Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Operasi Baru Dari Horabot Mengambil Alih Akun Gmail & Outlook Korban

by

Operasi Horabot yang baru ini ditemukan oleh para analis di Cisco Talos, yang melaporkan bahwa pelaku ancaman di baliknya kemungkinan berbasis di Brasil.

Malicious page hosted on AWS (Cisco)
Malicious page hosted on AWS (Cisco)

Rantai infeksi dengan beberapa tahap dimulai dengan email phishing berisi tema pajak yang dikirim kepada target, dengan lampiran HTML yang seolah-olah merupakan tanda terima pembayaran.

Membuka file HTML tersebut akan memicu rangkaian pengalihan URL yang mengarahkan korban ke halaman HTML yang dihosting pada instansi AWS yang dikendalikan oleh penyerang.

Korban mengklik hyperlink pada halaman tersebut dan mengunduh sebuah arsip RAR yang berisi file batch dengan ekstensi CMD, yang kemudian mengunduh sebuah skrip PowerShell yang mengambil DLL trojan dan serangkaian file eksekusi yang sah dari server C2.

Trojan-trojan ini dijalankan untuk mengambil dua payload terakhir dari server C2 yang berbeda. Salah satunya adalah skrip pengunduh PowerShell, dan yang lainnya adalah binary Horabot.

Function to extract email addresses (Cisco)
Function to extract email addresses (Cisco)

Payload utama yang dijatuhkan ke sistem korban adalah Horabot, sebuah botnet berbasis PowerShell yang terdokumentasi dan mengincar kotak surat Outlook korban untuk mencuri kontak dan menyebarkan email phishing yang berisi lampiran HTML berbahaya.

Malware ini menjalankan aplikasi desktop Outlook korban untuk memeriksa buku alamat dan kontak dari isi inbox.

Horabot infection flow (Cisco)
Horabot infection flow (Cisco)

Semua alamat email yang diekstraksi ditulis ke dalam file “.Outlook” dan kemudian dienkripsi dan dieksfiltrasi ke server C2.

Terakhir, malware ini membuat sebuah file HTML secara lokal, mengisinya dengan konten yang disalin dari sumber eksternal, dan mengirimkan email phishing ke semua alamat email yang diekstraksi secara individu.

Setelah proses distribusi email phishing selesai, file dan folder yang dibuat secara lokal dihapus untuk menghapus jejak-jejak yang ada.

Selengkapnya: Bleeping Computer

Supply Chain Risk Dari Backdoor App Center Gigabyte

by

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

  • Penyalahgunaan backdoor OEM oleh threat actor
  • Kompromi infrastruktur pembaruan OEM dan rantai pasokan
  • Persistensi menggunakan UEFI Rootkit dan Implan
  • Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

  1. Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
  2. Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
  3. Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Operasi Triangulasi: Perangkat iOS yang Ditargetkan dengan Malware yang Sebelumnya Tidak Dikenal

by

Perusahaan sedang melakukan pemantauan lalu lintas jaringan Wi-Fi yang khusus digunakan untuk perangkat seluler menggunakan Platform Pemantauan dan Analisis Terpadu Kaspersky (KUMA). Mereka menemukan adanya aktivitas mencurigakan yang dari beberapa ponsel iOS.

Mereka mengambil tindakan dengan membuat cadangan luring dari perangkat yang dimaksud, memeriksanya menggunakan mvt-ios Perangkat Verifikasi Seluler dan menemukan jejak penyusupan. Kampanye ini disebut “Operasi Triangulasi”.
KUMA,
Mengidentifikasi artefak tertentu dengan menggunakan garis waktu ini, menunjukkan adanya kompromi. Ini memungkinkan untuk memajukan penelitian dan untuk merekonstruksi urutan infeksi umum:
1. Perangkat iOS target menerima pesan melalui layanan iMessage, dengan lampiran berisi eksploit.
2. Tanpa interaksi pengguna apa pun, pesan tersebut memicu kerentanan yang mengarah pada eksekusi kode.
3. Kode di dalam eksploitasi mengunduh beberapa tahap berikutnya dari server C&C, mencakup eksploitasi tambahan untuk eskalasi hak istimewa.
4. Setelah berhasil dieksploitasi, muatan akhir diunduh dari server C&C, merupakan platform APT berfitur lengkap.
5. Pesan awal dan eksploit dalam lampiran dihapus

Garis waktu beberapa perangkat menunjukkan bahwa mereka mungkin terinfeksi ulang setelah melakukan boot ulang. Saat penulisan pada Juni 2023, serangan sedang berlangsung, dan versi terbaru dari perangkat yang berhasil ditargetkan adalah iOS 15.7.

Malware dapat diidentifikasi dengan andal jika perangkat jika perangkat disusupi meskipun menyertakan bagian kode yang didedikasikan khusus untuk menghapus jejak penyusupan.

Jika perangkat baru disiapkan dengan memigrasikan data pengguna dari perangkat lama, cadangan iTunes perangkat tersebut akan berisi jejak penyusupan yang terjadi pada kedua perangkat, dengan timestemps yang benar.

Tahapan metodologi forensik yang dilakukan peneliti dimulai dari persiapan dengan mencadangkan semua perangkat target potensial harus dicadangkan, instalasi MVT, opsional dengan mendekripsi cadangan, kemudian parsing cadangan menggunakan MVT, setelah itu memeriksa timeline.csv untuk indikator.

Aktivitas jaringan selama eksploitasi yaitu dapat diidentifikasi dengan urutan beberapa kejadian koneksi HTTPS untuk eksploitasi yang berhasil. Hal ini dapat ditemukan dalam data netflow yang diperkaya dengan informasi host DNS/TLS, atau dump PCAP.

Urutan eksploitasi jaringan, dump Wireshark
Urutan eksploitasi jaringan, dump Wireshark

Selengkapnya: SecureList

Kaspersky mengatakan penyerang meretas iPhone staf dengan malware yang tidak dikenal

by

Perusahaan keamanan siber Rusia Kaspersky mengatakan bahwa peretas yang bekerja untuk pemerintah menargetkan beberapa lusin iPhone karyawan dengan malware yang tidak diketahui.

Juru bicara Kaspersky Sawyer Van Horn mengatakan dalam email ke TechCrunch bahwa perusahaan menetapkan bahwa salah satu kerentanan yang digunakan dalam operasi diketahui dan diperbaiki oleh Apple pada Desember 2022, tetapi mungkin telah dieksploitasi sebelum ditambal, bersama dengan kerentanan lainnya. “Meskipun tidak ada indikasi yang jelas, kerentanan yang sama telah dieksploitasi sebelumnya, tetapi sangat mungkin terjadi,” kata juru bicara itu.

Peneliti Kaspersky mengatakan bahwa mereka menemukan serangan tersebut ketika mereka melihat “aktivitas mencurigakan yang berasal dari beberapa ponsel berbasis iOS,” saat memantau jaringan Wi-Fi perusahaan mereka sendiri. Van Horn mengatakan serangan siber ditemukan “pada awal tahun ini.”

Sementara malware dirancang untuk membersihkan perangkat yang terinfeksi dan menghapus jejaknya sendiri, “adalah mungkin untuk mengidentifikasi dengan andal jika perangkat itu disusupi,” tulis para peneliti.

Dalam laporan tersebut, para peneliti menjelaskan langkah demi langkah bagaimana mereka menganalisis perangkat yang disusupi, menguraikan bagaimana orang lain dapat melakukan hal yang sama. Namun, mereka tidak memasukkan banyak detail dari apa yang mereka temukan menggunakan proses ini.

Para peneliti mengatakan bahwa kehadiran “garis penggunaan data yang menyebutkan proses bernama ‘BackupAgent’,” adalah tanda yang paling dapat diandalkan bahwa iPhone diretas, dan salah satu tanda lainnya adalah bahwa iPhone yang dikompromikan tidak dapat menginstal update iOS.

Perusahaan mengatakan bahwa para peretas, yang pada saat ini tidak diketahui, mengirimkan malware dengan eksploitasi tanpa klik melalui lampiran iMessage, dan bahwa semua peristiwa terjadi dalam jangka waktu satu hingga tiga menit.

sumber : techcrunch

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

by

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

by

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi (Sumber: BleepingComputer)
Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Malware Legion memperluas cakupan untuk menargetkan alat pemantauan AWS CloudWatch

by Leave a Comment

Pembaruan terbaru Legion, terutama penargetan AWS CloudWatch, mewakili evolusi yang mengkhawatirkan dalam kemampuan alat peretasan ini, kata Ani Chaudhuri, CEO Dasera. Chaudhuri mengatakan perkembangan ini menandakan perluasan cakupan penjahat dunia maya: mereka memanfaatkan server web yang salah konfigurasi untuk mencuri kredensial dan memperluas jangkauan mereka untuk memanipulasi layanan cloud.

Chaudhuri menjelaskan bahwa AWS CloudWatch beroperasi sebagai layanan pemantauan untuk sumber daya dan aplikasi cloud. Jika peretas mendapatkan akses tidak sah ke sana, mereka dapat mengganggu wawasan operasional, berpotensi menyebabkan gangguan yang signifikan atau bahkan pelanggaran.

Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, menambahkan bahwa saat organisasi memindahkan aplikasi dan sistem lama ke infrastruktur cloud, mereka masih berjuang dengan kesalahan konfigurasi yang mengekspos lingkungan cloud, menjadikan mereka sasaran empuk bagi penjahat dunia maya.

selengkapnya : scmagazine.com

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

by

Awal bulan ini Departemen Kehakiman AS mengumumkan National Security Agency (NSA), bersama dengan lembaga lain, telah berhasil mengidentifikasi infrastruktur untuk malware Snake, yang telah digunakan oleh Layanan Keamanan Federal Federasi Rusia (FSB) untuk mengorbankan organisasi di seluruh dunia. Amerika Serikat dan di seluruh dunia selama hampir 20 tahun.

Menurut rilis tersebut, operasi resmi pengadilan, dengan nama kode MEDUSA, mengganggu jaringan komputer peer-to-peer global yang dikompromikan oleh malware canggih, yang disebut “Snake”. Selama hampir 20 tahun, versi malware Snake digunakan untuk mencuri dokumen sensitif dari ratusan sistem komputer di setidaknya 50 negara, yang dimiliki oleh pemerintah anggota Organisasi Perjanjian Atlantik Utara (NATO), jurnalis, dan target lain yang menarik bagi Rusia. Federasi.

solusi keamanan siber dibangun untuk perlindungan di lapisan eksternal, tetapi lanskap yang begitu luas menyisakan terlalu banyak celah untuk ditembus oleh penjahat dunia maya. Pelaku ancaman berada beberapa langkah di depan dan terus mengembangkan teknologi dan model bisnis mereka untuk melewati pertahanan perangkat lunak. Oleh karena itu, solusi keamanan perangkat lunak mengalami kesulitan untuk mengidentifikasi ancaman yang baru dimodifikasi dan data rahasia tetap berisiko. Organisasi perlu berpikir di luar kotak – masukkan perlindungan tingkat firmware, cara untuk meningkatkan keamanan siber ke tingkat berikutnya.

Tahap selanjutnya dari perlindungan keamanan siber holistik harus menggabungkan perangkat keras dan solusi tersemat ke dalam keseluruhan infrastruktur untuk menghentikan peretas di jalur mereka dalam lingkungan yang kecil, tersegel, dan direkayasa sepenuhnya pada tingkat penyimpanan data.

selengkapnya : securitymagazine.com