Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Grup peretasan mengeksploitasi ZeroLogon di otomotif, gelombang serangan industri

by

Serangan dunia maya aktif dianggap sebagai hasil karya Cicada, juga dilacak sebagai APT10, Stone Panda, dan Cloud Hopper.

Secara historis, kelompok ancaman – pertama kali ditemukan pada 2009 dan yang diyakini AS mungkin disponsori oleh pemerintah China – telah menargetkan organisasi yang terhubung ke Jepang, dan gelombang serangan terbaru ini tampaknya tidak berbeda. Peneliti Symantec telah mendokumentasikan perusahaan dan anak perusahaannya di 17 wilayah, yang terlibat dalam industri otomotif, farmasi, teknik, dan penyedia layanan terkelola (MSP), yang baru-baru ini menjadi sasaran Cicada.

Menurut perusahaan, gelombang serangan terbaru Cicada telah aktif sejak pertengahan Oktober 2019 dan berlanjut hingga setidaknya Oktober tahun ini.

sumber : ZDNET

Worm Lama Tapi Teknik Obfuscation Baru

by

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU

Malware Chaes menyerang pelanggan platform e-commerce terbesar di Amerika Latin

by

Malware yang sebelumnya tidak dikenal telah terdeteksi dalam serangan yang meluas terhadap pelanggan e-commerce di Amerika Latin.

Malware, yang dijuluki Chaes oleh para peneliti Cybereason Nocturnus, digunakan oleh pelaku ancaman di seluruh wilayah LATAM (Latin America) untuk mencuri informasi keuangan.

Dalam sebuah posting blog, tim keamanan siber mengatakan pelanggan Brasil dari perusahaan e-commerce terbesar di kawasan itu, MercadoLivre, adalah fokus dari malware infostealing tersebut.

Pertama kali terdeteksi pada akhir tahun 2020 oleh Cybereason, Chaes disebarkan melalui kampanye phishing, di mana email mengklaim bahwa pembelian di platform MercadoLivre telah berhasil. Untuk mencoba dan meningkatkan tampilan email agar terlihat sah, pelaku ancaman juga menambahkan “dipindai oleh Avast” pada footer.

Pesan tersebut berisi lampiran file .docx berbahaya. Assaf Dahan, Kepala Peneliti di Cybereason, mengatakan kepada ZDNet bahwa lampiran tersebut memanfaatkan “teknik injeksi template, menggunakan fitur bawaan Microsoft Word untuk mengambil muatan dari server jarak jauh.”

Jika korban mengklik file tersebut, kerentanan digunakan untuk membuat sambungan dengan server command-and-control (C2) penyerang, serta mendownload muatan berbahaya pertama, file .msi.

File ini kemudian menyebarkan file .vbs yang digunakan untuk menjalankan proses lain, serta uninstall.dll dan engine.bin, yang keduanya bertindak sebagai “engine” malware. Trio file yang lain – hhc.exe, hha.dll dan chaes1.bin – diinstal yang menyatukan komponen utama Chaes. Modul penambangan cryptocurrency juga dicatat.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Peretas dapat menginstal firmware berbahaya pada PC menggunakan bug Intel yang baru saja diperbaiki

by

Awal pekan ini, Intel memperbaiki serangkaian bug yang memungkinkan penyerang menginstal firmware berbahaya di jutaan komputer yang menggunakan CPU-nya.

Kerentanan tersebut memungkinkan peretas dengan akses fisik untuk mengganti perlindungan yang dibangun Intel ke dalam CPU modern yang mencegah firmware tidak resmi berjalan selama proses boot. Dikenal sebagai Boot Guard, ukuran ini dirancang untuk menghubungkan rantai kepercayaan langsung ke silikon untuk memastikan bahwa semua firmware yang dimuat ditandatangani secara digital oleh produsen komputer. Boot Guard melindungi dari kemungkinan seseorang merusak chip flash yang tersambung ke SPI yang menyimpan UEFI, yang merupakan bagian rumit dari firmware yang menjembatani firmware perangkat PC dengan sistem operasinya.

Jenis peretasan ini biasanya terjadi ketika penyerang memasang perangkat keras ke bagian dalam komputer dan menggunakan Dediprog atau alat pemrograman chip serupa untuk mengganti firmware resmi dengan firmware berbahaya.

Penyerang yang dapat melewati Boot Guard dapat melakukan sejumlah aktivitas berbahaya. salah satunya mendapatkan kunci yang digunakan untuk mengenkripsi hard drive. Dengan itu, penyerang bisa mendapatkan versi yang didekripsi dari semua data yang disimpan di komputer tanpa memerlukan kata sandi pengguna.

Penyerang juga dapat menginfeksi komputer dengan rootkit, kode berbahaya yang sulit dideteksi — yang akan berjalan dalam mode pengelolaan sistem hingga boot ulang berikutnya. Implan SMM semacam itu adalah jenis yang dilaporkan dimiliki oleh NSA.

Intel tidak mengatakan bagaimana cara memperbaiki kerentanan yang berasal dari pengaturan sekering yang tidak dapat diatur ulang. Hudson mencurigai bahwa Intel melakukan perubahan menggunakan firmware yang berjalan di Intel Management Engine, koprosesor keamanan dan manajemen di dalam chipset CPU yang menangani akses ke sekering OTP.

Source : arstechnica

Capcom menkonfirmasi adanya data breach data breach dalam serangan siber

by

Jika anda tumbuh di masa-masa permainan arcade, maka anda pasti mengenal Capcom, pengembang waralaba game terkenal seperti Street Fighter, Resident Evil, Ghosts and Goblins, Devil May Cry, dan Mega Man. Raksasa game Jepang tersebut telah mengumumkan databreach setelah mengonfirmasi bahwa penyerang mencuri informasi sensitif pelanggan dan karyawan selama serangan ransomware baru-baru ini.

Diketahui bahwa malware yang menyebabkan insiden tersebut adalaj ransomware Ragnar Locker, yang menyebabkan serangan cyber Capcom setelah peneliti keamanan menemukan sampel malware yang digunakan dalam serangan mereka.

Capcom menyatakan tidak ada indikasi bahwa data apa pun telah dicuri.
“Lebih lanjut, disebutkan bahwa saat ini tidak ada indikasi bahwa informasi pelanggan telah dilanggar,” kata Capcom dalam siaran pers 4 November.
Namun, pernyataan mereka bertentangan dengan sampel data yang dicuri yang dilihat oleh BleepingComputer dan diterbitkan oleh Ragnar Locker di situs web dan catatan tebusan mereka.

Capcom mengakui bahwa tidak hanya dokumen rahasia perusahaan yang dicuri, tetapi pelaku ancaman juga mencuri data pelanggan dan karyawan.

Selama serangan itu, para peretas memperoleh akses ke nama pelanggan, alamat, jenis kelamin, nomor telepon, alamat email, tanggal lahir, nama investor, dan jumlah kepemilikan saham, dan foto.
Bagi karyawan, informasi yang terekspos dapat mencakup nama, alamat, informasi paspor, tanda tangan, tanggal lahir, nomor telepon, foto, alamat email, dan lainnya.

Jika anda pernah mendaftarkan akun anda ke Capcom, kami menyarankan untuk mengubah kata sandi Anda dan memastikannya tidak digunakan di situs lain

Malware Lazarus menyerang rantai pasokan Korea Selatan

by

Malware Lazarus telah dilacak dalam kampanye baru melawan rantai pasokan Korea Selatan, yang kemungkinan menggunakan sertifikat keamanan yang dicuri.

Pada hari Senin, peneliti keamanan siber dari ESET mengungkapkan penyalahgunaan sertifikat, yang dicuri dari dua perusahaan resmi Korea Selatan yang terpisah.

Lazarus, juga dikenal sebagai Hidden Cobra, adalah istilah umum untuk kelompok ancaman tertentu – termasuk entitas cabang – yang dicurigai terkait dengan Korea Utara.

Dalam serangan rantai pasokan ini, pelaku ancaman menggunakan “mekanisme rantai pasokan yang tidak biasa,” kata ESET, di mana Lazarus menyalahgunakan persyaratan standar untuk pengguna internet Korea Selatan – kebutuhan untuk memasang perangkat lunak keamanan tambahan saat mereka mengunjungi situs web pemerintah atau layanan keuangan.

Biasanya, pengguna akan diminta untuk mengunduh WIZVERA VeraPort, program yang digunakan untuk mengatur unduhan perangkat lunak yang diperlukan untuk mengunjungi domain tertentu. WIZVERA VeraPort menandatangani secara digital dan memverifikasi unduhan secara kriptografis.

“[Inilah] mengapa penyerang tidak dapat dengan mudah mengubah konten file konfigurasi ini atau membuat situs palsu mereka sendiri,” kata para peneliti. “Namun, para penyerang dapat mengganti perangkat lunak yang akan dikirimkan ke pengguna WIZVERA VeraPort dari situs web yang sah tetapi disusupi. Kami yakin ini adalah skenario yang digunakan penyerang Lazarus”.

Sumber: ZDNet

Lazarus telah menargetkan link yang lebih lemah dalam rantai tersebut dengan secara ilegal memperoleh sertifikat penandatanganan kode dari dua perusahaan keamanan Korea Selatan.

Untuk mengeksploitasi perangkat lunak, sertifikat yang dicuri – tetapi valid – digunakan untuk meluncurkan muatan malware Lazarus.

Jika korban mengunjungi situs web berbahaya, misalnya, dan tanpa disadari mengunduh perangkat lunak yang dikompromikan, Lazarus kemudian akan meluncurkan dropper melalui WIZVERA VeraPort yang mengekstrak downloader dan file konfigurasi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Ticketmaster Mendapat Denda Besar Selama Pelanggaran Data 2018

by

Raksasa acara menghadapi hukuman terkait GDPR di Inggris, dan lebih banyak lagi bisa mengikuti. Divisi Ticketmaster Inggris telah didenda $ 1,65 juta oleh Kantor Komisaris Informasi (ICO) di Inggris, atas pelanggaran data 2018 yang berdampak pada 9,4 juta pelanggan.

Denda (£ 1,25 juta) telah dikenakan setelah ICO menemukan bahwa perusahaan “gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan cyber pada bot-chat yang dipasang di halaman pembayaran online-nya” – kegagalan yang melanggar Peraturan Perlindungan Data Umum (GDPR) UE.

Pada Juni 2018, raksasa penjualan tiket itu mengatakan bahwa mereka menemukan malware dalam fungsi obrolan pelanggan untuk situs webnya, yang dihosting oleh Inbenta Technologies. Yang mengkhawatirkan, kode berbahaya tersebut ditemukan mengakses berbagai informasi, termasuk nama, alamat, alamat email, nomor telepon, detail pembayaran, dan detail login Ticketmaster. Belakangan diketahui bahwa serangan itu adalah pekerjaan geng Magecart, yang dikenal karena menyuntikkan skimmer pembayaran ke komponen situs web yang rentan.

sumber : ThreatPost

Penyerang Siber Melayani Backdoor Khusus untuk Perangkat Lunak Restoran Oracle

by

Malware modular sangat canggih tetapi mungkin tidak dapat menangkap info kartu kredit. ModPipe, backdoor yang sebelumnya tidak dikenal, telah dibuat khusus untuk menyerang solusi point-of-sale (PoS) restoran dari Oracle. Terkenal karena kecanggihannya yang tidak biasa, menurut peneliti, dibuktikan dengan berbagai modulnya.

Kode tersebut secara khusus membidik Oracle MICROS Restaurant Enterprise Series (RES) 3700 POS – rangkaian perangkat lunak manajemen yang digunakan oleh ratusan ribu bar, restoran, hotel, dan perusahaan perhotelan lainnya di seluruh dunia, menurut ESET. Serangan tersebut terutama terjadi di AS, kata para peneliti – meskipun vektor infeksi awal tidak diketahui.

Salah satu modul perangkat lunak perusak yang dapat diunduh, yang disebut GetMicInfo, sangat unik, kata perusahaan itu. Ini mengendus dan mengeksfiltrasi kredensial yang memungkinkan operator ModPipe mengakses konten basis data, termasuk berbagai definisi dan data konfigurasi, tabel status, dan informasi tentang transaksi PoS.

sumber : ThreatPost