Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

by

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

Alat Spyware Terkenal Ditemukan Bersembunyi Di Bawah Empat Lapisan Obfuscation

by

FinFisher/FinSpy, spyware komersial yang terkenal dan sangat kontroversial yang dijual oleh perusahaan Jerman FinFisher ke negara-bangsa dan penegak hukum untuk tujuan pengawasan, sekarang membungkus dirinya dalam empat lapisan obfuscation dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Para peneliti di perusahaan keamanan Kaspersky yang berbasis di Moskow membutuhkan waktu delapan bulan untuk melakukan reverse engineering dan analisis penuh untuk mengungkap versi baru spyware yang sangat tersembunyi ini untuk Windows, Mac OS, dan Linux.

Selain metode obfuscation empat lapis, spyware juga sekarang menggunakan bootkit UEFI (Unified Extensible Firmware Interface) untuk menginfeksi targetnya, dan juga mengenkripsi malware dalam memori, menurut para peneliti. Penelitian tim Kaspersky dimulai pada 2019, dan mereka akhirnya membagikan temuan mereka di KTT Analis Keamanan online Kaspersky.

Para peneliti sebelumnya telah menemukan installer berbahaya untuk TeamViewer, VLC Media Player, dan WinRAR yang tidak memiliki tautan ke malware yang diketahui. Tetapi ketika mereka menemukan situs web berbahasa Burma dengan installer yang sama, serta sampel FinFisher untuk Android, mereka berputar kembali ke installer sebelumnya dan menghubungkan titik-titik ke FinFisher/FinSpy.

Bagaimana FinSpy masuk ke mesin korban yang diteliti oleh para peneliti tidak diketahui, tetapi mungkin saja penyerang memiliki akses fisik atau mencuri kredensial administratif.

Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global (GReAT) Kaspersky mengatakan para korban entah bagaimana mengunduh dan secara tidak sengaja menginstal malware tahap pertama.

Selengkapnya: Dark Reading

Add On Firefox ‘Safepal Wallet’ berbahaya mencuri cryptocurrency

by

Add-on Firefox berbahaya bernama “Safepal Wallet” menipu pengguna dengan mengosongkan dompet mereka dan tinggal di situs add-on Mozilla selama tujuh bulan.

Safepal adalah aplikasi dompet cryptocurrency yang mampu menyimpan lebih dari 10.000 jenis aset dengan aman, termasuk Bitcoin, Ethereum, dan Litecoin.

Meskipun add-on browser berbahaya telah dihapus, BleepingComputer telah melihat situs web phishing yang dibuat oleh pelaku ancaman masih aktif.

“Hari ini saya menelusuri [melalui] daftar add-on Mozilla Firefox, saya mencari extension Safepal wallet untuk menggunakan dompet cryptocurrency saya juga di browser web,” jelas pengguna add-on Mozilla yang menggunakan nama, Cali.

Cali tidak tahu apa yang akan terjadi padanya. Beberapa jam setelah menginstal dan masuk ke add-on dengan kredensial Safepal nya yang sebenarnya, ia melihat saldo dompet nya turun menjadi $0.

Halaman add-on untuk ‘Safepal Wallet’, dilihat oleh BleepingComputer, menyatakan add-on itu disiarkan setidaknya sejak 16 Februari 2021.

Dalam lima hari setelah laporan publik Cali tentang insiden tersebut, juru bicara Mozilla menjawab bahwa mereka sedang menyelidiki hal ini. Halaman tersebut telah dihapus oleh Mozilla.

Saat menyelidiki add-on Firefox yang berbahaya, BleepingComputer menemukan domain phishing yang digunakan oleh add-on tersebut. Halaman web ini, yang ditunjukkan di bawah, juga terdaftar sebagai tautan “situs dukungan” di halaman beranda Add on palsu: https://safeuslife.com/tool/

Catatan WHOIS menunjukkan situs phishing terdaftar pada Januari tahun ini melalui Namecheap. Pada saat penulisan berita, halaman web masih aktif dan menginstruksikan korban untuk memasukkan “Frase Cadangan 12 kata dalam urutan yang benar untuk memasangkan Dompet SafePal Anda.”

Tetapi begitu frase pemulihan dimasukkan dan formulir dikirimkan, halaman hanya disegarkan tanpa respons yang nyata. Frase pemulihan diam-diam dikirim ke penyerang.

Frase pemulihan yang dicuri dapat memberi penyerang kendali atas dompet Anda bersama dengan kemampuan untuk mengakses dan mentransfer dana.

Selengkapnya: Bleeping Computer

Peneliti merilis tiga iOS zero-day yang ditolak Apple untuk diperbaiki

by

Kode eksploitasi bukti konsep untuk tiga kerentanan zero-day iOS (dan yang keempat ditambal pada bulan Juli) diterbitkan di GitHub setelah Apple menunda penambalan dan gagal memberi kredit kepada orang yang melaporkannya.

Denis Tokarev (yang menggunakan pegangan Twitter Illusion Of Chaos), pengembang perangkat lunak yang menemukan empat zero day, melaporkannya ke Apple antara 10 Maret dan 4 Mei. Namun, perusahaan diam-diam menambal salah satunya pada bulan Juli dengan rilis 14,7 tanpa memberikan kredit dalam penasihat keamanan.

“Ketika saya bertemu mereka, mereka meminta maaf, meyakinkan saya bahwa itu terjadi karena masalah pemrosesan dan berjanji untuk mencantumkannya di halaman konten keamanan pembaruan berikutnya,” kata Tokarev. “Ada tiga rilis sejak itu dan mereka selalu melanggar janji mereka.”

Sejak itu, semua upaya yang dilakukan untuk mendapatkan penjelasan atas kegagalan Apple untuk memperbaiki kerentanan yang belum ditambal ini dan penolakan mereka untuk memberi kredit diabaikan meskipun lebih banyak nasihat keamanan, untuk iOS 14.7.1, iOS 14.8, dan iOS 15.0, telah diterbitkan sejak saat itu.

Setelah Apple menolak untuk menanggapi permintaan penjelasan, tanggal 24 September peneliti menerbitkan kode eksploit proof-of-concept untuk keempat iOS zero-days yang dia laporkan di GitHub, bersama dengan aplikasi yang mengumpulkan informasi sensitif dan menampilkannya di antarmuka pengguna:

  • Gamed 0-day (iOS 15.0): Bug dapat dieksploitasi melalui aplikasi yang diinstal pengguna dari App Store dan memberikan akses tidak sah ke data sensitif yang biasanya dilindungi oleh perintah TCC atau sandbox platform ($100.000 di halaman Program Bounty Keamanan Apple)
  • Nehelper Enumerate Installed Apps 0-day (iOS 15.0): Mengizinkan aplikasi yang dipasang pengguna untuk menentukan apakah ada aplikasi yang diinstal pada perangkat yang diberikan ID bundelnya.
  • Nehelper Wifi Info 0-day (iOS 15.0): Memungkinkan aplikasi apa pun yang memenuhi syarat (misalnya, memiliki otorisasi akses lokasi) untuk mendapatkan akses ke informasi Wifi tanpa hak yang diperlukan.
  • Analyticsd (diperbaiki di iOS 14.7): Mengizinkan aplikasi yang dipasang pengguna untuk mengakses log analitik:

Selengkapnya: Bleeping Computer

FamousSparrow APT Memata-matai Hotel, Pemerintah

by

Sebuah kelompok mata-mata siber yang dijuluki “FamousSparrow” oleh para peneliti telah meluncur, menargetkan hotel, pemerintah, dan organisasi swasta di seluruh dunia dengan backdoor khusus yang disebut, “SparrowDoor.” Ini adalah salah satu ancaman persisten tingkat lanjut (APT) yang menargetkan kerentanan ProxyLogon awal tahun ini, menurut ESET, meskipun aktivitasnya baru-baru ini terungkap.

Menurut perusahaan, backdoor memiliki kemampuan untuk: mengganti nama atau menghapus file; membuat direktori; mematikan proses; mengirim informasi seperti atribut file, ukuran file, dan waktu penulisan file; mengekstrak konten file tertentu; menulis data ke file tertentu; atau membuat reverse shell interaktif. Ada juga tombol pemutus untuk menghapus pengaturan persistensi dan semua file SparrowDoor dari mesin korban.

“Penargetan, yang mencakup pemerintah di seluruh dunia, menunjukkan bahwa niat FamousSparrow adalah spionase,” catat para peneliti.

Bug eksekusi kode jarak jauh (RCE) ProxyLogon diungkapkan pada bulan Maret, dan digunakan oleh lebih dari 10 grup APT untuk membuat akses melalui kode shell ke server email Exchange di seluruh dunia dalam serangkaian serangan.

Dalam kasus FamousSparrow, ia menggunakan bug untuk menyebarkan SparrowDoor, yang telah terlihat dalam serangan lain (banyak di antaranya terhadap hotel), menurut ESET. Kampanye tambahan ini telah terjadi sebelum dan sesudah ProxyLogon, dan dimulai pada Agustus 2019, catat para peneliti.

Ketika mereka dapat menentukan vektor kompromi awal, para peneliti menemukan bahwa modus operandi FamousSparrow tampaknya merupakan eksploitasi aplikasi web yang rentan terhadap internet.

FamousSparrow terutama menargetkan hotel, tetapi ESET mengamati target di sektor lain, termasuk pemerintahan, organisasi internasional, perusahaan teknik, dan firma hukum.

Selengkapnya: The Threat Post

Operasi Phishing-as-a-Service Skala Besar Terkena

by

Microsoft menemukan operasi phishing-as-a-service (PhaaS) berskala besar, terorganisir dengan baik, dan canggih.

Platform turnkey memungkinkan pengguna untuk menyesuaikan kampanye dan mengembangkan taktik phishing mereka sendiri sehingga mereka kemudian dapat menggunakan platform PhaaS untuk membantu kit phishing, template email, dan layanan hosting yang diperlukan untuk meluncurkan serangan.

Peneliti Microsoft menemukan operasi tersebut, yang dipasarkan oleh penjahat sebagai BulletProofLink, ketika mereka menemukan volume tinggi subdomain yang baru dibuat dan unik—lebih dari 300.000 dalam sekali jalan, menurut sebuah pos yang diterbitkan oleh Tim Defender Threat Intelligence Microsoft 365.

“Penyelidikan ini membawa kami ke lubang kelinci saat kami menemukan salah satu operasi yang memungkinkan kampanye tersebut,” tulis para peneliti.

Dengan lebih dari 100 template phishing yang tersedia yang meniru merek dan layanan terkenal—termasuk Microsoft sendiri—operasi BulletProofLink bertanggung jawab atas banyak kampanye phishing yang berdampak pada perusahaan saat ini, kata mereka.

BulletProofLink—juga dikenal sebagai BulletProftLink atau Anthrax oleh operatornya di berbagai situs web, iklan, dan materi promosi lainnya—memberikan titik awal bagi orang-orang tanpa sumber daya yang signifikan untuk masuk ke bisnis phishing.

Para peneliti mempelajari lebih dalam mengenai operasi PhaaS BulletProofLink untuk mengungkap bagaimana grup tersebut telah menciptakan jaringan phisher yang berkembang pesat.

Biaya layanan bulanan sebanyak $800, sementara layanan lain berharga sekitar $50 dolar untuk tautan hosting satu kali, dengan Bitcoin menjadi metode pembayaran umum di situs BulletProofLink.

Poin menarik tentang model kerja PhaaS yang digunakan BulletProofLink adalah model ini mengikuti metode pemerasan ganda model RaaS—atau dalam hal ini, “pencurian ganda”, seperti yang dijelaskan para peneliti. Grup tersebut menyertakan lokasi sekunder dalam kit phishingnya untuk kredensial yang akan dikirim setelah diperoleh.

Sumber: The Threat Post

Bug zero-day macOS baru memungkinkan penyerang menjalankan perintah dari jarak jauh

by

Peneliti keamanan mengungkapkan kerentanan baru di MacOS Finder Apple, yang memungkinkan penyerang menjalankan perintah di Mac yang menjalankan versi macOS apa pun hingga rilis terbaru, Big Sur.

Bug, yang ditemukan oleh peneliti keamanan independen Park Minchan, disebabkan oleh cara macOS memproses file inetloc, yang secara tidak sengaja menyebabkannya menjalankan perintah apa pun yang disematkan oleh penyerang tanpa peringatan apa pun.

Di macOS, file lokasi Internet dengan ekstensi .inetloc adalah penanda seluruh sistem yang dapat digunakan untuk membuka sumber daya online (news://, ftp://, afp://) atau file lokal (file://).

“Kerentanan di macOS Finder memungkinkan file yang ekstensinya inetloc untuk menjalankan perintah arbitrer,” advisory SSD Secure Disclosure mengungkapkan.

“File-file ini dapat disematkan di dalam email yang jika pengguna mengkliknya akan menjalankan perintah yang tertanam di dalamnya tanpa memberikan prompt atau peringatan kepada pengguna.”

Sementara Apple diam-diam memperbaiki masalah tanpa menetapkan nomor identifikasi CVE, seperti yang ditemukan kemudian oleh Minchan, patch Apple hanya mengatasi sebagian kekurangannya karena masih dapat dieksploitasi dengan mengubah protokol yang digunakan untuk menjalankan perintah yang disematkan dari file:// ke File://.

Meskipun peneliti tidak memberikan informasi apa pun tentang bagaimana penyerang dapat menyalahgunakan bug ini, bug ini berpotensi digunakan oleh pelaku ancaman untuk membuat lampiran email berbahaya yang dapat meluncurkan paket atau muatan jarak jauh saat dibuka oleh target.

Seumber: Bleeping Computer

REvil Mengkonfirmasi Adanya Kecurangan Pembayaran Tebusan Ransomware

by

Sehari setelah tersiar kabar tentang REvil yang telah mengacaukan afiliasi mereka sendiri dari pembayaran ransomware – dengan menggunakan obrolan ganda dan pintu belakang yang memungkinkan operator REvil membajak pembayaran tebusan – afiliasi-afiliasi tersebut turun ke forum peretasan berbahasa Rusia teratas untuk memperbarui tuntutan mereka agar REvil membayar bagian mereka yang dicuri dari pembayaran tebusan.

Advanced Intelligence, firma intelijen ancaman yang mengungkapkan pintu belakang dan obrolan ganda, mengatakan kepada Threatpost pada hari Kamis bahwa aktor terkenal dengan reputasi mapan di forum peretasan bahasa Rusia – Exploit – menggunakan temuan laporan AdvIntel untuk merevitalisasi klaim yang diajukan pada bulan Mei terhadap REvil di bawah tanah Rusia.

Cara operasi ransomware-as-a-service (RaaS) seperti REvil atau DarkSide bekerja adalah bahwa afiliasi melakukan semua pekerjaan kotor kompromi jaringan, dengan imbalan (dalam kasus REvil RaaS asli) 70 persen dari tebusan apa pun yang ditebus oleh para korban.

REvil seharusnya mengantongi sisa 30 persen saja – dan hanya sebanyak itu – dari pembayaran tebusan, sebagai imbalan untuk menyediakan muatan ransomware yang digunakan afiliasi untuk menguasai data dan sistem korban.

Tetapi ketika negosiasi tiba-tiba, secara misterius runtuh dan afiliasi dibiarkan dalam kesulitan, mereka mulai curiga, dan mereka beralih ke arbitrase versi bawah tanah.

Menurut Yelisey Boguslavskiy dari AdvIntel – kepala penelitian di perusahaan pencegahan risiko dunia maya – afiliasi yang ditipu telah mengambil rute itu pada Mei 2021, berusaha untuk mendapatkan kembali $ 21,5 juta USD dari REvil karena diduga menipu mereka.

Pengulangan aktor ancaman itu mengkonfirmasi asumsi AdvIntel: Kepemimpinan REvil memang menciptakan pintu belakang yang memungkinkan mereka untuk memotong negosiasi tebusan antara korban dan afiliasi geng itu sendiri, untuk menjalankan obrolan ganda yang memungkinkan kepemimpinan berpura-pura sebagai korban yang menyerah di tengah-tengah negosiasi, dan kemudian masuk untuk melanjutkan negosiasi, memotong afiliasi dari kesepakatan, dan mengantongi seluruh pembayaran tebusan.

Selengkapnya: The Threat Post