Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Serangan Keamanan Siber Melonjak saat Perang Ukraina-Rusia Berkecamuk

by

Apa yang dilihat orang adalah perang antara tentara Rusia dan Ukraina, yang kurang diketahui adalah skala perang hibrida. Sebuah istilah yang diciptakan oleh NATO untuk menggambarkan kombinasi perang kinetik dan informasi. Realitas yang sedang berlangsung adalah campuran ampuh dari serangan kinetik dengan senjata dan amunisi, yang digunakan dalam kombinasi dengan serangan dunia maya, dan kampanye disinformasi. Hal ini sangat melegakan bagaimana hubungan internasional bekerja telah berubah dalam dekade terakhir. Sebagian besar pakar hubungan internasional dan diplomat setuju bahwa revolusi ini merupakan komponen penting dari transformasi digital yang sedang berlangsung di seluruh masyarakat, dan oleh karena itu perang dunia maya menjadi lebih menjadi kenyataan daripada teori.

Dari segi sosiologis, kesatuan negara, masyarakat, dan ekonomi tidak bisa lagi dianggap remeh, karena tidak ada batasan geografis dalam perang siber. Lingkungan ini dicirikan oleh signifikansi yang diberikan pada informasi, pengetahuan, dan gagasan sebagai sumber daya dalam hubungan internasional, dan dengan perluasan – informasi yang menyebabkan kemungkinan dampak kinetik, atau non-kinetik dalam konflik bersenjata.

Dalam beberapa minggu terakhir, Rusia telah menggunakan perang kinetik disertai dengan kampanye disinformasi yang diatur dengan baik. Kampanye disinformasi yang khas dapat merusak kebenaran, membingungkan orang-orang dari kedua belah pihak dan menarik narasi palsu, menabur benih perselisihan dan ketidakpercayaan di antara masyarakat luas. Menggunakan operasi psikologis dan/atau perang informasi membutuhkan kerja sama dari entitas sektor publik dan swasta dari pihak Rusia untuk mencapai massa kritis agar kampanye disinformasi menjadi nyata.

Dalam konteks perang Rusia-Ukraina, aktor ancaman muncul dari web gelap, mencoba mengambil keuntungan finansial dari situasi kacau. Jaringan perusahaan dan akses basis data ditawarkan oleh pelaku ancaman dengan imbalan uang. Serangan Hermetic Wiper yang merusak lebih lanjut diamati sebagai yang paling umum selama perang Rusia Ukraina yang sedang berlangsung serta menjelang perang kinetik.

Apa dampak dari serangan cyber?

Para peneliti telah memperkirakan serangan siber sebagai komponen utama dalam perang di masa depan. Komponen ini dikatakan sebagai domain konflik kelima setelah darat, udara, laut, dan ruang angkasa.

Efek yang paling menonjol dari operasi cyber, menurut peneliti akan mengganggu operasi militer. Misalnya, peretas dapat mengganggu saluran komunikasi untuk menghentikan komando tinggi mengirim perintah ke pasukan garis depan. Ini akan menyebabkan tindakan tertunda dalam situasi perang. Metode serangan lain bagi peretas adalah memalsukan pesan dengan instruksi palsu untuk menggunakan situasi demi kepentingan mereka.

Dalam perang ini, serangan siber digunakan untuk menciptakan kepanikan dan menurunkan kemampuan lawan untuk bertarung, operasi informasi mematahkan tekad untuk merespons dan mendorong narasi yang kondusif bagi pasukan penyerang, bahkan melegitimasi agresi. Operasi kinetik dengan demikian sesuai dibantu dengan pelunakan medan perang. Ketika NATO menuduh Rusia melakukan perang hibrida, inilah yang mereka maksud.

Hermetic Wiper

Target: Bisnis di Ukraina
Motivasi: mengenkripsi data komputer dengan cara yang tidak dapat dipulihkan
Hasil: Hingga saat ini telah menyebabkan kerugian finansial sebesar $10 miliar secara global
Deskripsi: Nama Hermetic Wiper diberikan berdasarkan sertifikat digital yang dicuri dari sebuah perusahaan bernama Hermetic Digital Ltd. Malware tersebut memecah-mecah file pada disk dan menimpanya melalui utilitas master boot recovery (MBR) untuk membuat pemulihan menjadi tidak mungkin. Secara praktis, malware memperoleh akses tulis ke struktur data tingkat rendah pada disk. Karena sifat fungsionalnya, ia juga dikenal sebagai malware penghapus disk atau hanya disebut sebagai penghapus. Serangan cyber menyebarkan malware yang terutama menghapus data ditemukan hanya beberapa jam sebelum pasukan Rusia memasuki Ukraina, ini dapat dianggap sebagai serangan pertama Moskow terhadap Ukraina.
Hermetic Wiper IOC’s

  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
  • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
  • A64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e

MITRE ATT&CK Mapping for Hermetic Wiper

Selengkapnya: LMNTRIX

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Kelompok spionase dunia maya China Moshen Dragon menargetkan perusahaan telekomunikasi Asia

by

Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.

Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.

Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.

Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.

Rantai operasi keseluruhan Moshen Dragon (Laboratorium Sentinel)

Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.

Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.

Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).

Fitur gerakan lateral Impacket (Lab Sentinel)

Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.

Filter kata sandi yang digunakan untuk mencuri kredensial (Sentinel Labs)

Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.

Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.

Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).

Fungsi yang diekspor loader (Lab Sentinel)

Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.

Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.

Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.

Sumber: Bleeping Computer

Eropa Menguatkan Diri untuk Perang Cyber, tetapi Apakah Sudah Siap?

by

Ketika sistem tiga perusahaan minyak dan transportasi di Eropa dan Afrika dijatuhkan pada 2 Februari 2022, Eropa sedang mempersiapkan perang yang akan datang di Ukraina dan dampak ketegangan di perbatasan Rusia mulai terasa di pasar energi global.

Serangan siber itu memicu gelombang kecemasan bahwa perang di Ukraina akan segera meluas secara online, dengan infrastruktur penting yang terancam. Kurang dari seminggu setelah serangan terhadap SEA-Invest, dan hanya sebelas hari sebelum pasukan Rusia melintasi perbatasan ke Ukraina, Bank Sentral Eropa memperingatkan bank-bank di Eropa untuk bersiap menghadapi gelombang serangan siber yang disponsori Moskow.

Kurang dari 18 bulan sejak strategi keamanan siber UE baru dipresentasikan oleh Komisi Eropa dan infrastruktur penting, seperti rumah sakit, jaringan energi, dan kereta api, disorot sebagai prioritas, tetapi juga menyoroti risiko terhadap rumah dan kantor sehari-hari.

“Kami perlu memastikan bahwa sistem kami dapat diandalkan,” jelas Tanel Sepp, duta besar Estonia untuk keamanan siber.

Sebagai salah satu negara paling maju secara digital di Eropa, Estonia tidak menggunakan kertas pada tahun 2000 dan telah menetapkan dirinya sebagai pusat teknologi, setelah memproduksi perusahaan panggilan video profil tinggi Skype, yang dibeli oleh Microsoft pada tahun 2011. Baru-baru ini memperkenalkan e- program residensi, mengundang pengusaha untuk mendaftar di Estonia.

Sepp percaya bahwa contoh Estonia dapat diulang di seluruh benua dan memprioritaskan internet terbuka yang bebas dari kontrol negara.

“Kami berpikir sama, kami memiliki prinsip yang sama,” katanya.

Satu di antara proposal Komisi Eropa adalah “perisai dunia maya” di seluruh Uni Eropa dari pusat operasi keamanan yang menggunakan kecerdasan buatan (AI) dan pembelajaran mesin (ML) sebagai sistem peringatan dini untuk serangan siber dan unit bersama untuk berbagi informasi dan secara kolektif menanggapi ancaman.

Salah satu cara Eropa bekerja untuk mengatasi ancaman siber adalah dengan meningkatkan standar keamanan siber produk melalui proses sertifikasi di seluruh UE, seperti tanda kualitas.

Saat ini sedang dikembangkan kerangka sertifikasi agar skema sertifikasi khusus dapat dikembangkan untuk jenis produk tertentu.

“Keberhasilan besar UE, ketika kita berpikir tentang keamanan siber, adalah bahwa ia mengambilnya dari keamanan informasi yang sangat teknis, jaringan komputer, dan status sistem di tahun 80-an menjadi sesuatu yang sekarang menjadi item tingkat atas dalam agenda politik di 27 negara. ,” kata Tim Stevens, seorang profesor di University College London.

Pendekatan awal terhadap keamanan siber ini lebih reaktif, dengan fokus pada cara meminimalkan gangguan dan memastikan kelangsungan bisnis. Sejak itu pendekatannya telah berubah, jelasnya, dan telah beralih dari fokus pada risiko ke fokus pada ancaman spesifik, dari geng kriminal, negara bangsa, dan segala sesuatu di antaranya.

“Kami semua ingin memajukan e-government dan layanan kami, tetapi kami semua harus memikirkan keamanannya,” katanya.

Sumber: Euro News

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

by

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Detail tentang kode JS berbahaya (CERT-UA)

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Beberapa situs yang ditargetkan adalah: Selengkapnya

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

CERT-UA bekerja sama dengan Bank Nasional Ukraina untuk menerapkan langkah-langkah defensif terhadap kampanye DDoS ini.

Agensi telah memberi tahu pemilik, pendaftar, dan penyedia layanan hosting situs web yang disusupi tentang situasi tersebut dan telah memberikan instruksi tentang cara mendeteksi dan menghapus JavaScript berbahaya dari situs mereka.

Tanda kompromi dalam log (CERT-UA)

Saat ini, setidaknya 36 situs web yang dikonfirmasi menyalurkan permintaan sampah berbahaya ke URL target, tetapi daftar ini dapat berubah atau diperbarui kapan saja.

Untuk alasan ini, CERT-UA telah menyertakan alat pendeteksi dalam laporan untuk membantu semua administrator situs web memindai situs mereka sekarang dan di masa mendatang.

Selain itu, penting untuk selalu memperbarui sistem manajemen konten (CMS) situs Anda, menggunakan versi terbaru yang tersedia dari semua plugin aktif, dan membatasi akses ke halaman manajemen situs web.

Sumber: Bleeping Computer

Malware Bumblebee baru menggantikan Conti’s BazarLoader dalam serangan siber

by

Pemuat malware yang baru ditemukan bernama Bumblebee kemungkinan merupakan pengembangan terbaru dari sindikat Conti, yang dirancang untuk menggantikan pintu belakang BazarLoader yang digunakan untuk mengirimkan muatan ransomware.

Munculnya Bumblebee dalam kampanye phishing pada bulan Maret bertepatan dengan penurunan penggunaan BazarLoader untuk mengirimkan malware enkripsi file, kata para peneliti.

BazarLoader adalah karya pengembang botnet TrickBot, yang menyediakan akses ke jaringan korban untuk serangan ransomware. Geng TrickBot sekarang bekerja untuk sindikat Conti.

Dalam sebuah laporan pada bulan Maret tentang aktor ancaman yang dilacak sebagai ‘Exotic Lily’ yang menyediakan akses awal untuk operasi ransomware Conti dan Diavol, Grup Analisis Ancaman Google mengatakan bahwa aktor tersebut mulai menjatuhkan Bumblebee, alih-alih malware BazarLoader biasa, untuk mengirimkan Cobalt Strike .

Eli Salem, pemimpin ancaman hunter dan malware reverse engineer di Cybereason mengatakan bahwa teknik penyebaran untuk Bumblebee sama seperti untuk BazarLoader dan IcedID, keduanya terlihat di masa lalu menyebarkan Conti ransomware.

Proofpoint mengkonfirmasi temuan Salem, dengan mengatakan bahwa mereka telah mengamati kampanye phishing di mana “Bumblebee [telah] digunakan oleh beberapa aktor ancaman crimeware yang sebelumnya diamati mengirimkan BazaLoader dan IcedID.”

Perusahaan juga mencatat bahwa “beberapa pelaku ancaman yang biasanya menggunakan BazaLoader dalam kampanye malware telah beralih ke Bumblebee” untuk menghapus shellcode dan kerangka kerja Cobalt Strike, Sliver, dan Meterpreter yang dirancang untuk penilaian keamanan tim merah.

Pada saat yang sama, BazaLoader telah hilang dari data Proofpoint sejak Februari.

Dalam sebuah laporan hari ini, Proofpoint mengatakan bahwa mereka mengamati beberapa kampanye email yang mendistribusikan Bumblebee dalam lampiran ISO yang berisi file pintasan dan DLL.

Satu kampanye memanfaatkan umpan dokumen DocuSign yang mengarah ke arsip ZIP dengan wadah ISO berbahaya yang dihosting di layanan penyimpanan cloud OneDrive Microsoft.

Para peneliti mengatakan bahwa email berbahaya itu juga menyertakan lampiran HTML yang muncul sebagai email ke faktur yang belum dibayar, kata Proofpoint.

URL yang disematkan dalam file HTML menggunakan layanan pengalihan yang mengandalkan Prometheus TDS (layanan distribusi lalu lintas) yang memfilter unduhan berdasarkan zona waktu dan cookie korban. Tujuan akhir juga adalah ISO berbahaya yang dihosting di OneDrive.

Pada bulan Maret, Proofpoint mengamati kampanye yang mengirimkan Bumblebee melalui formulir kontak di situs web target. Pesan tersebut mengklaim bahwa situs web menggunakan gambar curian dan menyertakan tautan yang pada akhirnya mengirimkan file ISO yang berisi malware.

Proofpoint mengaitkan kampanye ini dengan aktor ancaman lain yang dilacak perusahaan sebagai TA578 sejak Mei 2020 dan menggunakan kampanye email untuk mengirimkan malware seperti Ursnif, IcedID, KPOT Stealer, Buer Loader, dan BazaLoader, serta Cobalt Strike.

Para peneliti mendeteksi kampanye lain pada bulan April yang membajak utas email untuk mengirimkan pemuat malware Bumblebee sebagai balasan ke target dengan lampiran ISO yang diarsipkan.

Sumber: Proofpoint

Meskipun belum menemukan bukti yang tidak dapat disangkal, Proofpoint percaya bahwa pelaku ancaman yang menggunakan Bumblebee adalah pialang akses jaringan awal yang bekerja dengan pelaku ransomware.

Para peneliti setuju bahwa Bumblebee adalah “pemuat malware baru yang sangat canggih” yang mengintegrasikan teknik penghindaran yang rumit dan trik anti-analisis yang mencakup metode anti-virtualisasi yang kompleks.

Dalam analisis teknis pada hari Kamis, Eli Salem menunjukkan bahwa penulis Bumblebee menggunakan seluruh kode anti-analisis dari aplikasi ‘malware’ PoC al-khaser yang tersedia untuk umum.

Pemeriksaan kode Salem mengungkapkan bahwa malware mencari beberapa alat untuk analisis dinamis dan statis, mencoba mendeteksi “setiap jenis lingkungan virtualisasi” dengan mencari prosesnya, dan dengan memeriksa kunci registri dan jalur file.

Peneliti mencatat bahwa salah satu hal paling menarik yang dia temukan di komponen pemuat inti Bumblebee adalah adanya dua file DLL 32/64-bit yang disebut RapportGP.dll, nama yang digunakan oleh perangkat lunak keamanan Trusteer’s Rapport untuk melindungi data sensitif seperti kredensial.

Peneliti malware di perusahaan keamanan siber Proofpoint dan Cybereason menganalisis Bumblebee dan melihat kesamaan dengan malware TrickBot dalam kode, metode pengiriman, dan muatan yang dijatuhkan.

Salem membuat koneksi antara Bumblebee ke TrickBot setelah melihat bahwa kedua malware bergantung pada mekanisme instalasi yang sama untuk hook.

sumber: Eli Salem

Kesamaannya bahkan lebih jauh, karena Bumblebee menggunakan teknik penghindaran yang sama untuk RapportGP.DLL seperti TrickBot untuk modul web-inject-nya.

Selain itu, kedua malware mencoba menggunakan LoadLibrary dan mendapatkan alamat dari fungsi yang ingin mereka kaitkan, peneliti menemukan.

Salem mengatakan bahwa meskipun tidak ada cukup bukti untuk mengatakan bahwa Bumblebee dan TrickBot memiliki penulis yang sama, masuk akal untuk mengasumsikan bahwa pengembang Bumblebee memiliki kode sumber untuk modul web-inject TrickBot.

Sumber: Bleeping Computer

EmoCheck sekarang mendeteksi versi 64-bit baru dari malware Emotet

by

Japan CERT telah merilis versi baru dari utilitas EmoCheck mereka untuk mendeteksi versi 64-bit baru dari malware Emotet yang mulai menginfeksi pengguna bulan ini.

Emotet adalah salah satu malware terdistribusi paling aktif yang menyebar melalui email menggunakan email phishing dengan lampiran berbahaya, termasuk dokumen Word/Excel, pintasan Windows, file ISO, dan file zip yang dilindungi kata sandi.

Email phishing menggunakan umpan kreatif untuk mengelabui pengguna agar membuka lampiran, termasuk email berantai balasan, pemberitahuan pengiriman, dokumen pajak, laporan akuntansi, atau bahkan undangan pesta liburan.

Undangan pesta liburan palsu memasang Emotet

Setelah perangkat terinfeksi, Emotet akan mencuri email pengguna untuk digunakan dalam serangan phishing berantai balasan di masa mendatang dan mengunduh muatan malware lebih lanjut di komputer.

Karena malware lebih lanjut biasanya mengarah ke pencurian data dan serangan ransomware, sangat penting untuk mendeteksi infeksi malware Emotet dengan cepat sebelum kerusakan lebih lanjut terjadi.

Pada tahun 2020, CERT Jepang (tim tanggap darurat komputer) merilis alat gratis bernama EmoCheck untuk memindai komputer dari infeksi Emotet.

Jika salah satu terdeteksi, maka akan ditampilkan path lengkap infeksi malware tersebut sehingga bisa dihapus.

Namun, awal bulan ini, geng Emotet beralih ke loader dan pencuri versi 64-bit, membuat deteksi yang ada menjadi kurang berguna. Selanjutnya, dengan sakelar ini, alat EmoCheck tidak lagi dapat mendeteksi versi Emotet 64-bit yang baru.

EmoCheck mendeteksi infeksi malware Emotet

Untuk memeriksa apakah Anda terinfeksi Emotet, Anda dapat mengunduh utilitas EmoCheck dari repositori GitHub CERT Jepang.

Setelah diunduh, klik dua kali pada emocheck_x64.exe (versi 64-bit) atau emocheck_x86.exe (versi 32-bit), tergantung pada apa yang Anda unduh.

EmoCheck akan memindai Emotet Trojan, dan jika malware terdeteksi, tampilkan ID proses yang dijalankannya di bawah dan lokasi DLL malware.

Emotet saat ini sedang diinstal di folder acak di bawah C:\Users\[nama pengguna]\AppData\Local. Meskipun malware Emotet adalah DLL, ia tidak akan memiliki ekstensi DLL melainkan ekstensi tiga huruf acak, seperti .bbo atau .qvp.

Emotet dipasang di bawah %LocalAppData%

EmoCheck juga akan membuat log di folder yang sama dengan program yang berisi informasi yang terdeteksi, sehingga Anda dapat merujuknya sesuai kebutuhan.

Jika Anda menjalankan EmoCheck dan menemukan bahwa Anda terinfeksi, Anda harus segera membuka Task Manager dan menghentikan proses yang terdaftar, biasanya regsvr32.exe.

Anda kemudian harus memindai komputer Anda dengan perangkat lunak antivirus tepercaya untuk memastikan malware lain belum diinstal pada perangkat Anda.

Sumber: Bleeping Computer