Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

by

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

by

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sumber: TheHackerNews

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

by

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Malware JavaScript baru yang tersembunyi menginfeksi PC Windows dengan RAT

by

Loader JavaScript tersembunyi baru bernama RATDispenser sedang digunakan untuk menginfeksi perangkat dengan berbagai trojan akses jarak jauh (RAT) dalam serangan phishing.

Loader baru dengan cepat membangun kemitraan distribusi dengan setidaknya delapan keluarga malware, semuanya dirancang untuk mencuri informasi dan memberi aktor kendali atas perangkat target.

Dalam 94% kasus yang dianalisis oleh tim Riset Ancaman HP, RATDispenser tidak berkomunikasi dengan server yang dikendalikan aktor dan hanya digunakan sebagai dropper malware tahap pertama.

Berlawanan dengan tren penggunaan dokumen Microsoft Office untuk menjatuhkan payload, loader ini menggunakan lampiran JavaScript, yang menurut HP memiliki tingkat deteksi yang rendah.

Infeksi dimulai dengan email phishing yang berisi lampiran JavaScript berbahaya yang diberi nama dengan ekstensi ganda ‘.TXT.js’. Karena Windows menyembunyikan ekstensi secara default, jika penerima menyimpan file ke komputer mereka, itu akan muncul sebagai file teks yang tidak berbahaya.

File teks ini sangat dikaburkan untuk melewati deteksi oleh perangkat lunak keamanan dan akan didekodekan saat file diklik dua kali dan diluncurkan.

Setelah diluncurkan, loader akan menulis file VBScript ke folder %TEMP%, yang kemudian dijalankan untuk mengunduh muatan malware (RAT).

Lapisan kebingungan ini membantu malware menghindari deteksi 89% setiap saat, berdasarkan hasil pemindaian VirusTotal.

Namun, email gateway akan mendeteksi loader jika organisasi telah mengaktifkan pemblokiran lampiran executable, seperti file .js, .exe, .bat, .com.

Cara lain untuk menghentikan rantai infeksi agar tidak terbuka adalah dengan mengubah file handler default untuk file JS, hanya mengizinkan skrip yang ditandatangani secara digital untuk dijalankan, atau menonaktifkan WSH (Windows Script Host).

Selengkapnya: Bleeping Computer

Pelanggaran data GoDaddy menghantam reseller layanan hosting WordPress

by

GoDaddy mengatakan pelanggaran data yang baru-baru ini diungkapkan yang memengaruhi sekitar 1,2 juta pelanggan juga telah menghantam beberapa reseller layanan WordPress Terkelola.

Menurut Dan Rice, VP of Corporate Communications di GoDaddy, enam reseller yang juga terkena dampak pelanggaran besar-besaran ini adalah tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, dan Host Europe.

GoDaddy mengakuisisi merek-merek ini setelah membeli perusahaan hosting web dan layanan cloud Host Europe Group pada 2017 dan Media Temple pada 2013.

“Tidak ada merek lain yang terpengaruh. Merek-merek itu telah menghubungi pelanggan masing-masing dengan detail spesifik dan tindakan yang direkomendasikan.” Rice memberi tahu perusahaan keamanan WordPress Wordfence.

Pelanggaran data ditemukan oleh GoDaddy hari Rabu lalu, pada 17 November, tetapi, sebagaimana diungkapkan secara terpisah dalam pengajuan Senin dengan Komisi Sekuritas dan Bursa AS, data pelanggan terungkap setidaknya sejak 6 September 2021, setelah pelaku ancaman yang tidak dikenal mengakses ke lingkungan hosting WordPress Terkelola perusahaan tersebut.

Ini bukan pelanggaran data atau insiden keamanan siber pertama yang diungkapkan raksasa web hosting dalam beberapa tahun terakhir.

Pelanggaran lain terungkap tahun lalu, pada bulan Mei, ketika GoDaddy memberi tahu pelanggan bahwa peretas menggunakan kredensial akun hosting web mereka untuk terhubung ke akun hosting mereka melalui SSH.

Pada tahun 2019, GoDaddy menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, yang berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja situs web secara keseluruhan.

Selengkapnya: Bleeping Computer

Malware mencoba mengeksploitasi Penginstal Windows zero-day baru

by

Pembuat malware telah mulai menguji eksploitasi bukti konsep yang menargetkan Penginstal Microsoft Windows zero-day baru yang diungkapkan secara publik oleh peneliti keamanan Abdelhamid Naceri selama akhir pekan.

“Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini,” kata Jaeson Schultz, Pemimpin Teknis untuk Talos Security Intelligence & Research Group Cisco.

Namun, seperti yang dikatakan oleh Kepala Penjangkauan Cisco Talos Nick Biasini kepada BleepingComputer, upaya eksploitasi ini adalah bagian dari serangan volume rendah yang kemungkinan difokuskan pada pengujian dan tweaker eksploitasi untuk kampanye besar-besaran.

Kerentanan yang dimaksud adalah bug elevasi hak istimewa lokal yang ditemukan sebagai pintasan ke tambalan yang dirilis Microsoft selama Patch Selasa November 2021 untuk mengatasi cacat yang dilacak sebagai CVE-2021-41379.

Pada hari Minggu, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru ini, dengan mengatakan itu berfungsi pada semua versi Windows yang didukung.

Jika berhasil dieksploitasi, bypass ini memberi penyerang hak istimewa SISTEM pada perangkat terbaru yang menjalankan rilis Windows terbaru, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Dengan memanfaatkan zero-day ini, penyerang dengan akses terbatas ke sistem yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral dalam jaringan korban.

“Solusi terbaik yang tersedia pada saat penulisan ini adalah menunggu Microsoft merilis patch keamanan, karena kompleksitas kerentanan ini,” jelas Naceri.

Selengkapnya: Bleeping Computer

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

by

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Peretas menargetkan biomanufaktur dengan malware Tardigrade yang tersembunyi

by

​Sebuah grup peretas tingkat lanjut secara aktif menargetkan fasilitas biomanufaktur dengan malware kustom baru yang disebut ‘Tardigrade.’

Pelaku menggunakan malware khusus untuk menyebar di jaringan yang disusupi dan mengekstrak data untuk waktu yang lama tanpa diketahui.

Menurut penasehat yang diterbitkan oleh PBioeconomy Information Sharing and Analysis Center (BIO-ISAC) hari ini, aktor tersebut telah secara aktif menargetkan entitas di lapangan setidaknya sejak Januari 2020.

Anggota BIO-ISAC BioBright mengatakan kepada Wired bahwa tanda-tanda pertama yang terlihat dari serangan ini datang dalam bentuk infeksi ransomware aneh pada musim semi tahun 2020, di mana para pelaku meninggalkan catatan tebusan yang tidak menunjukkan minat yang tulus untuk menerima pembayaran apa pun.

Tujuan dari penyebaran ransomware ini kemungkinan besar untuk menyembunyikan penurunan muatan yang sebenarnya, sebuah malware metamorf yang akan bersarang di sistem yang disusupi, menyebar seperti worm, dan mengekstrak file.

BIO-ISAC menjelaskan bahwa pelaku ancaman menggunakan versi metamorfik khusus ‘SmokeLoader’ bernama ‘Tartigrade,’ yang dikirimkan melalui phishing atau USB stick yang entah bagaimana menemukan jalan mereka di lokasi organisasi target.

SmokeLoader bertindak sebagai pintu masuk tersembunyi bagi para aktor, mengunduh lebih banyak muatan, memanipulasi file, dan menyebarkan modul tambahan.

Versi SmokeLoader sebelumnya sangat bergantung pada arah eksternal, tetapi varian ini dapat beroperasi secara mandiri dan bahkan tanpa koneksi C2.

Sasaran dari pelaku ancaman adalah spionase dunia maya dan mungkin juga gangguan operasional, tetapi malware mereka dapat menjadi masalah yang terus-menerus bagi sistem yang terinfeksi meskipun tidak dapat lagi berkomunikasi dengan server perintah dan kontrol.

Setelah menerbitkan artikel ini, BleepingComputer dihubungi oleh peneliti keamanan yang prihatin dengan kebenaran laporan BIO-ISAC dan data teknis yang disajikan di dalamnya.

Intel Advanced Vitali Kremez dan peneliti lain yang telah berbicara dengan BleepingComputer menyatakan bahwa DLL ini sebenarnya adalah Cobalt Strike HTTP beacon yang dikemas menggunakan crypter Conti, dan tidak ada hubungannya dengan SmokeLoader.

Selengkapnya: Bleeping Computer