Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Inggris memenjarakan pria karena memata-matai remaja, mencuri foto menggunakan RAT

by

Seorang pria Nottingham dipenjara minggu ini selama lebih dari dua tahun setelah meretas komputer dan telepon puluhan korban, beberapa di antaranya di bawah umur, dan memata-matai mereka menggunakan trojan akses jarak jauh (RAT).

Robert Davies, 32 tahun menggunakan profil media sosial online palsu dan akun Skype untuk memancing korbannya dan meretas perangkat mereka dengan mengirimkan tautan yang memungkinkannya menginfeksi mereka dengan RAT yang dikaburkan menggunakan crypters (ini membantu alat jahat menghindari alat deteksi anti-malware ).

“Dia kemudian menggunakan RAT untuk mendapatkan akses jarak jauh ke perangkat mereka dan mencuri gambar seksual (terutama wanita) yang mereka simpan di sana,” kata Badan Kejahatan Nasional Inggris dalam siaran pers.

Dia juga merupakan pelanggan “We Leak Info”, pasar online besar yang mengklaim menyediakan akses ke sekitar 12,5 miliar catatan yang dicuri dari pelanggaran data sebelum dihapus oleh penegak hukum pada Januari 2020.

Davies menggunakan aksesnya ke komputer dan telepon korban untuk mencuri dan membangun koleksi ekstensif gambar orang dewasa dan anak-anak yang tidak senonoh (penyelidik menemukan lusinan gambar dan video anak-anak saat menganalisis data di komputer yang disita).

Davies hanya mendarat di radar NCA setelah penyelidik melihatnya membeli berbagai alat kejahatan dunia maya secara online, termasuk RAT dan crypter yang kemudian dia gunakan untuk berkompromi dan mengakses perangkat korbannya dari jarak jauh.

“Yang lebih mengganggu adalah fakta bahwa setidaknya salah satu korbannya adalah seorang remaja dan kami menemukan koleksi gambar dan video pelecehan seksual anak di komputernya.”

Davies minggu ini dijatuhi hukuman 26 bulan penjara setelah mengaku bersalah atas 24 pelanggaran Undang-Undang Penyalahgunaan Komputer, memiliki dan membuat gambar anak-anak yang tidak senonoh, dan memiliki gambar-gambar porno yang ekstrim.

“Secara total petugas NCA mengidentifikasi dan mengunjungi lebih dari 30 korban Davies selama penyelidikan,” tambah NCA.

Hukuman itu dijatuhkan setelah ditangkap tiga kali selama hampir dua tahun, antara November 2019 dan Agustus 2021, setiap kali didakwa atas pelanggaran tambahan saat petugas menganalisis informasi yang dikumpulkan dari perangkatnya.

Sumber : Bleeping Computer

Backdoor Baru SysJoker Menargetkan Windows, macOS, dan Linux

by

Sebuah malware backdoor multi-platform baru bernama ‘SysJoker’ telah muncul di alam liar, menargetkan Windows, Linux, dan macOS dengan kemampuan untuk menghindari deteksi pada ketiga sistem operasi.

Penemuan malware baru ini berasal dari para peneliti di Intezer yang pertama kali melihat tanda-tanda aktivitasnya pada Desember 2021 setelah menyelidiki serangan terhadap server web berbasis Linux.

Unggahan pertama sampel malware pada VirusTotal terjadi pada H2 2021, yang juga sejalan dengan waktu pendaftaran domain C2.

Analis keamanan sekarang telah menerbitkan laporan teknis terperinci tentang SysJoker, yang mereka bagikan dengan Bleeping Computer sebelum dipublikasikan.

Joker yang tidak suka menarik perhatian

Malware ini ditulis dalam C ++, dan sementara setiap varian disesuaikan untuk sistem operasi yang ditargetkan, semuanya tidak terdeteksi pada VirusTotal, situs pemindaian malware online yang menggunakan 57 mesin deteksi antivirus yang berbeda.

