Malware

Dugaan Kampanye Tiongkok untuk Bertahan di Perangkat SonicWall, Menyoroti Pentingnya Perangkat Tepi Pemantauan

March 10, 2023 by Søren

Mandiant, bekerja dalam kemitraan dengan Tim Keamanan Produk dan Respons Insiden SonicWall (PSIRT), telah mengidentifikasi dugaan kampanye China yang melibatkan pemeliharaan persistensi jangka panjang dengan menjalankan malware pada alat SonicWall Secure Mobile Access (SMA) yang belum ditambal. Malware memiliki fungsi untuk mencuri kredensial pengguna, menyediakan akses shell, dan bertahan melalui peningkatan firmware. Mandiant saat ini melacak aktor ini sebagai UNC4540.

Analisis perangkat yang disusupi mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut. Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.

Penyerang berusaha keras untuk stabilitas dan kegigihan perkakas mereka. Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.

Mandiant tidak dapat menentukan asal infeksi, namun malware, atau pendahulunya, kemungkinan besar digunakan pada tahun 2021. Mandiant percaya bahwa akses penyerang tetap ada melalui beberapa pembaruan firmware.

Selengkapnya: Mandiant

Varian malware baru memiliki mode “keheningan radio” untuk menghindari deteksi

March 9, 2023 by Coffee Bean

Grup peretas spionase siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka malware ‘Soul’.

Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.

Check Point mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.

Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.

Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.

DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.

selengkapnya : bleepingcomputer

Aplikasi Android Shein Tertangkap Mengirimkan Data Papan Klip ke Server Jarak Jauh

March 8, 2023 by Coffee Bean

Shein, awalnya bernama ZZKKO, adalah peritel online fast fashion China yang berbasis di Singapura. Aplikasi, yang saat ini berada di versi 9.0.0, memiliki lebih dari 100 juta unduhan di Google Play Store.

Raksasa teknologi itu mengatakan tidak “secara khusus mengetahui niat jahat apa pun di balik perilaku tersebut,” tetapi mencatat bahwa fungsi tersebut tidak diperlukan untuk melakukan tugas di aplikasi.

Lebih lanjut ditunjukkan bahwa meluncurkan aplikasi setelah menyalin konten apa pun ke clipboard perangkat secara otomatis memicu permintaan HTTP POST yang berisi data ke server “api-service[.]shein[.]com.”

Untuk mengurangi risiko privasi seperti itu, Google telah melakukan peningkatan lebih lanjut pada Android dalam beberapa tahun terakhir, termasuk menampilkan pesan bersulang saat aplikasi mengakses clipboard dan melarang aplikasi mendapatkan data kecuali jika aktif berjalan di latar depan.

“Mengingat pengguna ponsel sering menggunakan clipboard untuk menyalin dan menempelkan informasi sensitif, seperti kata sandi atau informasi pembayaran, konten clipboard dapat menjadi target yang menarik untuk serangan siber,” kata peneliti Dimitrios Valsamaras dan Michael Peck.

“Memanfaatkan papan klip dapat memungkinkan penyerang mengumpulkan informasi target dan mengekstraksi data yang berguna.”

sumber : thehackernews

Peretas Menyerang Karyawan dari Enam Firma Hukum dengan Malware GootLoader Menggunakan Perjanjian Hukum Palsu dan Lubang Air Berbahaya, lapor eSentire

March 3, 2023 by Coffee Bean

GootLoader adalah malware populer yang memberi pelaku ancaman akses awal ke lingkungan TI korban. Begitu berada di komputer korban, GootLoader diketahui mengunduh GootKit Remote Access Trojan (RAT), ransomware REvil, atau Cobalt Strike, alat populer yang digunakan untuk mendapatkan pijakan di lingkungan target dan memperluas jaringan target.

Sepanjang tahun 2022, sementara infeksi GootLoader terus meningkat menjadi intrusi langsung, tidak ada ransomware yang diamati bahkan ketika penyusup diizinkan untuk memerintah hampir bebas. Dalam kasus tersebut, hanya Koleksi yang diamati. Mengingat target utama GootLoader adalah firma hukum, TRU mengakui kemungkinan bahwa GootLoader telah beralih ke operasi spionase dan eksfiltrasi. Untuk mencapai akses awal, seperti dalam kampanye GootLoader sebelumnya, pelaku ancaman menggunakan peracunan Search Engine Optimization (SEO) untuk memikat dan menginfeksi korban dengan malware GootLoader.

Dalam kampanye ini, cybercriminal mengkompromikan situs web WordPress yang sah (tetapi rentan) dan tanpa sepengetahuan pemilik situs web, menambahkan posting blog baru ke situs tersebut. Judul yang efektif untuk mengelabui karyawan firma hukum termasuk “perjanjian lisan antara pembeli dan penjual real estat dipertimbangkan” (Gambar 1) dan “perjanjian bersama asosiasi petugas pemadam kebakaran profesional.”

rekomendasi
GootLoader: Jangan percayai dokumen yang diposting di forum acak. Memiliki proses bagi karyawan untuk mengunduh dokumen hanya dari sumber tepercaya.

selengkaspnya : esentire

Resmi: Malware BlackLotus dapat mem-bypass Secure Boot pada Windows

March 3, 2023 by Flamango

BlackLotus, bootkit UEFI yang dijual di forum peretasan seharga sekitar $5.000, sekarang dapat mem-bypass Secure Boot, menjadikannya malware pertama yang diketahui berjalan di sistem Windows bahkan dengan fitur keamanan firmware diaktifkan.
Secure Boot seharusnya mencegah perangkat menjalankan perangkat lunak yang tidak sah pada mesin Microsoft. Tetapi dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Peneliti keamanan utama Kaspersky, pertama kali melihat BlackLotus dijual di pasar kejahatan siber pada Oktober 2022 dan spesialis keamanan telah membongkar bagian demi bagian sejak saat itu.

Malware terbaru mampu berjalan bahkan pada sistem Windows 11 yang sepenuhnya up-to-date dengan UEFI Secure Boot diaktifkan.

Eksploitasi proof-of-concept untuk kerentanan ini telah tersedia untuk umum sejak Agustus 2022, diperkirakan akan segera melihat lebih banyak penjahat dunia maya menggunakan masalah ini untuk tujuan terlarang.

BlackLotus dapat menonaktifkan beberapa alat keamanan OS termasuk BitLocker, Integritas Kode yang dilindungi Hypervisor (HVCI) dan Windows Defender, dan melewati Kontrol Akun Pengguna (UAC), menurut toko keamanan.

Secure Boot dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Setelah mengeksploitasi CVE-2022-21894 dan mematikan alat keamanan sistem, BlackLotus menyebarkan driver kernel dan pengunduh HTTP. Driver kernel melindungi file bootkit dari penghapusan, sedangkan pengunduh HTTP berkomunikasi dengan server perintah-dan-kontrol dan mengeksekusi muatan.

Selengkapnya: The Register

Pusat Diagnostik DNA akan membayar denda $400.000 untuk pelanggaran data tahun 2021

March 1, 2023 by Coffee Bean

Pengumuman dari Pusat Diagnostik DNA (DDC) muncul setelah gugatan yang diajukan oleh jaksa agung kedua negara bagian menuduh perusahaan menunggu tiga bulan bahkan untuk mengakui pelanggaran tersebut.

“Semakin banyak informasi pribadi yang dapat diakses oleh penjahat ini, semakin rentan orang yang informasinya dicuri,” kata Penjabat Jaksa Agung Pennsylvania Michelle Henry. “Itulah mengapa Kantor saya mengambil tindakan dengan bantuan Jaksa Agung Yost di Ohio.”

Dari 2,1 juta orang yang datanya bocor, 12.663 berasal dari Pennsylvania dan 33.282 berasal dari Ohio. Informasi yang bocor termasuk nomor Jaminan Sosial dan data perawatan kesehatan.

Penyelidik mengatakan DDC melakukan uji penetrasi setelah akuisisi tetapi hanya berfokus pada database dengan “data pelanggan aktif”. Pada 28 Mei 2021, DDC menerima peringatan otomatis dari penyedia layanan terkelolanya yang mengindikasikan bahwa “aktivitas mencurigakan” terjadi terkait dengan jaringan unit Orchid Cellmark.

Penyedia layanan terkelola yang sama berulang kali menghubungi DDC untuk memperingatkan mereka bahwa jaringan sedang diakses tetapi diabaikan hingga Agustus, ketika peretas memasang malware Cobalt Strike. DDC memulai rencana respons insidennya setelah pemberitahuan itu.

Investigasi DDC menemukan bahwa pada 24 Mei, seseorang masuk ke VPN perusahaan menggunakan kredensial DDC dan menggunakan akses tersebut untuk mendapatkan direktori kredensial untuk semua akun di jaringan.

Secara total, peretas mengakses lima server dan mencuri 28 basis data, akhirnya menghubungi DDC pada September 2021 untuk meminta pembayaran sebagai ganti data yang dicuri. DDC membayar peretas jumlah yang dirahasiakan untuk menghapus data.

DDC akhirnya menyetujui perintah lima tahun yang mencakup mandat untuk mengembangkan program keamanan informasi dengan pengamanan data medis dalam waktu 180 hari. DDC juga harus mempekerjakan karyawan atau perusahaan untuk mengawasi program keamanan informasi mereka.

selengkapnya : therecord

Aplikasi Baru Microsoft Defender Diinstal secara Otomatis di Windows 11

February 28, 2023 by Flamango

“Microsoft Defender” di menu Start, aplikasi baru yang secara otomatis diinstal pada mesin Windows 11 dan 10. Setelah mengujinya selama lebih dari setahun, Microsoft akhirnya melompat dan mulai menginstal aplikasi Defender baru.

Selama akhir pekan, Microsoft secara diam-diam menginstal aplikasi “Microsoft Defender” di perangkat kami yang menjalankan Windows 10 dan Windows 11. Penginstalan paksa ini ditautkan ke aplikasi Microsoft 365. Menurut dokumen dukungan baru, aplikasi Microsoft Defender akan diinstal secara otomatis jika Anda menggunakan 365.

Microsoft Defender akan terinstal otomatis bagi pengguna yang berlangganan aktif Microsoft 365 dan telah menginstal Microsoft 365. Microsoft Defender baru juga dapat diunduh dari Microsoft Store dan digunakan secara gratis, tetapi berfungsi paling baik jika Anda memiliki langganan Microsoft 365.

Defender adalah aplikasi yang ringan, tetapi sangat sederhana dan tidak menawarkan banyak hal. Dalam beberapa kasus, pengguna mengeluh bahwa itu menggantikan aplikasi Windows Security asli mereka dan tidak mengizinkan mereka menjalankan pemindaian keamanan.

Beberapa pengguna takut dan mendapat kesan bahwa aplikasi Defender berbasis web adalah malware, berkat cara Microsoft menginstalnya.

Selengkapnya: Windows Latest

Ukraina Mengalami Lebih Banyak Malware Penghapus Data Tahun Lalu Daripada Di Mana Saja

February 25, 2023 by Søren

DI TENGAH korban TRAGIS dari invasi brutal dan dahsyat Rusia ke Ukraina, efek dari kampanye serangan siber destruktif Kremlin yang sudah berlangsung lama terhadap tetangganya sering—seharusnya—dianggap sebagai renungan.

Tetapi setelah satu tahun perang, menjadi jelas bahwa perang dunia maya yang dialami Ukraina selama setahun terakhir, dengan beberapa ukuran, merupakan konflik digital paling aktif dalam sejarah. Tidak ada tempat di planet ini yang pernah menjadi sasaran lebih banyak spesimen kode penghancur data dalam satu tahun.

Menjelang peringatan satu tahun invasi Rusia, peneliti keamanan siber di perusahaan keamanan siber Slovakia ESET, perusahaan keamanan jaringan Fortinet, dan perusahaan respons insiden milik Google, Mandiant, semuanya secara independen menemukan bahwa pada tahun 2022, Ukraina melihat jauh lebih banyak spesimen “wiper” malware dibandingkan tahun-tahun sebelumnya dalam perang dunia maya Rusia yang telah berlangsung lama yang menargetkan Ukraina—atau, dalam hal ini, tahun lainnya, di mana saja.

Itu tidak berarti Ukraina lebih terpukul oleh serangan siber Rusia daripada tahun-tahun sebelumnya; pada tahun 2017, peretas intelijen militer Rusia yang dikenal sebagai Sandworm merilis cacing NotPetya yang sangat merusak.

Tetapi meningkatnya volume kode destruktif mengisyaratkan jenis perang dunia maya baru yang menyertai invasi fisik Rusia ke Ukraina, dengan kecepatan dan keragaman serangan dunia maya yang belum pernah terjadi sebelumnya.

“Dalam hal banyaknya sampel malware penghapus yang berbeda,” kata peneliti malware senior ESET Anton Cherepanov, “ini adalah penggunaan penghapus paling intens dalam sejarah komputer.”

Selengkapnya: Wired

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings