driver Signature Enforcement,” kata peneliti Kaspersky.

Infeksi GhostEmperor telah ditemukan untuk memanfaatkan beberapa rute intrusi yang berujung pada eksekusi malware di memori, kepala di antara mereka mengeksploitasi kerentanan yang diketahui di server yang menghadap publik seperti Apache, Window IIS, Oracle, dan Microsoft Exchange — termasuk eksploitasi ProxyLogon yang terungkap pada Maret 2021 — untuk mendapatkan pijakan awal dan poros lateral ke bagian lain dari jaringan korban, bahkan pada mesin yang menjalankan versi terbaru dari sistem operasi Windows 10.

Selengkapnya: The Hackers News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat Actor

Cookies Settings