Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ransomware LockBit Menyalahgunakan Windows Defender untuk Memuat Cobalt Strike

by Leave a Comment

Pelaku ancaman yang terkait dengan operasi ransomware LockBit 3.0 menyalahgunakan alat baris perintah Windows Defender untuk memuat suar Cobalt Strike pada sistem yang disusupi dan menghindari deteksi oleh perangkat lunak keamanan.

Cobalt Strike adalah rangkaian pengujian penetrasi yang sah dengan fitur ekstensif yang populer di kalangan pelaku ancaman untuk melakukan pengintaian jaringan tersembunyi dan gerakan lateral sebelum mencuri data dan mengenkripsinya.

Namun, solusi keamanan menjadi lebih baik dalam mendeteksi suar Cobalt Strike, menyebabkan pelaku ancaman mencari cara inovatif untuk menerapkan toolkit.

Dalam kasus respons insiden baru-baru ini untuk serangan ransomware LockBit, para peneliti di Sentinel Labs memperhatikan penyalahgunaan alat baris perintah Microsoft Defender “MpCmdRun.exe” untuk memuat DLL berbahaya yang mendekripsi dan menginstal beacon Cobalt Strike.

Kompromi jaringan awal dalam kedua kasus dilakukan dengan mengeksploitasi kelemahan Log4j pada Server VMWare Horizon yang rentan untuk menjalankan kode PowerShell.

Beacon Cobalt Strike yang dimuat di samping pada sistem yang disusupi bukanlah hal baru bagi LockBit, karena ada laporan tentang rantai infeksi serupa yang mengandalkan penyalahgunaan utilitas baris perintah VMware.
Menyalahgunakan Microsoft Defender

Setelah membuat akses ke sistem target dan mendapatkan hak pengguna yang diperlukan, pelaku ancaman menggunakan PowerShell untuk mengunduh tiga file: salinan bersih utilitas Windows CL, file DLL, dan file LOG.

MpCmdRun.exe adalah utilitas baris perintah untuk melakukan tugas Microsoft Defender, dan mendukung perintah untuk memindai malware, mengumpulkan informasi, memulihkan item, melakukan pelacakan diagnostik, dan banyak lagi.

Saat dijalankan, MpCmdRun.exe akan memuat DLL sah bernama “mpclient.dll” yang diperlukan agar program dapat beroperasi dengan benar.

Dalam kasus yang dianalisis oleh SentinelLabs, pelaku ancaman telah membuat versi mpclient.dll mereka sendiri yang dipersenjatai dan menempatkannya di lokasi yang memprioritaskan pemuatan versi berbahaya dari file DLL.

Kode yang dieksekusi memuat dan mendekripsi muatan Cobalt Strike terenkripsi dari file “c00000015.log”, yang dijatuhkan bersama dengan dua file lainnya dari tahap serangan sebelumnya.

Meskipun tidak jelas mengapa afiliasi LockBit beralih dari VMware ke alat baris perintah Windows Defender untuk pemuatan samping suar Cobalt Strike, mungkin saja untuk melewati perlindungan yang ditargetkan yang diterapkan sebagai tanggapan terhadap metode sebelumnya.

Menggunakan alat “hidup di luar negeri” untuk menghindari deteksi EDR dan AV sangat umum akhir-akhir ini; maka organisasi perlu memeriksa kontrol keamanan mereka dan menunjukkan kewaspadaan dengan melacak penggunaan executable yang sah yang dapat digunakan oleh penyerang.

Sumber: BleepingComputer

Layanan Proxy 911 Meledak Setelah Mengungkapkan Pelanggaran

by

911[.]re, layanan proxy yang sejak 2015 telah menjual akses ke ratusan ribu komputer Microsoft Windows setiap hari, mengumumkan minggu ini bahwa ia akan ditutup setelah pelanggaran data yang menghancurkan komponen utama dari operasi bisnisnya. Penutupan tiba-tiba terjadi sepuluh hari setelah KrebsOnSecurity menerbitkan pandangan mendalam tentang 911 dan koneksinya ke program afiliasi bayar-per-instal yang diam-diam menggabungkan perangkat lunak proxy 911 dengan judul lain, termasuk utilitas “gratis” dan perangkat lunak bajakan.

911[.]re is adalah salah satu jaringan “proksi perumahan” asli, yang memungkinkan seseorang untuk menyewa alamat IP perumahan untuk digunakan sebagai relai untuk komunikasi Internetnya, memberikan anonimitas dan keuntungan dianggap sebagai pengguna perumahan berselancar di web.

Layanan proxy perumahan sering dipasarkan kepada orang-orang yang mencari kemampuan untuk menghindari pemblokiran khusus negara oleh penyedia streaming film dan media utama. Tetapi beberapa dari mereka — seperti 911 — membangun jaringan mereka sebagian dengan menawarkan layanan “VPN gratis” atau “proksi gratis” yang didukung oleh perangkat lunak yang mengubah PC pengguna menjadi relai lalu lintas bagi pengguna lain. Dalam skenario ini, pengguna memang bisa menggunakan layanan VPN gratis, tetapi mereka sering tidak menyadari bahwa hal itu akan mengubah komputer mereka menjadi proxy yang memungkinkan orang lain menggunakan alamat Internet mereka untuk bertransaksi online.

Dari perspektif situs web, lalu lintas IP pengguna jaringan proxy perumahan tampaknya berasal dari alamat IP perumahan yang disewa, bukan dari pelanggan layanan proxy. Layanan ini dapat digunakan dengan cara yang sah untuk beberapa tujuan bisnis — seperti perbandingan harga atau intelijen penjualan — tetapi layanan ini disalahgunakan secara besar-besaran untuk menyembunyikan aktivitas kejahatan dunia maya karena dapat mempersulit pelacakan lalu lintas berbahaya ke sumber aslinya.

Sebagaimana dicatat dalam cerita KrebsOnSecurity 19 Juli di 911, layanan proxy mengoperasikan beberapa skema bayar-per-instal yang membayar afiliasi untuk secara diam-diam menggabungkan perangkat lunak proxy dengan perangkat lunak lain, terus menghasilkan aliran proxy baru yang stabil untuk layanan tersebut.

Dalam beberapa jam setelah cerita itu, 911 memposting pemberitahuan di bagian atas situsnya, mengatakan, “Kami sedang meninjau jaringan kami dan menambahkan serangkaian langkah-langkah keamanan untuk mencegah penyalahgunaan layanan kami. Top-up saldo proxy dan pendaftaran pengguna baru ditutup. Kami meninjau setiap pengguna yang ada, untuk memastikan penggunaannya sah dan [sesuai] dengan Persyaratan Layanan kami.”

Pada pengumuman ini, semua terjadi di berbagai forum kejahatan dunia maya, di mana banyak pelanggan 911 lama melaporkan bahwa mereka tidak dapat menggunakan layanan tersebut. Orang lain yang terkena dampak pemadaman mengatakan tampaknya 911 mencoba menerapkan semacam aturan “kenali pelanggan Anda” – bahwa mungkin 911 hanya mencoba menyingkirkan pelanggan yang menggunakan layanan tersebut untuk aktivitas kejahatan dunia maya dalam jumlah besar.

Kemudian pada tanggal 28 Juli, situs web 911 mulai mengalihkan ke pemberitahuan yang mengatakan, “Dengan menyesal kami memberi tahu Anda bahwa kami secara permanen menutup 911 dan semua layanannya pada tanggal 28 Juli.”

Menurut 911, layanan tersebut diretas pada awal Juli, dan ditemukan bahwa seseorang memanipulasi saldo sejumlah besar akun pengguna. 911 mengatakan penyusup menyalahgunakan antarmuka pemrograman aplikasi (API) yang menangani pengisian akun ketika pengguna melakukan setoran keuangan dengan layanan tersebut.

“Tidak yakin bagaimana peretas bisa masuk,” bunyi pesan 911. “Oleh karena itu, kami segera mematikan sistem isi ulang, pendaftaran pengguna baru, dan penyelidikan dimulai.”

Namun penyusup masuk, kata 911, mereka juga berhasil menimpa server, data, dan cadangan data tersebut.

“Pada 28 Juli, sejumlah besar pengguna melaporkan bahwa mereka tidak dapat masuk ke sistem,” lanjut pernyataan itu. “Kami menemukan bahwa data di server dirusak oleh peretas, mengakibatkan hilangnya data dan cadangan. Ini [sic] mengkonfirmasi bahwa sistem isi ulang juga diretas dengan cara yang sama. Kami terpaksa membuat keputusan sulit ini karena hilangnya data penting yang membuat layanan tidak dapat dipulihkan.”

Dioperasikan sebagian besar di luar China, 911 adalah layanan yang sangat populer di banyak forum kejahatan dunia maya, dan ini menjadi sesuatu yang mirip dengan infrastruktur penting bagi komunitas ini setelah dua dari pesaing lama 911 — layanan proxy berbasis malware VIP72 dan LuxSocks — menutup pintu mereka di masa lalu tahun.

Sekarang, banyak di forum kejahatan yang mengandalkan 911 untuk operasi mereka bertanya-tanya apakah ada alternatif yang sesuai dengan skala dan utilitas yang ditawarkan 911. Konsensus tampaknya menjadi “tidak.”

Saya kira kita akan segera belajar lebih banyak tentang insiden keamanan yang menyebabkan 911 meledak. Dan mungkin layanan proxy lain akan bermunculan untuk memenuhi apa yang tampaknya menjadi permintaan yang berkembang untuk layanan tersebut saat ini, dengan pasokan yang relatif sedikit.

Sementara itu, ketidakhadiran 911 mungkin bertepatan dengan penangguhan hukuman terukur (jika hanya berumur pendek) dalam lalu lintas yang tidak diinginkan ke tujuan Internet teratas, termasuk bank, retailer platform tailers dan cryptocurrency, karena banyak mantan pelanggan layanan proxy berebut untuk membuat pengaturan alternatif.

Riley Kilmer, salah satu pendiri layanan pelacakan proxy Spur.us, mengatakan jaringan 911 akan sulit untuk ditiru dalam jangka pendek.

“Spekulasi saya adalah [pesaing 911 yang tersisa] akan mendapatkan dorongan besar dalam jangka pendek, tetapi pemain baru pada akhirnya akan datang,” kata Kilmer. “Tidak satu pun dari itu adalah pengganti yang baik untuk LuxSocks atau 911. Namun, mereka semua akan mengizinkan siapa pun untuk menggunakannya. Untuk tingkat penipuan, upaya akan terus berlanjut tetapi melalui layanan penggantian ini yang seharusnya lebih mudah dipantau dan dihentikan. 911 memiliki beberapa alamat IP yang sangat bersih.”

911 bukan satu-satunya penyedia proxy besar yang mengungkapkan pelanggaran minggu ini terkait dengan API yang tidak diautentikasi: Pada 28 Juli, KrebsOnSecurity melaporkan bahwa API internal yang diekspos ke web telah membocorkan database pelanggan untuk Microleaves, layanan proxy yang merotasi alamat IP pelanggannya setiap lima sampai sepuluh menit. Penyelidikan itu menunjukkan Microleaves — seperti 911 — memiliki sejarah panjang dalam menggunakan skema bayar-per-instal untuk menyebarkan perangkat lunak proxy-nya.

Sumber: Kresbon Security

Microsoft “Menghubungkan” Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

by

Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.

Raksasa teknologi itu mengatakan telah mengamati malware FakeUpdates (alias SocGholish) yang dikirimkan melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.

Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.

DEV-0206 adalah nama lain Redmond untuk broker akses awal yang menyebarkan kerangka JavaScript berbahaya yang disebut FakeUpdates dengan menarik target untuk mengunduh pembaruan browser palsu dalam bentuk arsip ZIP.

Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.

Disebut sebagai Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.

Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.

Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.

Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.

“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.

“Pada akhirnya, terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”

SUmber: The Hacker News

Peneliti Memperingatkan Peningkatan Serangan Phishing Menggunakan Jaringan IPFS Terdesentralisasi

by

Solusi sistem file terdesentralisasi yang dikenal sebagai IPFS menjadi “sarang” baru untuk hosting situs phishing.

Perusahaan keamanan siber Trustwave SpiderLabs, yang mengungkapkan secara spesifik kampanye serangan tersebut, mengatakan pihaknya mengidentifikasi tidak kurang dari 3.000 email yang berisi URL phishing IPFS sebagai vektor serangan dalam tiga bulan terakhir.

IPFS, kependekan dari InterPlanetary File System, adalah jaringan peer-to-peer (P2P) untuk menyimpan dan berbagi file dan data menggunakan hash kriptografi, alih-alih URL atau nama file, seperti yang diamati dalam pendekatan client-server tradisional. Setiap hash membentuk dasar untuk pengidentifikasi konten unik (CID).

Idenya adalah untuk membuat sistem file terdistribusi tangguh yang memungkinkan data disimpan di banyak komputer. Ini akan memungkinkan informasi diakses tanpa harus bergantung pada pihak ketiga seperti penyedia penyimpanan cloud, yang secara efektif membuatnya tahan terhadap sensor.

“Menghapus konten phishing yang disimpan di IPFS bisa sulit karena meskipun dihapus di satu node, mungkin masih tersedia di node lain,” kata peneliti Trustwave Karla Agregado dan Katrina Udquin dalam sebuah laporan.

Masalah rumit lebih lanjut adalah kurangnya Uniform Resource Identifier (URI) statis yang dapat digunakan untuk mencari dan memblokir satu bagian dari konten yang sarat malware. Ini juga berarti akan lebih sulit untuk menghapus situs phishing yang dihosting di IPFS.

Serangan yang diamati oleh Trust biasanya melibatkan beberapa jenis rekayasa sosial untuk menurunkan penjaga target untuk membujuk mereka untuk mengklik tautan IPFS palsu dan mengaktifkan rantai infeksi.

Domain ini meminta calon korban untuk memasukkan kredensial mereka untuk melihat dokumen, melacak paket di DHL, atau memperbarui langganan Azure mereka, hanya untuk menyedot alamat email dan kata sandi ke server jarak jauh.

“Dengan persistensi data, jaringan yang kuat, dan sedikit regulasi, IPFS mungkin merupakan platform yang ideal bagi penyerang untuk menghosting dan berbagi konten berbahaya,” kata para peneliti.

Temuan ini muncul di tengah pergeseran yang lebih besar dalam lanskap ancaman email, dengan rencana Microsoft untuk memblokir makro yang menyebabkan pelaku ancaman menyesuaikan taktik mereka untuk mendistribusikan executable yang dapat mengarah pada pengintaian lanjutan, pencurian data, dan ransomware.

Dilihat dari sudut pandang itu, penggunaan IPFS menandai evolusi lain dalam phishing, memberikan penyerang tempat bermain lain yang menguntungkan untuk bereksperimen.

“Teknik phishing telah mengambil lompatan dengan memanfaatkan konsep layanan cloud terdesentralisasi menggunakan IPFS,” para peneliti menyimpulkan.

“Para spammer dapat dengan mudah menyamarkan aktivitas mereka dengan meng-hosting konten mereka di layanan hosting web yang sah atau menggunakan beberapa teknik pengalihan URL untuk membantu menggagalkan pemindai menggunakan reputasi URL atau analisis URL otomatis.”

Terlebih lagi, perubahan ini juga disertai dengan penggunaan kit phishing siap pakai – tren yang disebut phishing-as-a-service (PhaaS) – yang menawarkan cara cepat dan mudah bagi pelaku ancaman untuk melakukan serangan melalui email dan SMS.

Memang, kampanye skala besar yang ditemukan bulan lalu diamati menggunakan platform PhaaS berusia empat bulan yang dijuluki Robin Banks untuk menjarah kredensial dan mencuri informasi keuangan dari pelanggan bank terkenal di Australia, Kanada, Inggris, dan AS, perusahaan keamanan siber IronNet mengungkapkan minggu ini.

“Sementara motivasi utama scammers menggunakan kit ini tampaknya finansial, kit juga meminta korban untuk kredensial Google dan Microsoft mereka setelah mereka melakukan perjalanan ke halaman arahan phishing, menunjukkan itu juga dapat digunakan oleh pelaku ancaman yang lebih maju yang ingin mendapatkan keuntungan. akses awal ke jaringan perusahaan untuk ransomware atau aktivitas pasca-intrusi lainnya,” kata para peneliti.

Sumber: The Hacker News

Lightning Framework yang Baru Ditemukan Menawarkan Sejumlah Besar Kemampuan Peretasan Linux

by

Kerangka kerja perangkat lunak telah menjadi penting untuk mengembangkan hampir semua perangkat lunak yang kompleks akhir-akhir ini. Kerangka kerja Web Django, misalnya, menggabungkan semua pustaka, file gambar, dan komponen lain yang diperlukan untuk membangun dan menyebarkan aplikasi web dengan cepat, menjadikannya andalan di perusahaan seperti Google, Spotify, dan Pinterest. Kerangka kerja menyediakan platform yang menjalankan fungsi umum seperti pencatatan log dan autentikasi yang dibagikan di seluruh ekosistem aplikasi.

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang. Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan. Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

“Jarang melihat kerangka rumit yang dikembangkan untuk menargetkan sistem Linux,” Ryan Robinson, seorang peneliti keamanan di Intezer, menulis dalam sebuah posting. “Lightning adalah kerangka kerja modular yang kami temukan yang memiliki banyak kemampuan, dan kemampuan untuk menginstal beberapa jenis rootkit, serta kemampuan untuk menjalankan plugin.”

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing. Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Sumber: Ars Technica

Bot Pencuri One-Time Passwords Menyederhanakan Skema Penipuan

by

Kata sandi satu kali (OTP) adalah bentuk otentikasi multi-faktor (MFA) yang sering digunakan untuk memberikan lapisan perlindungan tambahan di luar kata sandi dasar.

OTP adalah kata sandi dinamis yang biasanya terdiri dari 4 hingga 8 angka tetapi terkadang juga menyertakan huruf.

Cara utama untuk memberikan kode OTP kepada pengguna adalah melalui SMS, email, atau aplikasi otentikasi seluler seperti Authy. Karena OTP melindungi akun korban dari akses atau transaksi yang tidak sah, penjahat dunia maya terus mengembangkan berbagai cara untuk mem-bypass dan mengatasinya.

Selama setahun terakhir, pelaku ancaman telah semakin mengembangkan, mengiklankan, dan menggunakan bot untuk mengotomatiskan pencurian OTP, membuatnya lebih mudah dan lebih murah bagi pelaku ancaman untuk melewati perlindungan OTP dalam skala besar.

Karena bot pemintas OTP memerlukan sedikit keahlian teknis dan keterampilan bahasa yang minimal untuk beroperasi, bot pemintas OTP juga meningkatkan jumlah pelaku ancaman yang mampu melewati perlindungan OTP.

Bot bypass OTP biasanya berfungsi dengan mendistribusikan panggilan suara atau pesan SMS ke target, meminta target untuk memasukkan OTP, dan, jika berhasil, mengirimkan OTP yang dimasukkan kembali ke pelaku ancaman yang mengoperasikan bot.

Tercatat Analis masa depan mengidentifikasi dan menguji bot bypass OTP open-source bernama “SMSBypassBot” yang diiklankan di saluran Telegram yang berfokus pada penipuan dan mengonfirmasi bahwa itu berfungsi seperti yang diiklankan dan mudah dikonfigurasi dan digunakan.

Meningkatnya penggunaan OTP oleh berbagai layanan yang sah (terutama untuk mengautentikasi login akun online, transfer uang, dan pembelian 3-Domain Secure-enabled [3DS]) menciptakan permintaan kriminal dunia maya paralel untuk metode memperoleh dan melewati OTP.

Key Findings

  • Aktivitas forum web gelap terkait dengan bypass OTP (diukur dengan volume postingan dan penayangan postingan terkait topik) meningkat tajam pada tahun 2020 dan tetap tinggi sejak saat itu.
  • Metode tradisional untuk melewati OTP (melakukan pertukaran kartu SIM, pemaksaan kasar, menyalahgunakan sistem otentikasi yang tidak dikonfigurasi dengan baik, dan rekayasa sosial manual) telah menjadi memakan waktu dan lebih menantang secara teknis.
  • Bot bypass OTP menggabungkan teknik rekayasa sosial dan phishing suara (vishing) dengan antarmuka yang mudah digunakan untuk menyediakan metode yang sebagian otomatis, terjangkau, dan skalabel untuk mendapatkan OTP korban.
    Latar belakang
  • Otentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan lebih dari sekadar kata sandi statis, dengan Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9% serangan kompromi akun. Kata sandi satu kali (OTP) adalah bentuk MFA yang menggunakan string karakter yang dibuat secara otomatis (biasanya nilai numerik tetapi terkadang alfanumerik) untuk mengautentikasi pengguna.

Penyedia layanan, lembaga keuangan, dan pedagang menggunakan OTP untuk berbagai tujuan termasuk mengautentikasi login akun online, transfer uang, dan transaksi kartu pembayaran berkemampuan 3DS. Peningkatan adopsi OTP selama dekade terakhir telah menyebabkan pelaku ancaman untuk mengembangkan metode melewati OTP untuk mendapatkan akses tidak sah ke akun online dan melakukan transfer uang dan transaksi penipuan.

Sumber: Recorded Future

Lightning Framework yang baru ditemukan menawarkan sejumlah besar kemampuan peretasan Linux

by

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang.

Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan.

Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing.

Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Dalam email, Robinson mengatakan Intezer menemukan malware di VirusTotal. Dia menulis:

Entitas yang mengirimkannya tampaknya terkait dengan organisasi manufaktur China yang membuat peralatan motor kecil. Kami menemukan ini berdasarkan kiriman lain dari pengirim yang sama. Saya mengambil sidik jari server yang kami gunakan untuk mengidentifikasi perusahaan dan mereka memang menggunakan Centos (yang menjadi tujuan kompilasi malware). Tapi ini masih belum cukup kuat untuk menyimpulkan bahwa mereka adalah target atau terinfeksi malware. Kami belum belajar sesuatu yang baru sejak publikasi. Hal ideal yang kami harap dapat ditemukan adalah salah satu profil konfigurasi C2 lunak terenkripsi. Ini akan memberi kami IOC jaringan untuk melakukan pivoting off.

Intezer dapat memperoleh bagian dari kerangka kerja tetapi tidak semuanya. Dari file yang dapat dianalisis oleh peneliti perusahaan, mereka dapat menyimpulkan keberadaan modul lain. Perusahaan memberikan ikhtisar berikut: Selengkapnya

Sumber: Arstechnica

Layanan phishing ‘Robin Banks’ baru menargetkan BofA, Citi, dan Wells Fargo

by

Platform phishing sebagai layanan (PhaaS) baru bernama ‘Robin Banks’ telah diluncurkan, menawarkan kit phishing siap pakai yang menargetkan pelanggan bank terkenal dan layanan online.

Entitas yang ditargetkan termasuk Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Lloyds Bank, Commonwealth Bank di Australia, dan Santander.

Selain itu, Robin Banks menawarkan template untuk mencuri akun Microsoft, Google, Netflix, dan T-Mobile.

Menurut sebuah laporan oleh IronNet, yang analisnya menemukan platform phishing baru, Robin Banks telah digunakan dalam kampanye skala besar yang dimulai pada pertengahan Juni, menargetkan korban melalui SMS dan email.

Robin Banks adalah proyek baru dari kelompok kejahatan dunia maya yang diyakini aktif setidaknya sejak Maret 2022, dibuat untuk membuat halaman phishing berkualitas tinggi dengan cepat untuk menargetkan pelanggan organisasi keuangan besar.

Itu dijual dalam dua tingkatan harga, satu menawarkan satu halaman dan dukungan 24/7 seharga $50 per bulan, dan yang lainnya memberikan akses tak terbatas ke semua template dan dukungan 24/7 seharga $200 per bulan.

Layar login di situs clearnet platform

Setelah pendaftaran, pelaku ancaman menerima dasbor pribadi yang berisi laporan tentang operasi mereka, pembuatan halaman yang mudah, pengelolaan dompet, dan opsi untuk membuat situs phishing khusus.

Dasbor Robin Banks (IronNet)

Platform ini juga memberikan opsi kepada pengguna seperti menambahkan reCAPTCHA untuk menggagalkan bot atau memeriksa string agen pengguna untuk memblokir korban tertentu dari kampanye yang sangat bertarget.

Memilih bank target untuk phishing (IronNet)

Selain itu, platform PhaaS baru terus menambahkan template baru dan memperbarui yang lama untuk mencerminkan perubahan gaya dan skema warna entitas yang ditargetkan.

Keuntungan ini telah membuat Robin Banks populer di ruang kejahatan dunia maya, dan banyak penjahat dunia maya telah mengadopsinya dalam beberapa bulan terakhir.

Dalam satu kampanye yang ditemukan oleh IronNet bulan lalu, operator Robin Banks menargetkan pelanggan Citibank melalui SMS yang memperingatkan mereka tentang “penggunaan yang tidak biasa” dari kartu debit mereka.

Pesan smishing dikirim ke target acak (IronNet)

Tautan yang disediakan untuk mencabut dugaan pembatasan keamanan membawa korban ke halaman phishing di mana mereka diminta untuk memasukkan detail pribadi mereka.

Setelah mendarat di situs phishing, browser korban diambil sidik jarinya untuk menentukan apakah mereka menggunakan desktop atau seluler, dan versi halaman web yang sesuai dimuat.

Setelah korban memasukkan semua detail yang diperlukan di bidang formulir situs phishing, permintaan POST dikirim ke API Robin Banks, yang berisi dua token unik, satu untuk operator kampanye dan satu untuk korban.

POST permintaan untuk mentransfer data yang dicuri (IronNet)

Situs phishing mengirimkan satu permintaan POST untuk setiap halaman web yang diisi oleh korban, yang berfungsi sebagai fail-safe untuk mencuri detail sebanyak mungkin karena proses phishing dapat berhenti kapan saja karena kecurigaan atau alasan lain.

Semua data yang dikirim ke Robin Banks API dapat dilihat dari webGUI platform untuk operator dan administrator platform.

Robin Banks juga memberikan opsi untuk meneruskan detail yang dicuri ke saluran Telegram pribadi operator untuk kenyamanan.

Munculnya platform PhaaS baru berkualitas tinggi tidak menguntungkan bagi pengguna internet, karena mempromosikan phishing ke penjahat dunia maya berketerampilan rendah dan menambah pemboman pesan-pesan rumit.

Untuk menjaga diri Anda aman dari upaya jahat ini, jangan pernah mengklik tautan yang dikirim melalui SMS atau email, dan selalu pastikan situs web yang Anda kunjungi adalah situs resmi.

Terakhir, aktifkan 2FA di semua akun Anda dan gunakan nomor telepon pribadi untuk menerima kata sandi satu kali.

Selengkapnya : Bleeping Computer