Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Worm Raspberry Robin Menjatuhkan Malware Palsu Untuk Membingungkan Peneliti

by

Malware Raspberry Robin sekarang mencoba melakukan beberapa tipu daya dengan menjatuhkan muatan palsu untuk membingungkan peneliti dan menghindari deteksi ketika proses deteksi sedang dijalankan di dalam sandbox dan alat debugging.

Raspberry Robin adalah dropper malware mirip cacing yang menjual akses awal ke jaringan yang disusupi ke geng ransomware dan operator malware.

Taktik malware palsu ini ditemukan oleh para peneliti Trend Micro yang mengamati Raspberry Robin dalam serangan baru-baru ini terhadap penyedia layanan telekomunikasi dan sistem pemerintahan.

Malware mencapai sistem yang ditargetkan melalui drive USB berbahaya yang menginfeksi perangkat dengan malware saat dimasukkan dan disertakan.

Rantai infeksi khas Raspberry Robin (Trend Micro)

Masalah Ganda
Malware ini disamarkan untuk menyembunyikan kodenya dari pemeriksaan keamanan, menampilkan banyak lapisan yang berisi nilai hard-coded untuk mendekripsi yang berikutnya.

Namun, untuk mempersulit peneliti keamanan untuk menganalisis malware, Raspberry Robin mulai menjatuhkan dua muatan yang berbeda tergantung pada bagaimana perangkat dijalankan.

Jika malware mendeteksi itu berjalan di dalam sandbox, menunjukkan kemungkinan sedang dianalisis, pemuat menjatuhkan muatan palsu. Jika tidak, itu akan meluncurkan malware Raspberry Robin yang sebenarnya.

Diagram lapisan packing (Trend Micro)

Muatan palsu ini menampilkan dua lapisan tambahan, kode shell dengan file PE tersemat dan file PE dengan header MZ dan tanda tangan PE dihapus. Setelah dijalankan, ia mencoba membaca registri Windows untuk menemukan penanda infeksi dan kemudian mulai mengumpulkan informasi sistem dasar.

Setelah siap, malware mencoba terhubung ke alamat Tor yang dikodekan dan membuat saluran pertukaran informasi dengan operatornya.

LockBit Ransomware Memiliki Kesamaan
Menurut analis Trend Micro, penambahan baru-baru ini dalam TTP Raspberry Robin (taktik, teknik, dan prosedur) memiliki kesamaan dengan LockBit.Dua kesamaan utama yaitu menggunakan teknik kalibrasi ICM untuk eskalasi hak istimewa dan alat ‘TreadHideFromDebugger’ untuk anti-debugging.

Meskipun temuan ini penting, namun bukan merupakan bukti hubungan antara keduanya. Temuan ini dapat berfungsi sebagai tolok ukur dalam penelitian di masa mendatang.

Kampanye Raspberry Robin saat ini lebih merupakan upaya pengintaian untuk mengevaluasi keefektifan mekanisme baru daripada langkah awal dalam serangan yang sebenarnya.

Selengkapnya: BLEEPINGCOMPUTER

Peneliti Menemukan Paket PyPI Berbahaya, Menyamar sebagai SDK SentinelOne untuk Mencuri Data

by

Peneliti keamanan siber telah menemukan paket berbahaya baru di repository Python Package Index (PyPI) yang meniru kit pengembangan perangkat lunak (SDK) untuk SentinelOne, sebuah perusahaan keamanan siber besar, sebagai bagian dari kampanye yang dijuluki SentinelSneak.

Paket bernama SentinelOne tersebut, yang diterbitkan antara 8 dan 11 Desember 2022 dengan hampir dua lusin versi didorong secara berurutan selama dua hari itu telah dihapus.

Penawaran metode ini yaitu lebih mudah untuk mengakses perusahaan namun memiliki celah belakang berbahaya untuk mengumpulkan informasi sensitif dari sistem pengembangan, termasuk kredensial akses, kunci SSH, dan data konfigurasi.

Menurut pengamatan, aktor ancaman telah merilis dua paket lagi dengan variasi penamaan serupa yaitu SentinelOne-sdk dan SentinelOneSDK.

Peneliti ancaman ReversingLabs, Karlo Zanki, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News bahwa paket SentinelOne hanyalah ancaman terbaru untuk memanfaatkan repositori PyPI dan menggarisbawahi ancaman yang berkembang terhadap rantai pasokan perangkat lunak, karena aktor jahat menggunakan strategi seperti ‘typosquatting’ untuk mengeksploitasi kebingungan pengembang dan mendorong kode berbahaya ke saluran pengembangan dan aplikasi yang sah.

Beberapa data yang diekstraksi oleh malware ke server jarak jauh termasuk riwayat eksekusi perintah shell, kunci SSH, dan file lain yang menarik, menunjukkan upaya pihak pelaku ancaman untuk menyedot informasi sensitif dari lingkungan pengembangan.

SentinelOne menyatakan tidak terlibat dengan paket Python berbahaya baru-baru ini dan bahwa pelaku ancaman tidak berhasil dalam upaya mereka. Perusahaan tersebut juga memastikan pelanggannya aman.

Temuan ini muncul ketika laporan Keamanan Rantai Pasokan Perangkat Lunak ReversingLabs menemukan bahwa repository PyPI telah menyaksikan penurunan hampir 60% dalam unggahan paket berbahaya pada tahun 2022, turun menjadi 1.493 paket dari 3.685 pada tahun 2021.

Berbanding terbalik dengan repository npm JavaScript yang mengalami peningkatan 40% menjadi hampir 7.000. Secara keseluruhan, tren paket berbahaya sejak 2020 telah menunjukkan peningkatan 100 kali lipat dalam npm dan lebih dari 18.000% dalam PyPI.

Selengkapnya: The Hacker News

Microsoft Menemukan Bug MacOS yang Memungkinkan Malware Melewati Pemeriksaan Keamanan

by

Apple telah memperbaiki kerentanan yang dapat dimanfaatkan penyerang untuk menyebarkan malware pada perangkat MacOS yang rentan melalui aplikasi tidak terpercaya yang mampu melewati batasan eksekusi aplikasi Gatekeeper.

Dilaporkan oleh Jonathan Bar Or, seorang peneliti keamanan utama Microsoft. Bahwa ditemukan kelemahan keamanan yang dijuluki sebagai Achilles, dilacak sebagai CVE-2022-42821.

Bypass Gatekeeper Melalui ACL yang Membatasi
Gatekeeper adalah fitur keamanan MacOS yang memeriksa semua aplikasi yang diunduh dari Internet secara otomatis. Gatekeeper meminta pengguna untuk mengonfirmasi aplikasi tersebut sebelum diluncurkan dan akan mengeluarkan peringatan jika aplikasi tidak dapat dipercaya.

Cacat Achilles memungkinkan muatan yang dibuat khusus menyalahgunakan masalah logika untuk mengkonfigurasi izin Access Control List (ACL) yang membatasi yang memblokir browser web dan pengunduh Internet dari setelan atribut com.apple.quarantine untuk mengunduh muatan yang diarsipkan sebagai file ZIP.

Aplikasi berbahaya yang terkandung dalam muatan berbahaya yang diarsipkan akan diluncurkan di sistem target, memungkinkan penyerang mengunduh dan menyebarkan malware, sehingga pengguna tetap disarankan untuk menerapkan perbaikan meski dalam mode Lockdown.


Lebih Banyak Bypass Keamanan MacOS dan Malware
Ini hanya salah satu dari beberapa bypass Gatekeeper yang ditemukan dalam beberapa tahun terakhir, dengan banyak di antaranya disalahgunakan oleh penyerang untuk menghindari mekanisme keamanan MacOS seperti Gatekeeper, Karantina File, dan Perlindungan Integritas Sistem (SIP) pada Mac yang telah ditambal sepenuhnya.

Selain menemukan powerdir, bug yang memungkinkan penyerang melewati teknologi Transparency, Consent, and Control (TCC) untuk mengakses data pengguna yang dilindungi, peneliti juga merilis kode eksploit untuk kerentanan MacOS (CVE-2022-26706) yang dapat membantu penyerang melewati batasan kotak pasir untuk menjalankan kode pada sistem.

Apple telah memperbaiki kerentanan MacOS zero-day pada April 2021 yang memungkinkan aktor ancaman di balik malware Shlayer. Malware ini terkenal untuk menghindari pemeriksaan keamanan Karantina File, Gatekeeper, dan Notarisasi Apple dan mengunduh lebih banyak malware di Mac yang terinfeksi.

Selengkapnya: BLEEPINGCOMPUTER

Malware Glupteba Kembali Beraksi Setelah Gangguan Google

by

Botnet malware Glupteba telah beraksi kembali, menginfeksi perangkat di seluruh dunia setelah operasinya diganggu oleh Google hampir setahun yang lalu.

Pada Desember 2021, Google berhasil menyebabkan gangguan secara besar-besaran pada botnet yang mengaktifkan blockchain, mengamankan perintah pengadilan untuk mengambil kendali atas infrastruktur botnet dan mengajukan keluhan terhadap dua operator Rusia.

Nozomi melaporkan transaksi blockchain, pendaftaran sertifikat TLS, dan sampel rekayasa balik Glupteba menunjukkan kampanye Glupteba skala besar baru yang dimulai pada Juni 2022 dan masih berlangsung.

Menemukan fungsi yang digunakan untuk mengambil domain C2 (Nozomi)

Bersembunyi di Blockchain
Glupteba adalah malware modular berkemampuan blockchain yang menginfeksi perangkat Windows untuk menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT.

Malware ini sebagian besar didistribusikan melalui malvertising pada jaringan bayar-per-instal (PPI) dan sistem distribusi lalu lintas (TDS) yang mendorong penginstal yang menyamar sebagai perangkat lunak, video, dan film gratis.

Glupteba menggunakan blockchain Bitcoin untuk menghindari gangguan dengan menerima daftar terbaru dari server perintah dan kontrol yang harus dihubungi untuk menjalankan perintah.

Klien botnet mengambil alamat server C2 menggunakan fungsi temukan yang menyebutkan server dompet Bitcoin, mengambil transaksi mereka, dan mem-parsingnya untuk menemukan alamat terenkripsi AES.

Diagram transaksi blockchain. Dari kiri ke kanan, kampanye 2022 (paling kompleks), 2021, 2020, dan 2019 (Nozomi)

Kembalinya Glupteba
Menurut Nozomi, penggunaan blockchain dengan cara yang sama membuat analis Glupteba memindai seluruh blockchain untuk menemukan domain C2 yang tersembunyi.

Dalam investigasi oleh Nozomi, ditemukan sejumlah 15 alamat Bitcoin yang digunakan dalam empat kampanye Glupteba.

Berdasarkan hasil penuturan Nozomi diatas, mulai dari jumlah layanan tersembunyi TOR yang digunakan sebagai server C2 yang meningkat sepuluh kali lipat sejak kampanye 2021, banyak pendaftaran domain Glupteba melalui data DNS pasif dan lainnya, menandakan bahwa botnet Glupteba telah kembali, dan terdapat tanda-tanda yang menunjukkan botnet ini lebih masif dari sebelumnya, bahkan berpotensi lebih tangguh.

Selengkapnya: BLEEPINGCOMPUTER

Tagged With: Blockchain, Botnet, Glupteba, Google, Malware

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

by

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co

TikTok Dilarang di Pemerintah. Perangkat; Akankah Sektor Swasta Mengikutinya?

by

Texas dan Maryland minggu ini bergabung dengan tiga negara bagian lain dalam melarang akses aplikasi media sosial populer dari perangkat milik negara.

Akankah perusahaan swasta akan menerapkan pembatasan serupa pada penggunaan aplikasi media sosial populer di perangkat yang digunakan karyawan untuk mengakses data dan aplikasi perusahaan?

Risiko yang Tidak Dapat Diterima
Gubernur Texas, Greg Abbott, mengatakan dia telah memerintahkan semua lembaga negara untuk melarang TikTok pada perangkat apa pun yang dikeluarkan negara segera berlaku. Dia juga telah memberikan waktu kepada setiap lembaga negara bagian hingga 15 Februari 2023 untuk menerapkan kebijakan mereka sendiri terkait penggunaan TikTok pada perangkat pribadi milik karyawan. Tiga negara bagian lain yang telah mengeluarkan arahan serupa atas masalah serupa adalah South Dakota, South Carolina, dan Nebraska.

Abbott merujuk pada Undang-Undang Intelijen Nasional China 2017, yang mewajibkan perusahaan dan individu China untuk membantu kegiatan pengumpulan intelijen negara, dan peringatan baru-baru ini dari Direktur FBI Christopher Wray tentang penggunaan TikTok dalam operasi pengaruh, sebagai alasan keputusannya.

Kekhawatiran Meningkat Terlepas dari Jaminan TikTok
Meskipun TikTok memiliki karyawan yang berbasis di China, perusahaan memiliki kontrol akses yang ketat atas data apa yang dapat diakses oleh karyawan tersebut dan di mana TikTok menyimpan data tersebut, Pappas bersaksi. Perusahaan juga mengumumkan telah meluncurkan inisiatif yaitu Project Texas yang dirancang untuk meningkatkan kepercayaan pada perlindungan yang telah dan akan dilakukan perusahaan untuk melindungi data pengguna AS dan kepentingan keamanan nasional.

Terlepas dari jaminan tersebut, fakta bahwa entitas yang berbasis di China bernama ByteDance Ltd memiliki TikTok dan bahwa pemerintah China memiliki setidaknya sebagian saham di salah satu anak perusahaannya terus menjadi sumber perhatian utama banyak orang.
Menurut Parkin, sangat masuk akal bahwa organisasi akan membatasi aplikasi apa yang diinstal pada perangkat yang disediakan organisasi mereka dan merekomendasikan karyawan mereka untuk tidak menginstalnya pada sistem pribadi apa pun yang mereka gunakan untuk mengakses sistem perusahaan.

Patrick Tiquet, wakil presiden keamanan dan arsitektur di Keeper Security, mengatakan perkembangan pesat kebijakan BYOD dan lingkungan kerja jarak jauh terdistribusi telah berkontribusi pada peningkatan eksponensial risiko titik akhir dan aplikasi untuk entitas sektor publik dan swasta. Menurutnya, melarang aplikasi tertentu mungkin tampak seperti pendekatan sederhana dan langsung untuk memastikan keamanan, namun dengan kebijakan BYOD akan sulit untuk ditegakkan.

Selengkapnya: DARKReading

Microsoft Menemukan Ransomware didalam Driver Windows

by

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Cacat Keamanan pada Produk Atlassian (Jira, Confluence, Trello, BitBucket) yang Mempengaruhi Banyak Perusahaan

by

Pada 6 Desember 2022, CloudSEK mengungkapkan serangan dunia maya yang diarahkan ke perusahaan. Selama investigasi terhadap akar penyebab insiden tersebut, tim investigasi internal mengidentifikasi bahwa aktor ancaman memperoleh akses ke akun Jira karyawan CloudSEK, menggunakan cookie sesi Jira yang ada di log pencuri yang dijual di dark web.

Produk Atlassian, cookie tidak dibatalkan, meskipun kata sandi diubah, dengan 2FA (Otentikasi Dua Faktor) diaktifkan, karena validitas cookie adalah 30 hari. Atlassia telah mengkonfirmasi dan sedang bekerja untuk Menyelesaikan masalah tersebut.

CloudSEK merilis alat gratis yang memungkinkan perusahaan memeriksa apakah komputer mereka yang disusupi dan akun Jira diiklankan di pasar web gelap. Dengan lebih dari 10 juta pengguna di 180.000 perusahaan, termasuk 83% perusahaan Fortune 500, produk Atlassian banyak digunakan di seluruh dunia.

Cookie Atlassian yang Dicuri Dapat Menyebabkan Akses Akun Tidak Sah bahkan jika 2FA diaktifkan
Investigasi CloudSEK menunjukkan bahwa cookie produk Atlassian tetap berlaku selama 30 hari, meskipun kata sandi diubah dan 2FA diaktifkan. Oleh karena itu, pelaku ancaman dapat memulihkan sesi Jira, Confluence, Trello, atau BitBucket, menggunakan cookie yang dicuri, meskipun tidak memiliki akses ke OTP/PIN MFA.

Bukti Konsep
Peneliti CloudSEK memperoleh beberapa dump file log dan menemukan beberapa cookie Atlassian yang masih aktif untuk berbagai perusahaan.

Halaman pengaturan pengguna Bitbucket korban

Kredensial Atlassian/ Cookie Dijual di Darkweb Marketplaces
Dalam 30 hari terakhir, lebih dari 200 contoh unik kredensial/cookie terkait atlassian.net telah disiapkan untuk dijual di pasar darkweb. Mengingat kredensial tersebut disiapkan untuk dijual dalam 30 hari terakhir, kemungkinan besar banyak dari kredensial tersebut masih aktif.

Gambar 2 Contoh kredensial atlassian.net untuk dijual

Anatomi File Stealer-Log
Log pencuri yang dijual di pasar web gelap. Saat menguraikan file yang ada, data ditampilkan dalam sebuah format. Beberapa informasi korban yang dimasukkan ke dalam log pencuri yaitu IP, Tangkapan layar, Lokasi, Cookie dari semua browser yang digunakan oleh korban, Informasi dompet Cryptocurrency, dan lainnya.

Data Perusahaan Lain Tersedia di Web Gelap
Dalam 90 hari terakhir, lebih dari 70% data perusahaan Fortune 1000 tersedia untuk dijual di pasar web gelap. Dari jumlah tersebut, untuk 50% perusahaan, kredensial dari berbagai endpoint internal disiapkan untuk dijual.

Beberapa endpoint tersedia untuk dijual

Selengkapnya: cloudSEK