Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Varian Baru IceXLoader Malware Loader Menginfeksi Ribuan Korban di Seluruh Dunia

by

Versi terbaru dari pemuat malware dengan nama kode IceXLoader diduga telah menyusupkan ribuan mesin Windows pribadi dan perusahaan di seluruh dunia.

Juni lalu, Fortinet FortiGuard Labs mengatakan telah menemukan versi trojan yang ditulis dalam bahasa pemrograman Nim dengan tujuan menghindari analisis dan deteksi.

IceXLoader sebelumnya didistribusikan melalui kampanye phishing, dengan email yang berisi arsip ZIP berfungsi sebagai pemicu untuk menyebarkan malware. Rantai infeksi telah membantu IceXLoader untuk menghadirkan DarkCrystal RAT dan penambang cryptocurrency.

Dalam urutan serangan yang dirinci oleh Minerva Labs, file ZIP telah ditemukan menyimpan penetes, yang menjatuhkan pengunduh berbasis .NET yang, seperti namanya, mengunduh gambar PNG (“Ejvffhop.png”) dari hard- kode URL.

File gambar ini, penetes lain, kemudian diubah menjadi array byte, yang secara efektif memungkinkannya untuk mendekripsi dan menyuntikkan IceXLoader ke dalam proses baru menggunakan teknik yang disebut proses pengosongan.

Minerva Labs mengatakan file database SQLite yang dihosting di server command-and-control (C2) terus diperbarui dengan informasi tentang ribuan korban, menambahkannya dalam proses memberi tahu perusahaan yang terkena dampak.

sumber : the hacker news

Grup Peretasan Baru Menggunakan Pemuat Cobalt Strike ‘Symatic’ Khusus

by

A previously unknown Chinese APT (advanced persistent threat) hacking group dubbed ‘Earth Longzhi’ targets organizations in East Asia, Southeast Asia, and Ukraine.

Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Earth Baku,’ keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41.


Diagram sub-grup APT41 (Trend Micro)

Kampanye lama Earth Longzhi
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.

Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:

  • Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
  • Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
  • Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.

Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.


Timeline kampanye kedua (Trend Micro)

Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.

Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.

Khususnya, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.

ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:

– Windows 7 SP1
– Windows Server 2008 R2 SP1
– Windows 8.1
– Windows Server 2012 R2
– Windows 10 1607, 1809, 20H2, 21H1
– Windows Server 2018 1809
– Windows 11 21H2, 22449, 22523, 22557

Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.

sumber : bleeping computer

VPN Google One tidak hanya untuk ponsel atau tablet lagi

by

Google tampaknya mendorong semua silinder untuk membuat VPN layak digunakan. Dulu hanya untuk pelanggan Google Fi, pemegang penyimpanan cloud dengan Google One juga dapat beralih dan menjalankan bisnis online mereka dengan lebih aman.

Namun, itu hanya VPN yang layak digunakan jika Anda menggunakan ponsel atau tablet. Perusahaan telah mengeluarkan layanan tersebut untuk Windows dan Mac.

Pelanggan Google One di tingkat 2TB ($10 per bulan) atau lebih tinggi sudah memiliki akses ke VPN seluler. Mulai hari ini, mereka dapat mengunduh klien untuk mesin mereka di Windows 10 dan macOS 11 atau lebih baru. Ini akan tersedia di 22 pasar yang sama di mana VPN sudah tersedia di Android dan iOS.

Pengguna dapat mengharapkan pengalaman umum yang sama yang disediakan oleh aplikasi seluler dengan enkripsi lalu lintas standar industri dan sistem pemeriksaan dan keseimbangan backend yang seharusnya melindungi aktivitas mereka di web. Seperti paket Google One lainnya, pemegang akun dapat berbagi akses VPN hingga lima orang lainnya.

Anda juga dapat berkonsultasi dengan halaman Bantuan Google One untuk VPN untuk informasi lebih lanjut, juga diatur untuk diperbarui.

Google juga mengklarifikasi bahwa pemilik Pixel 7 yang mendapatkan akses VPN gratis selama lima tahun akan memerlukan paket Google One yang memenuhi syarat untuk memanfaatkan klien desktop juga.

Sumber: Android Police

VMware Memperbaiki Tiga Bug Bypass Autentikasi Kritis di Alat Akses Jarak Jauh

by Leave a Comment

VMware telah merilis pembaruan keamanan untuk mengatasi tiga kerentanan tingkat keparahan kritis dalam solusi Workspace ONE Assist yang memungkinkan penyerang jarak jauh melewati otentikasi dan meningkatkan hak istimewa ke admin.

Workspace ONE Assist menyediakan kendali jarak jauh, berbagi layar, manajemen sistem file, dan eksekusi perintah jarak jauh untuk membantu meja dan staf TI mengakses dan memecahkan masalah perangkat dari jarak jauh dari konsol Workspace ONE.

Cacat dilacak sebagai CVE-2022-31685 (otentikasi bypass), CVE-2022-31686 (metode otentikasi rusak), dan CVE-2022-31687 (kontrol otentikasi rusak) dan telah menerima skor dasar 9,8/10 CVSSv3.

Pelaku ancaman yang tidak diautentikasi dapat mengeksploitasinya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk eskalasi hak istimewa.

Diperbaiki di Workspace ONE Assist 22.10

VMware juga menambal kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31688) yang memungkinkan penyerang untuk menyuntikkan kode javascript di jendela pengguna target dan kerentanan fiksasi sesi (CVE-2022-31689) yang memungkinkan otentikasi setelah mendapatkan token sesi yang valid.

Semua kerentanan yang ditambal hari ini telah ditemukan dan dilaporkan ke VMware oleh Jasper Westerman, Jan van der Put, Yanick de Pater, dan Harm Blankers dari REQON IT-Security.

VMware memperingatkan admin untuk menambal kelemahan keamanan autentikasi kritis lainnya di VMware Workspace ONE Access, Identity Manager, dan vRealize Automation, yang memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan hak istimewa admin.

VMware menambal kerentanan kritis yang hampir identik, bypass otentikasi lain (CVE-2022-22972) yang ditemukan oleh Bruno López dari Innotec Security di Workspace ONE Access, VMware Identity Manager (vIDM), dan vRealize Automation.

sumber : bleeping computer

Afiliasi LockBit menggunakan malware Amadey Bot untuk menyebarkan ransomware

by

Afiliasi ransomware LockBit 3.0 menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.

Menurut laporan AhnLab baru, pelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura menjadi tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.

Aktivitas Amadey Bot

Malware Amadey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan.

Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi.

Rantai infeksi

Peneliti AhnLab melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word.

Dalam kasus pertama, pengguna harus mengklik tombol “Aktifkan Konten” untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke “C:\Users\Public\skem.lnk”. File ini adalah pengunduh untuk Amadey.


Dokumen berbahaya yang memulai rantai infeksi

Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama “Resume.exe” (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.

Amadey ke LockBit 3.0

Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem.

Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah.

Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell (‘cc.ps1’ atau ‘dd.ps1’), atau bentuk exe (‘LBB.exe’).

Payload sekali lagi dijatuhkan di TEMP sebagai salah satu dari tiga berikut:

%TEMP%\100018041\dd.ps1
%TEMP%\1000019041\cc.ps1
%TEMP%\1000020001\LBB.exe

Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup.


Contoh catatan tebusan yang dihasilkan (AhnLab)

sumber : bleeping computer

Serangan DDoS Hacktivist berdampak kecil pada organisasi penting

by

Biro Investigasi Federal (FBI) mengatakan pada hari Jumat bahwa serangan penolakan layanan (DDoS) terdistribusi yang dikoordinasikan oleh kelompok peretas memiliki dampak kecil pada layanan yang mereka targetkan.

Seperti yang dijelaskan oleh lembaga penegak hukum dalam pemberitahuan industri swasta yang dikeluarkan hari ini, ini terjadi karena mereka menargetkan infrastruktur yang menghadap publik seperti situs web alih-alih layanan yang sebenarnya, yang menyebabkan gangguan terbatas.

Kelompok tersebut biasanya menargetkan organisasi infrastruktur penting atau profil tinggi seperti lembaga keuangan, layanan darurat, bandara, dan fasilitas pemerintah, kesehatan, dan medis.

Dengan menghapus situs web mereka, para peretas bertujuan untuk meningkatkan kredibilitas mereka dan “secara keliru menyatakan dampak atau gangguan yang lebih besar daripada apa yang terjadi.”

Dalam satu contoh baru-baru ini dari insiden semacam itu, kelompok peretas pro-Rusia KillNet mengklaim serangan terhadap situs web beberapa bandara besar di seluruh AS.

Serangan DDoS membanjiri server yang menampung situs-situs ini, sehingga tidak memungkinkan bagi pelancong untuk memesan layanan bandara atau mendapatkan pembaruan tentang penerbangan terjadwal mereka.

Contoh penting situs web bandara yang tidak dapat diakses selama insiden termasuk:

  • Bandara Internasional Hartsfield-Jackson Atlanta (ATL), salah satu pusat lalu lintas udara yang lebih signifikan di AS.
  • Bandara Internasional Los Angeles (LAX)
  • Bandara Internasional Chicago O’Hare (ORD)

Sementara serangan DDoS ini tidak berdampak pada penerbangan, mereka masih memiliki efek buruk pada sektor ekonomi penting, menunda layanan terkait.

Satu minggu sebelumnya, kelompok yang sama juga menyerang situs web pemerintah AS di Colorado, Kentucky, dan Mississippi, dengan keberhasilan sedang, membuat beberapa di antaranya offline untuk waktu yang singkat.

Killnet juga mengklaim telah menghapus situs CISA’s Protected Critical Infrastructure Information Management System pada hari Jumat setelah serangannya terhadap Departemen Keuangan AS pada awal Oktober digagalkan sebelum mempengaruhi infrastruktur agensi.

Seminggu yang lalu, CISA, FBI, dan MS-ISAC menerbitkan nasihat bersama untuk memberikan informasi kepada para pembela HAM tentang pengurangan kemungkinan dan dampak serangan DDoS.

Sumber: Bleeping Computer

Karena Twitter mengenakan biaya $8, email phishing menargetkan akun terverifikasi

by

Awal pekan ini, Elon Musk menunjuk dirinya sebagai CEO Twitter dan mengumumkan rencana untuk mengubah proses verifikasi Twitter. Sebagai bagian dari tinjauan ini, Twitter awalnya mengusulkan untuk mulai membebankan biaya bulanan $20 kepada pengguna yang diverifikasi. Kemudian, Musk menyatakan biayanya akan diturunkan menjadi $8.

Bersamaan dengan itu kampanye phishing baru yang muncul dengan aktor ancaman yang sekarang menargetkan akun terverifikasi.

Seperti banyak email phishing, email ini menyampaikan rasa urgensi yang salah, mendesak pengguna untuk masuk ke akun Twitter mereka atau berisiko “penangguhan”.

Email-email ini berasal dari server situs web dan blog yang diretas yang mungkin, misalnya, menghosting versi WordPress yang sudah ketinggalan zaman atau menjalankan plugin yang tidak ditambal dan rentan.

Mengklik tautan membawa pengguna ke halaman web phishing di mana aktor ancaman menyalahgunakan pengumuman biaya bulanan $8 dari tweet Musk:

Alur kerja phishing mengumpulkan nama pengguna, kata sandi Twitter pengguna, dan melanjutkan untuk mengirimi mereka kode autentikasi dua faktor melalui SMS.

Kampanye phishing lain yang mengacu pada struktur biaya baru Twitter (BleepingComputer)

Email ini menggabungkan kata-kata yang identik dengan halaman phishing itu sendiri dan memiliki tampilan dan nuansa keseluruhan yang lebih mirip dengan branding Twitter.

Lencana biru Twitter dengan tanda centang secara tradisional ditawarkan ke akun terverifikasi politisi, selebriti, bisnis, tokoh masyarakat, influencer, organisasi berita, dan jurnalis.

Kelangkaan akun lencana biru di platform, dibandingkan dengan sebagian besar akun Twitter yang tidak diverifikasi, telah menyebabkan “centang biru” dianggap oleh para tweeter sebagai simbol kesombongan dan status.

Pelaku ancaman juga berulang kali menargetkan pengguna terverifikasi melalui phishing, dan terkadang meretas akun lencana biru untuk mendorong penipuan kripto.

Dalam penipuan lain, pelaku ancaman telah meretas akun terverifikasi untuk menyamar sebagai orang lain untuk menyesatkan publik atau untuk mengirim DM palsu ‘penangguhan akun’ kepada pengguna Twitter.

Namun, selain sebagai persepsi “simbol status” yang dirasakan oleh beberapa orang, lencana biru terutama dimaksudkan untuk memisahkan akun asli dan otentik dari orang-orang terkenal dari akun peniru dan parodi yang dibuat oleh pihak ketiga—setidaknya secara teori.

Oleh karena itu verifikasi dimaksudkan untuk membatasi informasi yang salah dalam arti bahwa pengguna dapat melihat tweet yang berasal dari akun terverifikasi adalah asli dan tidak berasal dari seseorang yang menyamar sebagai figur publik.

Namun, dalam praktiknya, hasil dapat bervariasi karena akun ‘terverifikasi’ yang diretas dapat terus mempertahankan lencana biru meskipun peretas mengubah nama, bio, dan gambar profil di dalamnya, sehingga membuat keberadaan lencana menjadi sia-sia sejak awal.

Salah satu cara untuk mencapainya adalah penggunaan label khusus di akun Twitter politisi dan entitas afiliasi negara, yang kemudian menciptakan beberapa perbedaan antara akun otentik tokoh masyarakat dan akun berlencana biru berbayar.

Sumber: Bleeping Computer

Spyware SandStrike Baru Menginfeksi Perangkat Android Melalui Aplikasi VPN Berbahaya

by

Pelaku ancaman menggunakan spyware yang baru ditemukan yang dikenal sebagai SandStrike dan dikirimkan melalui aplikasi VPN berbahaya untuk menargetkan pengguna Android.

Mereka berfokus pada praktisi Baháʼí Faith yang berbahasa Persia, sebuah agama yang berkembang di Iran dan sebagian Timur Tengah.

Para penyerang mempromosikan aplikasi VPN berbahaya sebagai cara sederhana untuk menghindari penyensoran materi keagamaan di wilayah tertentu.

Untuk menyebarkannya, mereka menggunakan akun media sosial untuk mengarahkan calon korban ke saluran Telegram yang akan memberi mereka tautan untuk mengunduh dan menginstal VPN jebakan.

Malware ini akan mencuri berbagai jenis informasi seperti log panggilan dan daftar kontak dan juga akan memantau perangkat Android yang disusupi untuk membantu pembuatnya melacak aktivitas korban.

Pada bulan September, perusahaan juga berbagi analisis pada platform malware yang baru ditemukan bernama Metatron yang digunakan terhadap perusahaan telekomunikasi, penyedia layanan internet, dan universitas di seluruh Afrika dan Timur Tengah.

sumber : bleeping computer