Malware

Penerbit Game Terkemuka Mengalami Epidemi Kredensial yang Bocor

January 5, 2021 by Mally

Perusahaan game terkemuka, seperti Ubisoft, telah menjadi target besar bagi penjahat siber yang bertujuan untuk menghasilkan keuntungan dengan menjual kredensial orang dalam yang bocor yang terkait dengan penerbit game teratas.

Lebih dari 500.000 kredensial curian yang memiliki kaitan dengan 25 perusahaan game teratas ditemukan di cache data yang dilanggar secara online dan tersedia untuk dijual di pasar kriminal, menurut para peneliti di Kela.

Yang membuat penelitian Kela unik adalah sorotan yang diterimanya dari terobosan yang telah dibuat oleh peretas di dalam industri senilai $196 miliar. Yang memicu tren, tulis penulis laporan tersebut, Almog Zoosman dan Victoria Kivilevich, adalah ledakan dalam sektor yang dipicu oleh permintaan COVID-19 untuk menjaga jarak sosial yang mendorong minat dalam aktivitas soliter dari video game.

Alat yang digunakan untuk menyerang perusahaan game termasuk malware AZORult, yang digunakan dalam serangan biasa dan serangan phishing canggih yang menargetkan karyawan perusahaan game. AZORult, malware pencuri info, digunakan untuk menyedot kredensial dari korban yang kemudian digunakan untuk menyusupi jaringan target lebih lanjut.

Sejumlah serangan yang berhasil, lapor para peneliti, telah memicu berkembang pesatnya black market untuk kredensial perusahaan game mulai dari yang terkait dengan layanan VPN, portal manajemen situs web, panel admin, lingkungan terkait pengembang, dan akses instans Jira. Tentu saja, serangan ransomware juga merupakan bagian dari pedoman para peretas.

Sumber: Threat Post

Malware Emotet menyerang Pusat Kesehatan Umum Nasional Lituania

December 31, 2020 by Mally

Jaringan internal Pusat Kesehatan Masyarakat Nasional (NVSC) Lituania dan beberapa kota telah terinfeksi malware Emotet setelah kampanye besar-besaran yang menargetkan lembaga negara bagian.

“Ketika penerima yang terinfeksi membuka pesan yang terinfeksi, virus memasuki jaringan internal institusi,” kata pejabat NVSC dalam sebuah pernyataan yang diterbitkan hari ini.

“Komputer yang terinfeksi, setelah mengunduh file tambahan, mulai mengirim email palsu atau terlibat dalam jenis aktivitas berbahaya lainnya.”

Pejabat pemerintah Lithuania, perwakilan kementerian, dan ahli diagnostik epidemiologi yang sebelumnya telah dihubungi oleh spesialis NVSC melalui email semuanya telah menerima email yang terinfeksi Emotet dari sistem yang terinfeksi.

Sistem email NVSC telah ditutup sementara pada hari Selasa untuk menghentikan penyebaran virus lebih lanjut.

Spesialis teknologi informasi NVSC, bersama dengan para ahli dari Pusat Telekomunikasi Negara Bagian dan Pusat Keamanan Siber Nasional saat ini bekerja untuk membersihkan sistem yang terkena infeksi Emotet, serta memulihkan email NVSC dan memulihkan akses email.

Ini adalah kampanye Emotet besar kedua yang menargetkan Lituania tahun ini, yang sebelumnya terdeteksi oleh NKSC pada bulan Oktober.

NKSC menerbitkan sebuah laporan pada saat itu yang merekomendasikan target potensial (termasuk namun tidak terbatas pada lembaga negara dan perusahaan) untuk mengaktifkan dan mengkonfigurasi otentikasi email Sender Policy Framework (SPF) dengan benar.

Sumber: Bleeping Computer

Kampanye Emotet Dimulai Kembali Setelah Hiatus Tujuh Minggu

December 23, 2020 by Mally

Pada bulan Oktober, tiga gelombang spam yang sarat dengan Emotet downloader bekerja untuk menyebarkan malware ke sistem pengguna yang rentan, memulai rangkaian yang sering mengakibatkan infeksi ransomware Ryuk atau upaya untuk mencuri kredensial rekening bank melalui Trojan perbankan Trickbot.

Tujuh minggu setelah kampanye besar Emotet terakhir, para penjahat siber di belakang kampanye tersebut telah memulai upaya mereka untuk menyusupi lebih banyak sistem, menurut beberapa organisasi keamanan siber.

Tim anti-spam Abuse.ch mencatat pada 22 Desember bahwa aktivitas kelompok kejahatan siber telah meningkatkan tepat sebelum Natal. Sehari sebelumnya, penyedia keamanan perpesanan Proofpoint mencatat bahwa sistemnya melihat lebih dari 100.000 pesan dalam berbagai bahasa dan dengan berbagai lampiran atau tautan.

Kampanye terbaru dapat menyebabkan sistem yang dikompromikan dan ancaman terhadap jaringan bisnis, karena sebagian besar karyawan terus bekerja dari rumah.

“Apa yang membuat Emotet sangat berbahaya bagi organisasi adalah bahwa itu telah menjadi pijakan utama untuk penyebaran Trojan perbankan lainnya di masa depan,” kata Sherrod DeGrippo, direktur senior penelitian dan deteksi ancaman di Proofpoint. “Pada titik ini, Trojan perbankan arus utama dapat menyebabkan serangan ransomware yang menghancurkan”.

Sementara kampanye Emotet terbaru dimulai sekitar pertengahan Desember, aktivitas tersebut menjadi paling jelas dalam beberapa hari terakhir. Proofpoint mengeluarkan pernyataan singkat di Twitter pada 21 Desember yang juga menampilkan tangkapan layar dari manipulasi psikologis yang digunakan untuk mencoba membuat korban mematikan fitur Microsoft 365 yang memblokir dokumen berbahaya.

Sumber: Dark Reading

Grup peretasan kedua telah menargetkan sistem SolarWinds

December 22, 2020 by Mally

Ketika bukti forensik perlahan-lahan digali setelah serangan rantai pasokan SolarWinds, peneliti keamanan telah menemukan pelaku ancaman kedua yang telah mengeksploitasi perangkat lunak SolarWinds untuk menanam malware di jaringan perusahaan dan pemerintah.

Rincian tentang aktor ancaman kedua ini masih langka, tetapi peneliti keamanan tidak percaya entitas kedua ini terkait dengan dugaan peretas yang didukung pemerintah Rusia yang melanggar SolarWinds untuk memasukkan malware ke dalam aplikasi resmi Orion.

Malware yang digunakan dalam serangan asli, dengan nama sandi Sunburst (atau Solorigate), dikirimkan ke pelanggan SolarWinds sebagai pembaruan yang di-boobytrapped untuk aplikasi Orion.

Tetapi dalam beberapa hari pertama setelah pengungkapan publik dari peretasan SolarWinds, laporan awal menyebutkan dua muatan tahap kedua.

Laporan dari Guidepoint, Symantec, dan Palo Alto Networks merinci bagaimana penyerang juga menanam web shell .NET bernama Supernova. Peneliti keamanan percaya bahwa penyerang menggunakan web shell Supernova untuk mengunduh, mengkompilasi, dan mengeksekusi skrip Powershell yang berbahaya (yang oleh beberapa orang dinamai CosmicGale).

Namun, dalam analisis tindak lanjut dari tim keamanan Microsoft, sekarang diklarifikasi bahwa web shell Supernova bukan bagian dari rantai serangan asli.

Kebingungan bahwa Supernova terkait dengan rantai serangan Sunburst + Teardrop berasal dari fakta bahwa sama seperti Sunburst, Supernova menyamar sebagai DLL untuk aplikasi Orion – dengan Sunburst disembunyikan di dalam file SolarWinds.Orion.Core.BusinessLayer.dll dan Supernova di dalam App_Web_logoimagehandler.ashx.b6031896.dll.

Sumber: ZDNet

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

December 18, 2020 by Mally

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

Microsoft juga mengalami Security Breach dalam peretasan rantai pasokan SolarWinds baru-baru ini, lapor

December 18, 2020 by Mally

Peretas yang disponsori negara yang melanggar penyedia perangkat lunak AS SolarWinds awal tahun ini memutar ke jaringan internal Microsoft, dan kemudian menggunakan salah satu produk Microsoft sendiri untuk meluncurkan serangan terhadap perusahaan lain, Reuters melaporkan hari ini mengutip sumber yang mengetahui penyelidikan tersebut.

Berita tersebut muncul setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan peringatan hari ini tentang serangan rantai pasokan SolarWinds dan dampaknya terhadap lembaga pemerintah, entitas infrastruktur penting, dan organisasi sektor swasta.

CISA mengatakan mereka memiliki “bukti vektor akses awal tambahan, selain platform SolarWinds Orion.” Dua laporan Reuters tentang dugaan peretasan Microsoft tidak mengatakan produk Microsoft apa yang disalahgunakan oleh peretas setelah melanggar Microsoft.

Seorang juru bicara Microsoft menerima telepon sebelumnya hari ini tetapi tidak memiliki apa pun untuk dibagikan sebelum artikel ini dipublikasikan. Microsoft sekarang bergabung dengan daftar entitas profil tinggi yang telah diretas melalui pembaruan backdoor untuk aplikasi pemantauan jaringan SolarWinds Orion.

Sebagian besar dari korban ini adalah lembaga pemerintah AS, seperti:

Departemen Keuangan AS
Administrasi Informasi dan Telekomunikasi Nasional (NTIA) Departemen Perdagangan AS
National Institutes of Health (NIH) Departemen Kesehatan
Badan Keamanan Siber dan Infrastruktur (CISA)
Departemen Keamanan Dalam Negeri (DHS)
Departemen Luar Negeri AS
Administrasi Keamanan Nuklir Nasional (NNSA) (juga diungkapkan hari ini)
Departemen Energi AS (DOE) (juga diungkapkan hari ini)
Tiga negara bagian AS (juga diungkapkan hari ini)
Kota Austin (juga diungkapkan hari ini)

sumber : ZDNET

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

December 14, 2020 by Mally

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

Microsoft mengekspos Adrozek, malware yang membajak Chrome, Edge, dan Firefox

December 11, 2020 by Mally

Microsoft telah meningkatkan kewaspadaan tentang jenis malware baru yang menginfeksi perangkat pengguna dan kemudian mulai memodifikasi browser dan pengaturannya untuk memasukkan iklan ke halaman hasil pencarian.

Dinamakan Adrozek, malware tersebut telah aktif setidaknya sejak Mei 2020 dan mencapai puncak absolutnya pada Agustus tahun ini ketika ia mengendalikan lebih dari 30.000 browser setiap hari.

Dalam laporannya, Tim Riset Defender Microsoft 365 yakin bahwa jumlah pengguna yang terinfeksi jauh lebih tinggi. Peneliti Microsoft mengatakan bahwa antara Mei dan September 2020, mereka mengamati “ratusan ribu” deteksi Adrozek di seluruh dunia.

Berdasarkan telemetri internal, konsentrasi korban tertinggi tampaknya berada di Eropa, diikuti oleh Asia Selatan dan Tenggara.

Microsoft mengatakan bahwa, saat ini, malware didistribusikan melalui skema pengunduhan drive-by klasik. Pengguna biasanya dialihkan dari situs sah ke shady domain tempat mereka tertipu untuk memasang perangkat lunak berbahaya.

Boobytrapped software menginstal malware Androzek, yang kemudian melanjutkan untuk mendapatkan persistensi booting ulang dengan bantuan registry key. Setelah persistensi terjamin, malware akan mencari peramban yang dipasang secara lokal seperti Microsoft Edge, Google Chrome, Mozilla Firefox, atau Peramban Yandex.

Adrozek juga memodifikasi beberapa file DLL browser untuk mengubah pengaturan browser dan menonaktifkan fitur keamanan untuk menghindari deteksi.

Microsoft mengatakan bahwa di Firefox, Adrozek juga berisi fitur sekunder yang mengekstrak kredensial dari browser dan mengunggah data ke server penyerang.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings