Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Tonga, Negara Kepulauan Pasifik Terbaru yang terkena Ransomware

by

Tonga Communications Corporation (TCC), salah satu perusahaan telekomunikasi di Tonga terkena Ransomware dan mereka menerbitkan pemberitahuan di Facebook bahwa itu dapat memperlambat operasi administrasi.

Perusahaan itu mengkonfirmasi bahwa serangan ini tidak mempengaruhi pengiriman layanan suara dan internet kepada pelanggan, namun dapat memperlambat proses menghubungkan pelanggan baru, pengiriman tagihan, dan mengelola pertanyaan pelanggan.

Pihaknya bekerja sama dengan perusahaan keamanan untuk mengurangi dampak negatif dari malware ini.

TCC mengontrol semua saluran telepon tetap dan memiliki 70% pangsa pasar dial up dan internet broadband. Dengan lebih dari 300 karyawan, perusahaan mengelola sekitar setengah dari layanan ponsel melalui layanan UCall.

TCC adalah organisasi pemerintah pulau kecil terbaru yang diserang oleh penjahat dunia maya. Pulau Guadeloupe Prancis diserang pada bulan November dan pemerintah Vanuatu dimatikan setelah serangan ransomware.

Serangan itu melumpuhkan operasi parlemen, polisi, dan kantor perdana menteri Vanuatu, dan mematikan hampir semua alat digital yang digunakan oleh sekolah, rumah sakit, dan layanan pemerintah negara itu.

Selengkapnya: The Record

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

by

Serangan itu, kata perusahaan itu, adalah serangan HTTP DDoS terbesar yang pernah tercatat, tetapi bukan satu-satunya yang diamati akhir pekan lalu.

Faktanya, Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Gelombang serangan jauh lebih tinggi daripada serangan HTTP DDoS yang tercatat sebelumnya. Yang terbesar adalah 35% lebih tinggi dari serangan DDoS 46 juta RPS yang dilihat oleh Google pada Juni 2022.

“Serangan itu berbasis HTTP/2 dan menargetkan situs web yang dilindungi oleh Cloudflare. Mereka berasal dari lebih dari 30.000 alamat IP,” kata Cloudflare.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan. Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Berasal dari beberapa penyedia cloud, serangan DDoS menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Menurut Cloudflare, serangan tersebut tampaknya tidak terkait dengan kampanye Killnet DDoS yang menargetkan penyedia layanan kesehatan dua minggu lalu, atau acara game Super Bowl AS yang berlangsung akhir pekan ini.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Minggu lalu, Proyek Tor mengungkapkan bahwa jaringan Tor berada di bawah tekanan DDoS konstan selama tujuh bulan, dengan beberapa serangan mencegah pengguna mengakses situs web.

selengkapnya : securityweek

Hacker Mengembangkan Malware ‘Screenshotter’ Baru untuk Menemukan Target Bernilai Tinggi

by

Pelaku ancaman baru dilacak saat TA886 menargetkan organisasi di Amerika Serikat dan Jerman dengan malware khusus baru untuk melakukan pengawasan dan pencurian data pada sistem yang terinfeksi.

Kelompok aktivitas yang sebelumnya tidak diketahui pertama kali ditemukan oleh Proofpoint pada Oktober 2022, dengan perusahaan keamanan melaporkan bahwa hal itu berlanjut hingga 2023.

Pelaku ancaman tampaknya memiliki motivasi finansial, melakukan evaluasi awal terhadap sistem yang dilanggar untuk menentukan apakah target cukup berharga untuk disusupi lebih lanjut.

Pelaku ancaman menargetkan korban menggunakan email phishing yang menyertakan lampiran Microsoft Publisher (.pub) dengan makro berbahaya, URL yang tertaut ke file .pub dengan makro, atau PDF berisi URL yang mengunduh file JavaScript berbahaya.

Proofpoint mengatakan jumlah email yang dikirim di TA886 meningkat secara eksponensial pada Desember 2022 dan terus meningkat pada Januari 2023, dengan email yang ditulis dalam bahasa Inggris atau Jerman, tergantung targetnya.

Penyerang kemudian secara manual memeriksa tangkapan layar ini dan memutuskan apakah korban berharga. Evaluasi ini mungkin termasuk membuat malware Screenshotter mengambil lebih banyak tangkapan layar atau menjatuhkan muatan khusus tambahan seperti:

  • Skrip profiler domain yang mengirimkan detail domain AD (Active Directory) ke C2
  • Skrip pemuat malware (AHK Bot loader) yang memuat pencuri info ke dalam memori

Pencuri yang dimuat dalam memori bernama Rhadamanthys, keluarga malware terlihat dipromosikan di forum bawah tanah sejak musim panas lalu dan menjadi lebih umum digunakan dalam serangan.

Kemampuannya termasuk mencuri dompet cryptocurrency, kredensial, dan cookie yang disimpan di browser web, klien FTP, akun Steam, akun Telegram dan Discord, konfigurasi VPN, dan klien email.

Proofpoint telah berusaha untuk menemukan tumpang tindih dan kesamaan dengan laporan sebelumnya yang menggambarkan TTP serupa (teknik, taktik, dan prosedur), tetapi tidak dapat membuat hubungan yang pasti.

Namun, ada tanda-tanda alat Bot AHK digunakan dalam kampanye spionase sebelumnya.

Selengkapnya : bleepingcomputer

Graphiron: Malware Pencuri Informasi Rusia Baru yang Dikerahkan Melawan Ukraina

by

Nodaria yang terkait dengan Rusia telah menyebarkan ancaman baru yang dirancang untuk mencuri berbagai informasi dari komputer yang terinfeksi.

Grup spionase Nodaria (UAC-0056) menggunakan informasi baru untuk mencuri malware terhadap target di Ukraina. Malware (Infostealer.Graphiron) ditulis dalam Go dan dirancang untuk mengumpulkan berbagai informasi dari komputer yang terinfeksi, termasuk informasi sistem, kredensial, tangkapan layar, dan file.

Bukti paling awal dari Graphiron berasal dari Oktober 2022. Itu terus digunakan hingga pertengahan Januari 2023 dan masuk akal untuk mengasumsikan bahwa itu tetap menjadi bagian dari perangkat Nodaria.

Grafiron
Graphiron adalah ancaman dua tahap yang terdiri dari pengunduh (Downloader.Graphiron) dan muatan (Infostealer.Graphiron).

Graphiron menggunakan enkripsi AES dengan kunci hardcoded, membuat file sementara dengan ekstensi “.lock” dan “.trash”. Itu menggunakan nama file hardcode yang dirancang untuk menyamar sebagai executable Microsoft office: OfficeTemplate.exe dan MicrosoftOfficeDashboard.exe

Payload mampu melakukan tugas-tugas seperti membaca MachineGuid, memperoleh alamat IP dari https://checkip.amazonaws.com, mengambil nama host, info sistem, dan info pengguna, dan lain sebagainya.

Kesamaan dengan Alat Lama
GraphSteel dirancang untuk mengekstraksi file bersama dengan informasi sistem dan kredensial yang dicuri dari brankas kata sandi menggunakan PowerShell. Sementara Graphiron memiliki fungsi serupa tetapi dapat mengekstraksi lebih banyak lagi, seperti tangkapan layar dan kunci SSH.

Tabel perbandingan antara Graphiron dan alat Nodaria yang lebih tua (GraphSteel dan GrimPlant)
Tabel perbandingan antara Graphiron dan alat Nodaria yang lebih tua (GraphSteel dan GrimPlant)

Nodaria
Nodaria telah aktif setidaknya sejak Maret 2021 dan tampaknya terutama terlibat dalam organisasi penargetan di Ukraina. Ada juga bukti terbatas yang menunjukkan bahwa kelompok tersebut telah terlibat dalam serangan terhadap sasaran di Kyrgyzstan.

Selengkapnya: Symantec

Screentime: Terkadang Rasanya Seperti Seseorang Mengawasi Saya

by

Sejak Oktober 2022 dan berlanjut hingga Januari 2023, Proofpoint telah mengamati sekelompok aktivitas yang termotivasi secara finansial yang berkembang yang kami sebut sebagai “Screentime”.

Rantai serangan dimulai dengan email yang berisi lampiran atau URL berbahaya dan mengarah ke malware yang dijuluki Proofpoint WasabiSeed dan Screenshotter. Dalam beberapa kasus, Proofpoint mengamati aktivitas pasca eksploitasi yang melibatkan AHK Bot dan Rhadamanthys Stealer.

Proofpoint sedang melacak aktivitas ini di bawah penunjukan aktor ancaman TA866. Proofpoint menilai bahwa TA866 adalah aktor terorganisir yang mampu melakukan serangan yang dipikirkan dengan baik dalam skala besar berdasarkan ketersediaan alat khusus; kemampuan dan koneksi untuk membeli alat dan layanan dari vendor lain; dan meningkatkan volume aktivitas.

Pada tanggal 23-24 Januari 2023, Proofpoint mengamati puluhan ribu pesan email yang menargetkan lebih dari seribu organisasi. Pesan menargetkan organisasi di AS dan Jerman. Email tersebut tampaknya menggunakan pembajakan utas, iming-iming “periksa presentasi saya”, dan berisi URL jahat yang memulai rantai serangan multi-langkah.

Selengkapnya: proofpoint

Siswa Virginia Barat Kembali ke Kelas Setelah Pemadaman Selama Berhari-hari Setelah CyberAttack

by Leave a Comment

Hampir 20.000 siswa di Virginia Barat terpaksa bolos pada hari Senin karena serangan siber yang melumpuhkan sekolah mereka.

Berkeley County Schools mengatakan pada hari Jumat pihaknya mengalami pemadaman internet dan telepon pada hari Jumat dan menghabiskan akhir pekan untuk mengatasi masalah yang terkait dengan serangan dunia maya.

Inspektur Ronald Stephens menulis catatan kepada siswa dan orang tua yang mengatakan operasi TI di seluruh distrik dibatasi karena serangan dunia maya dan mencatat bahwa lembaga penegak hukum telah dihubungi.

Pada hari Minggu, Stephens mengonfirmasi bahwa kelas-kelas dibatalkan dan semua kegiatan sekolah akan ditunda.

Kelas akan dilanjutkan pada hari Selasa tetapi distrik tersebut masih bekerja untuk memulihkan sistem operasi dan menyelidiki serangan dunia maya, menurut pernyataan dari Berkeley County Schools pada Senin sore.

Berkeley County Schools adalah distrik sekolah terbesar kedua di West Virginia dan county – yang berjarak sekitar dua jam dari Washington DC – memiliki populasi sekitar 120.000.

Sekolah tidak menanggapi permintaan komentar tentang apakah mereka menderita serangan ransomware.

Orang tua mengungkapkan keprihatinannya kepada MetroNews karena sekolah membawa banyak informasi sensitif terkait perintah perlindungan anak dan data lain tentang kontak darurat.

Pihak sekolah mengatakan perangkat siswa tidak terpengaruh oleh serangan itu tetapi menjelaskan bahwa pertemuan Dewan Pendidikan yang dijadwalkan pada Senin tidak akan disiarkan lagi karena pemadaman teknologi.

CISA mengatakan jumlah insiden siber K-12 yang dilaporkan antara 2018 dan 2021 meningkat setiap tahun, dari 400 menjadi lebih dari 1.300. Pakar ransomware Emsisoft Brett Callow menjelaskan bahwa 45 distrik dengan 1.981 sekolah terkena dampak ransomware pada tahun 2022.

Serangan di Berkeley County Schools adalah insiden keenam yang dilaporkan pada tahun 2023.

selengkapnya : therecord.media

Framework Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

by

Trend Micro melihat kampanye malware yang sedang berlangsung, mereka menyebutnya sebagai TgToxic, menargetkan pengguna ponsel Android di Taiwan, Thailand, dan Indonesia sejak Juli 2022.

Malware tersebut mencuri kredensial dan aset pengguna seperti mata uang kripto dari dompet digital, serta uang dari aplikasi bank dan keuangan.

Aktor ancaman menyalahgunakan kerangka uji Easyclick yang sah untuk menulis skrip otomatisasi berbasis Javascript untuk fungsi seperti klik dan gerakan.

Tujuan kampanye berkelanjutan yang menargetkan pengguna Android adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan, melalui trojan perbankan yang kami beri nama TgToxic yang disematkan di beberapa aplikasi palsu.

Trend Micro mengamati aktivitas penipuan dan umpan phising. Pihaknya menemukan kampanye phishing media sosial dan infrastruktur jaringan yang menargetkan Taiwan, Indonesia, dan Thailand serupa. Malware tersebut tidak canggih tapi menarik.

Penyalahgunaan kerangka otomatisasi yang sah seperti Easyclick dan Autojs dapat mempermudah pengembangan malware canggih, terutama untuk trojan perbankan Android yang dapat menyalahgunakan layanan Aksesibilitas.

Selengkapnya: Trend Micro

Kerangka Kerja Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

by

Peneliti menganalisis kampanye berkelanjutan yang menargetkan pengguna Android di Asia Tenggara sejak Juli 2022.

Tujuannya adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan (seperti dompet mata uang kripto, kredensial untuk aplikasi bank resmi di ponsel, dan uang di deposito) , melalui trojan perbankan yang kami beri nama TgToxic (terdeteksi oleh Trend Micro sebagai AndroidOS_TgToxic berdasarkan nama file terenkripsi khusus) yang disematkan di beberapa aplikasi palsu.

Sementara sebelumnya menargetkan pengguna di Taiwan, kami mengamati aktivitas penipuan dan umpan phishing yang menargetkan pengguna dari Thailand dan Indonesia pada tulisan ini.

Pengguna disarankan untuk berhati-hati dalam membuka tautan tertanam dari pengirim email dan pesan yang tidak dikenal, dan untuk menghindari mengunduh aplikasi dari platform pihak ketiga.

Pada Juli 2022, kami menemukan dua akun Facebook yang berpotensi diretas mengiklankan pesan scam di beberapa grup komunitas Taiwan yang mengklaim bahwa pengguna dapat memperoleh uang saku untuk bantuan korban badai, banjir, dan COVID.

Postingan tersebut menyebutkan bahwa pengguna dapat mendaftar di link download.tw1988[.] untuk melamar, yang sebenarnya adalah situs phishing.

Tanpa disadari pengguna bisa saja menjadi korban karena tautan yang disamarkan sebagai situs web resmi pemerintah https://1988.taiwan.gov.tw/ digunakan untuk memberikan tunjangan bagi orang-orang dalam situasi sulit.

Selengkapnya: Trend Micro