Malware

Peretas Memanfaatkan Celah Autodesk untuk Serangan Cyberespionage

August 30, 2020 by Winnie the Pooh

Aktor jahat mengeksploitasi kerentanan dalam perangkat lunak Autodesk, sebuah software grafis 3D populer, untuk meluncurkan serangan spionase terhadap sebuah perusahaan produksi arsitektur dan video internasional tersebut.

Para peneliti mengatakan bahwa analisis lebih lanjut dari serangan tersebut mengarah ke kelompok APT yang memiliki pengetahuan sebelumnya tentang sistem keamanan dan software perusahaan, mereka merencanakan serangan untuk menyusup ke perusahaan dan mengekstrak data tanpa terdeteksi. Mereka diketahui telah berkolaborasi dalam proyek real estat bernilai miliaran dolar di New York, London, Australia, dan Oman.

Ciri khas serangan mereka menggunakan plugin berbahaya untuk Autodesk 3ds Max, program grafis yang digunakan oleh organisasi teknik, arsitektur, ataupun modeling 3D game, yang dikembangkan oleh Autodesk Media and Entertainment.

File berbahaya menyamar sebagai plugin untuk Autodesk 3ds Max. Pada kenyataannya, plugin tersebut adalah varian dari eksploitasi MAXScript dari Autodesk 3ds Max, yang disebut “PhysXPluginMfx”.

Eksploitasi ini dapat merusak pengaturan perangkat lunak 3ds Max untuk menjalankan kode berbahaya, dan akhirnya menyebar ke file lain di sistem Windows.

Source : threatpost.com

Smartphone Buatan Cina Secara Diam-diam Mencuri Uang Dari Orang-Orang Di Seluruh Dunia

August 26, 2020 by Winnie the Pooh

Seorang pria di Afrika, Mxolosi, membeli sebuah smartphone asal Cina dan mengeluhkan bahwa internet data nya berkurang tanpa sebab.

Smartphone tersebut diproduksi oleh anak perusahaan Transsion, perusahaan Cina yang membuat Tecno dan smartphone berharga rendah lainnya, serta handset dasar, untuk negara berkembang. Sejak merilis smartphone pertamanya pada tahun 2014, orang baru ini telah berkembang menjadi penjual ponsel teratas di Afrika, mengalahkan pemimpin pasar lama Samsung dan Nokia.

Mxolosi menjadi frustrasi dengan Tecno W2-nya. Iklan pop-up mengganggu panggilan dan obrolannya. Dia juga menemukan internet data prabayarnya habis secara misterius dan menerima pesan tentang langganan berbayar ke aplikasi yang tidak pernah dia minta.

Menurut penyelidikan oleh Secure-D, layanan keamanan seluler, dan BuzzFeed News, perangkat lunak yang disematkan di ponselnya langsung menguras datanya saat mencoba mencuri uangnya.

Tecno W2 milik Mxolosi terinfeksi xHelper dan Triada, malware yang secara diam-diam mengunduh aplikasi dan berusaha membuatnya berlangganan layanan berbayar tanpa sepengetahuannya.

Bersama dengan Afrika Selatan, ponsel Tecno W2 di Ethiopia, Kamerun, Mesir, Ghana, Indonesia, dan Myanmar juga terinfeksi.

Ini adalah contoh terbaru tentang bagaimana smartphone Cina yang murah memanfaatkan orang-orang termiskin di dunia. Keberadaan malware yang konsisten di smartphone murah dari pabrikan Cina dan bagaimana hal itu menimbulkan pajak digital pada orang-orang dengan pendapatan rendah adalah Ancaman yang terabaikan dan berkelanjutan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Buzzfeed News

Kampanye Duri Menyelundupkan Malware Melalui HTML dan JavaScript

August 19, 2020 by Winnie the Pooh

Sebuah kampanye aktif telah terlihat memanfaatkan penyelundupan HTML untuk mengirimkan malware, secara efektif melewati berbagai solusi keamanan jaringan, termasuk sandbox, proxy lama, dan firewall.

Krishnan Subramanian, peneliti keamanan di Menlo Security, mengatakan kepada Threatpost bahwa kampanye yang ditemukan pada hari Selasa yang dijuluki “Duri,” telah berlangsung sejak bulan Juli.

Cara kerjanya seperti ini: Penyerang mengirim tautan berbahaya kepada korban. Setelah mereka mengklik link tersebut, teknik blob JavaScript digunakan untuk menyelundupkan file berbahaya melalui browser ke pengguna endpoint (yaitu, penyelundupan HTML). Blob, yang berarti “Binary Large Objects” dan bertanggung jawab untuk menyimpan data, diimplementasikan oleh browser web.

Karena penyelundupan HTML bukan merupakan teknik baru – teknik ini telah digunakan oleh penyerang sejak lama, kata Subramanian – kampanye ini menunjukkan bahwa pelaku kejahatan terus mengandalkan metode serangan lama yang berhasil.

Pelajari lebih lanjut tentang serangan terbaru ini dan bagaimana perusahaan dapat melindungi diri dari serangan penyelundupan HTML, pada podcast Threatpost disini.

Baca laporan lengkapnya pada tautan di bawah ini;
Source: Menlo Security

Worm Cryptojacking Menyebar Melalui Cloud AWS

August 19, 2020 by Winnie the Pooh

Worm cryptomining dari grup yang dikenal sebagai TeamTNT menyebar melalui cloud Amazon Web Services (AWS) dan mencuri kredensial. Setelah kredensial login diambil, malware masuk dan menyebarkan alat penambangan XMRig untuk menambang cryptocurrency Monero.

Menurut peneliti di Cado Security, worm juga menyebarkan sejumlah malware yang tersedia secara terbuka dan alat keamanan ofensif, termasuk “punk.py,” alat pasca eksploitasi SSH; alat pembersih log; rootkit Diamorphine; dan backdoor IRC Tsunami.

Mereka mengatakan, ini adalah ancaman pertama yang diamati di alam liar yang secara khusus menargetkan AWS untuk tujuan cryptojacking.

Karena semakin banyak bisnis yang menggunakan cloud dan kontainer, hal itu telah membuka lanskap serangan baru bagi penjahat siber melalui kesalahan konfigurasi. Meskipun demikian, ancaman cryptomining yang menargetkan Docker dan Kubernetes bukanlah hal baru. Namun, serangan yang berfokus pada AWS dalam rangkaian kampanye terbaru ini unik, kata peneliti Cado.

TeamTNT sangat produktif, dan terlihat pertama kali di awal tahun. Pada bulan April, Trend Micro mengamati grup yang menyerang kontainer Docker.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Malware Mac Menyebar Melalui Proyek Xcode, Menyalahgunakan WebKit, Kerentanan Data Vault

August 17, 2020 by Winnie the Pooh

Proyek Xcode sedang dieksploitasi untuk menyebarkan bentuk malware Mac yang berspesialisasi dalam penyusupan Safari dan browser lainnya.

Keluarga malware XCSSET telah ditemukan dalam proyek Xcode, “mengarah ke lubang kelinci muatan berbahaya,” kata Trend Micro pada hari Kamis.

Dalam sebuah dokumen(.PDF) yang mengeksplorasi gelombang serangan, peneliti keamanan siber mengatakan infeksi “tidak biasa” dalam proyek pengembang juga termasuk penemuan dua kerentanan zero-day.

Xcode adalah integrated development environment (IDE) gratis yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi terkait Apple.

Meskipun belum jelas bagaimana XCSSET masuk ke dalam proyek Xcode, Trend Micro mengatakan bahwa setelah disematkan, malware kemudian berjalan saat sebuah proyek dibuat.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Selama Enam Bulan, Peneliti Keamanan Diam-Diam Telah Mendistribusikan Vaksin Emotet Ke Seluruh Dunia

August 17, 2020 by Winnie the Pooh

Seorang analis malware yang bekerja untuk Binary Defense, James Quinn, telah menemukan bug pada malware Emotet.

Fakta bahwa Quinn menemukan bug itu bukanlah kebetulan. Selama beberapa tahun terakhir, pekerjaan utama Quinn adalah berburu Emotet dan mengawasi operasinya.

Saat menelusuri pembaruan Emotet harian di bulan Februari, Quinn melihat perubahan dalam kode Emotet.

Melalui trial and error dan berkat pembaruan Emotet berikutnya yang menyempurnakan cara kerja mekanisme persistence baru, Quinn dapat menyusun skrip PowerShell kecil yang mengeksploitasi mekanisme kunci registri untuk merusak Emotet itu sendiri.

Skrip tersebut bernama EmoCrash, secara efektif memindai komputer pengguna dan menghasilkan kunci registri Emotet yang benar – namun cacat.

“Dua log crash akan muncul dengan event ID 1000 dan 1001, yang dapat digunakan untuk mengidentifikasi endpoint dengan binari Emotet yang dinonaktifkan dan mati,” kata Quinn.

Dengan kata lain, jika EmoCrash akan diterapkan di seluruh jaringan, itu dapat memungkinkan administrator sistem untuk memindai atau mengatur peringatan untuk kedua Event ID log ini dan dapat menemukan kapan dan apakah Emotet menginfeksi jaringan mereka.

Binary Defense bekerja sama dengan Tim CYMRU, sebuah perusahaan yang memiliki sejarah selama puluhan tahun dalam mengatur dan berpartisipasi dalam penghapusan botnet.

Bekerja di belakang layar, Tim CYMRU memastikan bahwa EmoCrash sampai ke tangan Tim Computer Emergency Response (CERT) nasional, yang kemudian menyebarkannya ke perusahaan di yurisdiksi masing-masing.

Entah secara tidak sengaja atau dengan mengetahui ada yang salah dalam mekanisme persistence nya, geng Emotet akhirnya mengubah seluruh mekanisme persistence nya pada 6 Agustus – tepatnya enam bulan setelah Quinn membuat penemuan awalnya.

EmoCrash mungkin tidak berguna lagi bagi siapa pun, namun selama enam bulan, skrip PowerShell kecil ini membantu organisasi tetap terdepan dalam operasi malware – pemandangan yang benar-benar langka di bidang keamanan siber saat ini.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

REvil Ransomware mencuri 1TB data perusahan Wine raksasa di U.S.

August 16, 2020 by Winnie the Pooh Leave a Comment

Operator ransomware Sodinokibi (REvil) mengumumkan pada hari Jumat bahwa mereka telah menyusup pada jaringan komputer Brown-Forman dan menghabiskan lebih dari sebulan untuk memeriksa layanan pengguna, penyimpanan data cloud, dan struktur umum. Para penyerang mengklaim bahwa mereka mencuri 1TB data yang mencakup informasi rahasia tentang karyawan, perjanjian perusahaan, kontrak, laporan keuangan, dan korespondensi internal.

REvil menerbitkan beberapa screenshot dengan direktori dan file dengan nama yang mendukung klaim mereka, serta beberapa percakapan internal antar karyawan. Foto-foto tersebut menunjukkan dokumen-dokumen yang berasal dari tahun 2009.

Aktor tersebut juga menerbitkan tangkapan layar dari backcup database hingga Juli 2020, bukti mereka memiliki banyak waktu untuk menjelajahi jaringan.

Saat ini, mereka tidak melakukan negosiasi dengan penyeran. Membocorkan dan melelang file adalah upaya dari REvil untuk memaksa Brown-Forman membayar uang tebusan. Sebagai gantinya, aktor tersebut berjanji untuk menghapus semua salinan data dan tidak menggunakannya di masa mendatang.

Meskipun biasanya dalam serangan ransomware adalah mengenkripsi data, REvil tidak dapat menerapkan rutinitas ini. karena Brown-Forman mendeteksi serangan itu dan menghentikannya sebelum data dienkripsi.

Berkantor pusat di Louisville, Kentucky, perusahaan ini memiliki merek wiski dan scotch terkenal di dunia seperti Jack Daniel’s, Woodford, Old Forester, Collingwood, Glenglassaugh, dan Glendronach; Herradura, El Jimador, dan Pepe Lopez tequila; Vodka Finlandia, dan anggur Sonoma-Cutrer.

Sumber : Bleepingcomputer

MATA, Malware Yang Menargetkan Organisasi Di Seluruh Dunia

July 24, 2020 by Winnie the Pooh

Peneliti keamanan di Kaspersky telah menemukan kerangka kerja multi-platform malware yang disebut “MATA” yang telah berhasil menargetkan korban di seluruh dunia.

Kaspersky menjelaskan dalam analisisnya bahwa artefak pertama yang berkaitan dengan MATA muncul kembali pada bulan April 2018. Siapa pun yang berada di belakang kerangka kerja malware ini kemudian menggunakan ancaman ini untuk menargetkan perusahaan di Polandia, Jerman, Turki, Korea, Jepang, dan India.

Organisasi yang ditargetkan beroperasi di beberapa sektor ekonomi yang berbeda. Di antara para korban adalah perusahaan perangkat lunak, bisnis e-commerce dan Penyedia Layanan Internet (ISP).

Kaspersky Lab menemukan tiga versi MATA yang menargetkan Windows, Linux dan macOS. Versi Windows terdiri dari beberapa komponen termasuk loader, orkestrator dan plugin.

Versi Linux dari MATA tersedia di situs distribusi yang sah, sedangkan varian macOS tiba sebagai trojan aplikasi otentikasi dua faktor (2FA).

Dalam analisisnya, Kaspersky Lab menghubungkan malware MATA dengan aktor ancaman terkenal:

Kami menyimpulkan bahwa kerangka kerja MATA dapat dikaitkan dengan grup APT Lazarus. Orkestrator MATA menggunakan dua nama file unik, c_2910.cls dan k_3872.cls, yang sebelumnya hanya terlihat dalam beberapa varian Manuscrypt, termasuk sampel (0137f688436c468d43b3e50878ec1a1f) yang disebutkan dalam publikasi US-CERT.

Perusahaan keamanan itu mengungkapkan bahwa varian Manuscrypt, keluarga malware yang didistribusikan oleh Lazarus, juga memiliki struktur konfigurasi yang sama dengan MATA.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Kaspersky Lab | Tripwire

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings