Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

by

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

by

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

by

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer

AS Klaim Seorang ahli jantung Sibuk Membuat Ransomware

by

AS telah mendakwa seorang ahli jantung Venezuela dengan “gangguan komputer” karena diduga bekerja sambilan sebagai pengembang ransomware.

Pada hari Senin, Departemen Kehakiman membuka (Membuka di jendela baru) pengaduan pidana terhadap Moises Luis Zagala Gonzalez yang berusia 55 tahun yang mengklaim bahwa dia adalah penulis dari dua jenis ransomware yang disebut Jigsaw v.2 dan Thanos.

Menurut penyelidik federal, Zagala menjual dan menyewakan alat ransomware kepada penjahat dunia maya mulai tahun 2019 dan mengajari para penipu cara menggunakan program tersebut.

FBI mengklaim Zagala menciptakan versi 2.0 dari Jigsaw ransomware yang dirancang untuk memperbarui program ransomware lama, yang dibuat oleh orang lain. Dia juga mengembangkan alat pembuat ransomware yang dijuluki Thanos (Buka di jendela baru) setelah penjahat super Marvel.

Fitur Thanos termasuk menyesuaikan catatan tebusan, memilih file mana yang harus dienkripsi ransomware, dan berbagai opsi untuk membantu menutupi kode berbahaya dari deteksi antivirus.

Sumber: FBI

Zagala menjual Thanos dengan menyewakan alat tersebut melalui model lisensi. Dia juga membuat program afiliasi di sekitar Thanos, yang melibatkan membiarkan penjahat dunia maya menggunakan alat tersebut dengan imbalan bagian keuntungan dari setiap serangan ransomware yang berhasil.

Zagala mengiklankan Thanos di berbagai forum online yang digunakan oleh penjahat dunia maya. “Dalam iklan publik untuk program tersebut, Zagala membual bahwa ransomware yang dibuat menggunakan Thanos hampir tidak terdeteksi oleh program antivirus, dan bahwa ‘setelah enkripsi selesai,’ ransomware akan ‘menghapus dirinya sendiri,’ membuat deteksi dan pemulihan ‘hampir mustahil’ bagi korban. ,” tambah DOJ.

Sumber: PCMAG

Intel mengungkapkan banyak masalah keamanan pada perangkat keras mereka, tambal sekarang!

by

Intel telah mengumumkan sejumlah bug firmware, yang dapat memungkinkan endpoint seperti server pusat data, workstation, perangkat seluler, dan produk penyimpanan dikompromikan.

Bug, pertama kali dilaporkan oleh The Register, bug tersebut dapat memungkinkan aktor jahat membocorkan informasi dan meningkatkan hak istimewa mereka, dan diberi label oleh Intel sebagai “keparahan tinggi”.

Daftar lengkap produk yang mungkin terpengaruh oleh kerentanan dapat ditemukan di sini, yang mencakup Prosesor Intel Core Generasi ke-10 dan Prosesor Intel Core X-series.

Sayangnya, bug di atas bukanlah satu-satunya bug yang dapat diumumkan oleh Intel.

Kerentanan keamanan potensial di Prosesor Intel yang memungkinkan kebocoran informasi juga diumumkan, meskipun ini hanya dijuluki “keparahan rendah” oleh Intel.

Intel mengatakan bahwa “Perbedaan perilaku yang dapat diamati di beberapa prosesor Intel memungkinkan pengguna yang berwenang untuk berpotensi mengaktifkan pengungkapan informasi melalui akses lokal.”

Bug tersebut berpotensi mempengaruhi semua keluarga prosesor Intel menurut raksasa perangkat keras tersebut.

Intel merekomendasikan bahwa produk apa pun yang terpengaruh harus menggunakan instruksi LFENCE “setelah memuat yang harus mengamati penulisan dari utas lain ke alamat memori bersama yang sama”.

Firewall mungkin tidak cukup dengan sendirinya dalam iklim saat ini, bukan hanya Intel yang memiliki potensi kerentanan keamanan perangkat keras yang beredar.

Peneliti akademis telah menunjukkan strategi serangan yang berhasil untuk menyiasati perlindungan yang diberikan oleh teknologi Secure Encrypted Virtualization (SEV) AMD yang terkenal.

Siapa pun yang tertarik untuk mengetahui lebih banyak bug dan memiliki informasi tentang masalah keamanan atau kerentanan dengan produk atau teknologi bermerek Intel dapat mengirimkannya melalui email ke secure@intel.com, setelah mengenkripsi informasi sensitif menggunakan kunci publik PGP-nya.

Permintaan untuk keamanan perangkat keras yang lebih besar ada di sana menurut penelitian Intel sendiri.

Survei, berdasarkan berbicara kepada 1.406 orang di seluruh Amerika Serikat, Eropa, Timur Tengah, Afrika, dan Amerika Latin, menemukan 75% responden menyatakan minatnya pada pendekatan berbasis perangkat keras untuk keamanan, sementara 40% menyatakan minatnya pada “keamanan di tingkat silikon”.

Selengkapnya: Tech Radar

Peretas Menggunakan Layanan PrivateLoader PPI untuk Mendistribusikan Malware NetDooka Baru

by

Layanan malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader telah terlihat mendistribusikan kerangka kerja yang “cukup canggih” yang disebut NetDooka, memberikan penyerang kendali penuh atas perangkat yang terinfeksi.

“Kerangka ini didistribusikan melalui layanan bayar-per-instal (PPI) dan berisi beberapa bagian, termasuk loader, dropper, driver perlindungan, dan trojan akses jarak jauh (RAT) berfitur lengkap yang mengimplementasikan protokol komunikasi jaringannya sendiri. , ”kata Trend Micro dalam sebuah laporan yang diterbitkan Kamis.

PrivateLoader, seperti yang didokumentasikan oleh Intel 471 pada Februari 2022, berfungsi sebagai pengunduh yang bertanggung jawab untuk mengunduh dan memasang malware tambahan ke sistem yang terinfeksi, termasuk SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner, dan Anubis.

Menampilkan teknik anti-analisis, PrivateLoader ditulis dalam bahasa pemrograman C++ dan dikatakan dalam pengembangan aktif, dengan keluarga malware pengunduh mendapatkan daya tarik di antara beberapa pelaku ancaman.

Infeksi PrivateLoader biasanya disebarkan melalui perangkat lunak bajakan yang diunduh dari situs web jahat yang didorong ke bagian atas hasil pencarian melalui teknik keracunan optimasi mesin pencari (SEO).

“PrivateLoader saat ini digunakan untuk mendistribusikan ransomware, pencuri, bankir, dan malware komoditas lainnya,” Zscaler mencatat minggu lalu. “Pemuat kemungkinan akan terus diperbarui dengan fitur dan fungsionalitas baru untuk menghindari deteksi dan secara efektif mengirimkan muatan malware tahap kedua.”

Selengkapnya: Olivers Post

Malware Builder Memanfaatkan Discord Webhooks

by

Malware Builder adalah program yang dapat membuat executable mereka sendiri di atasnya. Analis ancaman dari Uptycs menemukan sampel yang dijuluki “KurayStealer.” Menurut peneliti, malware tersebut telah digunakan untuk menargetkan pengguna Discord.

Penulis di balik KurayStealer jelas mengambil inspirasi – dan kode – dari serangan-serangan lainnya. “Kami telah melihat beberapa versi serupa lainnya beredar di repositori publik seperti github,” catat para peneliti, menyimpulkan bahwa “pembuat KurayStelaer memiliki beberapa komponen pencuri kata sandi yang berbeda.”

Saat pertama kali dijalankan, KurayStealer menjalankan pemeriksaan untuk menentukan apakah pengguna jahat menjalankan versi gratis atau “VIP” (berbayar).

Selanjutnya, ia mencoba untuk mengganti string “api/webhooks” dengan “Kisses” di BetterDiscord – versi diperpanjang dari aplikasi Discord, dengan fungsionalitas yang lebih besar untuk pengembang. Jika tindakan ini berhasil, peretas dapat merusak aplikasi untuk menyiapkan webhook.

Webhook adalah mekanisme di mana halaman web dan aplikasi dapat mengirim data waktu nyata satu sama lain melalui HTTP. Mereka seperti API, perbedaan utamanya adalah bahwa webhook mengirim informasi secara otomatis, tanpa memerlukan permintaan dari penerima.

Dengan webhook, program mengambil tangkapan layar dan mengambil lokasi geografis mesin target. Kemudian mulai berburu kredensial: mencari kata sandi, token, alamat IP, dan lainnya dari Discord, Microsoft Edge, Chrome, dan 18 aplikasi lainnya. Setiap data yang dijelajahi dalam proses ini disalurkan kembali ke penyerang melalui webhook.

Selengkapnya: Threat Post

Peringatan: Pembaruan Windows merusak otentikasi untuk beberapa admin server

by

Microsoft memperingatkan pembaruan keamanan dapat menyebabkan kegagalan otentikasi untuk pengontrol domain Windows.

“Setelah menginstal pembaruan yang dirilis 10 Mei 2022 di pengontrol domain Anda, Anda mungkin melihat kegagalan otentikasi di server atau klien untuk layanan seperti Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP), dan Protected Extensible Authentication Protocol (PEAP),” kata goliath IT itu dalam sebuah nasihat yang diterbitkan Rabu.

Saran mengacu pada pembaruan Windows KB5013943 (dirilis Selasa, 10 Mei 2022), yang mengikuti KB5012643 (dirilis 25 April 2022) dan membahas penyebab layar berkedip saat memulai dalam Safe Mode.

Pembaruan KB5012643 April itu ditarik dari peredaran pada Rabu, 11 Mei, tanpa penjelasan.

Pembaruan Windows terbaru, KB5013943, meninggalkan masalah yang belum terselesaikan di mana beberapa aplikasi .NET Framework 3.5 gagal dibuka dan beberapa aplikasi yang menggunakan Direct3D 9 dengan GPU tertentu mogok (solusi disarankan untuk kedua kasus.)

Kesulitan otentikasi seharusnya tidak mempengaruhi perangkat Windows klien atau server pengontrol non-domain, menurut Microsoft.

Netizen yang memposting ke /r/sysadmin di Reddit mencatat terjadinya kegagalan otentikasi setelah penerapan dua tambalan Microsoft. Diidentifikasi oleh ID kerentanan CVE-2022-26931 dan CVE-2022-26923, patch tersebut dimaksudkan untuk menyelesaikan dua kerentanan eskalasi hak istimewa “keparahan tinggi” yang dijelaskan dalam KB5014754.

Selengkapnya: The Register