Pada Windows, SysJoker menggunakan dropper tahap pertama dalam bentuk DLL, yang menggunakan perintah PowerShell untuk melakukan hal berikut:

  • mengambil SysJoker ZIP dari repositori GitHub,
  • unzip pada “C:ProgramDataRecoverySystem”,
  • mengeksekusi payload.

Malware kemudian tidur hingga dua menit sebelum membuat direktori baru dan menyalin dirinya sebagai Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Selanjutnya, SysJoker akan mengumpulkan informasi tentang mesin menggunakan perintah Living off the Land (LOtL). SysJoker menggunakan file teks sementara yang berbeda untuk mencatat hasil perintah,” jelas laporan Intezer.

File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama “microsoft_Windows.dll”.

Setelah mengumpulkan data sistem dan jaringan, malware akan menciptakan kegigihan dengan menambahkan kunci registri baru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Waktu tidur acak diselingi di antara semua fungsi yang mengarah ke titik ini.

Langkah selanjutnya untuk malware adalah menjangkau server C2 yang dikendalikan aktor, dan untuk ini, ia menggunakan tautan Google Drive yang dikodekan dengan kode keras.

Tautan ini menghosting file “domain.txt” yang diperbarui oleh para aktor secara teratur untuk menyediakan server yang tersedia ke suar langsung. Daftar ini terus berubah untuk menghindari deteksi dan pemblokiran.

Informasi sistem yang dikumpulkan pada tahap pertama infeksi dikirim sebagai jabat tangan pertama ke C2. C2 menjawab dengan token unik yang berfungsi sebagai pengenal titik akhir yang terinfeksi.

Dari sana, C2 dapat menginstruksikan backdoor untuk menginstal malware tambahan, menjalankan perintah pada perangkat yang terinfeksi, atau memerintahkan backdoor untuk menghapus dirinya dari perangkat. Namun, dua instruksi terakhir itu belum dilaksanakan.

Deteksi dan pencegahan

Intezer telah memberikan indikator kompromi penuh (IOCs) dalam laporan mereka yang dapat digunakan admin untuk mendeteksi keberadaan SysJoker pada perangkat yang terinfeksi.

Di bawah ini, kami telah menguraikan beberapa IOC untuk setiap sistem operasi.

Pada Windows, file malware terletak di bawah folder “C:ProgramDataRecoverySystem”, di C:ProgramDataSystemDataigfxCUIService.exe, dan C:ProgramDataSystemDatamicrosoft_Windows.dll. Untuk ketekunan, malware menciptakan nilai Autorun “Run” dari “igfxCUIService” yang meluncurkan igfxCUIService.exe malware executable.

Di Linux, file dan direktori dibuat di bawah “/. Perpustakaan / “sementara ketekunan didirikan dengan menciptakan pekerjaan cron berikut: @reboot (/. Library/SystemServices/updateSystem).

Di macOS, file dibuat pada “/Library/” dan kegigihan dicapai melalui LaunchAgent di bawah jalur: /Library/LaunchAgents/com.apple.update.plist.

Domain C2 yang dibagikan dalam laporan Intezer adalah sebagai berikut:

https[://]bookitlab[.] Tech
https[://]winaudio-tools[.] Com
https[://]graphic-updater[.] Com
https[://]github[.] url-mini[.] Com
https[://]office360-update[.] Com
https[://]drive[.] google[.] com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.] google[.] com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Jika Anda menemukan bahwa Anda telah dikompromikan oleh SysJoker, ikuti tiga langkah ini:

  • Matikansemua proses yang terkait dengan malware dan secara manual menghapus file.
  • Jalankan pemindai memori untuk memastikan bahwa semua file berbahaya telah dicabut dari sistem yang terinfeksi.
  • Selidiki titik masuk potensial, periksa konfigurasi firewall, dan perbarui semua alat perangkat lunak ke versi terbaru yang tersedia.

