Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Malware Qbot sekarang menggunakan Windows MSDT zero-day dalam serangan phishing

by

Kerentanan kritis Windows zero-day, yang dikenal sebagai Follina dan masih menunggu perbaikan resmi dari Microsoft, sekarang sedang dieksploitasi secara aktif dalam serangan phishing yang sedang berlangsung untuk menginfeksi penerima dengan malware Qbot.

Proofpoint pertama kali melaporkan Senin bahwa zero-day yang sama digunakan dalam phishing yang menargetkan lembaga pemerintah AS dan UE.

Pekan lalu, perusahaan keamanan perusahaan juga mengungkapkan bahwa kelompok peretas TA413 China mengeksploitasi bug tersebut dalam serangan yang menargetkan diaspora Tibet.

Seperti yang dibagikan peneliti keamanan Proofpoint hari ini, afiliasi Qbot TA570 sekarang telah mulai menggunakan dokumen Microsoft Office .docx yang berbahaya untuk menyalahgunakan kelemahan keamanan Follina CVE-2022-30190 dan menginfeksi penerima dengan Qbot.

Penyerang menggunakan pesan utas email yang dibajak dengan lampiran HTML yang akan mengunduh arsip ZIP yang berisi file IMG. Di dalam IMG, target akan menemukan file DLL, Word, dan shortcut.

Sementara file pintasan secara langsung memuat file Qbot DLL yang sudah ada di gambar disk IMG, dokumen .docx kosong akan menjangkau server eksternal untuk memuat file HTML yang mengeksploitasi kelemahan Follina untuk menjalankan kode PowerShell yang mengunduh dan menjalankan kode berbeda Qbot DLL muatan.

Muatan phishing Qbot (BleepingComputer)

Kumpulan indikator kompromi yang terkait dengan kampanye ini oleh analis malware ExecuteMalware dapat ditemukan di sini.

Taktik yang digunakan dalam kampanye phishing ini cocok dengan laporan sebelumnya yang menjelaskan bagaimana TA570 sebelumnya menggunakan pembajakan utas email untuk mendorong lampiran berbahaya.

Keputusan TA570 untuk menggunakan dua metode berbeda untuk menginfeksi calon korban mengisyaratkan pelaku ancaman kejahatan dunia maya yang kemungkinan menjalankan kampanye pengujian A/B untuk menilai taktik mana yang akan memberi mereka hasil terbaik untuk “upaya” mereka.

Ini adalah salah satu dari beberapa kali afiliasi Qbot mencoba mengubah metode serangan mereka tahun ini, pertama kali beralih ke trik lama yang dikenal sebagai Squiblydoo pada bulan Februari untuk menyebarkan malware melalui dokumen Microsoft Office menggunakan regsvr32.exe.

Pada bulan April, setelah Microsoft mulai meluncurkan fitur pemblokiran otomatis makro VBA ke pengguna Office untuk Windows, pelaku ancaman berhenti menggunakan dokumen Microsoft Office dengan makro berbahaya dan beralih ke lampiran arsip ZIP yang dilindungi kata sandi dengan paket Penginstal Windows MSI yang berbahaya.

Qbot (alias Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan kemampuan worming untuk menginfeksi lebih banyak perangkat di jaringan yang disusupi melalui eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif terhadap akun admin Active Directory.

Laporan DFIR baru-baru ini menjelaskan serangan kecepatan ringan Qbot di mana malware mampu mencuri data pengguna yang sensitif (termasuk kredensial Windows dan email) dalam waktu sekitar 30 menit setelah infeksi awal.

Sumber: Bleeping Computer

Phishing menghindar menggabungkan terowongan terbalik dan layanan pemendekan URL

by

Peneliti keamanan melihat peningkatan dalam penggunaan layanan terowongan terbalik bersama dengan penyingkat URL untuk kampanye phishing skala besar, membuat aktivitas jahat lebih sulit dihentikan.

Praktik ini menyimpang dari metode yang lebih umum untuk mendaftarkan domain dengan penyedia hosting, yang cenderung menanggapi keluhan dan menghapus situs phishing.

Dengan terowongan terbalik, pelaku ancaman dapat meng-host halaman phishing secara lokal di komputer mereka sendiri dan merutekan koneksi melalui layanan eksternal. Menggunakan layanan pemendekan URL, mereka dapat membuat tautan baru sesering yang mereka inginkan untuk melewati deteksi.

Banyak tautan phishing diperbarui dalam waktu kurang dari 24 jam, membuat pelacakan dan penghapusan domain menjadi tugas yang lebih menantang.

Perusahaan perlindungan risiko digital CloudSEK mengamati peningkatan jumlah kampanye phishing yang menggabungkan layanan untuk tunneling terbalik dan pemendekan URL.

Dalam sebuah laporan yang dibagikan, para peneliti mengatakan mereka menemukan lebih dari 500 situs yang dihosting dan didistribusikan dengan cara ini.

Layanan terowongan terbalik yang paling banyak disalahgunakan yang ditemukan CloudSEK dalam penelitian mereka adalah Ngrok, LocalhostRun, dan Argo Cloudflare. Mereka juga melihat Bit.ly, is.gd, dan layanan pemendekan URL cutt.ly menjadi lebih umum.

Layanan terowongan terbalik melindungi situs phishing dengan menangani semua koneksi ke server lokal yang dihostingnya. Dengan cara ini, setiap koneksi yang masuk diselesaikan oleh layanan tunnel dan diteruskan ke mesin lokal.

Modus operandi pelaku phising (CloudSEK)

Korban yang berinteraksi dengan situs phishing ini berakhir dengan data sensitif mereka disimpan langsung di komputer penyerang.

Dengan menggunakan penyingkat URL, aktor ancaman menutupi nama URL, yang biasanya berupa string karakter acak, kata CloudSEK. Dengan demikian, nama domain yang akan menimbulkan kecurigaan disembunyikan di URL pendek.

Menurut CloudSEK, musuh mendistribusikan tautan ini melalui saluran komunikasi populer seperti WhatsApp, Telegram, email, teks, atau halaman media sosial palsu.

Salah satu contoh kampanye phishing yang menyalahgunakan layanan ini yang dideteksi CloudSEK adalah meniru YONO, platform perbankan digital yang ditawarkan oleh State Bank of India.

Situs phishing YONO yang dihosting secara lokal (CloudSEK)

URL yang ditentukan oleh penyerang disembunyikan di balik “cutt[.]ly/UdbpGhs” dan mengarah ke domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” yang menggunakan layanan tunneling Argo Cloudflare.

Halaman phishing ini meminta kredensial rekening bank, nomor kartu PAN, nomor identifikasi unik Aadhaar, dan nomor ponsel.

CloudSEK tidak menjelaskan seberapa efektif kampanye ini tetapi menyoroti bahwa pelaku ancaman jarang menggunakan nama domain yang sama selama lebih dari 24 jam, meskipun mereka mendaur ulang template halaman phishing.

Informasi sensitif yang dikumpulkan dengan cara ini dapat dijual di web gelap atau digunakan oleh penyerang untuk mengosongkan rekening bank. Jika data berasal dari perusahaan, pelaku ancaman dapat menggunakannya untuk meluncurkan serangan ransomware, atau penipuan kompromi email bisnis (BEC).

Untuk melindungi dari jenis ancaman ini, pengguna harus menghindari mengklik tautan yang diterima dari sumber yang tidak dikenal atau mencurigakan. Mengetik nama domain bank di browser secara manual adalah metode yang baik untuk mencegah terkena situs palsu.

Sumber: Bleeping Computer

Platform blogging Telegram disalahgunakan dalam serangan phishing

by

Platform blogging anonim Telegram, Telegraph, secara aktif dieksploitasi oleh pelaku phishing yang memanfaatkan kebijakan lemah platform untuk menyiapkan halaman arahan sementara yang mengarah pada pencurian kredensial akun.

Telegraph adalah platform blogging yang memungkinkan siapa pun mempublikasikan apa pun tanpa membuat akun atau memberikan detail identifikasi apa pun.

Postingan Telegraph yang diterbitkan menghasilkan tautan yang dapat didistribusikan oleh pelaku ancaman dengan cara apa pun yang mereka pilih, tetapi tidak ada lokasi pusat untuk mempromosikan postingan ini ke komunitas. Oleh karena itu, Telegraph cepat, sederhana, dan anonim.

Selain itu, karena editor Telegraph mendukung penambahan gambar, tautan, dan menawarkan opsi pemformatan teks, seseorang dapat membuat posting blog tampak seperti halaman web, termasuk formulir login.

Menurut laporan INKY pelaku phishing menggunakan Telegraph secara ekstensif untuk membuat situs phishing yang terlihat seperti halaman arahan situs web atau portal masuk.

Data INKY dari akhir 2019 hingga Mei 2022 menunjukkan bahwa penyertaan tautan Telegraph dalam email phishing telah mengalami peningkatan yang tajam baru-baru ini, karena lebih dari 90% dari semua deteksi terjadi tahun ini.

Tingkat pengiriman email phishing sangat baik karena tautan ini dihosting di Telegraph, platform yang tidak ditandai sebagai berbahaya atau mencurigakan oleh solusi keamanan email apa pun.

Dalam banyak kasus, INKY memperhatikan bahwa email phishing berasal dari akun email yang dibajak, sehingga daftar blokir pada alamat scam yang diketahui akan dilewati.

Dalam sebagian besar kasus yang tercatat, tujuan pelaku phishing adalah melakukan penipuan cryptocurrency atau memanen kredensial akun target mereka.

Kasus-kasus yang dilihat oleh INKY sangat bervariasi, menunjukkan bahwa penyalahgunaan Telegraph berasal dari beberapa kelompok/pelaku, bukan kelompok ancaman tertentu.

Salah satu contohnya adalah pemberitahuan OneDrive yang mengarah ke halaman masuk Microsoft yang tampak realistis di mana korban diminta untuk memasukkan kredensial akun mereka.

Peringatan OneDrive yang dipalsukan di Telegraph (INKY)
Portal phishing akun Microsoft (INKY)

Dalam kasus lain, INKY melihat pesan pemerasan yang mengancam akan membocorkan file pribadi jika penerima tidak membayar uang tebusan. Portal pembayaran di-host langsung di Telegraph, menawarkan beberapa opsi pembayaran untuk korban penipuan.

Pembayaran penipuan Cryptocurrency di Telegraph (INKY)

Pelaku phishing terus-menerus bereksperimen dengan cara baru yang dapat meningkatkan peluang keberhasilan mereka. Mereka sering mencapai tujuan ini dengan menggabungkan akun email curian dan situs gratis seperti Telegraph.

Untuk alasan ini, pengguna tidak boleh mempercayai email hanya karena melewati perlindungan. Jika mendapat tautan arahkan kursor ke atasnya untuk melihat ke mana arahnya sebelum mengklik.

Setiap kali Anda tiba di situs yang meminta kredensial akun Anda, konfirmasikan bahwa Anda telah masuk ke portal masuk resmi sebelum mengetik apa pun di dalam kotak.

Sumber: Bleeping Computer

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Situs web phishing sekarang menggunakan chatbot untuk mencuri kredensial Anda

by

Serangan phishing sekarang menggunakan chatbot otomatis untuk memandu pengunjung melalui proses penyerahan kredensial login mereka kepada pelaku ancaman.

Pendekatan ini mengotomatiskan proses untuk penyerang dan memberikan rasa legitimasi kepada pengunjung situs jahat, karena chatbot biasanya ditemukan di situs web untuk merek yang sah.

Perkembangan baru dalam serangan phishing ini ditemukan oleh para peneliti di Trustwave.

Proses phishing dimulai dengan email yang mengklaim berisi informasi tentang pengiriman paket, menyamar sebagai merek pengiriman DHL.

Contoh email phishing (Trustwave)

Mengklik tombol ‘Ikuti instruksi kami’ di email memuat file PDF yang berisi tautan ke situs phishing. Pelaku ancaman menampilkan tautan phishing dalam dokumen PDF untuk melewati perangkat lunak keamanan email.

PDF yang dapat diunduh berisi tautan berbahaya
(gelombang kepercayaan)

Namun, tombol URL (atau tautan) dalam PDF membawa korban ke situs phishing (dhiparcel-management[.]support-livechat[.]24mhd[.]com) tempat mereka seharusnya menyelesaikan masalah yang menyebabkan paket menjadi tidak terkirim.

Saat halaman phishing dimuat, pengunjung akan disambut dengan obrolan web yang menjelaskan mengapa paket tidak dapat dikirimkan, alih-alih diperlihatkan formulir login palsu yang biasa digunakan untuk mencuri kredensial.

Webchat ini menjelaskan bahwa label paket rusak, mencegah pengirimannya. Obrolan web juga menampilkan foto paket yang diduga untuk menambah legitimasi penipuan.

Chatbot di situs phishing (Trustwave)

Asisten virtual ini menawarkan tanggapan yang telah ditentukan sebelumnya untuk pengunjung, sehingga percakapan tetap, selalu mengarah ke foto paket yang diduga menampilkan label yang rusak.

Karena masalah ini, chatbot meminta korban untuk memberikan informasi pribadi mereka seperti alamat rumah atau bisnis, nama lengkap, nomor telepon, dll.

Setelah itu, pengiriman seharusnya dijadwalkan, dan langkah CAPTCHA palsu ditampilkan untuk bertindak sebagai satu lagi pengiriman legitimasi palsu ke halaman phishing.

Selanjutnya, korban diarahkan ke halaman phishing yang mengharuskan memasukkan kredensial akun DHL dan akhirnya, mengarah ke langkah pembayaran, yang seharusnya untuk menutupi biaya pengiriman.

Halaman “Pembayaran Aman” terakhir berisi bidang pembayaran kartu kredit biasa, termasuk nama pemegang kartu, nomor kartu, tanggal kedaluwarsa, dan kode CVV.

Bidang pembayaran kartu kredit (Trustwave)

Ketika rincian dimasukkan dan tombol “Bayar Sekarang” diklik, korban menerima kata sandi satu kali (OTP) pada nomor ponsel yang diberikan melalui SMS, yang menambah rasa legitimasi.

Layar verifikasi kata sandi satu kali (Trustwave)

Analis Trustwave menguji memasukkan karakter acak, dan sistem mengembalikan kesalahan tentang kode keamanan yang tidak valid, sehingga implementasi verifikasi OTP adalah nyata.

Jika kode yang dimasukkan benar, halaman palsu menampilkan “Terima kasih!” pesan dan mengkonfirmasi bahwa kiriman telah diterima.

Pelaku ancaman semakin menggunakan mekanisme yang umumnya ditemukan di situs web nyata, seperti CAPTCHA, OTP, dan sekarang bahkan chatbot, sehingga menyulitkan korban untuk menemukan upaya untuk mencuri informasi mereka.

Ini memerlukan kewaspadaan yang lebih besar saat menerima komunikasi yang tidak diminta yang meminta tindakan segera Anda, terutama jika pesan ini berisi tombol yang disematkan dan tautan URL.

Jika DHL atau layanan pengiriman lainnya memerlukan tindakan Anda, Anda harus selalu membuka situs web yang sebenarnya di tab browser baru alih-alih mengklik tautan yang disediakan.

Cara terbaik untuk menemukan halaman phishing adalah dengan memeriksa URL situs web tersebut. Jika terlihat mencurigakan atau tidak cocok dengan domain yang sah, jangan masukkan informasi pribadi apa pun ke dalam halaman.

Dalam hal ini, URL DHL palsu diakhiri dengan domain “24mhd.com,” yang jelas-jelas bukan situs web DHL dan merupakan tanda yang jelas dari upaya phishing.

Sumber: Bleeping Computer

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

by

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

by

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer

Peretas Iran terungkap dalam kampanye spionase yang sangat ditargetkan

by

Analis ancaman telah melihat serangan baru yang dikaitkan dengan kelompok peretasan Iran yang dikenal sebagai kelompok APT34 atau Oilrig, yang menargetkan seorang diplomat Yordania dengan alat yang dibuat khusus.

Serangan itu melibatkan teknik anti-deteksi dan anti-analisis tingkat lanjut dan memiliki beberapa karakteristik yang menunjukkan persiapan yang panjang dan hati-hati.

Peneliti keamanan di Fortinet telah mengumpulkan bukti dan artefak dari serangan pada Mei 2022 dan menyusun laporan teknis untuk menyoroti teknik dan metode terbaru APT34.

Email spear-phishing yang dilihat oleh Fortinet menargetkan seorang diplomat Yordania, berpura-pura dari seorang rekan di pemerintahan, dengan alamat email yang dipalsukan.

Email tersebut membawa lampiran Excel berbahaya yang berisi kode makro VBA yang dijalankan untuk membuat tiga file, file yang dapat dieksekusi berbahaya, file konfigurasi, dan DLL yang ditandatangani dan dibersihkan.

Makro juga menciptakan kegigihan untuk executable berbahaya (update.exe) dengan menambahkan tugas terjadwal yang berulang setiap empat jam.

Temuan lain yang tidak biasa menyangkut dua mekanisme anti-analisis yang diterapkan di makro: pengalihan visibilitas lembar dalam spreadsheet dan yang lainnya memeriksa keberadaan mouse, yang mungkin tidak ada pada layanan kotak pasir analisis malware.

Eksekusi berbahaya adalah biner .NET yang memeriksa status program dan membuat dirinya tertidur selama delapan jam setelah diluncurkan. Para analis percaya para peretas mungkin menetapkan penundaan ini dengan asumsi bahwa diplomat akan membuka email di pagi hari dan pergi setelah delapan jam sehingga komputer tidak akan dijaga.

Saat aktif, malware berkomunikasi dengan subdomain C2 menggunakan alat algoritma pembuatan domain (DGA). DGA adalah teknik yang digunakan secara luas yang membuat operasi malware lebih tahan terhadap penghapusan domain dan daftar blokir.

Sistem algoritma pembuatan domain (Fortinet)

Kemudian membuat terowongan DNS untuk berkomunikasi dengan alamat IP yang disediakan. Ini adalah teknik yang jarang terlihat yang membantu pelaku ancaman mengenkripsi data yang dipertukarkan dalam konteks komunikasi ini, sehingga menyulitkan pemantau jaringan untuk menangkap sesuatu yang mencurigakan.

Terowongan DNS dalam komunikasi C2 (Fortinet)

Beberapa domain yang digunakan dalam kampanye diberi nama yang mencurigakan, jelas berusaha menyamar sebagai entitas terkenal dan tepercaya seperti AstraZeneca, HSBC, dan Cisco.

Selanjutnya, C2 mengirimkan dua puluh dua perintah backdoor yang berbeda ke malware, yang dijalankan melalui PowerShell atau Windows CMD interpreter.

Terakhir, eksfiltrasi data yang dicuri dilakukan melalui DNS, dengan data yang disematkan ke dalam permintaan, membuatnya tampak standar dalam log jaringan.

Eksfiltrasi DNS APT34 (Fortinet)

APT34 sebelumnya telah dikaitkan dengan pemerintah Iran dan merupakan aktor ancaman yang cakap yang beroperasi dalam bayang-bayang, tidak meninggalkan banyak jejak.

Dengan demikian, laporan Fortinet sangat berharga bagi para peneliti dan pembela, yang harus memperhatikan indikator kompromi yang dipublikasikan.

Sumber: Bleeping Computer