Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Malware Wslink Bekerja dalam Bayangan untuk Mengirimkan Muatan Lainnya

by

Malware yang dikembangkan dengan baik biasanya merupakan produk dari pelaku ancaman yang dikenal yang aktivitasnya dilacak dengan cermat oleh peneliti malware. Namun, ada beberapa proyek yang kode, perilaku, dan infrastrukturnya tidak dapat dikaitkan dengan kelompok kejahatan dunia maya yang ada.

Salah satu implan ini adalah Malware Wslink, yang ditemukan pada Oktober 2021. Ancaman tersebut berjalan pada sistem Windows secara eksklusif, dan tampaknya berfungsi sebagai pemuat untuk muatan sekunder. Mayoritas serangan Malware Wslink terkonsentrasi di Eropa Tengah, Timur Tengah, dan Amerika Utara. Penjahat tampaknya mengejar entitas yang beroperasi di industri yang berbeda, dan tidak ada data pasti tentang vektor infeksi yang mereka gunakan untuk menyebarkan Malware Wslink.

Sampel aktif dari Malware Wslink biasanya mencapai pijakan melalui penggunaan layanan Windows yang dibuat khusus. Semua ini dikonfigurasi untuk memulai secara otomatis ketika Windows boot. Perilaku dan koneksi implan sangat dienkripsi, dalam upaya untuk menyembunyikannya dari analis riset dan alat antivirus.

Setelah muatan Malware Wslink didekripsi, muatan tersebut dimuat ke dalam memori komputer, meminimalkan jejak digital yang ditinggalkannya di hard drive. Hal ini membuat perilaku implan lebih menantang untuk dianalisis, dan memiliki manfaat tambahan untuk membantunya menghindari aplikasi anti-malware yang tidak terlalu teliti dengan pemindaiannya.

Sejauh ini tidak ada informasi tentang modul sekunder yang diterima dan dijalankan oleh Malware Wslink. Namun, dilihat dari kemampuannya untuk secara langsung memuatnya ke dalam memori sistem, kemungkinan operatornya berencana untuk menggunakannya dalam kombinasi dengan implan profil tinggi lainnya.

Kabar baiknya adalah bahwa meskipun enkripsi canggih dan teknik penghindaran AV Wslink Malware, masih mudah untuk melindungi diri Anda dari itu dengan menggunakan perangkat lunak antivirus terbaru.

Selengkapnya: Cyclonis

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

Cisco memperbaiki kredensial hard-code dan masalah kunci SSH default

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kelemahan keamanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk masuk menggunakan kredensial hard-code atau kunci SSH default untuk mengambil alih perangkat yang belum ditambal.

CISA juga mendorong pengguna dan administrator hari ini untuk meninjau saran Cisco dan menerapkan semua pembaruan yang diperlukan untuk memblokir upaya untuk mengambil alih sistem yang terkena dampak.

Catalyst PON Switch kredensial hard-coded

Yang pertama dari dua kelemahan yang ditambal pada hari Rabu (dilacak sebagai CVE-2021-34795) hadir dengan skor CVSS 10/10 yang sempurna dan ditemukan di Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT).

“Kerentanan dalam layanan Telnet Cisco Catalyst PON Series Switches ONT dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi masuk ke perangkat yang terpengaruh dengan menggunakan akun debugging yang memiliki kata sandi default dan statis,” perusahaan menjelaskan dalam sebuah nasihat yang diterbitkan kemarin. .

Untungnya, kerentanan ini hanya dapat dieksploitasi dengan membuat sesi Telnet ke perangkat yang rentan dan masuk dengan kredensial hard-coded.

Karena Telnet tidak diaktifkan secara default pada perangkat yang terpengaruh, ini secara drastis membatasi jumlah target yang dapat diserang oleh aktor ancaman.

Daftar perangkat yang terpengaruh termasuk sakelar CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC, dan CGP-ONT-4TVCW Catalyst PON.

Cisco mengkonfirmasi bahwa CVE-2021-34795 tidak berdampak pada Catalyst PON Switch CGP-OLT-8T dan Catalyst PON Switch CGP-OLT-16T.
Kunci SSH default di Cisco Policy Suite

Cacat keamanan kritis kedua yang ditambal kemarin dilacak sebagai CVE-2021-40119 dan disebabkan oleh penggunaan kembali kunci SSH statis di seluruh instalasi Cisco Policy Suite.

“Kerentanan dalam mekanisme otentikasi SSH berbasis kunci dari Cisco Policy Suite dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke sistem yang terpengaruh sebagai pengguna root,” jelas Cisco.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengekstrak kunci dari sistem di bawah kendali mereka.”

Perangkat lunak Cisco Policy Suite merilis 21.2.0 dan yang lebih baru akan secara otomatis membuat kunci SSH baru selama proses instalasi tetapi tidak selama peningkatan.

Untuk menghasilkan kunci SSH baru dan menyebarkannya ke semua mesin, Anda dapat menggunakan langkah-langkah yang dirinci di bagian Rilis Tetap dari saran Cisco.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa tidak ada kode eksploitasi konsep publik yang tersedia secara online untuk kedua kerentanan ini dan menambahkan bahwa mereka tidak mengetahui adanya eksploitasi yang sedang berlangsung di alam liar.

SUMBER : Bleeping Computer

Hati-hati: Phishing Discord Nitro menargetkan Steam Gamers

by

Phishing Steam baru yang dipromosikan melalui pesan Discord menjanjikan langganan Nitro gratis jika pengguna menghubungkan akun Steam mereka, yang kemudian digunakan peretas untuk mencuri item game atau mempromosikan penipuan lainnya.

Penipuan phishing dilakukan oleh banyak akun Discord yang dikontrol threat actors (orang yang mengancam keamanan di dunia maya) atau bot otomatis yang mengirim tautan ke pengguna lainnya tentang panduan cara mendapatkan Discord Nitro secara gratis.

“Lihat, di sini gratis nitro 1 bulan, cukup tautkan akun Steam Anda dan nikmati,” bunyi pesan phishing yang dikirim ke pengguna Discord seperti gambar di bawah ini.

Source: Malwarebytes

Meskipun terdengar seperti kampanye promosi, tautan membawa korban ke situs phishing yang dibuat penyerang agar terlihat seperti halaman Discord yang sah yang mempromosikan fitur Nitro.

Setelah mengklik tombol “Dapatkan Nitro”, formulir login Steam palsu ditampilkan, yang terlihat hampir identik dengan formulir yang sah.

Nyatanya, jendela pop-up yang terbuka adalah halaman phishing. Jadi, identitas Steam apa pun yang dimasukkan, dikirim langsung ke server peretas.

Source: Malwarebytes

Saat mencoba login, korban diperlihatkan kesalahan yang berkata, “Nama akun atau kata sandi yang Anda masukkan salah,” dan meminta pengguna untuk login lagi.

Metode verifikasi ganda ini memastikan bahwa tidak ada kesalahan pengetikan yang dibuat selama proses phishing dan identitas yang dicuri sudah benar.

Saat URL halaman phising ini dilaporkan dan dimasukkan ke daftar hitam, pelaku kejahatan mendaftarkan URL baru dan memindahkan operasi berbahaya mereka ke infrastruktur baru, seperti yang ditunjukkan oleh daftar di bawah.

Source: Malwarebytes

Begitulah umpan phishing terus berubah dengan umpan baru untuk memikat para gamer dengan janji akan sesuatu yang gratis.

Dengan demikian, saat menggunakan Discord, pengguna harus curiga terhadap pesan apa pun yang mengklaim menawarkan sesuatu secara gratis jika mereka mengklik URL.

Tidak ada hal yang ditawarkan secara gratis di luar platform itu sendiri, jadi jika Steam dan Discord menjalankan kampanye promosi bersama, Anda akan melihatnya di salah satu aplikasi/situs web resmi masing-masing.

Sumber: Bleeping Computer

10 Cara Penyerang Ransomware Menekan Anda Untuk Membayar Uang Tebusan

by

Di masa lalu, ransomware adalah masalah yang relatif mudah. Seorang penyerang akan melanggar organisasi dan mengenkripsi data penting. Tanpa cadangan yang andal atau terbaru, organisasi itu akan memiliki beberapa pilihan selain membayar uang tebusan dengan harapan data akan didekripsi.

Sekarang, bagaimanapun, organisasi menjadi lebih rajin membuat cadangan data penting, yang berarti mereka cenderung tidak membayar uang tebusan. Akibatnya, penjahat dunia maya telah beralih ke trik yang lebih agresif dan kuat untuk menuntut agar uang tebusan dibayarkan.

1. Bersumpah untuk merilis data secara publik

Bahkan jika korban memiliki cadangan yang andal, mereka mungkin merasakan tekanan untuk membayar uang tebusan daripada mengambil risiko malu dan kemungkinan terlibat hukum jika data bocor.

2. Menghubungi karyawan secara langsung

Untuk lebih menekan organisasi, penyerang akan menghubungi eksekutif senior dan karyawan lain untuk memperingatkan mereka bahwa data pribadi mereka akan bocor jika uang tebusan tidak dibayarkan.

Menghubungi mitra, pelanggan, dan media

Dalam kasus lain, penyerang akan menjangkau mitra bisnis, pelanggan dan bahkan media dan memberitahu mereka untuk mendesak korban untuk membayar.

Memperingatkan korban untuk tidak menghubungi penegak hukum

Banyak organisasi akan menghubungi aparat penegak hukum atau pihak lain untuk meminta bantuan mereka dalam menyelesaikan insiden tersebut. Langkah tersebut dapat membantu korban memulihkan data mereka tanpa membayar uang tebusan. Khawatir karena ini, banyak penjahat akan memperingatkan korban mereka untuk tetap diam.

Memperkerjakan orang dalam

Beberapa penjahat akan mencoba meyakinkan karyawan atau orang dalam untuk membantu mereka menyusup ke organisasi untuk melakukan serangan ransomware. Harapannya adalah mereka akan menemukan beberapa karyawan yang tidak puas atau tidak jujur yang dengan sukarela mengeksploitasi majikan mereka sendiri.

Selengkapnya: Tech Republic

Bot yang Mencuri Kode 2FA Sedang Populer Di Pasar Bawah Tanah

by

Panggilan itu datang dari sistem pencegahan penipuan PayPal. Seseorang telah mencoba menggunakan akun PayPal saya untuk menghabiskan $58,82, menurut suara otomatis di telepon. PayPal perlu memverifikasi identitas saya untuk memblokir transfer.

“Untuk mengamankan akun Anda, silakan masukkan kode yang kami kirimkan ke perangkat seluler Anda sekarang,” kata suara itu. PayPal terkadang mengirimkan kode kepada pengguna untuk melindungi akun mereka. Setelah memasukkan string enam digit, suara itu berkata, “Terima kasih, akun Anda telah diamankan dan permintaan ini telah diblokir.”

“Jangan khawatir jika ada pembayaran yang telah dibebankan ke akun Anda: kami akan mengembalikannya dalam waktu 24 hingga 48 jam. ID referensi Anda adalah 1549926. Sekarang Anda dapat menutup telepon,” kata suara itu.

Tapi panggilan ini sebenarnya dari seorang hacker. Penipu menggunakan jenis bot yang secara drastis merampingkan proses peretas untuk mengelabui korban agar menyerahkan kode otentikasi multi-faktor atau kata sandi satu kali (OTP) mereka untuk semua jenis layanan, membiarkan mereka masuk atau mengotorisasi transaksi transfer tunai. Berbagai bot menargetkan Apple Pay, PayPal, Amazon, Coinbase, dan berbagai bank tertentu.

Motherboard meminta seseorang bernama Kaneki yang menjual salah satu bot ini secara online untuk mendemonstrasikan kemampuannya dengan mengirimkan panggilan otomatis ke telepon reporter Motherboard. Setelah memasukkan kode, Kaneki menunjukkan bot mereka telah menerima kode yang sama.

Dengan bot yang berharga beberapa ratus dolar ini, siapa pun dapat mulai mendapatkan otentikasi multi-faktor, tindakan keamanan yang mungkin diasumsikan oleh banyak anggota masyarakat sebagian besar aman.

Untuk membobol akun, seorang peretas akan membutuhkan nama pengguna atau alamat email dan kata sandi korban. Mereka mungkin bersumber dari pelanggaran data sebelumnya yang berisi kredensial yang digunakan kembali oleh banyak orang di internet. Atau mereka dapat membeli satu set “log bank”—detail login—dari seorang spammer, kata OPTGOD777. Tetapi korban mungkin mengaktifkan otentikasi multi-faktor, di situlah bot masuk.

Baik di Telegram atau Discord, peretas memasukkan nomor telepon target mereka dan platform yang ingin dibobol peretas. Di latar belakang, bot kemudian menempatkan panggilan otomatis ke target.

Ketika bot melakukan panggilan otomatis dan meminta korban untuk memasukkan kode yang baru saja mereka terima, peretas akan secara bersamaan memicu kode yang sah untuk dikirim dari platform yang ditargetkan ke ponsel korban. Mereka dapat melakukan ini dengan memasukkan nama pengguna dan kata sandi korban di situs sehingga korban menerima kode login atau otorisasi.

Bot kemudian mengambil kode yang dimasukkan korban, memasukkannya kembali ke antarmuka bot, dan peretas kemudian dapat menggunakan kode tersebut untuk login.

Di luar situs atau layanan seperti Amazon, PayPal, dan Venmo, beberapa bot juga menargetkan bank tertentu, seperti Bank of America dan Chase.

Selengkapnya: Vice

Peretas BlackShadow melanggar perusahaan hosting Israel dan memeras pelanggan

by

Kelompok peretas BlackShadow menyerang penyedia hosting Israel Cyberserve untuk mencuri basis data klien dan mengganggu layanan perusahaan.

Cyberserve adalah perusahaan pengembangan web dan perusahaan hosting Israel yang digunakan oleh berbagai organisasi, termasuk stasiun radio lokal, museum, dan lembaga pendidikan.

Mulai Jumat, ketika mencoba mengakses situs web yang dihosting di Cyberserve, pengunjung menemui kesalahan situs web atau pesan bahwa situs tersebut tidak dapat diakses karena insiden keamanan siber.

Sebuah kelompok peretasan yang dikenal sebagai BlackShadow mengaku bertanggung jawab atas serangan terhadap Cyberserve dan memeras perusahaan hosting dan pelanggannya dengan menuntut $ 1 juta dalam cryptocurrency untuk tidak membocorkan data yang dicuri.

Batas waktu permintaan pemerasan ini ditetapkan selama 48 jam, dimulai pada hari Sabtu, tetapi para aktor segera membocorkan sampel 1.000 catatan untuk membuktikan bahwa meraka benar-benar memiliki data perusahaan.

Termasuk dalam pencurian data adalah database yang berisi informasi pribadi dari situs LGBT besar bernama ‘Atraf,’ yang membuat insiden keamanan cukup mengerikan.

Mengekspos orang-orang LGBT yang hidup dalam masyarakat konservatif menempatkan mereka pada risiko yang signifikan, baik secara fisik maupun psikologis.

Pada saat penulisan, banyak situs web yang dihosting di CyberServe tidak dapat diakses, termasuk Atraf, yang menunjukkan bahwa perusahaan masih menanggapi serangan tersebut.

Direktorat Cyber Nasional setempat mengatakan kepada The Times of Israel bahwa mereka telah memperingatkan CyberServe tentang serangan cyber yang akan segera terjadi beberapa kali di hari-hari sebelumnya.

Tidak jelas apakah Cyberserve mengabaikan peringatan ini atau tidak dapat menemukan kerentanan keamanan yang digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer