OS

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

May 7, 2022 by Søren

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Malware Emotet sekarang diinstal melalui PowerShell di file pintasan Windows

April 27, 2022 by Eevee

Botnet Emotet sekarang menggunakan file pintasan Windows (.LNK) yang berisi perintah PowerShell untuk menginfeksi komputer korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default.

Penggunaan file .LNK bukanlah hal baru, karena geng Emotet sebelumnya menggunakannya dalam kombinasi dengan kode Visual Basic Script (VBS) untuk membuat perintah yang mengunduh payload. Namun, ini adalah pertama kalinya mereka menggunakan pintasan Windows untuk menjalankan perintah PowerShell secara langsung.

Jumat lalu, operator Emotet menghentikan kampanye phishing karena mereka merusak penginstal mereka setelah menggunakan nama file statis untuk merujuk pintasan .LNK yang berbahaya.

Meluncurkan pintasan akan memicu perintah yang mengekstrak string kode VBS dan menambahkannya ke file VBS untuk dieksekusi.

Namun, karena file pintasan terdistribusi memiliki nama yang berbeda dari nama statis yang mereka cari, file VBS akan gagal dibuat dengan benar. Geng memperbaiki masalah kemarin.

Hari ini, peneliti keamanan memperhatikan bahwa Emotet beralih ke teknik baru yang menggunakan perintah PowerShell yang dilampirkan ke file LNK untuk mengunduh dan menjalankan skrip di komputer yang terinfeksi.

String berbahaya yang ditambahkan ke file .LNK dikaburkan dan diisi dengan nol (spasi kosong) sehingga tidak ditampilkan di bidang target (file yang ditunjuk pintasan) dari kotak dialog properti file.

File .LNK berbahaya Emotet menyertakan URL untuk beberapa situs web yang disusupi yang digunakan untuk menyimpan muatan skrip PowerShell. Jika skrip ada di salah satu lokasi yang ditentukan, skrip diunduh ke folder sementara sistem sebagai skrip PowerShell dengan nama acak.

Di bawah ini adalah versi deobfuscate dari string berbahaya Emotet yang dilampirkan ke payload .LNK:

Skrip ini menghasilkan dan meluncurkan skrip PowerShell lain yang mengunduh malware Emotet dari daftar situs yang disusupi dan menyimpannya ke folder %Temp%. DLL yang diunduh kemudian dieksekusi menggunakan perintah regsvr32.exe.

Eksekusi skrip PowerShell dilakukan menggunakan utilitas baris perintah Regsvr32.exe dan diakhiri dengan mengunduh dan meluncurkan malware Emotet.

Kelompok peneliti Cryptolaemus, yang memantau secara dekat aktivitas Emotet, mencatat bahwa teknik baru ini merupakan upaya yang jelas dari aktor ancaman untuk melewati pertahanan dan deteksi otomatis.

Peneliti keamanan di perusahaan keamanan siber ESET juga memperhatikan bahwa penggunaan teknik Emotet baru telah meningkat dalam 24 jam terakhir.

Data telemetri ESET menunjukkan bahwa negara-negara yang paling terpengaruh oleh Emotet melalui teknik baru ini adalah Meksiko, Italia, Jepang, Turki, dan Kanada.

Selain beralih ke PowerShell dalam file .LNK, operator botnet Emotet telah membuat beberapa perubahan lain sejak mereka melanjutkan aktivitas ke tingkat yang lebih stabil pada bulan November, seperti pindah ke modul 64-bit.

Sumber: Bleeping Computer

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

April 19, 2022 by Eevee

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Pembaruan Windows 11 tidak resmi menginstal malware pencuri info

April 19, 2022 by Eevee

Peretas memikat pengguna yang tidak curiga dengan pemutakhiran Windows 11 palsu yang dilengkapi dengan malware yang mencuri data browser dan dompet cryptocurrency.

Kampanye saat ini aktif dan bergantung pada hasil pencarian yang meracuni untuk mendorong situs web yang meniru halaman promosi Microsoft untuk Windows 11, untuk menawarkan pencuri informasi.

Microsoft menawarkan alat pemutakhiran bagi pengguna untuk memeriksa apakah mesin mereka mendukung sistem operasi (OS) terbaru dari perusahaan. Salah satu persyaratannya adalah dukungan untuk Trusted Platform Module (TPM) versi 2.0, yang hadir pada mesin yang tidak lebih dari empat tahun.

Peretas memangsa pengguna yang langsung menginstal Windows 11 tanpa menghabiskan waktu untuk mengetahui bahwa OS harus memenuhi spesifikasi tertentu.

Situs web berbahaya yang digunakan dalam kampanye (windows11-upgrade11[.]com)

Jika pengunjung memuat situs web berbahaya melalui koneksi langsung – unduhan tidak tersedia melalui TOR atau VPN, mereka akan mendapatkan file ISO yang melindungi file yang dapat dieksekusi untuk malware pencuri info baru.

Menurut CloudSEK, pelaku ancaman di balik kampanye ini menggunakan malware baru yang peneliti beri nama “Inno Stealer” karena penggunaan penginstal Windows Setup Inno.

Para peneliti mengatakan bahwa Inno Stealer tidak memiliki kesamaan kode dengan pencuri info komoditas lain yang saat ini beredar dan mereka belum menemukan bukti malware yang diunggah ke platform pemindaian Virus Total.

File loader (berbasis Delphi) adalah “pengaturan Windows 11” yang dapat dieksekusi yang terkandung dalam ISO, yang, ketika diluncurkan, membuang file sementara bernama is-PN131.tmp dan membuat file .TMP lain di mana loader menulis 3.078KB data .

CloudSEK menjelaskan bahwa pemuat memunculkan proses baru menggunakan CreateProcess Windows API yang membantu menelurkan proses baru, membangun kegigihan, dan menanam empat file.

Kegigihan dicapai dengan menambahkan file .LNK (pintasan) di direktori Startup dan menggunakan icacls.exe untuk mengatur izin aksesnya agar tersembunyi.

Membuat proses untuk membangun persistensi (CloudSEK)

Dua dari empat file yang dijatuhkan adalah Windows Command Scripts untuk menonaktifkan keamanan Registry, menambahkan pengecualian Defender, menghapus produk keamanan, dan menghapus volume bayangan.

Menurut para peneliti, malware juga menghapus solusi keamanan dari Emsisoft dan ESET, kemungkinan karena produk ini mendeteksinya sebagai berbahaya.

File ketiga adalah utilitas eksekusi perintah yang berjalan dengan hak sistem tertinggi; dan yang keempat adalah script VBA yang dibutuhkan untuk menjalankan dfl.cmd.

Pada tahap kedua infeksi, file dengan ekstensi .SCR dijatuhkan ke direktori C:\Users\\AppData\Roaming\Windows11InstallationAssistant dari sistem yang disusupi.

File itu adalah agen yang membongkar muatan info-stealer dan mengeksekusinya dengan memunculkan proses baru yang disebut “Windows11InstallationAssistant.scr”, sama seperti dirinya sendiri.

Kemampuan Inno Stealer khas untuk jenis malware ini, termasuk mengumpulkan cookie browser web dan kredensial yang disimpan, data dalam dompet cryptocurrency, dan data dari sistem file.

Kumpulan browser dan dompet kripto yang ditargetkan sangat luas, termasuk Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser, dan Comodo.

Browser web yang ditargetkan oleh Inno Stealer (CloudSEK)

Dompet Crypto yang ditargetkan oleh Inno Stealer (CloudSEK)

Karakteristik menarik dari Inno Stealer adalah bahwa manajemen jaringan dan fungsi pencurian data bersifat multi-thread.

Semua data yang dicuri disalin melalui perintah PowerShell ke direktori temporay pengguna, dienkripsi, dan kemudian dikirim ke server perintah dan kontrol operator (“windows-server031.com”)

Muatan Delphi tambahan ini, yang berbentuk file TXT, menggunakan pemuat berbasis Inno yang sama yang mengutak-atik alat keamanan host dan menggunakan mekanisme pembentukan kegigihan yang sama.

Kemampuan ekstra mereka termasuk mencuri informasi clipboard dan mengekstrak data enumerasi direktori.

untuk itu disarankan menghindari mengunduh file ISO dari sumber yang tidak jelas dan hanya melakukan peningkatan OS utama dari dalam panel kontrol Windows 10 Anda atau mendapatkan file instalasi langsung dari sumbernya.

Sumber : Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

April 17, 2022 by Søren

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

Penyelidikan lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Selengapnya: Bleeping Computer

Apple masih belum menangkap aplikasi scam, dan kali ini ada di Mac

April 17, 2022 by Søren

Pemburu / pengembang aplikasi scam Kosta Eleftheriou, yang dikenal karena menangkap penipuan mengerikan yang berhasil melewati proses peninjauan Apple, sekali lagi membawa perhatian pada aplikasi baru yang dijajakan melalui App Store.

Kali ini mereka menggunakan Mac, dan mereka menggunakan pop-up yang membuatnya sangat sulit untuk keluar dari aplikasi tanpa menyetujui harga berlangganan yang keterlaluan — semua tanpa sepengetahuan Apple, meskipun argumennya bahwa proses Peninjauan Aplikasinya membuat perangkat dan pengguna tetap terjaga. aman.

Aplikasi yang memulai perburuan, yang tampaknya ditemukan oleh Edoardo Vacchi, disebut My Metronome. Menurut Vacchi, Eleftheriou, dan ulasan pengguna, aplikasi terkunci dan tidak akan membiarkan Anda keluar menggunakan pintasan keyboard atau bilah menu sampai Anda menyetujui langganan $9,99 per bulan. (Namun, itu dapat dihentikan secara paksa.)

Eleftheriou mengatakan kepada The Verge bahwa “sepertinya pengembang ini telah bereksperimen dengan berbagai teknik selama bertahun-tahun untuk mencegah orang menutup paywall,” mengarahkan kami ke beberapa aplikasi lain yang masih ada di toko dengan perilaku serupa — kita akan membahasnya sebentar lagi.

Beberapa saat setelah Eleftheriou men-tweet tentang My Metronome, aplikasi itu tampaknya dihapus dari toko. Mencoba membuka tautan muncul dengan pesan yang mengatakan bahwa itu tidak lagi tersedia di wilayah saya. (Meskipun, untuk lebih jelasnya, Anda mungkin tidak harus mencoba mengunduhnya atau aplikasi apa pun yang akan kita bicarakan.)

Apple tidak menanggapi permintaan The Verge untuk berkomentar tentang apakah itu yang mengambil aplikasi turun, atau bagaimana hal itu lulus Tinjauan Aplikasi di tempat pertama.

Selengkapnya: The Verge

CISA memperingatkan organisasi untuk menambal bug Windows LPE yang dieksploitasi secara aktif

April 14, 2022 by Eevee

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sepuluh bug keamanan baru ke daftar kerentanan yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal dengan tingkat keparahan tinggi di Windows Common Log File System Driver.

Cacat keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-24521) dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA), dan ditambal oleh Microsoft selama Patch Selasa bulan ini.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan ini setelah ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

CISA memberi mereka waktu tiga minggu, hingga 2 Mei, untuk menambal kelemahan kerentanan CVE-2022-24521 dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk menambal bug keamanan yang dieksploitasi secara aktif ini untuk memblokir upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan sembilan kerentanan lagi ke katalognya hari ini, disalahgunakan dalam serangan yang sedang berlangsung. selengkapnya

Hari ini, CISA juga mendorong admin untuk menginstal pembaruan keamanan yang mengatasi kerentanan eksekusi kode jarak jauh pra-autentikasi kritis (dengan peringkat keparahan 9,8/10) di Perpustakaan Runtime Microsoft Remote Procedure Call (RPC), juga ditambal minggu ini sebagai bagian dari April 2022 Patch Selasa.

Pada hari Senin, CISA juga memerintahkan badan-badan sipil federal untuk menambal bug keamanan yang dieksploitasi secara aktif (CVE-2022-23176) di perangkat firewall WatchGuard Firebox dan XTM.

Grup peretasan Sandworm yang didukung Rusia sebelumnya menyalahgunakan bug ini untuk membangun botnet yang dijuluki Cyclops Blink dari perangkat jaringan WatchGuard Small Office/Home Office (SOHO) yang disusupi.

Pada hari Rabu, pemerintah AS mengganggu botnet Cyclops Blink dengan menghapus malware dari server perintah-dan-kontrol sebelum dijadikan senjata dan digunakan dalam serangan.

Setelah mengeluarkan BOD 22-01 binding directive, CISA telah menambahkan ratusan kerentanan keamanan ke dalam daftar kelemahan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk memblokir pelanggaran keamanan.

Sumber :Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

April 13, 2022 by Eevee

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings