Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware yang menyamar sebagai alat keamanan menargetkan Tentara TI Ukraina

by

Kampanye malware baru memanfaatkan kesediaan orang untuk mendukung perang cyber Ukraina melawan Rusia untuk menginfeksi mereka dengan Trojan pencuri kata sandi.

Bulan lalu, pemerintah Ukraina mengumumkan Angkatan Darat TI baru yang terdiri dari sukarelawan di seluruh dunia yang melakukan serangan siber dan serangan DDoS terhadap entitas Rusia.

Inisiatif ini telah menghasilkan curahan dukungan oleh banyak orang di seluruh dunia yang telah membantu menargetkan organisasi dan situs Rusia, bahkan jika aktivitas itu dianggap ilegal.

Seperti biasa dengan distributor malware, pelaku ancaman mengambil keuntungan dari Angkatan Darat TI dengan mempromosikan alat DDoS palsu di Telegram yang memasang kata sandi dan trojan pencuri informasi.

Dalam sebuah laporan baru oleh Cisco Talos, para peneliti memperingatkan bahwa pelaku ancaman meniru alat DDoS yang disebut “Liberator”, yang merupakan website bomber untuk digunakan melawan outlet propaganda Rusia.

Sementara versi yang diunduh dari situs sebenarnya “bersih”, dan kemungkinan ilegal untuk digunakan, yang beredar di Telegram ternyata menyembunyikan muatan malware, dan tidak ada cara untuk membedakannya sebelum menjalankannya karena keduanya tidak ditandatangani secara digital.

Malware yang dijatuhkan pada sistem korban melakukan pemeriksaan anti-debug sebelum dijalankan dan kemudian mengikuti langkah injeksi proses untuk memuat pencuri informasi Phoenix ke dalam memori.

Pencuri info tersebut dapat mengumpulkan data dari browser web, alat VPN, Discord, lokasi sistem file, dan dompet cryptocurrency, dan mengirimkannya ke alamat jarak jauh, dalam kasus ini, IP Rusia.

Peneliti Talos menemukan bahwa IP khusus ini telah mendistribusikan Phoenix sejak November 2021. Oleh karena itu, perubahan tema baru-baru ini menunjukkan bahwa kampanye ini hanyalah upaya oportunistik untuk mengeksploitasi perang di Ukraina demi keuntungan finansial.

Selengkapnya: Bleeping Computer

Malware Daxin Yang Memiliki Kaitan Dengan China Menargetkan Beberapa Pemerintah Dalam Serangan Spionase

by

Malware Daxin menargetkan jaringan pemerintah di seluruh dunia, menurut para peneliti, dengan tujuan spionase siber.

Tim Symantec Threat Hunter Broadcom menggambarkan backdoor, bernama Daxin, sebagai malware berteknologi canggih, yang memungkinkan penyerang melakukan berbagai komunikasi dan operasi pengumpulan informasi yang ditujukan untuk entitas di sektor telekomunikasi, transportasi, dan manufaktur yang memiliki kepentingan strategis bagi China.

Mereka menambahkan bahwa lingkup operasi spesifik Daxin termasuk membaca dan menulis file; memulai dan berinteraksi dengan proses di sistem yang terpengaruh; dan kemampuan gerakan lateral dan bersembunyi yang canggih.

“Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsi command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan aktor jarak jauh untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet,” CISA memperingatkan dalam peringatan yang dirilis hari Senin.

Dari sudut pandang teknis, Daxin mengambil bentuk driver kernel Windows, menurut analisis Symantec yang dirilis pada hari Senin, dan memiliki fokus untuk bersembunyi.

“Kemampuan Daxin menunjukkan para penyerang menginvestasikan upaya signifikan dalam mengembangkan teknik komunikasi yang dapat berbaur dengan lalu lintas jaringan normal di jaringan target,” kata Symantec. “Secara khusus, malware menghindari memulai layanan jaringannya sendiri. Sebaliknya, malware dapat menyalahgunakan layanan sah apa pun yang sudah berjalan di komputer yang terinfeksi.”

Daxin berkomunikasi dengan layanan yang sah melalui tunneling jaringan, tambah mereka – dan selanjutnya, dapat mengatur komunikasi daisy-chain, untuk bergerak secara internal melalui hop antara beberapa komputer yang terhubung.

Sumber: Symantec

Di antara aspek yang tidak biasa dari Daxin adalah kemampuannya untuk menyampaikan perintah di seluruh jaringan komputer yang terinfeksi dalam organisasi yang diserang, menciptakan “saluran komunikasi multi-node” yang memungkinkan akses berulang ke komputer yang disusupi untuk waktu yang lama.

Selengkapnya: Threat Post

Microsoft: Ukraina terkena malware FoxBlade baru beberapa jam sebelum invasi

by

Microsoft mengatakan bahwa jaringan Ukraina ditargetkan dengan malware yang baru ditemukan beberapa jam sebelum invasi Rusia ke Ukraina pada 24 Februari.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) mengamati serangan destruktif yang menargetkan Ukraina dan menemukan jenis malware baru yang mereka namakan FoxBlade.

“Kami segera memberi tahu pemerintah Ukraina tentang situasinya, termasuk identifikasi kami tentang penggunaan paket malware baru (yang kami denominasikan FoxBlade), dan memberikan saran teknis tentang langkah-langkah untuk mencegah keberhasilan malware.”

Smith juga mengatakan bahwa perusahaan memperbarui platform keamanan Defender dengan tanda tangan baru untuk memblokir malware FoxBlade dalam waktu tiga jam setelah menemukan alat berbahaya yang digunakan di alam liar.

Microsoft menggambarkan malware dalam penasehat Intelijen Keamanan yang diterbitkan pada 23 Februari sebagai trojan yang dapat menggunakan komputer “untuk serangan penolakan layanan (DDoS) terdistribusi” tanpa sepengetahuan pemiliknya.

Serangan siber yang baru-baru ini terlihat dan masih aktif ini “telah ditargetkan dengan tepat,” Smith juga mengungkapkan.

Ini kontras dengan serangan malware tanpa pandang bulu yang berdampak pada ekonomi Ukraina dan negara lain selama serangan NotPetya di seluruh dunia tahun 2017 yang terkait dengan grup peretasan Direktorat Intelijen Utama GRU Rusia yang dikenal sebagai Sandworm.

Jaringan Ukraina diserang dengan malware yang merusak
Serangan siber ofensif yang terdeteksi oleh peneliti MSTIC tepat sebelum invasi Rusia mengikuti beberapa rangkaian serangan malware lainnya sejak awal tahun 2021.

Awal bulan ini, malware HermeticWiper yang baru ditemukan digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware untuk menghapus data dan membuat perangkat tidak dapat di-boot.

Pada bulan Januari, negara itu dilanda serangkaian serangan malware lainnya yang menggunakan wiper WhisperGate yang disamarkan sebagai muatan ransomware.

Selama akhir pekan, CISA dan FBI memperingatkan organisasi AS bahwa data yang menghapus serangan terhadap Ukraina dapat menyebar ke negara lain, mendesak organisasi AS untuk “meningkatkan kewaspadaan” dan memperkuat pertahanan mereka.

Pada hari yang sama, Wakil Perdana Menteri Ukraina Mykhailo Fedorov juga mengungkapkan pembentukan “tentara TI” untuk membantu negara “bertarung di front cyber.”

Tepat sebelum perang dimulai, Layanan Keamanan Ukraina (SSU) melaporkan bahwa Ukraina menjadi sasaran “gelombang besar perang hibrida”.

Sumber : Bleeping Computer

Operasi malware TrickBot dimatikan, pengembang pindah ke malware yang lebih tersembunyi

by

Operasi malware TrickBot telah ditutup setelah pengembang intinya pindah ke kelompok ransomware Conti untuk memfokuskan pengembangan pada keluarga malware BazarBackdoor dan Anchor yang tersembunyi.

TrickBot adalah infeksi malware Windows terkenal yang telah mendominasi lanskap ancaman sejak 2016.

Malware biasanya diinstal melalui email phishing berbahaya atau malware lainnya, dan diam-diam akan berjalan di komputer korban saat mendownload modul untuk melakukan tugas yang berbeda.

Modul-modul ini melakukan berbagai aktivitas berbahaya, termasuk mencuri database Layanan Direktori Aktif domain, menyebar secara lateral di jaringan, mengunci layar, mencuri cookie dan kata sandi browser, dan mencuri kunci OpenSSH.

Pada tahun 2019, TrickBot Group bermitra dengan operasi ransomware Ryuk untuk menyediakan akses awal geng ransomware ke jaringan. Pada tahun 2020, grup ransomware Conti, yang diyakini sebagai rebranding Ryuk, juga bermitra dengan TrickBot untuk akses awal.

Pada tahun 2021, TrickBot berusaha meluncurkan operasi ransomware mereka sendiri yang disebut Diavol, yang tidak pernah benar-benar berkembang, mungkin karena salah satu pengembangnya ditangkap.

Meskipun banyak upaya pencopotan oleh penegak hukum, TrickBot telah berhasil membangun kembali botnetnya dan terus meneror jaringan Windows. Pada Desember 2021, ketika kampanye distribusi TrickBot tiba-tiba berhenti.

Selama setahun terakhir, Conti telah menjadi salah satu operasi ransomware yang paling tangguh dan menguntungkan, bertanggung jawab atas banyak serangan terhadap korban terkenal dan mengumpulkan ratusan juta dolar dalam pembayaran tebusan.

Namun, Conti tidak merekrut “pengembang dan manajer elit” ini untuk bekerja pada malware TrickBot, melainkan untuk bekerja pada keluarga malware BazarBackdoor dan Anchor yang lebih tersembunyi seperti yang terlihat dari percakapan internal.

AdvIntel menjelaskan minggu lalu bahwa pergeseran dalam pengembangan ini karena malware TrickBot terlalu mudah dideteksi oleh perangkat lunak keamanan dan bahwa operasinya akan segera dihentikan.

Kremez menjelaskan bahwa jaringan kejahatan TrickBot, yang awalnya diluncurkan untuk mengejar penipuan, sekarang berfokus hampir seluruhnya pada ransomware dan pembobolan jaringan.

Sebuah laporan yang dirilis kemarin oleh perusahaan intelijen siber Intel471 juga mengkonfirmasi bahwa operasi itu dihentikan demi platform yang lebih menguntungkan.

Meskipun selalu baik untuk melihat operasi malware ditutup, kenyataannya adalah bahwa geng ransomware telah beralih ke keluarga BazarBackdoor yang lebih tersembunyi.

BazarBackdoor telah melihat peningkatan distribusi melalui email selama enam bulan terakhir, tetapi dengan penutupan TrickBot, kita mungkin akan melihatnya menjadi lebih umum dalam pelanggaran jaringan entitas perusahaan.

Sumber : Bleeping Computer

Peringatan keamanan: Peretas menggunakan malware baru ini untuk menargetkan peralatan firewall

by

Peretas yang terkait dengan militer Rusia mengeksploitasi kerentanan keamanan di firewall untuk menyusup ke jaringan dan menginfeksi mereka dengan malware, memungkinkan mereka untuk mendapatkan akses dari jarak jauh.

Peringatan oleh Pusat Keamanan Siber Nasional Inggris (NCSC), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA) dan Biro Investigasi Federal (FBI) telah merinci malware baru, Cyclops Blink, yang menghubungkannya ke Sandworm, operasi peretasan ofensif yang sebelumnya mereka tautkan ke GRU Rusia.

Analisis oleh NCSC menggambarkan Cyclops Blink sebagai “malware yang sangat canggih” yang telah “dikembangkan secara profesional”.

Cyclops Blink tampaknya menjadi pengganti VPNFilter, malware yang digunakan oleh kelompok peretas Rusia yang terkait dengan negara dalam serangan luas yang digunakan untuk mengkompromikan perangkat jaringan, terutama router, untuk mengakses jaringan.

Menurut NCSC, CISA, FBI dan NSA, Cyclops Blink telah aktif setidaknya sejak Juni 2019, dan seperti VPNFilter sebelumnya, penargetan digambarkan sebagai “tidak pandang bulu dan tersebar luas” dengan kemampuan untuk mendapatkan akses jarak jauh yang persisten ke jaringan.

Itu juga dapat mengunggah dan mengunduh file dari mesin yang terinfeksi dan bersifat modular, memungkinkan fungsionalitas baru ditambahkan ke malware yang sudah berjalan.

Serangan dunia maya terutama difokuskan pada perangkat firewall WatchGuard, tetapi agensi memperingatkan bahwa Sandworm mampu mengarahkan kembali malware untuk menyebarkannya melalui arsitektur dan firmware lain.

Cyclops Blink tetap ada saat reboot dan selama proses pembaruan firmware yang sah. Ini menargetkan perangkat WatchGuard yang dikonfigurasi ulang dari pengaturan default pabrikan untuk membuka antarmuka manajemen jarak jauh ke akses eksternal.

Infeksi tidak berarti organisasi adalah target utama, tetapi mungkin saja mesin yang terinfeksi dapat digunakan untuk melakukan serangan tambahan.

NCSC mendesak organisasi yang terkena dampak untuk mengambil langkah-langkah untuk menghapus malware, yang telah dirinci oleh WatchGuard.

NCSC memperingatkan bahwa setiap kata sandi yang ada pada perangkat yang terinfeksi oleh Cyclops Blink harus dianggap telah disusupi dan harus diubah.

Saran lain tentang melindungi jaringan dari serangan dunia maya termasuk menghindari paparan antarmuka manajemen perangkat jaringan ke internet, menjaga perangkat tetap up to date dengan patch keamanan terbaru dan menggunakan otentikasi multi-faktor.

Sumber :

Malware CryptBot yang diubah yang disebarkan oleh situs perangkat lunak bajakan

by

Versi baru dari pencuri info CryptBot terlihat didistribusikan melalui beberapa situs web yang menawarkan unduhan gratis untuk game dan perangkat lunak kelas pro.

CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.

Analis keamanan di Ahn Lab melaporkan pelaku ancaman CryptBot mendistribusikan malware melalui situs web yang berpura-pura menawarkan celah perangkat lunak, generator kunci, atau utilitas lainnya.

Untuk mendapatkan visibilitas yang luas, para pelaku ancaman memanfaatkan optimisasi mesin pencari untuk menentukan peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.

Menurut tangkapan layar yang dibagikan dari situs distribusi malware, pelaku ancaman menggunakan domain khusus atau situs web yang dihosting di Amazon AWS.

Beberapa situs web yang baru-baru ini digunakan untuk distribusi CryptoBot
Sumber: Ahn Lab

Pengunjung situs ini dibawa melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan bisa berada di situs sah yang disusupi yang disalahgunakan untuk serangan keracunan SEO.

Sampel baru CryptBot menunjukkan bahwa pembuatnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan kecil kemungkinannya untuk dideteksi.

Dalam konteks ini, rutinitas anti-kotak pasir telah dihapus, hanya menyisakan pemeriksaan jumlah inti CPU anti-VM di versi terbaru.

Juga, koneksi C2 kedua yang berlebihan dan folder eksfiltrasi kedua keduanya dihapus, dan varian baru hanya menampilkan C2 pencuri info tunggal.

Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file TXT di desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama eksfiltrasi.

Di sisi lain, versi terbaru CryptBot membawa beberapa tambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.

Pada versi sebelumnya, malware hanya dapat berhasil mengekstrak data saat diterapkan pada Chrome versi antara 81 dan 95.

Keterbatasan ini muncul dari penerapan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.

Perbandingan sistem penemuan pathname (kanan baru) – ASEC

Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, ia akan mengekstraknya terlepas dari versi Chrome.

Mempertimbangkan bahwa Google meluncurkan chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi memperbaiki masalah ini sudah terlambat bagi operatornya.

Sumber : Bleeping Computer

Peretas menyelinap ke obrolan Microsoft Teams untuk mendistribusikan malware

by

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Para peneliti di Avanan menemukan bahwa peretas mulai menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan di platform komunikasi Microsoft Teams.

Serangan dimulai pada bulan Januari, perusahaan mengatakan dalam sebuah laporan hari ini, dan aktor ancaman memasukkan dalam obrolan file yang dapat dieksekusi yang disebut “User Centric” untuk mengelabui pengguna agar menjalankannya. Setelah dijalankan, malware menulis data ke dalam registri sistem, menginstal DLL dan membuat kegigihan pada mesin Windows.

Metode yang digunakan untuk mendapatkan akses ke akun Teams masih belum jelas tetapi beberapa kemungkinan termasuk mencuri kredensial untuk email atau Microsoft 365 melalui phishing atau membahayakan organisasi mitra.

Analisis otomatis dari malware yang didistribusikan dengan cara ini menunjukkan bahwa trojan dapat membangun kegigihan melalui kunci Windows Registry Run atau dengan membuat entri di folder startup.

Itu juga mengumpulkan informasi terperinci tentang sistem operasi dan perangkat keras yang dijalankannya, bersama dengan status keamanan mesin berdasarkan versi OS dan tambalan yang diinstal.

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Lebih dari 270 juta pengguna mengandalkan Microsoft Teams setiap bulan, banyak dari mereka mempercayai platform secara implisit, meskipun tidak ada perlindungan terhadap file berbahaya.

Perusahaan menganalisis data dari rumah sakit yang menggunakan Teams dan menemukan bahwa dokter menggunakan platform untuk berbagi informasi medis tanpa batas.

Sementara individu biasanya curiga terhadap informasi yang diterima melalui email, karena pelatihan kesadaran phishing email, mereka tidak menunjukkan kehati-hatian dengan file yang diterima melalui Teams.

Selain itu, Teams menyediakan kemampuan akses tamu dan eksternal yang memungkinkan kolaborasi dengan orang-orang di luar perusahaan. Avanan mengatakan bahwa undangan ini biasanya dipenuhi dengan sedikit pengawasan.

Para peneliti mengatakan bahwa masalah ini diperparah oleh “fakta bahwa perlindungan default Teams kurang, karena pemindaian tautan dan file berbahaya terbatas” dan “banyak solusi keamanan email tidak menawarkan perlindungan yang kuat untuk Teams.”

Untuk mempertahankan diri dari serangan semacam itu, Avanan merekomendasikan hal berikut:

• Menerapkan perlindungan yang mengunduh semua file di kotak pasir dan memeriksanya untuk konten berbahaya
• Terapkan keamanan suite lengkap yang kuat yang mengamankan semua lini komunikasi bisnis, termasuk Teams
• Dorong pengguna akhir untuk menghubungi TI saat melihat file yang tidak dikenal

Sumber :

Varian Malware MyloBot Baru – Mengirim Email Sextortion Menuntut Bitcoin

by

Varian MyloBot Malware baru mengirimkan email sextortion yang menuntut korban untuk membayar $2.732 dalam bentuk Bitcoin. Awalnya MyloBot muncul pada tahun 2018 dan dikenal dengan berbagai kemampuan anti-debugging yang canggih dan teknik propagasi untuk mengubah mesin yang terinfeksi menjadi botnet. Selain itu, ia juga menghapus jejak malware pesaing lainnya dari sistem.

Malware ini memiliki beberapa kemampuan luar biasa untuk tetap menyamar dan menghindari deteksi termasuk penundaan 14 hari sebelum dapat mengakses server perintah dan kontrolnya. Selain itu, ia juga dapat mengeksekusi binari berbahaya langsung dari memori.

Teknik pelubangan proses membantu MyloBot memanfaatkan kode serangan saat disuntikkan ke dalam proses yang ditangguhkan dan dilubangi. Ini berhasil menghindari pertahanan berbasis proses dan mencapainya dengan membuka pemetaan memori yang dialokasikan untuk proses langsung. Kemudian menggantinya dengan kode arbitrer yang akan dieksekusi, dalam hal ini, file sumber daya yang didekodekan.

Menurut laporan peneliti Minerva Labs Natalie Zargarov, “Tahap kedua yang dapat dieksekusi kemudian membuat folder baru di bawah C:\ProgramData. Itu mencari svchost.exe di bawah direktori sistem dan menjalankannya dalam keadaan ditangguhkan. Menggunakan teknik injeksi APC, ia menyuntikkan dirinya ke dalam proses svchost.exe yang muncul.”

Seperti proses pengosongan, injeksi APC adalah teknik injeksi proses yang memungkinkan penyisipan kode berbahaya ke dalam proses korban yang ada melalui antrian asynchronous procedure call (APC).

Pada fase kedua, ia membangun kegigihan pada host yang disusupi dan mendapatkan pijakan, dan menggunakannya sebagai batu loncatan untuk membangun komunikasi dengan server jarak jauh untuk mengambil dan menjalankan muatan. Yang memungkinkannya untuk memecahkan kode dan menjalankan malware tahap akhir.

Malware MyloBot dirancang untuk menyalahgunakan titik akhir untuk mengirim pesan pemerasan yang menyinggung perilaku online penerima. Ini termasuk mengunjungi situs porno dan mengancam akan membocorkan video yang diduga direkam dengan membobol webcam komputer mereka.

Menurut peneliti Minerva Labs, ia juga memiliki kemampuan untuk mengunduh file tambahan, menunjukkan bahwa pelaku ancaman meninggalkan pintu belakang untuk melakukan serangan lebih lanjut.

Zargarov lebih lanjut menambahkan, “Aktor ancaman ini mengalami banyak masalah untuk menjatuhkan malware dan membuatnya tidak terdeteksi, hanya untuk menggunakannya sebagai pengirim surat pemerasan. Botnet sangat berbahaya karena ancaman mendatang yang tidak diketahui ini. Itu bisa dengan mudah menjatuhkan dan mengeksekusi ransomware, spyware, worm, atau ancaman lain di semua titik akhir yang terinfeksi.”

Sumber : TechnoidHost