Cyber Attack

Peretas OPERA1ER mencuri lebih dari $11 juta dari bank dan perusahaan telekomunikasi

November 6, 2022 by Søren

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil, sekitar sepertiganya dilakukan pada tahun 2020.

Analis di Group-IB, yang bekerja dengan departemen CERT-CC di Orange, telah melacak OPERA1ER sejak 2019 dan memperhatikan bahwa grup tersebut mengubah teknik, taktik, dan prosedur (TTP) tahun lalu.

Khawatir kehilangan jejak aktor ancaman, perusahaan keamanan siber menunggu kelompok itu muncul kembali untuk menerbitkan laporan terbaru. Tahun ini, Group-IB mengamati bahwa para peretas kembali aktif.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

Email tersebut memiliki lampiran yang mengirimkan malware tahap pertama, di antaranya Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, dan Venom RAT. Group-IB juga mengatakan bahwa para peretas mendistribusikan sniffer dan dumper kata sandi.

Menurut para peneliti, OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

Para peneliti mengatakan bahwa setelah mendapatkan akses ke jaringan korban, peretas juga dapat menggunakan infrastruktur sebagai titik pivot ke target lain.

Group-IB mengatakan bahwa pelaku ancaman membuat email spear-phishing “berkualitas tinggi” yang ditulis dalam bahasa Prancis. Sebagian besar waktu, pesan tersebut menyamar sebagai kantor pajak pemerintah atau agen perekrutan dari Bank Sentral Negara-negara Afrika Barat (BCEAO).

Selengkapnya: Bleeping Computer

Spyware SandStrike Baru Menginfeksi Perangkat Android Melalui Aplikasi VPN Berbahaya

November 4, 2022 by Coffee Bean

Pelaku ancaman menggunakan spyware yang baru ditemukan yang dikenal sebagai SandStrike dan dikirimkan melalui aplikasi VPN berbahaya untuk menargetkan pengguna Android.

Mereka berfokus pada praktisi Baháʼí Faith yang berbahasa Persia, sebuah agama yang berkembang di Iran dan sebagian Timur Tengah.

Para penyerang mempromosikan aplikasi VPN berbahaya sebagai cara sederhana untuk menghindari penyensoran materi keagamaan di wilayah tertentu.

Untuk menyebarkannya, mereka menggunakan akun media sosial untuk mengarahkan calon korban ke saluran Telegram yang akan memberi mereka tautan untuk mengunduh dan menginstal VPN jebakan.

Malware ini akan mencuri berbagai jenis informasi seperti log panggilan dan daftar kontak dan juga akan memantau perangkat Android yang disusupi untuk membantu pembuatnya melacak aktivitas korban.

Pada bulan September, perusahaan juga berbagi analisis pada platform malware yang baru ditemukan bernama Metatron yang digunakan terhadap perusahaan telekomunikasi, penyedia layanan internet, dan universitas di seluruh Afrika dan Timur Tengah.

sumber : bleeping computer

Ratusan situs berita AS mendorong malware dalam serangan supply chain

November 4, 2022 by Eevee

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Peretas Tiongkok Menggunakan Rantai Infeksi Tersembunyi untuk Menyebarkan Malware LODEINFO

November 3, 2022 by Eevee

Aktor ancaman China yang dikenal sebagai Stone Panda telah diamati menggunakan rantai infeksi tersembunyi baru dalam serangannya yang ditujukan pada entitas Jepang.

Target termasuk media, diplomatik, pemerintah dan organisasi sektor publik dan think-tank di Jepang, menurut laporan kembar yang diterbitkan oleh Kaspersky.

Stone Panda, juga disebut APT10, Bronze Riverside, Cicada, dan Potassium, adalah kelompok spionase dunia maya yang dikenal karena intrusinya terhadap organisasi yang diidentifikasi secara strategis signifikan bagi China. Pelaku ancaman diyakini telah aktif setidaknya sejak 2009.

Grup tersebut juga telah dikaitkan dengan serangan menggunakan keluarga malware seperti SigLoader, SodaMaster, dan web shell yang disebut Jackpot terhadap beberapa organisasi domestik Jepang sejak April 2021, menurut perusahaan keamanan siber Trend Micro, yang melacak grup tersebut dengan nama Earth Tengshe.

Serangkaian serangan terbaru, diamati antara Maret dan Juni 2022, melibatkan penggunaan file Microsoft Word palsu dan file arsip self-extracting (SFX) dalam format RAR yang disebarkan melalui email spear-phishing, yang mengarah ke eksekusi pintu belakang yang disebut LODEINFO.

Sementara maldoc mengharuskan pengguna untuk mengaktifkan makro untuk mengaktifkan killchain, kampanye Juni 2022 ditemukan untuk menjatuhkan metode ini demi file SFX yang, ketika dijalankan, menampilkan dokumen Word umpan yang tidak berbahaya untuk menyembunyikan aktivitas jahat.

Makro, setelah diaktifkan, menjatuhkan arsip ZIP yang berisi dua file, salah satunya (“NRTOLF.exe”) adalah executable yang sah dari perangkat lunak K7Security Suite yang kemudian digunakan untuk memuat DLL jahat (“K7SysMn1.dll”) melalui DLL pemuatan samping.

Kaspersky juga menemukan metode infeksi awal lain pada Juni 2022, di mana file Microsoft Word yang dilindungi kata sandi bertindak sebagai saluran untuk mengirimkan pengunduh tanpa file yang dijuluki DOWNIISSA setelah mengaktifkan makro.

DOWNIISSA dikonfigurasi untuk berkomunikasi dengan server jarak jauh berkode keras, menggunakannya untuk mengambil muatan BLOB terenkripsi dari LODEINFO, pintu belakang yang mampu mengeksekusi kode shell sewenang-wenang, mengambil tangkapan layar, dan mengekstrak file kembali ke server.

Malware tersebut, pertama kali terlihat pada tahun 2019, telah mengalami banyak peningkatan, dengan Kaspersky mengidentifikasi enam versi berbeda pada bulan Maret, April, Juni, dan September 2022.

Perubahan termasuk teknik penghindaran yang ditingkatkan untuk terbang di bawah radar, menghentikan eksekusi pada mesin dengan lokal “en_US,” merevisi daftar perintah yang didukung, dan memperluas dukungan untuk arsitektur Intel 64-bit.

Sumber: The Hackernews

Kekacauan verifikasi Twitter sekarang menjadi masalah keamanan siber

November 1, 2022 by Eevee

Penjahat dunia maya sudah memanfaatkan kekacauan verifikasi Twitter yang sedang berlangsung dengan mengirimkan email phishing yang dirancang untuk mencuri kata sandi pengguna tanpa disadari.

Kampanye email phishing mencoba untuk memikat pengguna Twitter agar memposting nama pengguna dan kata sandi mereka di situs web penyerang yang disamarkan sebagai formulir bantuan Twitter.

Email dikirim dari akun Gmail, dan tautan ke Google Documents dengan tautan lain ke Situs Google, yang memungkinkan pengguna meng-host konten web. Ini kemungkinan akan menciptakan beberapa lapisan kebingungan untuk mempersulit Google mendeteksi penyalahgunaan menggunakan alat pemindaian otomatisnya.

Tetapi halaman itu sendiri berisi bingkai yang disematkan dari situs lain, yang dihosting di host web Rusia Beget, yang meminta pegangan Twitter, kata sandi, dan nomor telepon pengguna cukup untuk mengkompromikan akun yang tidak menggunakan otentikasi dua faktor yang lebih kuat.

Google menghapus situs phishing beberapa saat setelah TechCrunch memberi tahu perusahaan.

Tangkapan layar email phishing yang dirancang untuk mencuri kredensial pengguna Twitter. Kredit Gambar: TechCrunch.

Kampanye ini tampak kasar, kemungkinan karena dengan cepat disatukan untuk memanfaatkan berita terbaru bahwa Twitter akan segera membebankan biaya bulanan kepada pengguna untuk fitur premium, termasuk verifikasi, serta kemungkinan yang dilaporkan untuk menghilangkan lencana terverifikasi dari pengguna Twitter yang tidak membayar.

Twitter belum membuat keputusan publik tentang masa depan program verifikasi, yang diluncurkan pada tahun 2009 untuk mengkonfirmasi keaslian akun Twitter tertentu, seperti tokoh masyarakat, selebriti dan pemerintah. Tapi itu jelas tidak menghentikan penjahat dunia maya bahkan di ujung yang berketerampilan lebih rendah dari mengambil keuntungan dari kurangnya informasi yang jelas dari Twitter sejak menjadi pribadi minggu ini setelah penutupan pengambilalihan $ 44 miliar Elon Musk.

Sumber: TechCrunch

Pengembang Genshin Impact mengalami pelanggaran data besar-besaran

October 28, 2022 by Eevee

Pengembang Genshin Impact HoYoverse telah mengalami pelanggaran data besar-besaran.

Selama akhir pekan, sejumlah besar informasi dibagikan secara online yang mengungkapkan detail karakter, misi, dan acara baru dari versi 3.3 hingga 3.8.

HoYoverse telah menandai postingan DMCA yang berisi informasi dari pelanggaran data, meskipun pembaruan di masa mendatang tentu saja dapat berubah.

Namun, banyak pembocor Genshin Impact telah menghapus posting mereka ketika data pengguna pribadi untuk beberapa penguji QA HoYoverse ditemukan sebagai bagian dari pelanggaran.

“Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini untuk keamanan,” kata leaker Ubatcha di Twitter. “Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli.”

Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini agar aman

Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli

Seperti dilansir GamesRadar, ini adalah jumlah informasi yang dibuang secara ilegal yang hampir belum pernah terjadi sebelumnya, berjumlah sekitar 36 minggu konten untuk game layanan langsung yang dapat dimainkan secara gratis.

Ini menandai kebocoran profil tinggi lainnya, menyusul pelanggaran data di pengembang Grand Theft Auto Rockstar bulan lalu.

Sumber: EuroGamer

Ekstensi Chrome dengan 1 juta pemasangan, membajak target browser

October 25, 2022 by Eevee

Para peneliti di Guardio Labs telah menemukan kampanye malvertizing baru yang mendorong ekstensi Google Chrome yang membajak pencarian dan memasukkan tautan afiliasi ke dalam laman web.

Karena semua ekstensi ini menawarkan opsi penyesuaian warna dan tiba di mesin korban tanpa kode berbahaya untuk menghindari deteksi, para analis menamakan kampanye itu “Warna Tidak Aktif.”

Menurut laporan Guardio, pada pertengahan Oktober 2022, 30 varian ekstensi browser tersedia di toko web Chrome dan Edge, mengumpulkan lebih dari satu juta pemasangan.

30 pengaya yang ada di toko web hingga saat ini
(*Guardio*)

Infeksi dimulai dengan iklan atau pengalihan ketika mengunjungi halaman web yang menawarkan video atau unduhan.

Namun, ketika mencoba mengunduh program atau menonton video, Anda diarahkan ke situs lain yang menyatakan bahwa Anda harus memasang ekstensi untuk melanjutkan, seperti yang ditunjukkan di bawah ini.

Ketika pengunjung mengklik tombol ‘OK’ atau ‘Lanjutkan’, mereka kemudian diminta untuk memasang ekstensi pengubah warna yang tampak tidak berbahaya.

Namun, ketika ekstensi ini pertama kali diinstal, mereka akan mengarahkan pengguna ke berbagai halaman yang memuat skrip berbahaya yang menginstruksikan ekstensi tentang cara melakukan pembajakan pencarian dan di situs apa yang akan menyisipkan tautan afiliasi.

Bagaimana serangan ekstensi terungkap di host
(*Guardia*)

Saat melakukan pembajakan penelusuran, ekstensi akan mengarahkan kueri penelusuran untuk mengembalikan hasil dari situs yang berafiliasi dengan pengembang ekstensi, sehingga menghasilkan pendapatan dari tayangan iklan dan penjualan data penelusuran.

Dormant Colors melampaui ini dengan juga membajak penjelajahan korban pada daftar 10.000 situs web yang ekstensif dengan secara otomatis mengarahkan pengguna ke halaman yang sama tetapi kali ini dengan tautan afiliasi ditambahkan ke URL.

Setelah tag afiliasi ditambahkan ke URL, setiap pembelian yang dilakukan di situs akan menghasilkan komisi untuk pengembang.

Para peneliti memperingatkan bahwa menggunakan teknik pemuatan sisi kode berbahaya yang sama, operator Dormant Colors dapat mencapai hal-hal yang berpotensi lebih buruk daripada afiliasi pembajakan.

Para peneliti mengatakan adalah mungkin untuk mengarahkan korban ke halaman phishing untuk mencuri kredensial untuk Microsoft 365, Google Workspace, situs bank, atau platform media sosial.

Sumber: Bleeping Computer

BlackByte ransomware menggunakan alat pencurian data baru untuk pemerasan ganda

October 22, 2022 by Søren

Afiliasi ransomware BlackByte menggunakan alat pencurian data khusus baru yang disebut ‘ExByte’ untuk mencuri data dari perangkat Windows yang disusupi dengan cepat.

Eksfiltrasi data diyakini sebagai salah satu fungsi terpenting dalam serangan pemerasan ganda, dengan BleepingComputer mengatakan bahwa perusahaan lebih sering membayar permintaan tebusan untuk mencegah kebocoran data daripada menerima decryptor.

Karena itu, operasi ransomware, termasuk ALPHV dan LockBit, terus berupaya meningkatkan alat pencurian data mereka.

Pada saat yang sama, pelaku ancaman lainnya, seperti Karakurt, bahkan tidak repot-repot mengenkripsi salinan lokal, hanya berfokus pada eksfiltrasi data.

Exbyte ditemukan oleh peneliti keamanan di Symantec, yang mengatakan bahwa pelaku ancaman menggunakan alat eksfiltrasi berbasis Go untuk mengunggah file curian langsung ke layanan penyimpanan cloud Mega.

Setelah dieksekusi, alat ini melakukan pemeriksaan anti-analisis untuk menentukan apakah itu berjalan di lingkungan kotak pasir dan memeriksa proses debugger dan anti-virus.

Biner ransomware BlackByte juga menerapkan pengujian yang sama ini, tetapi alat eksfiltrasi perlu menjalankannya secara independen karena eksfiltrasi data dilakukan sebelum enkripsi file.

Jika tesnya bersih, Exbyte menghitung semua file dokumen pada sistem yang dilanggar dan mengunggahnya ke folder yang baru dibuat di Mega menggunakan kredensial akun yang di-hardcode.

“Selanjutnya, Exbyte menghitung semua file dokumen di komputer yang terinfeksi, seperti file .txt, .doc, dan .pdf, dan menyimpan path lengkap dan nama file ke %APPDATA%\dummy,” jelas laporan Symantec.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings