Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

by

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

by

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

by

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer

AS Klaim Seorang ahli jantung Sibuk Membuat Ransomware

by

AS telah mendakwa seorang ahli jantung Venezuela dengan “gangguan komputer” karena diduga bekerja sambilan sebagai pengembang ransomware.

Pada hari Senin, Departemen Kehakiman membuka (Membuka di jendela baru) pengaduan pidana terhadap Moises Luis Zagala Gonzalez yang berusia 55 tahun yang mengklaim bahwa dia adalah penulis dari dua jenis ransomware yang disebut Jigsaw v.2 dan Thanos.

Menurut penyelidik federal, Zagala menjual dan menyewakan alat ransomware kepada penjahat dunia maya mulai tahun 2019 dan mengajari para penipu cara menggunakan program tersebut.

FBI mengklaim Zagala menciptakan versi 2.0 dari Jigsaw ransomware yang dirancang untuk memperbarui program ransomware lama, yang dibuat oleh orang lain. Dia juga mengembangkan alat pembuat ransomware yang dijuluki Thanos (Buka di jendela baru) setelah penjahat super Marvel.

Fitur Thanos termasuk menyesuaikan catatan tebusan, memilih file mana yang harus dienkripsi ransomware, dan berbagai opsi untuk membantu menutupi kode berbahaya dari deteksi antivirus.

Sumber: FBI

Zagala menjual Thanos dengan menyewakan alat tersebut melalui model lisensi. Dia juga membuat program afiliasi di sekitar Thanos, yang melibatkan membiarkan penjahat dunia maya menggunakan alat tersebut dengan imbalan bagian keuntungan dari setiap serangan ransomware yang berhasil.

Zagala mengiklankan Thanos di berbagai forum online yang digunakan oleh penjahat dunia maya. “Dalam iklan publik untuk program tersebut, Zagala membual bahwa ransomware yang dibuat menggunakan Thanos hampir tidak terdeteksi oleh program antivirus, dan bahwa ‘setelah enkripsi selesai,’ ransomware akan ‘menghapus dirinya sendiri,’ membuat deteksi dan pemulihan ‘hampir mustahil’ bagi korban. ,” tambah DOJ.

Sumber: PCMAG

Eropa Setuju untuk Mengadopsi Arahan Baru NIS2 yang Ditujukan untuk Memperkuat Keamanan Siber

by

Parlemen Eropa mengumumkan “perjanjian sementara” yang bertujuan untuk meningkatkan keamanan siber dan ketahanan entitas sektor publik dan swasta di Uni Eropa.

Arahan yang direvisi, yang disebut “NIS2” (kependekan dari jaringan dan sistem informasi), diharapkan dapat menggantikan undang-undang yang ada tentang keamanan siber yang ditetapkan pada Juli 2016.

Perubahan tersebut menetapkan aturan dasar, yang mewajibkan perusahaan di sektor energi, transportasi, pasar keuangan, kesehatan, dan infrastruktur digital untuk mematuhi langkah-langkah manajemen risiko dan kewajiban pelaporan.

Di antara ketentuan dalam undang-undang baru adalah melaporkan insiden keamanan siber kepada pihak berwenang dalam waktu 24 jam, menambal kerentanan perangkat lunak, dan menyiapkan langkah-langkah manajemen risiko untuk mengamankan jaringan, jika gagal dapat dikenakan sanksi moneter.

Perkembangan ini mengikuti rencana Komisi Eropa untuk “mendeteksi, melaporkan, memblokir, dan menghapus” gambar dan video pelecehan seksual anak dari penyedia layanan online, termasuk aplikasi perpesanan, yang memicu kekhawatiran bahwa hal itu dapat merusak perlindungan enkripsi end-to-end (E2EE).

Versi rancangan NIS2 secara eksplisit menjelaskan bahwa penggunaan E2EE “harus didamaikan dengan kekuatan Negara Anggota untuk memastikan perlindungan kepentingan keamanan esensial dan keamanan publik mereka, dan untuk memungkinkan penyelidikan, deteksi, dan penuntutan pelanggaran pidana sesuai dengan dengan hukum Persatuan.”

Ia juga menekankan bahwa “Solusi untuk akses yang sah ke informasi dalam komunikasi terenkripsi ujung-ke-ujung harus menjaga efektivitas enkripsi dalam melindungi privasi dan keamanan komunikasi, sambil memberikan tanggapan yang efektif terhadap kejahatan.”

Sebagai bagian dari kesepakatan yang diusulkan, negara-negara anggota Uni Eropa diberi mandat untuk memasukkan ketentuan-ketentuan tersebut ke dalam hukum nasional mereka dalam jangka waktu 21 bulan sejak arahan tersebut mulai berlaku.

Sumber: The Hacker News

Peretas Menggunakan Layanan PrivateLoader PPI untuk Mendistribusikan Malware NetDooka Baru

by

Layanan malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader telah terlihat mendistribusikan kerangka kerja yang “cukup canggih” yang disebut NetDooka, memberikan penyerang kendali penuh atas perangkat yang terinfeksi.

“Kerangka ini didistribusikan melalui layanan bayar-per-instal (PPI) dan berisi beberapa bagian, termasuk loader, dropper, driver perlindungan, dan trojan akses jarak jauh (RAT) berfitur lengkap yang mengimplementasikan protokol komunikasi jaringannya sendiri. , ”kata Trend Micro dalam sebuah laporan yang diterbitkan Kamis.

PrivateLoader, seperti yang didokumentasikan oleh Intel 471 pada Februari 2022, berfungsi sebagai pengunduh yang bertanggung jawab untuk mengunduh dan memasang malware tambahan ke sistem yang terinfeksi, termasuk SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner, dan Anubis.

Menampilkan teknik anti-analisis, PrivateLoader ditulis dalam bahasa pemrograman C++ dan dikatakan dalam pengembangan aktif, dengan keluarga malware pengunduh mendapatkan daya tarik di antara beberapa pelaku ancaman.

Infeksi PrivateLoader biasanya disebarkan melalui perangkat lunak bajakan yang diunduh dari situs web jahat yang didorong ke bagian atas hasil pencarian melalui teknik keracunan optimasi mesin pencari (SEO).

“PrivateLoader saat ini digunakan untuk mendistribusikan ransomware, pencuri, bankir, dan malware komoditas lainnya,” Zscaler mencatat minggu lalu. “Pemuat kemungkinan akan terus diperbarui dengan fitur dan fungsionalitas baru untuk menghindari deteksi dan secara efektif mengirimkan muatan malware tahap kedua.”

Selengkapnya: Olivers Post

Peretas Iran terungkap dalam kampanye spionase yang sangat ditargetkan

by

Analis ancaman telah melihat serangan baru yang dikaitkan dengan kelompok peretasan Iran yang dikenal sebagai kelompok APT34 atau Oilrig, yang menargetkan seorang diplomat Yordania dengan alat yang dibuat khusus.

Serangan itu melibatkan teknik anti-deteksi dan anti-analisis tingkat lanjut dan memiliki beberapa karakteristik yang menunjukkan persiapan yang panjang dan hati-hati.

Peneliti keamanan di Fortinet telah mengumpulkan bukti dan artefak dari serangan pada Mei 2022 dan menyusun laporan teknis untuk menyoroti teknik dan metode terbaru APT34.

Email spear-phishing yang dilihat oleh Fortinet menargetkan seorang diplomat Yordania, berpura-pura dari seorang rekan di pemerintahan, dengan alamat email yang dipalsukan.

Email tersebut membawa lampiran Excel berbahaya yang berisi kode makro VBA yang dijalankan untuk membuat tiga file, file yang dapat dieksekusi berbahaya, file konfigurasi, dan DLL yang ditandatangani dan dibersihkan.

Makro juga menciptakan kegigihan untuk executable berbahaya (update.exe) dengan menambahkan tugas terjadwal yang berulang setiap empat jam.

Temuan lain yang tidak biasa menyangkut dua mekanisme anti-analisis yang diterapkan di makro: pengalihan visibilitas lembar dalam spreadsheet dan yang lainnya memeriksa keberadaan mouse, yang mungkin tidak ada pada layanan kotak pasir analisis malware.

Eksekusi berbahaya adalah biner .NET yang memeriksa status program dan membuat dirinya tertidur selama delapan jam setelah diluncurkan. Para analis percaya para peretas mungkin menetapkan penundaan ini dengan asumsi bahwa diplomat akan membuka email di pagi hari dan pergi setelah delapan jam sehingga komputer tidak akan dijaga.

Saat aktif, malware berkomunikasi dengan subdomain C2 menggunakan alat algoritma pembuatan domain (DGA). DGA adalah teknik yang digunakan secara luas yang membuat operasi malware lebih tahan terhadap penghapusan domain dan daftar blokir.

Sistem algoritma pembuatan domain (Fortinet)

Kemudian membuat terowongan DNS untuk berkomunikasi dengan alamat IP yang disediakan. Ini adalah teknik yang jarang terlihat yang membantu pelaku ancaman mengenkripsi data yang dipertukarkan dalam konteks komunikasi ini, sehingga menyulitkan pemantau jaringan untuk menangkap sesuatu yang mencurigakan.

Terowongan DNS dalam komunikasi C2 (Fortinet)

Beberapa domain yang digunakan dalam kampanye diberi nama yang mencurigakan, jelas berusaha menyamar sebagai entitas terkenal dan tepercaya seperti AstraZeneca, HSBC, dan Cisco.

Selanjutnya, C2 mengirimkan dua puluh dua perintah backdoor yang berbeda ke malware, yang dijalankan melalui PowerShell atau Windows CMD interpreter.

Terakhir, eksfiltrasi data yang dicuri dilakukan melalui DNS, dengan data yang disematkan ke dalam permintaan, membuatnya tampak standar dalam log jaringan.

Eksfiltrasi DNS APT34 (Fortinet)

APT34 sebelumnya telah dikaitkan dengan pemerintah Iran dan merupakan aktor ancaman yang cakap yang beroperasi dalam bayang-bayang, tidak meninggalkan banyak jejak.

Dengan demikian, laporan Fortinet sangat berharga bagi para peneliti dan pembela, yang harus memperhatikan indikator kompromi yang dipublikasikan.

Sumber: Bleeping Computer

Kit malware keabadian menawarkan alat pencuri, penambang, worm, ransomware

by

Pelaku ancaman telah meluncurkan ‘Proyek Keabadian,’ malware-as-a-service baru di mana pelaku ancaman dapat membeli perangkat malware yang dapat disesuaikan dengan modul yang berbeda tergantung pada serangan yang dilakukan.

Perangkat malware bersifat modular dan dapat mencakup pencuri info, penambang koin, pemotong, program ransomware, penyebar worm, dan segera, juga bot DDoS (penolakan layanan terdistribusi), masing-masing dibeli secara terpisah.

Situs Proyek Keabadian (Cyble)

Semua hal di atas dipromosikan di saluran Telegram khusus yang memiliki lebih dari 500 anggota, tempat penulis memposting catatan rilis untuk pembaruan, petunjuk penggunaan, dan mendiskusikan saran fitur.

Mereka yang telah membeli perangkat malware dapat memanfaatkan Bot Telegram untuk membangun biner secara otomatis setelah memilih fitur mana yang ingin mereka aktifkan dan membayarnya dengan kripto.

Membeli modul malware untuk pembuatan otomatis (Cyble)

Dimulai dengan pencuri info, yang dijual seharga $260/tahun, alat ini mengambil kata sandi, kartu kredit, bookmark, token, cookie, dan data pengisian otomatis yang disimpan di lebih dari dua puluh browser web.

Selain itu, ia dapat mencuri informasi dari ekstensi cryptocurrency atau bahkan dompet dingin, dan juga menargetkan sepuluh pengelola kata sandi, klien VPN, messenger, dan klien game.

Modul penambang berharga $90/tahun dan menampilkan penyembunyian pengelola tugas, restart otomatis saat dimatikan, dan ketekunan peluncuran startup.

Clipper dijual seharga $ 110 dan merupakan utilitas yang memantau clipboard untuk alamat dompet cryptocurrency untuk menggantikannya dengan dompet di bawah kendali operator.

Pengembang menjual Eternity Worm seharga $ 390, memberikan malware kemampuan untuk menyebar sendiri melalui driver USB, berbagi jaringan lokal, file lokal, drive cloud, proyek Python (melalui juru bahasa), akun Discord, dan akun Telegram.

Contoh malware menyebar melalui akun Discord (Cyble)

Terakhir, Eternity ransomware, modul paling mahal, adalah $490. Ini mendukung enkripsi offline menggunakan kombinasi AES dan RSA dan menargetkan dokumen, foto, dan database.

Penulis mengklaim itu FUD (sepenuhnya tidak terdeteksi), klaim yang diduga didukung oleh Virus Total hasil di mana strain mengembalikan deteksi nol.

Menariknya, modul ransomware menawarkan opsi untuk menyetel timer yang membuat file benar-benar tidak dapat dipulihkan saat kedaluwarsa. Ini memberi tekanan tambahan pada korban untuk membayar uang tebusan dengan cepat.

Pengatur waktu ransomware mengancam file yang rusak (Cyble)

Analis di Cyble yang menemukan Proyek Keabadian mengatakan bahwa meskipun mereka belum memiliki kesempatan untuk memeriksa semua modul, mereka telah melihat sampel malware yang beredar dan digunakan di alam liar, dan semua komentar pengguna di Telegram mengarah ke ini menjadi ancaman nyata.

Dengan melihat ke dalam modul stealer, analis Cyble menemukan beberapa kesamaan dengan Jester Stealer, keduanya mungkin berasal dari proyek GitHub bernama DynamicStealer.

Dengan demikian, “Eternity Stealer” kemungkinan besar adalah salinan kode itu, diikuti dengan modifikasi dan rebranding untuk menjualnya di Telegram demi keuntungan.

Bahkan jika ini adalah “skidware”, modul tambahan, dukungan pelanggan, pembuatan otomatis, dan instruksi terperinci tentang cara menggunakan malware, menjadikannya senjata ampuh di tangan peretas yang tidak terampil dan ancaman parah bagi pengguna internet.

Sumber: Bleeping Computer