Cybersecurity

Peretas yang didukung negara semakin banyak menggunakan injeksi RTF untuk phishing

December 2, 2021 by Mally

Tiga grup peretas APT dari India, Rusia, dan China, diamati menggunakan teknik injeksi template RTF (rich text format) baru dalam kampanye phishing mereka.

Teknik ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh, dan analis ancaman menduga ini akan segera menjangkau audiens yang lebih luas dari pelaku ancaman.

Para peneliti di Proofpoint melihat kasus pertama injeksi weaponized template RTF pada Maret 2021, dan sejak itu, para aktor terus mengoptimalkan teknik tersebut.

File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, WordPad, dan aplikasi lain yang ditemukan di hampir semua sistem operasi.

Saat membuat file RTF, Anda dapat menyertakan Template RTF yang menentukan bagaimana teks dalam dokumen harus diformat. Template ini adalah file lokal yang diimpor ke RTF viewer sebelum menampilkan konten file untuk memformatnya dengan benar.

Sementara Template RTF dimaksudkan untuk dihosting secara lokal, pelaku ancaman sekarang menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL alih-alih sumber daya file lokal.

Substitusi ini memungkinkan pelaku ancaman untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word atau melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows. Selain itu, karena file-file ini ditransfer sebagai Template RTF, mereka lebih cenderung untuk melewati umpan deteksi phishing karena awalnya tidak ada dalam file RTF.

Proofpoint telah mengamati metode pengambilan muatan ini pada kampanye phishing oleh kelompok peretas pro-India, Tim DoNot, kelompok peretasan Gamaredon yang terkait dengan Rusia, dan aktor ancaman TA423.

Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

December 2, 2021 by Mally Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

—

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

December 2, 2021 by Mally

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Mozilla memperbaiki bug kritis di perpustakaan kriptografi lintas platform

December 2, 2021 by Mally

Mozilla telah mengatasi kerentanan kerusakan memori kritis yang memengaruhi rangkaian pustaka kriptografi Layanan Keamanan Jaringan (NSS) lintas platform.

NSS dapat digunakan untuk mengembangkan aplikasi klien dan server yang mendukung keamanan dengan dukungan untuk sertifikat SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3, dan berbagai sertifikat lainnya. standar keamanan.

Kelemahan keamanan ditemukan oleh peneliti kerentanan Google Tavis Ormandy dalam versi NSS sebelum 3.73 atau 3.68.1 ESR—yang juga menjulukinya BigSig—dan sekarang dilacak sebagai CVE-2021-43527.

Ini dapat menyebabkan buffer overflow berbasis heap saat menangani tanda tangan DSA atau RSA-PSS yang dikodekan DER di klien email dan pemirsa PDF menggunakan versi NSS yang rentan (bug telah diperbaiki di NSS 3.68.1 dan NSS 3.73).

Dampak dari eksploitasi heap overflow yang berhasil dapat berkisar dari crash program dan eksekusi kode arbitrer hingga melewati perangkat lunak keamanan jika eksekusi kode tercapai.

“Aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dikodekan dalam CMS, S/MIME, PKCS #7, atau PKCS #12 kemungkinan akan terpengaruh,” kata Mozilla dalam peringatan keamanan yang dikeluarkan hari ini.

“Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsionalitas TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara mereka mengonfigurasi NSS.”

“Kami yakin semua versi NSS sejak 3.14 (dirilis Oktober 2012) rentan,” Ormandy menambahkan pada pelacak masalah Project Zero.

Untungnya, menurut Mozilla, kerentanan ini tidak memengaruhi browser web Mozilla Firefox. Namun, semua pemirsa PDF dan klien email yang menggunakan NSS untuk verifikasi tanda tangan diyakini akan terpengaruh.

NSS digunakan oleh Mozilla, Red Hat, SUSE, dan lainnya dalam berbagai macam produk, termasuk:

Firefox, Thunderbird, SeaMonkey, dan Firefox OS.
Aplikasi klien sumber terbuka seperti Evolution, Pidgin, Apache OpenOffice, dan LibreOffice.
Produk server dari Red Hat: Red Hat Directory Server, Red Hat Certificate System, dan modul SSL mod_nss untuk server web Apache.
Produk server dari Oracle (sebelumnya Sun Java Enterprise System), termasuk Oracle Communications Messaging Server dan Oracle Directory Server Enterprise Edition.
SUSE Linux Enterprise Server mendukung NSS dan modul SSL mod_nss untuk server web Apache.

Sumber : Bleeping Computer

Interpol Menangkap Lebih dari 1.000 Penjahat Siberdari 20 Negara; Menyita $27 Juta

December 2, 2021 by Mally

Operasi bersama selama empat bulan yang dikoordinasikan oleh Interpol, organisasi polisi kriminal internasional, telah mencapai puncaknya dengan penangkapan lebih dari 1.000 penjahat siber dan pengembalian dana ilegal sebesar $27 juta.

Dengan nama sandi “HAECHI-II,” tindakan keras itu memungkinkan unit penegak hukum dari seluruh 20 negara, serta Hong Kong dan Makau, menutup 1.660 kasus bersama dengan pemblokiran 2.350 rekening bank yang terkait dengan dana ilegal penipuan yang dikumpulkan dari berbagai kejahatan keuangan online, seperti penipuan asmara, penipuan investasi, dan pencucian uang yang terkait dengan perjudian online ilegal.

Negara peserta HAECHI-II antara lain Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep. of), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand , dan Vietnam.

“Hasil Operasi HAECHI-II menunjukkan bahwa lonjakan kejahatan keuangan online yang ditimbulkan oleh pandemi COVID-19 tidak menunjukkan tanda-tanda akan berkurang,” kata Sekretaris Jenderal Interpol Jürgen Stock dalam pernyataan pers yang dikeluarkan pada 26 November.

Penyelidikan penegakan hukum terkoordinasi berlangsung selama empat bulan, mulai dari Juni 2021 hingga September 2021, dengan sepuluh modus operandi kriminal baru diidentifikasi selama operasi.

Dalam satu contoh penipuan tentang bagaimana aktor ancaman dengan cepat memanfaatkan tren populer untuk eksploitasi oportunistik, Interpol juga mengatakan telah menemukan kampanye malware yang memanfaatkan acara Netflix Korea Selatan Squid Game untuk mendistribusikan trojan yang membuat korban berlangganan layanan premium berbayar tanpa persetujuan eksplisit mereka.

Penangkapan tersebut merupakan bagian dari proyek tiga tahun untuk mengatasi kejahatan keuangan berbasis dunia maya, dan mengikuti gelombang pertama dari operasi tersebut – dijuluki “HAECHI-I” – yang dilakukan antara September 2020 dan Maret 2021.

Selengkapnya: The Hacker News

FBI menyita $2,2 juta dari afiliasi REvil, geng ransomware Gandcrab

December 1, 2021 by Mally

FBI menyita $2,2 juta pada bulan Agustus dari afiliasi ransomware REvil dan GandCrab. Dalam pengaduan yang dibuka hari ini, FBI menyita 39.89138522 bitcoin senilai sekitar $2,2 juta dari dompet Exodus pada 3 Agustus 2021.

Exodus adalah dompet desktop atau seluler yang dapat digunakan pemiliknya untuk menyimpan cryptocurrency, termasuk Bitcoin, Ethereum, Solana, dan banyak lainnya.

“Amerika Serikat mengajukan keluhan terverifikasi ini dalam rem terhadap 39.89138522 Bitcoin yang Disita Dari Dompet Keluaran (“Properti Tergugat”) yang sekarang berada dan dalam pengawasan dan pengelolaan Biro Investigasi Federal (“FBI”) Divisi Dallas, One Justice Way, Dallas Texas,” demikian bunyi Complaint for Forfeiture Amerika Serikat.

Keluhan selanjutnya mengatakan bahwa dompet berisi pembayaran tebusan REvil milik afiliasi yang diidentifikasi sebagai “Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin” dengan alamat email ‘engfog1337@gmail.com .’

Sementara FBI tidak menunjukkan alias online dari pelaku ancaman, nama ‘engfog’ di alamat email terkait dengan afiliasi GandCrab dan REvil/Sodinokibi yang terkenal yang dikenal sebagai ‘Lalartu.’

Organisasi GandCrab dan REvil beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator inti bermitra dengan peretas pihak ketiga, yang dikenal sebagai afiliasi.

Operator inti akan mengembangkan dan mengelola perangkat lunak enkripsi/dekripsi, portal pembayaran, dan situs kebocoran data. Afiliasinya ditugaskan untuk meretas jaringan perusahaan, mencuri data, dan menyebarkan ransomware untuk mengenkripsi perangkat.

Setiap pembayaran tebusan kemudian akan dibagi antara afiliasi dan operator inti, dengan operator umumnya mendapatkan 20-30% dari tebusan dan afiliasi membuat sisanya.

Dalam laporan REvil oleh McAfee, para peneliti mengikuti jejak uang untuk aktor ancaman terkenal yang dikenal sebagai ‘Lalartu,’ afiliasi untuk operasi ransomware GandCrab dan REvil.

Pada tahun 2019, aktor ancaman memposting ke forum peretasan berbahasa Rusia yang mengakui bahwa mereka bekerja dengan GandCrab dan beralih ke REvil setelah operasi sebelumnya ditutup.

Posting oleh Lalartu di forum peretasan berbahasa Rusia
Sumber: McAfee

Gal melacak Lalartu ke alias ‘Engfog’ atau ‘Eng_Fog’, yang cocok dengan alamat email ‘engfog1337@gmail.com’ yang tercantum dalam pengaduan FBI.

Pada bulan November, Departemen Kehakiman mengumumkan bahwa FBI menyita $6 juta uang tebusan yang dibayarkan kepada geng ransomware REvil. Strategi lanjutan penegakan hukum untuk mengganggu ekonomi dan sistem afiliasi operasi ransomware membuahkan hasil.

Kegiatan ini telah menyebabkan banyak penangkapan dan pencopotan infrastruktur, termasuk:

Gangguan operasi ransomware Netwalker dan penangkapan afiliasi di Kanada.
Penangkapan dua anggota operasi Egregor menyebabkan penutupan organisasi.
Penangkapan 12 orang yang diyakini terkait dengan serangan ransomware terhadap 1.800 korban di 71 negara.
Penangkapan seorang warga negara Ukraina yang diyakini berada di balik serangan ransomware Kaseya.

Penangkapan dan penyitaan infrastruktur juga menakut-nakuti geng ransomware untuk menutup operasi mereka, termasuk REvil pada bulan Oktober dan BlackMatter pada bulan Juli.

Kerentanan Printer HP Berusia 8 Tahun Memengaruhi 150 Model Printer

December 1, 2021 by Mally

Para peneliti telah menemukan beberapa kerentanan yang mempengaruhi setidaknya 150 printer multi-fungsi (cetak, scan, faks) yang dibuat oleh Hewlett-Packard.

Kekurangan yang ditemukan sejak 2013 oleh peneliti keamanan F-Secure, Alexander Bolshev dan Timo Hirvonen, berupa kemungkinan telah tereksposnya sejumlah besar pengguna ke serangan cyber sejak lama.

HP telah merilis perbaikan untuk kerentanan dalam bentuk pembaruan firmware untuk dua kelemahan paling penting pada 1 November 2021.

Di antaranya adalah kerentanan CVE-2021-39237 dan CVE-2021-39238.

Yang pertama menyangkut dua port fisik terbuka yang memberikan akses penuh ke perangkat. Memanfaatkannya membutuhkan akses fisik dan dapat menyebabkan pengungkapan informasi potensial.

Yang kedua adalah kerentanan buffer overflow pada parser font, yang jauh lebih parah, memiliki skor CVSS 9,3. Mengeksploitasinya memberi aktor ancaman cara untuk eksekusi kode jarak jauh.

CVE-2021-39238 juga “wormable,” yang berarti aktor ancaman dapat dengan cepat menyebar dari satu printer ke seluruh jaringan.

Dengan demikian, perusahaan-perusahaan harus meng-upgrade firmware printer mereka sesegera mungkin untuk menghindari infeksi skala besar yang dimulai dari titik masuk yang sering diabaikan ini.

Selengkapnya: Bleepingcomputer

Perusahaan Pengujian DNA Mengungkap Pelanggaran Data yang Mempengaruhi 2,1 Juta Orang

December 1, 2021 by Mally

DNA Diagnostics Center (DDC), sebuah perusahaan pengujian DNA yang berbasis di Ohio, telah mengungkapkan insiden peretasan yang mempengaruhi 2.102.436 orang.

Insiden itu mengakibatkan pelanggaran data yang dikonfirmasi yang terjadi antara 24 Mei 2021 dan 28 Juli 2021, dan perusahaan menyelesaikan penyelidikan internalnya pada 29 Oktober 2021.

Informasi yang diakses peretas mencakup hal-hal berikut:

Nama lengkap
Nomor kartu kredit + CVV
Nomor kartu debit + CVV
Nomor rekening keuangan
Kata sandi akun platform

Database yang bocor berisi cadangan data terdahulu yang berasal dari tahun 2004 dan 2012, dan itu tidak terkait dengan sistem aktif dan database yang digunakan oleh DDC saat ini.

“Basis data yang terkena dampak dikaitkan dengan organisasi pengujian genetik nasional yang tidak pernah digunakan DDC dalam operasinya dan belum aktif sejak 2012.”

“DDC memperoleh aset tertentu dari organisasi pengujian genetik nasional ini pada tahun 2012 yang mencakup informasi pribadi tertentu, dan oleh karena itu, dampak dari insiden ini tidak terkait dengan DDC.”

DDC bekerja sama dengan pakar keamanan cyber eksternal untuk mendapatkan kembali kepemilikan file yang dicuri dan memastikan bahwa aktor ancaman tidak akan menyebarkannya lebih lanjut. Sejauh ini, belum ada laporan penipuan atau penggunaan yang tidak benar dari rincian yang dicuri.

Selengkapnya: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings