Malware

Serangan phishing di seluruh dunia menghasilkan tiga jenis malware baru

May 5, 2021 by Winnie the Pooh Leave a Comment

Kampanye phishing berskala global yang menargetkan organisasi di seluruh dunia di berbagai industri dengan rangkaian malware yang belum pernah terlihat sebelumnya dikirim melalui umpan yang disesuaikan secara khusus.

Serangan itu menghantam setidaknya 50 organisasi dari berbagai industri dalam dua gelombang, pada 2 Desember dan antara 11 dan 18 Desember, menurut laporan Mandiant.

UNC2529, bagaimana peneliti ancaman Mandiant menyebut kelompok ancaman yang “tidak dikategorikan” di balik kampanye ini, telah menyebarkan tiga jenis malware baru ke komputer target menggunakan umpan phishing khusus.

Malware yang digunakan oleh UNC2529 dalam serangan ini sangat disamarkan untuk menghalangi analisis, dan mencoba menghindari deteksi dengan menyebarkan muatan dalam memori jika memungkinkan.

Sepanjang dua gelombang serangan, grup ancaman menggunakan email phishing dengan tautan ke pengunduh berbasis JavaScript (dijuluki DOUBLEDRAG) atau dokumen Excel dengan makro tertanam yang mengunduh dropper berbasis PowerShell dalam memori (dikenal sebagai DOUBLEDROP) dari penyerang ‘server perintah-dan-kontrol (C2).

Kemudian DOUBLEDROP memuat backdoor di dalam memory (bernama DOUBLEBACK), malware yang dibuat dalam versi 32-bit dan 64-bit, yang diimplementasikan sebagai PE dynamic library.

Selengkapnya: Bleeping Computer

Malware Windows ‘Pingback’ baru menggunakan ICMP untuk komunikasi rahasia

May 5, 2021 by Winnie the Pooh

Hari ini, para peneliti telah mengungkapkan temuan mereka pada sampel malware Windows baru yang menggunakan Internet Control Message Protocol (ICMP) untuk aktivitas command-and-control (C2).

Dijuluki “Pingback”, malware ini menargetkan sistem Microsoft Windows 64-bit, dan menggunakan DLL Hijacking untuk terus bertahan.

Hari ini, arsitek senior Trustwave Lloyd Macrohon dan peneliti keamanan utama Rodel Mendrez, telah merilis temuan mereka tentang malware Windows baru yang berbentuk DLL 64-bit.

Yang perlu diperhatikan adalah sampel malware menggunakan protokol komunikasi ICMP, yang juga digunakan oleh perintah ping populer dan utilitas Windows traceroute.

File berbahaya yang dimaksud hanyalah DLL 66-KB yang disebut oci.dll, dan biasanya dijatuhkan di dalam folder “Sistem” Windows oleh proses berbahaya atau vektor serangan lainnya.

Para peneliti lalu menyadari bahwa DLL ini tidak dimuat oleh aplikasi Windows rundll32.exe yang sudah dikenal, tetapi mengandalkan DLL Hijacking.

Peneliti Trustwave mengidentifikasi bahwa itu adalah layanan Microsoft Distributed Transaction Control (msdtc) yang disalahgunakan untuk memuat oci.dll yang berbahaya.

Malware oci.dll yang diluncurkan oleh msdtc, menggunakan ICMP untuk secara diam-diam menerima perintah dari server C2-nya.

Peneliti Trustwave yang menamai malware ini “Pingback”, menyatakan bahwa keuntungan menggunakan ICMP untuk komunikasi adalah Pingback tetap tersembunyi secara efektif dari pengguna.

Selengkapnya: Bleeping Computer

Perusahaan keamanan Kaspersky yakin telah menemukan malware CIA baru

April 30, 2021 by Winnie the Pooh

Perusahaan keamanan dunia maya Kaspersky mengatakan mereka menemukan malware baru yang tampaknya dikembangkan oleh Badan Intelijen Pusat AS.

Kaspersky mengatakan menemukan malware dalam “kumpulan sampel malware” yang diterima analis dan perusahaan keamanan lainnya pada Februari 2019.

Meskipun analisis awal tidak menemukan kode yang dibagikan dengan sampel malware yang diketahui sebelumnya, Kaspersky baru-baru ini menganalisis ulang file tersebut dan mengatakan menemukan bahwa “sampel memiliki perpotongan pola pengkodean, gaya, dan teknik yang telah terlihat di berbagai keluarga Lambert.”

Lamberts adalah nama kode internal yang digunakan Kaspersky untuk melacak operasi peretasan CIA.

Empat tahun lalu, setelah WikiLeaks mengungkap kemampuan peretasan CIA kepada publik dalam serangkaian kebocoran yang dikenal sebagai Vault7, perusahaan keamanan AS Symantec secara terbuka menghubungkan alat peretasan Vault7 ke CIA dan Longhorn APT (nama industri lain untuk Lamberts).

Karena memiliki kesamaan antara sampel yang baru ditemukan ini dan malware CIA sebelumnya, Kaspersky mengatakan sekarang melacak cluster malware baru ini sebagai Purple Lambert.

Berdasarkan metadata Purple Lambert, sampel malware tampaknya telah dikompilasi tujuh tahun lalu, pada tahun 2014.

Mengenai apa yang dilakukan malware ini, deskripsi Kaspersky tentang Purple Lambert tampaknya mengatakan malware bertindak sebagai trojan backdoor yang mendengarkan lalu lintas jaringan untuk paket tertentu yang akan mengaktifkannya pada host yang terinfeksi.

Selengkapnya: The Record

Malware Linux tersembunyi yang digunakan untuk sistem backdoor selama bertahun-tahun

April 29, 2021 by Winnie the Pooh

Malware Linux yang baru-baru ini ditemukan dengan kemampuan backdoor telah berada di luar radar selama bertahun-tahun, memungkinkan penyerang untuk memanen dan mengekstrak informasi sensitif dari perangkat yang disusupi.

Backdoor, yang dijuluki RotaJakiro oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), tetap tidak terdeteksi oleh mesin anti-malware VirusTotal, meskipun sampel pertama kali diunggah pada tahun 2018.

RotaJakiro dirancang untuk beroperasi secara sembunyi-sembunyi, mengenkripsi saluran komunikasinya menggunakan kompresi ZLIB dan enkripsi AES, XOR, ROTATE.

Itu juga melakukan yang terbaik untuk memblokir analis malware agar tidak membedahnya karena informasi sumber daya yang ditemukan dalam sampel yang ditemukan oleh sistem BotMon 360 Netlab dienkripsi menggunakan algoritma AES.

Penyerang dapat menggunakan RotaJakiro untuk mengekstrak info sistem dan data sensitif, mengelola plugin dan file, dan menjalankan berbagai plugin pada perangkat Linux 64-bit yang disusupi.

Namun, 360 Netlab belum menemukan maksud sebenarnya pembuat malware untuk alat berbahaya mereka karena kurangnya visibilitas ketika datang ke plugin yang disebarkannya pada sistem yang terinfeksi.

Sejak 2018 ketika sampel RotaJakiro pertama mendarat di VirusTotal, 360 Netlab menemukan empat sampel berbeda yang diunggah antara Mei 2018 dan Januari 2021, semuanya dengan total nol deteksi yang mengesankan.

Peneliti 360 Netlab juga menemukan tautan ke botnet Torii IoT yang pertama kali ditemukan oleh pakar malware Vesselin Bontchev dan dianalisis oleh Tim Intelijen Ancaman Avast pada September 2018.

Selengkapnya: Bleeping Computer

Peretas Passwordstate melakukan phish untuk lebih banyak korban dengan malware yang diperbarui

April 29, 2021 by Winnie the Pooh

Click Studios, perusahaan perangkat lunak di balik pengelola kata sandi perusahaan Passwordstate, memperingatkan pelanggan tentang serangan phishing yang sedang berlangsung yang menargetkan mereka dengan malware Moserpass yang diperbarui.

Minggu lalu, perusahaan memberi tahu penggunanya bahwa penyerang berhasil menyusupi mekanisme pembaruan pengelola kata sandi untuk mengirimkan malware pencuri info yang dikenal sebagai Moserpass ke sejumlah pelanggan yang belum diungkapkan antara 20 April dan 22 April.

Click Studios menerbitkan peringatan kedua pada hari Minggu, mengatakan bahwa “hanya pelanggan yang melakukan Peningkatan Di Tempat antara waktu yang disebutkan di atas yang diyakini terpengaruh dan mungkin catatan kata sandi Passwordstate mereka diambil”.

Sejak itu, Click Studios telah membantu pelanggan yang berpotensi terkena dampak melalui email, menyediakan perbaikan terbaru yang dirancang untuk membantu mereka menghapus malware dari sistem mereka.

Namun, seperti yang terungkap hari ini dalam sebuah advisory baru, email yang diterima dari Click Studios dibagikan oleh pelanggan di media sosial yang memungkinkan pelaku ancaman yang tidak dikenal untuk membuat email phishing yang cocok dengan korespondensi perusahaan dan mendorong varian Moserpass baru.

Perusahaan sekarang meminta mereka yang menerima email mencurigakan “untuk tetap waspada dan memastikan validitas email” yang mereka terima.

Selengkapnya: Bleeping Computer

Cyberspies menargetkan organisasi militer di negara Asia Tenggara dengan backdoor Nebulae baru

April 29, 2021 by Winnie the Pooh

Aktor ancaman berbahasa Mandarin telah menyebarkan backdoor baru dalam beberapa operasi spionase dunia maya yang berlangsung selama kira-kira dua tahun dan menargetkan organisasi militer dari Asia Tenggara.

Setidaknya selama satu dekade, kelompok peretas yang dikenal sebagai Naikon telah aktif memata-matai organisasi di negara-negara sekitar Laut Cina Selatan, termasuk Filipina, Malaysia, Indonesia, Singapura, dan Thailand, setidaknya selama satu dekade, sejak 2010.

Naikon kemungkinan adalah aktor ancaman yang disponsori negara yang terkait dengan China, sebagian besar dikenal karena memfokuskan upayanya pada organisasi terkenal, termasuk entitas pemerintah dan organisasi militer.

Selama serangan mereka, Naikon menyalahgunakan perangkat lunak yang sah untuk memuat malware tahap kedua yang dijuluki Nebulae kemungkinan digunakan untuk mencapai persistence, menurut penelitian yang diterbitkan oleh peneliti keamanan di Lab Intelijen Ancaman Cyber Bitdefender.

Nebulae menyediakan kemampuan tambahan yang memungkinkan penyerang mengumpulkan informasi sistem, memanipulasi file dan folder, mendownload file dari server perintah dan kontrol, dan menjalankan, mendaftar, atau menghentikan proses pada perangkat yang disusupi.

Dalam rangkaian serangan yang sama, pelaku ancaman Naikon juga mengirimkan malware tahap pertama yang dikenal sebagai RainyDay atau FoundCore yang digunakan untuk menyebarkan muatan tahap kedua dan alat yang digunakan untuk berbagai tujuan, termasuk backdoor Nebulae.

Selengkapnya: Bleeping Computer

FBI membagikan 4 juta alamat email yang digunakan oleh Emotet dengan Have I Been Pwned

April 28, 2021 by Winnie the Pooh

Jutaan alamat email yang dikumpulkan oleh botnet Emotet untuk kampanye distribusi malware telah dibagikan oleh Biro Investigasi Federal (FBI) sebagai bagian dari upaya badan tersebut untuk membersihkan komputer yang terinfeksi.

Individu dan pemilik domain sekarang dapat mengetahui apakah Emotet memengaruhi akun mereka dengan menelusuri database dengan alamat email yang dicuri oleh malware.

Untuk tujuan ini, agensi dan Unit Kejahatan Teknis Tinggi Nasional Belanda (NHTCU) membagikan 4.324.770 alamat email yang telah dicuri oleh Emotet dengan layanan pemberitahuan pelanggaran data Have I Been Pwned (HIBP).

Troy Hunt, pencipta layanan HIBP mengatakan bahwa 39% dari alamat email ini telah diindeks sebagai bagian dari insiden pelanggaran data lainnya.

Alamat email milik pengguna dari berbagai negara. Mereka berasal dari login yang disimpan di infrastruktur Emotet untuk mengirimkan email berbahaya atau telah diambil dari browser web pengguna.

Mengingat sifat sensitifnya, data Emotet tidak dapat ditelusuri secara publik. Pelanggan layanan yang terkena dampak pelanggaran Emotet telah diberi tahu, kata pencipta HIBP, Troy Hunt.

Mengacu pada proses verifikasi, Hunt mengatakan bahwa “individu perlu memverifikasi kontrol alamat melalui layanan notifikasi atau melakukan penelusuran domain untuk melihat apakah mereka terpengaruh”.

Selengkapnya: Bleeping Computer

Malware Emotet menghancurkan dirinya sendir dari semua komputer yang terinfeksi di seluruh dunia

April 27, 2021 by Winnie the Pooh

Emotet, salah satu botnet spam email paling berbahaya dalam sejarah baru-baru ini, diuninstall pada tanggal 25 April, 2021 dari semua perangkat yang terinfeksi dengan bantuan modul malware yang dikirimkan pada bulan Januari oleh penegak hukum.

Penghapusan botnet adalah hasil dari tindakan penegakan hukum internasional yang memungkinkan penyelidik untuk mengambil kendali server Emotet dan mengganggu operasi malware.

Emotet digunakan oleh kelompok ancaman TA542 (alias Mummy Spider) untuk menyebarkan muatan malware tahap kedua, termasuk QBot dan Trickbot, ke komputer korbannya yang disusupi.

Serangan TA542 biasanya menyebabkan gangguan jaringan penuh dan penyebaran muatan ransomware pada semua sistem yang terinfeksi, termasuk ProLock atau Egregor oleh Qbot, serta Ryuk dan Conti oleh TrickBot.

Setelah operasi penghapusan, penegakan hukum mendorong konfigurasi baru ke infeksi Emotet aktif sehingga malware akan mulai menggunakan server perintah dan kontrol yang dikendalikan oleh Bundeskriminalamt, badan polisi federal Jerman.

Penegak hukum kemudian mendistribusikan modul Emotet baru dalam bentuk EmotetLoader.dll 32-bit ke semua sistem yang terinfeksi yang secara otomatis akan menghapus malware tersebut pada 25 April 2021.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings