Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / RAT

RAT

Serangan Rantai Pasokan Perangkat Lunak Baru Dengan Menargetkan Jutaan Orang Dengan Spyware

by

Peneliti Cybersecurity mengungkapkan serangan rantai pasokan baru yang membahayakan mekanisme pembaruan NoxPlayer, emulator Android gratis untuk PC dan Mac.

Dijuluki “Operation NightScout” oleh firma keamanan siber Slovakia, ESET, kampanye pengawasan yang sangat bertarget ini melibatkan pendistribusian tiga keluarga malware yang berbeda melalui pembaruan berbahaya yang disesuaikan untuk korban terpilih yang berbasis di Taiwan, Hong Kong, dan Sri Lanka.

NoxPlayer, dikembangkan oleh BigNox yang berbasis di Hong Kong, adalah emulator Android yang memungkinkan pengguna memainkan game seluler di PC, dengan dukungan untuk keyboard, gamepad, perekaman skrip, dan multiple instances. Diperkirakan memiliki lebih dari 150 juta pengguna di lebih dari 150 negara.

Tanda-tanda pertama dari serangan yang sedang berlangsung dikatakan terjadi sekitar September 2020, dari saat kompromi berlanjut hingga “aktivitas yang secara eksplisit berbahaya” ditemukan minggu ini, mendorong ESET untuk melaporkan insiden tersebut ke BigNox.

Untuk melakukan serangan, mekanisme pembaruan NoxPlayer berfungsi sebagai vektor untuk mengirimkan versi yang berisi trojan dari perangkat lunak kepada pengguna yang, setelah instalasi, mengirimkan tiga muatan berbahaya yang berbeda seperti Gh0st RAT untuk memata-matai korbannya, menangkap penekanan tombol, dan mengumpulkan informasi sensitif.

Secara terpisah, para peneliti menemukan kasus di mana malware tambahan seperti PoisonIvy RAT diunduh oleh pembaruan BigNox dari server jarak jauh yang dikendalikan oleh aktor ancaman.

Sumber: The Hacker News

Italy CERT Memperingatkan adanya Kredensial Baru yang Mencuri Malware Android

by

Para peneliti telah mengungkap keluarga baru malware Android yang menyalahgunakan layanan aksesibilitas di perangkat untuk membajak kredensial pengguna dan merekam audio dan video.

Dijuluki “Oscorp” oleh CERT-AGID Italia dan ditemukan oleh AddressIntel, malware “mendorong pengguna untuk menginstal layanan aksesibilitas yang dengannya [penyerang] dapat membaca apa yang ada dan apa yang diketik di layar.”

Dinamakan demikian karena judul halaman login dari server command-and-control (C2), APK berbahaya (disebut “Assistenzaclienti.apk” atau “Perlindungan Pelanggan”) didistribusikan melalui domain bernama “supportoapp [.] Com , “yang setelah penginstalan, meminta izin mengganggu untuk mengaktifkan layanan aksesibilitas dan menjalin komunikasi dengan server C2 untuk mengambil perintah tambahan.

Selain itu, malware berulang kali membuka kembali layar Pengaturan setiap delapan detik hingga pengguna mengaktifkan izin untuk aksesibilitas dan statistik penggunaan perangkat, sehingga menekan pengguna agar memberikan hak istimewa ekstra.

Setelah akses diberikan, malware mengeksploitasi izin untuk mencatat penekanan tombol, mencopot aplikasi di perangkat, melakukan panggilan, mengirim pesan SMS, mencuri cryptocurrency dengan mengarahkan pembayaran yang dilakukan melalui aplikasi Dompet Blockchain.com, dan mengakses kode otentikasi dua faktor dari Google Aplikasi Authenticator.

Pada langkah terakhir, malware mengeksfiltrasi data yang diambil – bersama dengan informasi sistem (misalnya, aplikasi yang diinstal, model ponsel, operator) – ke server C2, selain mengambil perintah dari server yang memungkinkannya meluncurkan aplikasi Google Authenticator , mencuri pesan SMS, menghapus aplikasi, meluncurkan URL tertentu, dan merekam audio dan video layar melalui WebRTC.

selengkapnya : TheHackerNews

Malware Android ini mengklaim memberi peretas kendali penuh atas ponsel pintar Anda

by

Kombinasi baru dari dua jenis malware yang lebih lama, yang memberi peretas akses ke hampir semua yang dilakukan pengguna di smartphone Android, dijual di forum bawah tanah hanya dengan $29,99 – bahkan menyediakan kemampuan untuk penjahat siber tingkat rendah sekalipun untuk mencuri data pribadi yang sensitif.

Remote administration tool (RAT) ‘Rogue’ menginfeksi korban dengan keylogger, memungkinkan penyerang untuk dengan mudah memantau penggunaan situs web dan aplikasi untuk mencuri nama pengguna dan kata sandi, serta data keuangan.

Malware tersebut mengancam spionase skala penuh pada perangkat dengan memantau lokasi GPS target, mengambil tangkapan layar, menggunakan kamera untuk mengambil gambar, secara diam-diam merekam audio dari panggilan dan banyak lagi.

Rogue telah dirinci oleh para peneliti keamanan siber di Check Point, yang mengatakan itu bukan bentuk malware yang sepenuhnya baru, melainkan kombinasi dari dua keluarga Android RAT sebelumnya – Cosmos dan Hawkshaw – dan mendemonstrasikan evolusi pengembangan malware di dark web.

Agar peretas berhasil menginstal Rogue, mereka dapat memilih metode infeksi, baik dengan phishing, melalui aplikasi jahat atau yang lainnya.

Setelah terpasang, Rogue akan mendaftarkan dirinya sebagai administrator perangkat dan menyembunyikan ikonnya dari layar beranda. Jika pengguna mencoba untuk mencabut kredensial administrator ini, sebuah pesan menanyakan “Apakah Anda yakin untuk menghapus semua data?”, sesuatu yang dapat membuat takut banyak orang untuk mencoba menghapus instalasi, takut mereka akan menghapus seluruh perangkat mereka.

Sumber: ZDNet

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

by

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

Paket npm berbahaya tertangkap basah menginstal trojan akses jarak jauh

by

Tim keamanan di balik repositori “npm” untuk library JavaScript menghapus dua paket npm hari Senin ini karena berisi kode berbahaya yang memasang trojan akses jarak jauh (RAT) di komputer pengembang yang mengerjakan proyek JavaScript.

Nama kedua paket tersebut adalah jdb.js dan db-json.js, Dan keduanya dibuat oleh penulis yang sama dan dijelaskan sebagai alat untuk membantu pengembang bekerja dengan file JSON yang biasanya dibuat oleh aplikasi database.

Kedua paket diunggah di registri paket npm minggu lalu dan diunduh lebih dari 100 kali sebelum perilaku jahat mereka terdeteksi oleh Sonatype, perusahaan yang memindai repositori paket secara teratur.

Menurut Ax Sharma dari Sonatype, dua paket berisi skrip berbahaya yang dijalankan setelah pengembang web mengimpor dan menginstal salah satu dari dua pustaka berbahaya tersebut.

Skrip post-install melakukan pengintaian dasar dari host yang terinfeksi dan kemudian mencoba mengunduh dan menjalankan file bernama patch.exe (VT scan) yang kemudian menginstal njRAT, juga dikenal sebagai Bladabindi, trojan akses jarak jauh yang sangat populer yang telah digunakan di operasi spionase dan pencurian data sejak 2015.

Untuk memastikan unduhan njRAT tidak akan memiliki masalah, Sharma mengatakan pemuat patch.exe juga memodifikasi firewall Windows lokal untuk menambahkan rule untuk memasukkan ke whitelist server perintah dan kontrolnya (C&C) sebelum melakukan ping kembali ke operatornya dan memulai unduhan RAT.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

RAT Windows baru dapat dikendalikan melalui saluran Telegram

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru yang diiklankan di forum peretasan bawah tanah berbahasa Rusia.

Dinamakan T-RAT, malware ini tersedia hanya dengan $45, dan nilai jual utamanya adalah kemampuan untuk mengontrol sistem yang terinfeksi melalui saluran Telegram, daripada panel administrasi berbasis web.

Penulisnya mengklaim ini memberi pembeli akses yang lebih cepat dan lebih mudah ke komputer yang terinfeksi dari lokasi mana pun, memungkinkan pelaku ancaman untuk mengaktifkan fitur pencurian data segera setelah korban terinfeksi, sebelum kehadiran RAT ditemukan.

Untuk ini, saluran Telegram RAT mendukung 98 perintah yang, ketika diketik di dalam jendela obrolan utama, memungkinkan pemilik RAT untuk mengambil kata sandi dan cookie browser, menavigasi sistem file korban dan mencari data sensitif, menggunakan keylogger, merekam audio melalui mikrofon, mengambil tangkapan layar dari desktop korban, mengambil gambar melalui webcam, dan mengambil konten clipboard.

Sistem perintah dan kontrol sekunder tersedia melalui RDP atau VNC, tetapi fitur Telegram adalah yang diiklankan kepada pembeli, terutama karena kemudahan pemasangan dan penggunaan.

Penggunaan Telegram sebagai sistem komando dan kontrol telah menjadi tren dalam beberapa tahun terakhir, dan T-RAT bahkan bukan RAT pertama yang menerapkan model seperti itu.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

National Guard dipanggil untuk menggagalkan serangan dunia maya di Louisiana beberapa minggu sebelum eleksi.

by

Pejabat senior keamanan AS telah memperingatkan di sini setidaknya sejak 2019 bahwa ransomware berisiko bagi pemilu AS, yaitu serangan terhadap kantor pemerintah negara bagian tertentu di sekitar pemilu dapat mengganggu sistem yang diperlukan untuk mengelola aspek pemungutan suara.

Para ahli yang menyelidiki insiden Louisiana menemukan alat yang digunakan oleh peretas yang sebelumnya terkait dengan kelompok yang terkait dengan pemerintah Korea Utara, menurut seseorang yang mengetahui penyelidikan tersebut.

Alat itu digambarkan kepada Reuters sebagai Remote Access Trojan, atau RAT, yang digunakan untuk menyusup ke jaringan komputer. Tetapi analis keamanan siber yang telah memeriksa RAT ini – yang dikenal sebagai “KimJongRat” – mengatakan beberapa kodenya telah dipublikasikan di gudang virus komputer, di mana peretas dapat menyalinnya; membuat atribusi ke Korea Utara kurang pasti.

Satu orang yang mengetahui peristiwa tersebut mengatakan bahwa mereka menilai tujuan peretas adalah menginfeksi komputer dengan ransomware, tetapi menambahkan bahwa sulit untuk menentukannya karena serangan telah dihentikan pada fase awal.

Jika demikian, Louisiana bukan yang pertama. Selama setahun terakhir, beberapa kota AS telah menjadi korban ransomware, termasuk: insiden di Baltimore, Maryland, dan Durham, North Carolina.

Pertanyaan Besar

Jen Miller Osborn, wakil direktur intelijen ancaman untuk perusahaan keamanan siber AS Palo Alto Networks, melacak kelompok peretas tahun lalu yang menggunakan KimJongRat. Dia mengatakan akan menjadi “tidak biasa” bagi grup yang dia pelajari untuk melakukan operasi dunia maya demi keuntungan finansial

Pada 6 Oktober, divisi keamanan siber Departemen Keamanan Dalam Negeri, yang dikenal sebagai CISA, menerbitkan peringatan yang mengatakan bahwa Emotet digunakan untuk menargetkan banyak kantor pemerintah lokal di seluruh negeri.

Dalam kasus baru-baru ini di mana penjahat dunia maya mengejar kantor pemerintah lokal saat pemilihan mendekat, seperti di Washington, pejabat AS bersama dengan perusahaan teknologi seperti Microsoft Corp berlomba untuk lebih memahami jika peretas berbagi koneksi dengan badan intelijen asing dari Rusia, Iran, Cina dan Korea Utara.

“Ini adalah pertanyaan yang sangat menarik dan sesuatu yang kami gali dan coba temukan data, informasi, dan kecerdasan yang akan membantu kami memahami itu dengan lebih baik,” kata Wakil Presiden Microsoft Tom Burt dalam wawancara baru-baru ini.

Source : Reuters

PoetRAT Muncul Kembali dalam Serangan di Azerbaijan Di Tengah Meningkatnya Konflik

by

Iterasi baru dari spyware PoetRAT, dengan peningkatan keamanan operasional, kode yang efisiensi dan membingungkan, sedang beredar di Azerbaijan, menargetkan sektor publik dan organisasi penting lainnya seiring dengan meningkatnya konflik negara dengan Armenia atas wilayah yang disengketakan.

Peneliti intelijen ancaman telah mengamati beberapa serangan baru menggunakan malware yang menunjukkan “perubahan dalam kemampuan aktor” dan “kedewasaan menuju keamanan operasional yang lebih baik,” sambil mempertahankan taktik spear-phishing untuk memikat pengguna agar mengunduh dokumen berbahaya, peneliti Cisco Talos mengungkapkan dalam sebuah posting blog, hari Selasa kemarin.

PoetRAT muncul pada bulan April sebagai backdoor yang bertindak sebagai ujung tombak untuk kerangka spionase yang lebih besar.

Kali ini, serangan tersebut menggunakan dokumen Microsoft Word yang diduga berasal dari pemerintah Azerbaijan – lengkap dengan Lambang Nasional Azerbaijan di pojok atas – untuk menginstal PoetRAT di dua file terpisah pada mesin korban, menurut peneliti Warren Mercer, Paul Rascagneres. dan Vitor Ventura.

Perbedaan antara kampanye sebelumnya dan yang terbaru termasuk perubahan dalam bahasa pemrograman yang digunakan untuk malware dari skrip Python ke Lua.

Kampanye terbaru juga menampilkan beberapa taktik baru untuk menghindari deteksi, catat para peneliti. Ini termasuk protokol eksfiltrasi baru untuk menyembunyikan aktivitas penyerang, serta “teknik obfuscation tambahan untuk menghindari deteksi berdasarkan string atau signatures,” termasuk Base64 dan algoritme kompresi LZMA, catat para peneliti.

Korban kampanye termasuk VIP Azerbaijan dan organisasi di sektor publik, dengan penyerang yang menunjukkan akses ke informasi sensitif, seperti paspor diplomatik milik beberapa warga negara.

Berita selengkapnya:
Source: Threat Post