Sumber: Bleepingcomputer

Ransomware Night Sky Menggunakan Bug Log4j untuk Meretas Server VMware Horizon

by

Geng ransomware Night Sky telah mulai mengeksploitasi kerentanan CVE-2021-44228 yang kritis di perpustakaan penebangan Log4j, juga dikenal sebagai Log4Shell, untuk mendapatkan akses ke sistem VMware Horizon.

Aktor ancaman menargetkan mesin rentan yang terpapar di web publik dari domain yang meniru perusahaan yang sah, beberapa di antaranya di sektor teknologi dan cybersecurity.

Serangan dimulai pada awal Januari

Terlihat pada akhir Desember 2021 oleh peneliti keamanan MalwareHunterTeam, ransomware Night Sky berfokus pada penguncian jaringan perusahaan. Ini telah mengenkripsi beberapa korban, meminta tebusan $ 800.000 dari salah satu dari mereka.

Pada hari Senin, Microsoft menerbitkan peringatan tentang kampanye baru dari aktor yang berbasis di China yang dilacaknya sebagai DEV-0401 untuk mengeksploitasi kerentanan Log4Shell pada sistem VMware Horizon yang terpapar di internet, dan menyebarkan ransomware Night Sky.

VMware Horizon digunakan untuk virtualisasi desktop dan aplikasi di cloud, memungkinkan pengguna untuk mengaksesnya dari jarak jauh melalui klien khusus atau browser web.

Ini juga merupakan solusi bagi administrator untuk manajemen yang lebih baik, kepatuhan keamanan, dan otomatisasi di seluruh armada sistem virtual.

VMware telah menambal produk Log4Shell in Horizon dan menyediakan solusi untuk pelanggan yang tidak dapat menginstal versi baru yang berisi perbaikan (2111, 7.13.1, 7.10.3). Namun, beberapa perusahaan belum menerapkan perbaikan.

Perusahaan menambahkan bahwa kelompok ini dikenal karena menyebarkan keluarga ransomware lainnya di masa lalu, seperti LockFile, AtomSilo, dan Rook.

Serangan sebelumnya dari aktor ini juga mengeksploitasi masalah keamanan dalam sistem yang menghadap internet seperti Confluence (CVE-2021-26084) dan server Exchange di tempat (CVE-2021-34473 – ProxyShell). Hal ini diyakini bahwa Night Sky adalah kelanjutan dari operasi ransomware tersebut.

Hubungan dengan rook ransomware telah ditetapkan. Setelah merekayasa balik malware, Jiří Vinopal – analis forensik di CERT Republik Ceko, menemukan bahwa Night Sky adalah garpu dari ransomware Rook.

Microsoft mencatat bahwa operator ransomware Night Sky mengandalkan server perintah dan kontrol yang meniru domain yang digunakan oleh perusahaan yang sah seperti perusahaan cybersecurity Sophos, Trend Micro, perusahaan teknologi Nvidia dan Rogers Corporation.

Vektor serangan yang menarik

Log4Shell adalah vektor serangan yang menarik bagi peretas negara-bangsa dan penjahat dunia maya karena komponen Log4J open-source hadir dalam berbagai sistem dari puluhan vendor.

Mengeksploitasi bug untuk mencapai eksekusi kode tanpa otentikasi membutuhkan upaya minimum. Aktor ancaman dapat memulai panggilan balik atau permintaan ke server berbahaya yang lewat hanya perlu mengunjungi situs atau mencarinya untuk string tertentu untuk menyebabkan panggilan balik server ke lokasi berbahaya.

Kelemahan keamanan dapat dimanfaatkan dari jarak jauh pada mesin rentan yang terpapar di internet publik atau dari jaringan lokal, oleh musuh lokal untuk bergerak secara lateral ke sistem internal yang sensitif.

Salah satu geng ransomware “top-tier” pertama yang mengintegrasikan Log4Shell dalam serangan mereka adalah Conti, yang menunjukkan minat di dalamnya sebagai jalan serangan potensial pada 12 Desember, hanya tiga hari setelah eksploitasi proof-of-concept (PoC) pertama menjadi publik.

Geng ransomware lain, pendatang baru bernama Khonsari, mulai memanfaatkan eksploitasi pada hari berikutnya PoC muncul di GitHub.

Pada hari-hari setelah pengungkapannya, beberapa aktor ancaman mulai memanfaatkan bug Log4j. Yang pertama mengambil keuntungan adalah penambang cryptocurrency, dengan peretas yang didukung negara dan geng ransomware mengikutinya.

Sumber: Bleepingcomputer

FIN7 Mengirimkan USB Sticks Berbahaya untuk Menjatuhkan Ransomware

by

Geng ransomware mengirimkan drive USB berbahaya, menyamar sebagai Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) dan / atau Amazon untuk menargetkan industri transportasi, asuransi dan pertahanan untuk infeksi ransomware, FBI memperingatkan pada hari Jumat.

Dalam peringatan keamanan yang dikirim ke organisasi, FBI mengatakan bahwa FIN7 – alias Carbanak atau Navigator Group, geng cybercrime yang terkenal dan termotivasi secara finansial di balik malware backdoor Carbanak – adalah pihak yang bersalah.

FIN7 telah ada setidaknya sejak 2015. Awalnya, geng membuat reputasinya dengan mempertahankan akses terus-menerus di perusahaan target dengan malware backdoor kustom, dan untuk menargetkan point-of-sale (PoS) sistem dengan perangkat lunak skimmer. Ini sering menargetkan restoran santai, kasino dan hotel. Tetapi pada tahun 2020, FIN7 juga masuk ke permainan ransomware / eksfiltrasi data, dengan kegiatannya melibatkan REvil atau Ryuk sebagai muatan.

FBI mengatakan bahwa selama beberapa bulan terakhir, FIN7 telah mengirimkan perangkat USB berbahaya ke perusahaan AS, dengan harapan bahwa seseorang akan mencolokkan drive, menginfeksi sistem dengan malware dan dengan demikian mengaturnya untuk serangan ransomware di masa depan.

“Sejak Agustus 2021, FBI telah menerima laporan beberapa paket yang berisi perangkat USB ini, dikirim ke bisnis AS di industri transportasi, asuransi, dan pertahanan,” kata fbi dalam peringatan keamanan.

Infeksi BadUSB yang Dikirim Siput

“Paket-paket itu dikirim menggunakan Layanan Pos Amerika Serikat dan Layanan Paket Amerika Serikat,” tambah FBI.

Para penyerang menyemburkan paket, menyamarkan mereka sebagai terkait pandemi atau sebagai barang dari Amazon, biro itu mengatakan: “Ada dua variasi paket – yang meniru HHS sering disertai dengan surat-surat yang merujuk pedoman COVID-19 yang disertakan dengan USB; Dan mereka yang meniru Amazon tiba di kotak hadiah dekoratif yang berisi surat terima kasih palsu, kartu hadiah palsu dan USB.

Yang pasti, paket berisi perangkat USB bermerek LilyGO.

FBI mengatakan bahwa perangkat mengeksekusi serangan BadUSB. Serangan BadUSB mengeksploitasi kerentanan yang melekat pada firmware USB yang memungkinkan aktor jahat untuk memprogram ulang perangkat USB sehingga dapat bertindak sebagai perangkat antarmuka manusia – yaitu, sebagai keyboard USB berbahaya yang dimuat dengan penekanan tombol yang dieksekusi secara otomatis. Setelah pemrograman ulang, USB dapat digunakan untuk diam-diam mengeksekusi perintah atau menjalankan program jahat pada komputer korban.

Serangan terbaru ini adalah salinan karbon dari serangan 2020, ketika FBI juga mengeluarkan peringatan publik yang menyebut FIN7 sebagai pelakunya.

Cara Mengalahkan Kembali Tongkat BadUSB

Karl Sigler, manajer riset keamanan senior Trustwave SpiderLabs, mengatakan kepada Threatpost pada hari Senin bahwa pelatihan kesadaran keamanan yang sedang berlangsung “harus mencakup jenis serangan dan memperingatkan agar tidak menghubungkan perangkat aneh ke komputer Anda.”

Perangkat lunak perlindungan endpoint juga dapat membantu mencegah serangan ini, katanya.

“Serangan ini dipicu oleh stik USB yang meniru keyboard USB, sehingga perangkat lunak perlindungan titik akhir yang dapat memantau akses ke command shell harus mengurus sebagian besar masalah,” kata Sigler melalui email.

Untuk sistem penting yang tidak memerlukan aksesori USB, pemblokir port USB fisik dan berbasis perangkat lunak juga dapat membantu mencegah serangan ini, Sigler menambahkan.

Untuk bagiannya, ACA Group telah menciptakan akronim “CAPs” untuk merujuk pada kebersihan standar yang harus dipantau secara aktif oleh semua organisasi untuk mencegah serangan ransomware. CAPs mengacu pada Konfigurasi, Akses dan Patching, dengan kesadaran karyawan dan pendidikan lagi dianggap penting juga. CAPs mengacu pada:

Manajemen konfigurasi – Kurangi jumlah titik masuk yang dapat digunakan penyerang untuk mendapatkan akses ke sistem Anda. Banyak serangan berhasil karena ada kesalahan konfigurasi pada perangkat keamanan, konfigurasi cloud dan sebagainya.

Akses – Kurangi jumlah titik akses internal untuk penyerang yang telah memasuki sistem Anda.

Patching – Mengurangi kemungkinan serangan terjadi melalui titik yang tidak diketahui atau masuk, dasar dalam memperbaiki dan kerentanan keamanan dan bug lainnya.

Sumber: Threatpost

‘Elephant Beetle’ Mengintai selama Berbulan-bulan di Jaringan

by

Para peneliti telah mengidentifikasi kelompok ancaman yang diam-diam menyedot jutaan dolar dari perusahaan sektor keuangan dan perdagangan, menghabiskan waktu berbulan-bulan dengan sabar mempelajari sistem keuangan target mereka dan menyelinap dalam transaksi penipuan di antara aktivitas rutin.

Tim Respon Insiden Sygnia telah melacak kelompok yang diberi nama Kumbang Gajah, alias TG2003, selama dua tahun.

Dalam laporan hari Rabu, para peneliti menyebut serangan Elephant Beetle tanpa henti, karena kelompok itu telah bersembunyi “di depan mata” tanpa perlu mengembangkan eksploitasi.

Mungkin Elephant Beetle tidak memiliki eksploit, tetapi penyerangnya tentu tidak muncul dengan tangan kosong.

Mereka mengandalkan gudang lebih dari 80 alat dan skrip unik untuk beroperasi tanpa terdeteksi “untuk waktu yang lama” saat mereka dengan sabar menanam transaksi palsu mereka, kata Sygnia, “menyatu dengan lingkungan target dan benar-benar tidak terdeteksi sementara secara diam-diam membebaskan organisasi sejumlah uang yang sangat mahal.”

Elephant Beetle terutama memusatkan perhatiannya pada pasar Amerika Latin, tetapi tidak menyayangkan organisasi yang tidak berbasis di sana.

Tim IR Sygnia baru-baru ini menemukan dan menanggapi satu insiden di sebuah perusahaan yang berbasis di AS yang menjalankan cabang di Amerika Latin. “Karena itu, baik organisasi regional maupun global harus waspada,” Sygnia memperingatkan.

Selengkapnya: Threat Post

Night Sky adalah Ransomware Terbaru yang Menargetkan Jaringan Perusahaan

by

Ini adalah tahun baru, dan dengan itu datang ransomware baru untuk mengawasi disebut ‘Night Sky’ yang menargetkan jaringan perusahaan dan mencuri data dalam serangan pemerasan ganda.

Menurut MalwareHunterteam, yang pertama kali melihat ransomware baru, operasi Night Sky dimulai pada 27 Desember dan sejak itu menerbitkan data dua korban.

Salah satu korban telah menerima permintaan tebusan awal sebesar $ 800.000 untuk mendapatkan decryptor dan untuk data yang dicuri yang tidak dipublikasikan.

Bagaimana Night Sky mengenkripsi perangkat

Sampel ransomware Night Sky yang dilihat oleh BleepingComputer disesuaikan untuk berisi catatan tebusan yang dipersonalisasi dan kredensial login hardcoded untuk mengakses halaman negosiasi korban.

Ketika diluncurkan, ransomware akan mengenkripsi semua file kecuali yang diakhiri dengan ekstensi file .dll atau .exe. Ransomware juga tidak akan mengenkripsi file atau folder dalam daftar di bawah ini:

  • AppData
  • Boot
  • Windows
  • Windows.old
  • Tor Browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • All Users
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • Program Files
  • Program Files (x86)
  • #recycle

Saat mengenkripsi file, Night Sky akan menambahkan ekstensi .nightsky ke nama file terenkripsi, seperti yang ditunjukkan pada gambar di bawah ini.

Di setiap folder, catatan tebusan bernama NightSkyReadMe.hta berisi informasi yang terkait dengan apa yang dicuri, email kontak, dan kredensial berkode keras di halaman negosiasi korban.

Alih-alih menggunakan situs Tor untuk berkomunikasi dengan korban, Night Sky menggunakan alamat email dan situs web yang jelas yang menjalankan Rocket.Chat. Kredensial digunakan untuk masuk ke URL Rocket.Chat yang disediakan dalam catatan tebusan.

Taktik pemerasan ganda

Taktik umum yang digunakan oleh operasi ransomware adalah mencuri data yang tidak terenkripsi dari korban sebelum mengenkripsi perangkat di jaringan.

Para pelaku ancaman kemudian menggunakan data curian ini dalam strategi “pemerasan ganda”, di mana mereka mengancam akan membocorkan data jika uang tebusan tidak dibayar.

Untuk membocorkan data korban, Night Sky telah membuat situs kebocoran data Tor yang saat ini mencakup dua korban, satu dari Bangladesh dan satu lagi dari Jepang.

Meskipun belum ada banyak aktivitas dengan operasi ransomware Night Sky yang baru, itu adalah salah satu yang perlu kita awasi saat kita menuju tahun baru.

Sumber: Bleepingcomputer

‘Elephant Beetle’ Menghabiskan Waktu Berbulan-bulan di Jaringan Korban untuk Mengalihkan Transaksi

by

Seorang aktor bermotivasi finansial yang dijuluki ‘Elephant Beetle’ mencuri jutaan dolar dari organisasi di seluruh dunia menggunakan gudang lebih dari 80 alat dan skrip unik.

Kelompok ini sangat canggih dan sabar, menghabiskan berbulan-bulan mempelajari lingkungan korban dan proses transaksi keuangan, dan baru kemudian bergerak untuk mengeksploitasi kekurangan dalam operasi.

Para aktor menyuntikkan transaksi penipuan ke dalam jaringan dan mencuri sejumlah kecil dalam waktu lama, yang mengarah ke pencurian keseluruhan jutaan dolar. Jika mereka terlihat, mereka berbaring rendah untuk sementara waktu dan kembali melalui sistem yang berbeda.

Keahlian ‘Elephant Beetle’ tampaknya dalam menargetkan aplikasi Java warisan pada sistem Linux, yang biasanya merupakan titik masuk mereka ke jaringan perusahaan.

TTP aktor tersebut diekspos dalam laporan teknis terperinci yang dibagikan tim Respons Insiden Sygnia dengan Bleeping Computer sebelum dipublikasikan.

Mengeksploitasi kekurangan dan berbaur dengan lalu lintas normal

‘Elephant Beetle’ lebih suka menargetkan kerentanan yang diketahui dan kemungkinan tidak ditampar daripada membeli atau mengembangkan eksploitasi zero-day.

Peneliti Sygnia telah mengamati kelompok tersebut selama dua tahun dan dapat mengkonfirmasi aktor ancaman yang mengeksploitasi kekurangan berikut:

  • Injeksi Bahasa Ekspresi Aplikasi Primefaces (CVE-2017-1000486)
  • WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450)
  • SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
  • Eksekusi Kode Jarak Jauh SAP NetWeaver ConfigServlet (EDB-ID-24963)

Keempat kekurangan di atas memungkinkan para aktor untuk mengeksekusi kode sewenang-wenang dari jarak jauh melalui shell web yang dibuat khusus dan dikaburkan.

Atribusi dan tips pertahanan

‘Elephant Beetle’ menggunakan variabel kode Spanyol dan nama file, dan sebagian besar alamat IP C2 yang mereka gunakan berbasis di Meksiko.

Juga, pemindai jaringan yang ditulis Java diunggah ke Virus Total dari Argentina, mungkin selama fase pengembangan dan pengujian awal.

Dengan demikian, kelompok ini tampaknya terhubung ke Amerika Latin dan mungkin memiliki hubungan atau tumpang tindih dengan aktor FIN13, dilacak oleh Mandiant.

Beberapa saran dasar untuk membela terhadap aktor ini meliputi:

  • Hindari menggunakan prosedur ‘xp_cmdshell’ dan nonaktifkan di server MS-SQL. Pantau perubahan konfigurasi dan penggunaan ‘xp_cmdshell’.
  • Pantau penyebaran WAR dan validasi bahwa fungsi penyebaran paket termasuk dalam kebijakan pencatatan aplikasi yang relevan.
  • Berburu dan memantau keberadaan dan pembuatan file .class yang mencurigakan di folder temp aplikasi WebSphere.
  • Memantau proses yang dijalankan oleh proses layanan induk server web (yaitu, ‘w3wp.exe’, ‘tomcat6.exe’) atau oleh proses terkait database (yaitu, ‘sqlservr.exe’).
  • Menerapkan dan memverifikasi segregasi antara DMZ dan server internal.

Selengkapnya: Bleepingcomputer

Malware iOS Dapat Memalsukan iPhone Saat Dimatikan Dapat Mengintip Kamera dan Mikrofon

by

Para peneliti telah mengembangkan teknik baru yang memalsukan shutdown atau reboot iPhone, mencegah malware dihapus dan memungkinkan peretas untuk diam-diam mengintip mikrofon dan menerima data sensitif melalui koneksi jaringan langsung.

Secara historis, ketika malware menginfeksi perangkat iOS, itu dapat dihapus hanya dengan me-restart perangkat, yang membersihkan malware dari memori.

Namun, teknik ini mengaitkan rutinitas shutdown dan reboot untuk mencegahnya terjadi, memungkinkan malware untuk mencapai kegigihan karena perangkat tidak pernah benar-benar dimatikan.

Karena serangan ini, yang oleh para peneliti disebut “NoReboot,” tidak mengeksploitasi kekurangan apa pun pada iOS dan sebaliknya bergantung pada penipuan tingkat manusia, itu tidak dapat ditambal oleh Apple.

Simulasi reboot yang meyakinkan

Untuk me-restart iPhone, seseorang harus menekan dan menahan tombol daya dan tombol volume sampai slider dengan opsi reboot muncul, dan kemudian menunggu sekitar 30 detik untuk menyelesaikan tindakan.

Ketika iPhone dimatikan, layarnya secara alami menjadi gelap, kamera dimatikan, umpan balik sentuh 3D tidak merespons tekanan panjang, suara dari panggilan dan pemberitahuan diredam, dan semua getaran tidak ada.

Peneliti keamanan dari ZecOps telah mengembangkan alat Trojan PoC (proof of concept) yang dapat menyuntikkan kode yang dibuat khusus ke tiga program iOS untuk memalsukan shut down dengan menonaktifkan semua indikator di atas.

Selengkapnya: Bleepingcomputer