Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

ICO Dipukul 2650% Peningkatan Serangan Email

by

Kantor Komisaris Informasi (ICO) Inggris mengalami peningkatan serangan email sebesar 2650% selama tahun 2021, menurut angka resmi yang diperoleh oleh think tank Parliament Street setelah permintaan Kebebasan Informasi.

Angka-angka tersebut mengungkapkan bahwa serangan email yang menargetkan regulator perlindungan data dan privasi Inggris melonjak dari 150.317 pada Januari menjadi 4.135.075 pada Desember yang luar biasa. Data tersebut terkait dengan volume email phishing yang terdeteksi, malware yang terdeteksi dan diblokir, serta spam yang terdeteksi dan diblokir oleh ICO untuk setiap bulan tahun lalu.

Email spam mewakili sebagian besar serangan, dengan kasus melonjak 2775% dari Januari hingga Desember. Email phishing juga meningkat secara signifikan selama periode ini, sebesar 20%, sementara malware melonjak sebesar 423%.

Data menunjukkan lonjakan yang sangat besar dalam serangan email pada bulan Desember, dengan 4.125.992 pesan spam, 7886 email phishing, dan 1.197 malware. Lonjakan ini diperkirakan terkait dengan penyebaran cepat varian Omicron di Inggris pada akhir tahun lalu, dengan pelaku ancaman dapat memanfaatkan topik seperti pengujian dan vaksin sebagai daya tarik.

“Keamanan siber bukan hanya tentang melindungi titik akhir melalui solusi keamanan siber anti-malware atau email. Meskipun ini penting, sekarang ada berbagai titik akses bagi penjahat dunia maya untuk dimanfaatkan yang perlu diperhatikan oleh para pemimpin TI. Ini termasuk aplikasi rentan yang belum ditambal dan kerentanan jaringan, kredensial masuk yang dicuri atau dibeli secara ilegal atau bahkan dengan meretas perangkat pintar yang tidak dilindungi.”

Steven Peake, manajer Barracuda Networks berkomentar: “Pandemi terus menjadi katalisator bagi penjahat cyber oportunistik untuk mencoba dan memangsa orang-orang yang tidak curiga dan rentan. Penelitian kami baru-baru ini menunjukkan lonjakan 521% dalam serangan phishing terkait tes COVID-19, jadi tidak mengherankan jika melihat organisasi besar, seperti ICO, terkena ancaman dalam jumlah besar karena mewakili target yang menguntungkan. Email phishing, malware, dan spam, khususnya, merupakan sebagian besar ancaman yang dihadapi organisasi ini, sehingga mereka perlu menerapkan langkah-langkah untuk melindungi diri mereka sendiri. Para penyerang siber ini tidak akan pergi ke mana pun dalam waktu dekat.”

Tahun lalu, pemerintah Inggris mengumumkan rencana untuk mengubah struktur ICO sebagai bagian dari rencana untuk mereformasi sektor data negara.

Sumber : Info Security

Kit Phishing Deteksi Rendah Semakin Melewati MFA

by

Semakin banyak kit phishing yang berfokus pada melewati metode otentikasi multi-faktor (MFA), para peneliti telah memperingatkan biasanya mereka mencuri token otentikasi melalui serangan man-in-the-middle (MiTM).

Menurut analisis dari Proofpoint, kit phishing bypass MFA berkembang biak dengan cepat, “mulai dari kit open-source sederhana dengan kode yang dapat dibaca manusia dan fungsionalitas tanpa embel-embel hingga kit canggih yang menggunakan banyak lapisan kebingungan dan modul bawaan yang memungkinkan untuk mencuri. nama pengguna, kata sandi, token MFA, nomor Jaminan Sosial, dan nomor kartu kredit.”

Para peneliti juga mencatat bahwa kit MFA-bypass mewakili titik buta keamanan, dengan alamat IP dan domain terkait yang sering kali diselingi oleh deteksi VirusTotal.

Trik Proxy Terbalik Transparan
Menurut Proofpoint, salah satu pendekatan kit phishing yang sangat populer adalah penggunaan transparent reverse proxies (TRPs), yang memungkinkan penyerang untuk memasukkan diri mereka ke dalam sesi browser yang ada. Pendekatan MiTM ini memungkinkan musuh bersembunyi dan mengumpulkan informasi saat informasi tersebut masuk atau muncul di layar.

Kit TRP menunjukkan “situs web sebenarnya kepada korban,” catat para peneliti dalam analisis hari Kamis. “Halaman web modern bersifat dinamis dan sering berubah. Oleh karena itu, menampilkan situs sebenarnya alih-alih faksimili sangat meningkatkan ilusi bahwa seseorang masuk dengan aman.”

Proofpoint mengatakan bahwa ada tiga kit TRP khususnya yang telah melihat peningkatan yang digunakan belakangan ini.

Modlishka
Proofpoint mengatakan bahwa ini memungkinkan pengguna untuk melakukan phishing hanya pada satu situs pada satu waktu. Ini menggunakan antarmuka baris perintah dan memiliki mekanisme berbasis GUI untuk mencuri kredensial dan informasi sesi, tambah mereka.

“Modlishka juga mengintegrasikan Let’s Encrypt sehingga dapat membuat halaman arahan domain palsu sedikit lebih dapat dipercaya dengan mengenkripsi lalu lintas dan memberikan gembok kecil di bilah web,” kata mereka.

Muraena/Necrobrowser
Muraena berjalan di sisi server dan menggunakan crawler untuk memindai situs target untuk memastikan situs tersebut dapat menulis ulang semua lalu lintas yang diperlukan dengan benar, untuk tidak memperingatkan korban. Ini memanen kredensial dan cookie sesi korban, lalu menyebarkan Necrobrowser.

Necrobrowser merupakan browser tanpa GUI yang digunakan untuk otomatisasi, yang memanfaatkan cookie sesi yang dicuri untuk masuk ke situs target dan melakukan hal-hal seperti mengubah kata sandi, menonaktifkan pemberitahuan Google Workspace, membuang email, mengubah kunci sesi SSH di GitHub dan unduh semua repositori kode.

Evilginx2

Keunggulannya adalah pengaturan yang mudah dan kemampuan untuk menggunakan “phishlet” yang telah diinstal sebelumnya, yaitu file konfigurasi yaml yang digunakan mesin untuk mengonfigurasi proxy ke situs target. Pengguna juga dapat membuat phishlet baru.

Setelah korban mengklik tautan berbahaya, mereka dibawa ke halaman aman untuk masuk, di mana penyerang mengangkat kredensial, kode MFA, dan cookie sesi.

Meskipun alat-alat ini bukan hal baru, mereka semakin sering digunakan untuk melewati MFA, perusahaan mencatat, yang mengkhawatirkan karena kurangnya deteksi. Peneliti dari Stony Brook University dan Palo Alto Networks mengembangkan alat yang berhasil mengidentifikasi 1.200 situs phishing MitM. Namun, hanya 43,7 persen dari domain tersebut dan 18,9 persen alamat IP mereka yang muncul di VirusTotal – meskipun memiliki masa hidup hingga 20 hari atau lebih.

Selengkapnya : Threat Post

Hacker Menggunakan Trik Pendaftaran Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase berskala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kolam infeksi.

Raksasa teknologi itu mengatakan serangan itu dimanifestasikan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk mengambil keuntungan dari kebijakan bring-your-own-device (BYOD) target dan memperkenalkan perangkat nakal mereka sendiri menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang berlokasi terutama di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam sebuah laporan teknis yang diterbitkan minggu ini.

Kredensial yang dicuri kemudian dimanfaatkan pada tahap kedua, di mana penyerang menggunakan akun yang dikompromikan untuk memperluas pijakan mereka dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.

Kampanye dimulai dengan pengguna yang menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah mengklik, mengarahkan penerima ke situs web nakal yang menyamar sebagai halaman login untuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instans Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Dengan menghubungkan perangkat yang dikendalikan penyerang ke jaringan, teknik baru membuatnya layak untuk memperluas pijakan penyerang, diam-diam memperbanyak serangan, dan bergerak lateral di seluruh jaringan yang ditargetkan.

“Untuk meluncurkan gelombang kedua, para penyerang memanfaatkan kotak surat yang dikompromikan pengguna yang ditargetkan untuk mengirim pesan berbahaya ke lebih dari 8.500 pengguna, baik di dalam maupun di luar organisasi korban,” kata Microsoft. Email menggunakan umpan undangan berbagi SharePoint sebagai badan pesan dalam upaya untuk meyakinkan penerima bahwa file ‘Pembayaran.pdf’ yang dibagikan adalah sah.”

Perkembangan ini terjadi ketika serangan rekayasa sosial berbasis email terus menjadi cara paling dominan untuk menyerang perusahaan untuk mendapatkan entri awal dan menjatuhkan malware pada sistem yang dikompromikan.

Awal bulan ini, Netskope Threat Labs mengungkapkan kampanye jahat yang dikaitkan dengan grup OceanLotus yang melewati deteksi berbasis tanda tangan dengan menggunakan jenis file non-standar seperti file arsip web (. MHT) lampiran untuk menyebarkan informasi-mencuri malware.

Selain mengaktifkan MFA, menerapkan praktik terbaik seperti kebersihan kredensial yang baik dan segmentasi jaringan dapat “meningkatkan ‘biaya’ bagi penyerang yang mencoba menyebar melalui jaringan.”

“Praktik terbaik ini dapat membatasi kemampuan penyerang untuk bergerak secara lateral dan membahayakan aset setelah intrusi awal dan harus dilengkapi dengan solusi keamanan canggih yang memberikan visibilitas di seluruh domain dan mengkoordinasikan data ancaman di seluruh komponen perlindungan,” tambah Microsoft.

Sumber: The Hacker News

Peretas Menggunakan Trik Registrasi Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kumpulan infeksi.

Raksasa teknologi itu mengatakan serangan itu diwujudkan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk memanfaatkan kebijakan bawa perangkat Anda sendiri (BYOD) target dan memperkenalkan kebijakan mereka sendiri. perangkat jahat menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang sebagian besar berlokasi di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam laporan teknis yang diterbitkan minggu ini.

“Kredensial yang dicuri kemudian dimanfaatkan pada fase kedua, di mana penyerang menggunakan akun yang disusupi untuk memperluas pijakan mereka di dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.”

Kampanye dimulai dengan pengguna menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah diklik, mengarahkan penerima ke situs web jahat yang menyamar sebagai halaman masuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instance Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Selengkapnya: The Hacker News

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

by

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Emotet Sekarang Menggunakan Format Alamat IP Yang Tidak Konvensional untuk Menghindari Deteksi

by

Kampanye rekayasa sosial yang melibatkan penyebaran botnet malware Emotet telah diamati menggunakan format alamat IP “tidak konvensional” untuk pertama kalinya dalam upaya untuk menghindari deteksi oleh solusi keamanan.

Ini melibatkan penggunaan representasi heksadesimal dan oktal dari alamat IP yang, ketika diproses oleh sistem operasi yang mendasarinya, secara otomatis dikonversi “ke representasi quad desimal putus-putus untuk memulai permintaan dari server jarak jauh,” Analis Ancaman Trend Micro, Ian Kenefick, mengatakan dalam sebuah laporan Jumat.

Rantai infeksi, seperti serangan terkait Emotet sebelumnya, bertujuan untuk mengelabui pengguna agar mengaktifkan makro dokumen dan mengotomatisasi eksekusi malware. Dokumen ini menggunakan Excel 4.0 Macros, fitur yang telah berulang kali disalahgunakan oleh aktor jahat untuk mengirimkan malware.

Setelah diaktifkan, makro memanggil URL yang dikaburkan dengan carets, dengan host menggabungkan representasi heksadesimal dari alamat IP – “h ^ tt ^ p ^ : / ^ / 0xc12a24f5/cc.html” – untuk mengeksekusi kode aplikasi HTML (HTA) dari host jarak jauh.

Varian kedua dari serangan phishing mengikuti modus operandi yang sama, satu-satunya perbedaan adalah bahwa alamat IP sekarang dikodekan dalam format oktal – “h ^ tt ^ p ^:/^/0056.0151.0121.0114/c.html”.

“Penggunaan alamat IP heksadesimal dan oktal yang tidak konvensional dapat mengakibatkan menghindari solusi saat ini yang bergantung pada pencocokan pola,” kata Kenefick. “Teknik penghindaran seperti ini dapat dianggap sebagai bukti penyerang terus berinovasi untuk menggagalkan solusi deteksi berbasis pola.”

Perkembangan ini terjadi di tengah aktivitas Emotet yang diperbarui akhir tahun lalu setelah absen selama 10 bulan setelah operasi penegakan hukum yang terkoordinasi. Pada bulan Desember 2021, para peneliti menemukan bukti malware yang mengembangkan taktiknya untuk menjatuhkan Cobalt Strike Beacons langsung ke sistem yang dikompromikan.

Temuan ini juga muncul ketika Microsoft mengungkapkan rencana untuk menonaktifkan Makro Excel 4.0 (XLM) secara default untuk melindungi pelanggan dari ancaman keamanan. “Pengaturan ini sekarang default ke makro Excel 4.0 (XLM) dinonaktifkan di Excel (Build 16.0.14427.10000),” perusahaan mengumumkan pekan lalu.

Sumber: The Hacker News

File PowerPoint Berbahaya Digunakan untuk Mendorong Trojan Akses Jarak Jauh

by

Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul yang menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.

Menurut sebuah laporan oleh Netskope’s Threat Labs yang dibagikan dengan Bleeping Computer sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud yang sah yang meng-host muatan malware.

Keluarga yang dikerahkan dalam kampanye yang dilacak adalah Warzone (alias AveMaria) dan AgentTesla, dua RAT yang kuat dan pencuri info yang menargetkan banyak aplikasi, sementara para peneliti juga melihat jatuhnya pencuri cryptocurrency.

Geser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dieksekusi melalui kombinasi PowerShell dan MSHTA, keduanya alat Windows bawaan.

Skrip VBS kemudian didefuscated dan menambahkan entri registri Windows baru untuk ketekunan, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.

Selain itu, VBS menciptakan tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.

Muatan kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak rincian tentang hal itu dalam laporan.

Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang sesuai dengan pola dompet cryptocurrency. Jika ditemukan, itu menggantikan alamat penerima dengan satu di bawah kendali aktor.

Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoCs (indikator kompromi) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman GitHub ini.

Selengkapnya: Bleepingcomputer