Malware

Samsung Menambahkan Perlindungan Serangan Zero-click ke perangkat Galaxy

February 21, 2023 by Flamango

Samsung telah mengembangkan sistem keamanan baru untuk membantu pengguna smartphone Galaxy tetap aman dari apa yang disebut eksploitasi “zero-click” yang menggunakan file gambar berbahaya.

Samsung Message Guard adalah ruang virtual terisolasi pada smartphone yang berfungsi sebagai lokasi hosting sementara untuk file gambar yang baru tiba dalam format PNG, JPG/JPEG, GIF, ICO, WEBP, BMP, dan WBMP.

Sistem memeriksa file untuk menentukan apakah mereka menyembunyikan kode berbahaya. Jika ditemukan kode berbahaya, mereka dikunci dalam mode karantina dan diblokir dari mengakses atau berinteraksi dengan sistem operasi yang mendasarinya.

Eksploitasi Zero-click
Eksploitasi zero-click adalah ancaman canggih yang memanfaatkan kerentanan tanpa memerlukan interaksi apa pun dengan pengguna.

Serangan yang mengandalkan eksploitasi zero-click biasanya melibatkan pengiriman pesan atau file ke target dengan kode berbahaya untuk memicu kerentanan pada perangkat yang memberikan akses penyerang bahkan tanpa korban membuka pesan atau file tersebut.

Sistem ini akan segera tersedia untuk Galaxy S23, dirilis pada hari Jumat, secara bertahap akan diluncurkan ke perangkat Galaxy lain yang menjalankan One UI 5.1 atau lebih tinggi nanti pada tahun 2023.

Selengkapnya: BleepingComputer

Pencuri Enigma Menargetkan Industri Cryptocurrency dengan Pekerjaan Palsu

February 21, 2023 by Flamango

Baru-baru ini Trend Micro menemukan kampanye aktif yang menargetkan orang Eropoa Timur di Industri mata uang kripto untuk memasang pencuri informasi dengan berdalih pekerjaan palsu.

Pada ancaman tersebut, pelaku ancaman Rusia yang dicurigai menggunakan beberapa pemuat khusus dan sedang dikembangkan untuk menginfeksi mereka yang terlibat dalam industri cryptocurrency dengan Enigma Stealer, terdeteksi sebagai TrojanSpy.MSIL.ENIGMASTEALER.YXDBC.

Penyerang juga mengeksploitasi kerentanan driver intel, CVE-2015-2291, untuk memuat driver berbahaya yang dirancang untuk mengurangi integritas token Microsoft Defender.

Attack kill chain yang digunakan oleh operator Enigma Stealer

Stealerium adalah pencuri informasi asli sebagai basis untuk Enigma Stealer, merupakan proyek open-source dalam bahasa C# yang memasarkan dirinya sebagai pencuri, pemangkas, dan keylogger dengan kemampuan logging menggunakan API Telegram.

Pengguna dan tim keamanan disarankan untuk selalu waspada dan terus memperbarui solusi keamanan sistem mereka.

Berikut adalah tindakan penyerang menggunakan wawancara cryptocurrency palsu untuk memikat korban dengan mengirimkan dokumen berisi daftar pertanyaan interview ke email target korban. Trend Micro juga menjelaskan lebih lanjut mengenai infrastruktur enigma dan bagaimana malware bekerja.

Terjemahan mesin dari pertanyaan Wawancara.txt

Berdasarkan hasil penelitian Trend Micro, kampanye ini menunjukkan vektor serangan yang giigh dan menguntungkan untuk berbagai kelompok dan aktor ancaman persisten tingkat lanjut (APT).

Individu dan organisasi diharapkan tetap waspada terhadap serangan phising, baik melalui sosial media atau media lainnya.

