Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Geng ransomware LockBit mengintai di jaringan pemerintah AS selama berbulan-bulan

by

Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.

Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.

Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.

Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.

Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.

Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.

Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.

Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.

Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.

Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.

Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.

Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.

Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.

Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.

Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.

Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.

Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.

Sumber : Bleeping Computer

Peretas Sandworm gagal menjatuhkan penyedia energi Ukraina

by

Kelompok peretasan Sandworm mencoba menjatuhkan penyedia energi besar Ukraina dengan memutuskan gardu listriknya dengan varian baru malware Industroyer untuk sistem kontrol industri (ICS) dan versi baru pemusnah data CaddyWiper perangkat lunak jahat.

Pelaku ancaman menggunakan versi malware Industroyer ICS yang disesuaikan untuk gardu listrik tegangan tinggi target dan kemudian mencoba menghapus jejak serangan dengan mengeksekusi CaddyWiper dan keluarga malware penghapus data lainnya yang dilacak sebagai Orcshred, Soloshred, dan Awfulshred untuk Linux dan sistem Solaris.

Para peneliti di ESET yang berkolaborasi dengan Tim Tanggap Darurat Komputer Ukraina (CERT) untuk memulihkan dan melindungi jaringan yang diserang mengatakan bahwa mereka tidak tahu bagaimana penyerang membahayakan lingkungan atau bagaimana mereka berhasil berpindah dari jaringan TI ke lingkungan ICS.

Diagram aktivitas cacing pasir (ESET)

Dalam pengumuman hari ini, CERT-UA mencatat bahwa tujuan pelaku ancaman adalah “menonaktifkan beberapa elemen infrastruktur.”

Malware ICS yang digunakan dalam serangan itu sekarang dilacak saat Industroyer2 dan ESET menilai “dengan keyakinan tinggi” bahwa malware itu dibuat menggunakan kode sumber Industroyer yang digunakan pada tahun 2016 untuk memutus aliran listrik di Ukraina dan dikaitkan dengan kelompok peretasan Rusia yang disponsori negara Sandworm .

CERT-UA mengatakan bahwa “implementasi rencana jahat [Sandworm] sejauh ini telah dicegah” sementara ESET mencatat dalam laporan teknis tentang malware yang digunakan dalam serangan ini bahwa “Penyerang Sandworm melakukan upaya untuk menyebarkan malware Industroyer2 terhadap tegangan tinggi gardu listrik di Ukraina.”

Peneliti ESET mengatakan bahwa Industroyer2 sangat dapat dikonfigurasi dan dilengkapi dengan konfigurasi terperinci yang di-hardcode, yang mengharuskannya untuk dikompilasi ulang untuk setiap lingkungan korban baru.

Para peneliti mengatakan bahwa stempel waktu Portabel Executable dari Industroyer2 menunjukkan bahwa itu dikompilasi pada 23 Maret, yang menunjukkan bahwa serangan itu telah direncanakan setidaknya selama dua minggu.

Sumber : ESET

Alat tambahan yang digunakan dalam serangan termasuk skrip PowerGap PowerShell yang digunakan untuk menambahkan Kebijakan Grup yang mengunduh muatan dan membuat tugas terjadwal, dan Impacket, yang digunakan untuk eksekusi perintah jarak jauh.

Komponen worm dalam serangan ini – skrip Bash bernama sc.sh – mencari jaringan yang dapat diakses (melalui ip route atau ifconfig) dan mencoba untuk terhubung ke semua host yang tersedia melalui SSHH (TCP port 22, 2468, 24687, 522) menggunakan kredensial di daftar musuh yang ditambahkan dalam skrip.

Industroyer, juga dikenal sebagai CrashOverride, pertama kali diambil sampelnya dan dianalisis pada tahun 2017, dengan ESET menyebutnya sebagai “ancaman terbesar bagi sistem kontrol industri sejak Stuxnet”.

Varian baru yang digunakan minggu lalu pada penyedia energi Ukraina adalah evolusi dari malware asli yang digunakan dalam serangan pemadaman listrik 2016 di Ukraina.

Industroyer2 hanya menggunakan protokol IEC-104 untuk berkomunikasi dengan peralatan industri, sedangkan sebelumnya, mendukung beberapa protokol ICS.

Ini lebih dapat dikonfigurasi daripada strain asli dan pengaturan, termasuk IOA, batas waktu, dan ASDU, disimpan sebagai string yang dilewatkan melalui rutinitas komunikasi IEC-104.

Menurut analisis ESET, sampel yang baru-baru ini dianalisis berkomunikasi dengan delapan perangkat secara bersamaan.

Konfigurasi hardcode di Industroyer2 (ESET)

Tindakan pasti yang dilakukan oleh Industroyer2 setelah sambungannya ke relai masih diperiksa, tetapi telah ditentukan bahwa ia menghentikan proses sah yang dilakukan peralatan industri dalam operasi standarnya.

Sandworm adalah kelompok ancaman spionase cyber berpengalaman yang telah dikaitkan dengan Unit Militer Rusia 74455 dari Direktorat Intelijen Utama (GRU).

CERT-UA telah berbagi indikator kompromi (aturan Yara, hash file, host, jaringan) untuk membantu mencegah serangan baru dari pelaku ancaman ini.

Sumber : Bleeping Computer

Dua Juta Data Kredensial Pengguna Domain .id Bocor

by

DarkTracer, platform online khusus untuk threat intelligence Dark Web dan Deep Web, melalui akun Twitter nya hari ini merilis daftar domain .id yang beberapa kredensial pengguna nya telah didistribusikan di Dark/Deep Web.

Sumber : @darktracer_int (twitter)

Total ada 2.180.233 kredensial dari 93.117 domain .id yang dilaporkan oleh DarkTracer. Sebagai catatan, kredensial-kredensial ini bocor dari pengguna yang situs yang telah terinfeksi malware pencuri informasi (information stealer). Tidak disebutkan malware pencuri informasi mana saja yang telah mendapatkan kredensial tersebut.

Pengguna situs diharapkan untuk segera mengganti password dan menerapkan Multi-Factor Authentication sesegera mungkin.

Sumber: https://twitter.com/darktracer_int/status/1513745569172574212?cxt=HHwWiMDSrebk84EqAAAA

Pencuri informasi Meta baru didistribusikan dalam kampanye malspam

by

Kampanye malspam telah ditemukan mendistribusikan malware META baru, malware pencuri info baru yang tampaknya semakin populer di kalangan penjahat dunia maya.

META adalah salah satu pencuri info baru, bersama dengan Mars Stealer dan BlackGuard, yang operatornya ingin memanfaatkan keluarnya Raccoon Stealer dari pasar yang membuat banyak orang mencari platform berikutnya.

Alat ini dijual dengan harga $125 untuk pelanggan bulanan atau $1.000 untuk penggunaan seumur hidup tanpa batas dan dipromosikan sebagai versi perbaikan dari RedLine.

Kampanye spam baru yang dilihat oleh peneliti keamanan dan ISC Handler Brad Duncan adalah bukti bahwa META secara aktif digunakan dalam serangan, digunakan untuk mencuri kata sandi yang disimpan di Chrome, Edge, dan Firefox, serta dompet cryptocurrency.

Rantai infeksi dalam kampanye tertentu mengikuti pendekatan “standar” dari spreadsheet Excel berlapis makro yang tiba di kotak masuk calon korban sebagai lampiran email.

Rantai infeksi META pada kampanye berbintik (isc.sans.edu)

Pesan tersebut membuat klaim palsu tentang transfer dana yang tidak terlalu meyakinkan atau dibuat dengan baik tetapi masih bisa efektif terhadap persentase penerima yang signifikan.

Email yang membawa lampiran Excel berbahaya (isc.sans.edu)

File spreadsheet menampilkan umpan DocuSign yang mendesak target untuk “mengaktifkan konten” yang diperlukan untuk menjalankan makro VBS berbahaya di latar belakang.

Umpan DocuSign yang memikat pengguna untuk mengaktifkan konten (isc.sans.edu)

Ketika skrip berbahaya berjalan, itu akan mengunduh berbagai muatan, termasuk DLL dan yang dapat dieksekusi, dari beberapa situs, seperti GitHub.

Beberapa file yang diunduh dikodekan base64 atau byte-nya dibalik untuk melewati deteksi oleh perangkat lunak keamanan. Misalnya, di bawah ini adalah salah satu sampel yang dikumpulkan oleh Duncan yang byte-nya dibalik dalam unduhan aslinya.

DLL disimpan dalam urutan byte terbalik (isc.sans.edu)

Akhirnya, muatan akhir dirakit pada mesin dengan nama “qwveqwveqw.exe,” yang kemungkinan acak, dan kunci registri baru ditambahkan untuk kegigihan.

Kunci registri baru dan executable berbahaya (isc.sans.edu)

Tanda infeksi yang jelas dan terus-menerus adalah file EXE yang menghasilkan lalu lintas ke server perintah dan kontrol di 193.106.191[.]162, bahkan setelah sistem di-boot ulang, memulai kembali proses infeksi pada mesin yang disusupi.

Lalu lintas berbahaya ditangkap di Wireshark (isc.sans.edu)

Satu hal yang perlu diperhatikan adalah bahwa META memodifikasi Windows Defender melalui PowerShell untuk mengecualikan file .exe dari pemindaian, untuk melindungi file dari deteksi.

Sumber : Bleeping Computer

Malware perbankan Android menyadap panggilan ke dukungan pelanggan

by

Trojan perbankan untuk Android yang oleh para peneliti disebut Fakecalls hadir dengan kemampuan canggih yang memungkinkannya mengambil alih panggilan ke nomor dukungan pelanggan bank dan menghubungkan korban secara langsung dengan penjahat dunia maya yang mengoperasikan malware.

Menyamar sebagai aplikasi seluler dari bank populer, Fakecalls menampilkan semua tanda entitas yang ditirunya, termasuk logo resmi dan nomor dukungan pelanggan.

Ketika korban mencoba menelepon bank, malware memutuskan koneksi dan menunjukkan layar panggilannya, yang hampir tidak bisa dibedakan dari yang asli.

Antarmuka panggilan malware mobile banking palsu (sumber: Kaspersky)

Trojan mobile banking palsu dapat melakukan ini karena pada saat instalasi meminta beberapa izin yang memberikan akses ke daftar kontak, mikrofon, kamera, geolokasi, dan penanganan panggilan.

Malware muncul tahun lalu dan terlihat menargetkan pengguna di Korea Selatan, pelanggan bank populer seperti KakaoBank atau Kookmin Bank (KB), peneliti keamanan di Kaspersky mencatat dalam sebuah laporan hari ini.

Kaspersky menganalisis malware tersebut dan menemukan bahwa malware tersebut juga dapat memutar pesan yang telah direkam sebelumnya yang meniru pesan yang biasanya digunakan oleh bank untuk menyambut pelanggan yang mencari dukungan:

Kode di Fakecalls untuk memutar audio yang telah direkam sebelumnya (sumber: Kaspersky)

Pengembang malware mencatat beberapa frasa yang biasa digunakan oleh bank untuk memberi tahu pelanggan bahwa operator akan menerima panggilan mereka segera setelah tersedia.

Di bawah ini adalah dua contoh audio yang telah direkam sebelumnya (dalam bahasa Korea) yang dimainkan oleh malware Fakecalls untuk membuat tipu muslihat lebih realistis:

Halo. Terima kasih telah menelepon KakaoBank. Pusat panggilan kami saat ini menerima panggilan dengan volume yang luar biasa besar. Seorang konsultan akan berbicara kepada Anda sesegera mungkin. Untuk meningkatkan kualitas layanan, percakapan Anda akan direkam.

Selamat datang di Kookmin Bank. Percakapan Anda akan direkam. Kami sekarang akan menghubungkan Anda dengan operator.

Peneliti Kaspersky mengatakan bahwa malware juga dapat memalsukan panggilan masuk, memungkinkan penjahat dunia maya untuk menghubungi korban seolah-olah mereka adalah layanan dukungan pelanggan bank.

Izin yang diminta malware saat penginstalan memungkinkan penjahat dunia maya untuk memata-matai korban dengan menyiarkan audio dan video secara real-time dari perangkat, melihat lokasinya, menyalin file (kontak, file seperti foto dan video), dan riwayat pesan teks.

Rekomendasi Kaspersky untuk menghindari menjadi korban malware semacam itu termasuk mengunduh aplikasi hanya dari toko resmi, dan memperhatikan izin yang berpotensi berbahaya yang diminta aplikasi (akses ke panggilan, SMS, aksesibilitas), terutama jika aplikasi tidak membutuhkannya.

Selain itu, para peneliti menyarankan pengguna untuk tidak membagikan informasi rahasia melalui telepon (kredensial login, PIN, kode keamanan kartu, kode konfirmasi).

Sumber : Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

by

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Malware Android “Octo” ingin mendapatkan informasi perbankan Anda

by

Peneliti keamanan siber Threat Fabric mengetahui tentang Octo dari melihat permintaannya di web gelap. Threat Fabric menemukan bahwa Octo memiliki banyak kesamaan dengan ExobotCompact, termasuk langkah-langkah untuk mencegah rekayasa balik malware dan pengkodean yang membuatnya mudah disembunyikan di dalam aplikasi yang tampak tidak bersalah di Google Play Store — serta trik penonaktifan yang rapi Google Protect saat diunduh.

Untuk menjalankan ODF, Octo menyelinap masuk melalui layanan Aksesibilitas dan mengatur jumlah streaming langsung ke server perintah dan kontrol penyerang yang diperbarui setiap detik dari ponsel yang disusupi.

Kemudian menggunakan layar hitam dan menonaktifkan notifikasi untuk mengaburkan apa yang sedang dilakukan dari pengguna yang tidak bersalah. Jadi pada dasarnya, sepertinya perangkat Anda telah dimatikan, tetapi malware mengadakan pesta saat layar kosong, dan melakukan sejumlah tugas seperti menggulir, mengetuk, mengirim teks, dan memotong dan menempel.

Octo juga menggunakan perangkat lunak keylogging untuk melacak semua jenis pengguna yang diretas ke dalam perangkat (seperti PIN, nomor jaminan sosial, pesan OnlyFans), dan mampu memblokir pemberitahuan push oleh aplikasi tertentu dan mencegat atau mengirim teks.

Seperti yang ditunjukkan oleh Bleeping Computer dan Threat Fabric, perangkat lunak berbahaya menjadi lebih licik dengan setiap evolusi baru, menambahkan fitur seperti penghindaran otentikasi multi-faktor. Sangat mudah untuk merasa benar-benar terbuka.

Kewaspadaan adalah kunci dalam melindungi diri Anda dan data Anda. Tetap terinformasi tentang ancaman terbaru dan perbarui perangkat Anda dengan patch keamanan terbaru.

Selengkapnya: Android Police

Peretas membajak situs web dewasa untuk menginfeksi korban dengan malware

by

Penjahat dunia maya menipu korban agar mengunduh malware (terbuka di tab baru) dengan memberi tahu mereka bahwa browser mereka sudah usang dan perlu diperbarui untuk melihat konten halaman.

Peneliti keamanan siber Avast Jan Rubin dan Pavel Novak menemukan kampanye phishing di mana aktor ancaman yang tidak dikenal menyusupi lebih dari 16.000 WordPress dan situs web Joomla yang dihosting (dibuka di tab baru) dengan kredensial login yang lemah.

Ini biasanya situs web konten dewasa, situs web pribadi, situs universitas, dan halaman pemerintah daerah

Setelah mendapatkan akses ke situs-situs ini, para penyerang akan membuat Traffic Direction System (TDS), Parrot TDS. TDS adalah gerbang berbasis web yang mengarahkan pengguna ke berbagai konten, tergantung pada parameter tertentu.

Itu memungkinkan penyerang untuk menyebarkan malware hanya pada titik akhir (terbuka di tab baru) yang dianggap sebagai target yang baik (tindakan keamanan siber yang buruk, misalnya, atau lokasi geografis tertentu).

Mereka yang mendapatkan pesan untuk “memperbarui” browser mereka, sebenarnya akan disajikan Remote Access Trojan (RAT) yang disebut NetSupport Manager. Ini memberi penyerang akses penuh ke titik akhir target.

Selengkapnya: Tech Radar