Selengkapnya: Trend Micro

Peringatan: Pelaku ancaman menggunakan sertifikat penandatanganan kode Emsisoft palsu untuk menyamarkan serangan mereka

February 18, 2023 by Søren

Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami. Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi tersebut mengizinkan aplikasi yang dipasang dan ingin digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.

Serangan gagal – produk kami mendeteksi dan memblokirnya – tetapi kami mengeluarkan peringatan ini agar pelanggan dan pengguna produk perusahaan lain mengetahui taktik yang digunakan dalam kasus ini.

Sementara metode akses awal diperoleh tidak jelas, kemungkinan besar melalui serangan brute-force pada RDP atau penggunaan kredensial yang disusupi (login yang dicuri).

Setelah penyerang mengamankan akses ke titik akhir, mereka memasang aplikasi akses jarak jauh sumber terbuka yang disebut MeshCentral. Ini adalah aplikasi tujuan ganda, artinya ini adalah alat yang sah yang dapat digunakan untuk tujuan jahat. Karena dapat digunakan untuk tujuan yang sah dan tidak berbahaya, keberadaannya di titik akhir tidak serta merta memicu alarm apa pun, baik dari solusi keamanan atau dari manusia.

Penyerang menandatangani eksekusi MeshCentral dengan sertifikat yang disebut “Emsisoft Server Trusted Network CA”. Kami yakin ini dilakukan untuk membuat pendeteksian aplikasi apa pun tampak positif palsu. Bagaimanapun, salah satu produk kami diinstal dan dijalankan pada titik akhir yang disusupi, sehingga aplikasi yang diduga telah ditandatangani oleh sertifikat Emsisoft dapat dianggap aman dan diizinkan.

Selengkapnya: Emisoft

GoDaddy: Peretas mencuri kode sumber, memasang malware dalam pelanggaran multi-tahun

February 18, 2023 by Søren

Raksasa web hosting GoDaddy mengatakan mengalami pelanggaran di mana penyerang tak dikenal telah mencuri kode sumber dan memasang malware di servernya setelah melanggar lingkungan hosting bersama cPanel dalam serangan multi-tahun.

Sementara GoDaddy menemukan pelanggaran keamanan setelah laporan pelanggan pada awal Desember 2022 bahwa situs mereka digunakan untuk mengalihkan ke domain acak, penyerang memiliki akses ke jaringan perusahaan selama beberapa tahun.

“Berdasarkan penyelidikan kami, kami yakin insiden ini adalah bagian dari kampanye multi-tahun oleh kelompok pelaku ancaman canggih yang, antara lain, memasang malware di sistem kami dan memperoleh potongan kode yang terkait dengan beberapa layanan di dalam GoDaddy,” kata pihak hosting. perusahaan mengatakan dalam pengarsipan SEC.

Perusahaan mengatakan bahwa pelanggaran sebelumnya yang diungkapkan pada November 2021 dan Maret 2020 juga terkait dengan kampanye multi-tahun ini.

Insiden November 2021 menyebabkan pelanggaran data yang memengaruhi 1,2 juta pelanggan WordPress yang Dikelola setelah penyerang melanggar lingkungan hosting WordPress GoDaddy menggunakan kata sandi yang disusupi.

Mereka mendapatkan akses ke alamat email dari semua pelanggan yang terkena dampak, kata sandi Admin WordPress mereka, kredensial sFTP dan basis data, serta kunci pribadi SSL dari subset klien aktif.

Setelah pelanggaran Maret 2020, GoDaddy memberi tahu 28.000 pelanggan bahwa penyerang menggunakan kredensial akun hosting web mereka pada Oktober 2019 untuk terhubung ke akun hosting mereka melalui SSH.

GoDaddy kini bekerja sama dengan pakar forensik keamanan siber eksternal dan lembaga penegak hukum di seluruh dunia sebagai bagian dari penyelidikan berkelanjutan terhadap akar penyebab pelanggaran tersebut.

Selengkapnya: Bleeping Computer

Fake Installers yang Menargetkan Asia Tenggara dan Timur

February 17, 2023 by Coffee Bean

Peneliti ESET mengidentifikasi kampanye malware yang menargetkan orang-orang berbahasa Mandarin di Asia Tenggara dan Timur dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan. Penyerang tak dikenal membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram, tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan kendali penyerang atas komputer korban.

Figure 1 menunjukkan peta panas dengan negara tempat kami mendeteksi serangan antara Agustus 2022 dan Januari 2023. Sebagian besar serangan memengaruhi pengguna di Taiwan, China, dan Hong Kong.

Penyerang mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan. Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya. Situs web lain, yang mungkin diterjemahkan oleh penyerang, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram, seperti yang ditunjukkan pada Gambar 3.

Penyerang telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah. Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, kami melihat betapa pentingnya untuk rajin memeriksa URL yang kami kunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.

Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh. Ada kemungkinan bahwa penyerang hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis kampanye crimeware lainnya, tetapi untuk saat ini atribusi khusus dari kampanye ini ke aktor ancaman yang dikenal atau baru adalah tidak memungkinkan.

selengkapnya : welivesecurity

Peretas membuka pintu belakang server Microsoft IIS dengan malware Frebniis baru

February 17, 2023 by Søren

Peretas menyebarkan malware baru bernama ‘Frebniss’ di Layanan Informasi Internet (IIS) Microsoft yang diam-diam mengeksekusi perintah yang dikirim melalui permintaan web.

Frebniis ditemukan oleh Tim Pemburu Ancaman Symantec, yang melaporkan bahwa aktor ancaman tak dikenal saat ini menggunakannya untuk melawan target yang berbasis di Taiwan.

Microsoft IIS adalah perangkat lunak server web yang berfungsi sebagai server web dan platform hosting aplikasi web untuk layanan seperti Outlook di Web untuk Microsoft Exchange.

Dalam serangan yang dilihat oleh Symantec, peretas menyalahgunakan fitur IIS yang disebut ‘Failed Request Event Buffering’ (FREB), yang bertanggung jawab untuk mengumpulkan metadata permintaan (alamat IP, header HTTP, cookie). Tujuannya adalah untuk membantu admin server memecahkan masalah kode status HTTP yang tidak terduga atau meminta masalah pemrosesan.

Malware menyuntikkan kode berbahaya ke dalam fungsi tertentu dari file DLL yang mengontrol FREB (“iisfreb.dll”) untuk memungkinkan penyerang mencegat dan memantau semua permintaan HTTP POST yang dikirim ke server ISS. Saat malware mendeteksi permintaan HTTP tertentu yang dikirim penyerang, ia mem-parsing permintaan untuk menentukan perintah apa yang akan dijalankan di server.

Symantec mengatakan bahwa pelaku ancaman pertama-tama harus menembus server IIS untuk mengkompromikan modul FREB, tetapi mereka tidak dapat menentukan metode yang digunakan untuk mendapatkan akses pada awalnya.

Kode yang disuntikkan adalah pintu belakang .NET yang mendukung proksi dan eksekusi kode C# tanpa pernah menyentuh disk, membuatnya benar-benar tersembunyi. Itu mencari permintaan yang dibuat ke halaman logon.aspx atau default.aspx dengan parameter kata sandi tertentu.

Parameter HTTP kedua, yang merupakan string yang disandikan base64, menginstruksikan Frebniis untuk berkomunikasi dan menjalankan perintah pada sistem lain melalui IIS yang disusupi, yang berpotensi menjangkau sistem internal yang dilindungi yang tidak terpapar ke internet.

Selengkapnya: Bleeping Computer

Malware ‘Beep’ Tersembunyi Baru, Berfokus pada Menghindari Deteksi

February 17, 2023 by Flamango

Ditemukan oleh analis di Minerva setelah sejumlah besar sampel diunggah ke VirusTotal, malware ‘Beep’ menampilkan banyak fitur untuk menghindari analisis dan deteksi oleh perangkat lunak keamanan.

Meskipun masih dalam pengembangan dan kehilangan beberapa fitur utama, saat ini ‘Beep’ memungkinkan pelaku ancaman untuk mengunduh dan mengeksekusi muatan lebih lanjut pada perangkat yang disusupi dari jarak jauh.

Pencuri Info Baru sedang Dibuat
Beep adalah malware pencuri informasi yang menggunakan tiga komponen terpisah yaitu penetes, injektor, dan muatan.

Penetes (“big.dll”) membuat kunci registri baru dengan nilai ‘AphroniaHaimavati’ yang berisi skrip PowerShell yang disandikan base64. Skrip PowerShell ini diluncurkan setiap 13 menit menggunakan tugas terjadwal Windows.

Langkah akhirnya adalah muatan utama mencoba mengumpulkan data dari mesin yang disusupi, mengenkripsinya, dan mengirimkannya ke C2. Selama analisis Minerva, alamat C2 yang di-hardcode sedang offline, tetapi malware mencoba melakukan koneksi bahkan setelah 120 percobaan gagal.

Mengumpulkan data dari sistem yang dilanggar (Minerva)

Meski terbatas, Minerva masih dapat mengidentifikasi fungsi-fungsi dalam sampel yang dipicu oleh perintah C2.

Selain teknik penghindaran, komponen injektor sendiri juga menerapkan teknik penghindaran.

‘Beep’ adalah contoh malware yang sangat berfokus pada penghindaran, setelah menerapkan beberapa mekanisme anti-analisis sebelum menyelesaikan kumpulan fitur lengkap untuk pencurian data dan pelaksanaan perintah.

Selengkapnya: BleepingComputer

Dragos: Serangan Ransomware pada Infrastruktur Industri Meningkat 2x Lipat pada Tahun 2022

February 17, 2023 by Flamango

Dragos melacak lebih dari 600 serangan ransomware tahun lalu yang mempengaruhi infrastruktur industri dengan hampir tiga perempatnya menargetkan sektor manufaktur.

Berbagai macam sektor yang terkena Serangan Ransomware

Terdapat peningkatan 35% dalam upaya ransomware melawan teknologi operasional (OT) dan sistem kontrol industri (ICS) dalam serangan tersebut.

Sejumlah 437 entitas manufaktur terkena ransomware, termasuk 42 serangan terhadap perusahaan produk logam, 37 pada bisnis otomotif dan lebih dari 20 pada plastik, peralatan industri, bahan bangunan dan perusahaan elektronik atau semikonduktor.

Daftar lainnya mencakup serangan terhadap perusahaan yang bergerak di bidang kedirgantaraan, furnitur, kosmetik, bahan kimia, pakaian, peralatan medis, kertas, dan lainnya.
gambar-Serangan Ransomware?

Dominasi LockBit
LockBit menjadi dominan karena merupakan grup RaaS terkemuka yang menyediakan software kepada operator yang meluncurkan serangan sebenarnya dengan imbalan sebagian dari uang tebusan.
gambar

Dragos menilai dengan keyakinan moderat bahwa LockBit 3.0 akan terus menargetkan organisasi industri dan akan menimbulkan ancaman bagi operasi industri hingga tahun 2023.
Grup insiden Ransomware

Terdapat peningkatan tajam dalam jumlah kerentanan dan masalah teknis yang ditemukan oleh perusahaan keamanan seperti Dragos bersamaan dengan evolusinya beberapa grup ransomware.

Menurut Dragos, kemungkinan ransomware akan terus mengganggu operasi industri, baik melalui lingkungan OT yang salah kelola yang memungkinkan ransomware menyebar atau melalui penghentian pencegahan lingkungan tersebut untuk mencegah ransomware mencapai sistem tersebut.

Selengkapnya: The Record

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings