Threat

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

March 1, 2021 by Mally

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Cyberspies Cina menargetkan warga Tibet dengan add-on Firefox yang berbahaya

February 26, 2021 by Mally Leave a Comment

Peretas yang disponsori negara Cina telah mengejar organisasi Tibet di seluruh dunia menggunakan add-on Firefox berbahaya yang dikonfigurasi untuk mencuri data browser Gmail dan Firefox dan kemudian mengunduh malware pada sistem yang terinfeksi.

Serangan tersebut, yang ditemukan oleh perusahaan keamanan siber Proofpoint bulan ini, telah dikaitkan dengan grup yang dilacak perusahaan dengan nama kode TA413.

Proofpoint mengatakan para penyerang menargetkan organisasi Tibet dengan email spear-phishing yang memikat anggotanya di situs web tempat mereka akan diminta memasang pembaruan Flash untuk melihat konten situs.

Situs web ini berisi kode yang memisahkan pengguna. Hanya pengguna Firefox dengan sesi Gmail aktif yang diminta untuk menginstal add-on berbahaya tersebut.

Tim Proofpoint mengatakan bahwa meskipun ekstensi itu bernama “Komponen pembaruan Flash”, itu sebenarnya adalah versi dari add-on “Gmail notifier (restartless)” yang sah, dengan kode berbahaya tambahan.

Proofpoint mengatakan ekstensi tersebut juga mengunduh dan menginstal malware ScanBox pada sistem yang terinfeksi.

Kerangka kerja pengintaian berbasis PHP dan JavaScript, malware ini adalah alat lama yang terlihat pada serangan sebelumnya yang dilakukan oleh kelompok spionase siber Cina.

Dalam kampanye khusus ini, yang diberi nama kode FriarFox oleh Proofpoint, serangan dimulai pada Januari 2021 dan berlanjut sepanjang Februari.

Sumber: ZDNet

Bagan ini menunjukkan hubungan antara kelompok kejahatan siber

February 26, 2021 by Mally

Grup kejahatan dunia maya sering kali memiliki rantai pasokan yang kompleks dan mereka secara teratur mengembangkan hubungan di dalam ekosistem kejahatan elektronik lainnya untuk memperoleh akses ke teknologi penting yang memungkinkan operasi mereka atau memaksimalkan keuntungan mereka.

Menurut firma keamanan siber CrowdStrike, teknologi pihak ketiga ini dapat diklasifikasikan ke dalam tiga kategori: layanan, distribusi, dan monetisasi.

Dalam Laporan Ancaman Global 2021, yang dirilis pada hari Senin, perusahaan keamanan CrowdStrike untuk pertama kalinya telah merangkum beberapa koneksi yang saat ini ada di bawah tanah kejahatan siber antara berbagai operator kejahatan elektronik.

Perusahaan menggunakan nomenklaturnya sendiri untuk grup e-crime, jadi beberapa nama grup mungkin terdengar berbeda dari yang pernah kita lihat sebelumnya. Namun, CrowdStrike juga menyediakan indeks interaktif sehingga siapa pun dapat mempelajari lebih lanjut tentang setiap grup dan menautkannya ke nama yang digunakan oleh perusahaan lain.

Apa yang ditunjukkan bagan di atas adalah bahwa enabler memainkan peran yang sama pentingnya dalam intrusi siber seperti kelompok yang melaksanakan intrusi tersebut.

Selengkapnya: ZDNet

Peretas LazyScripter menargetkan maskapai penerbangan dengan trojan akses jarak jauh

February 26, 2021 by Mally

Peneliti keamanan yang menganalisis beberapa set email berbahaya yakin mereka menemukan aktivitas milik aktor yang sebelumnya tidak dikenal yang sesuai dengan deskripsi Advanced Persistent Ancaman (APT).

Aktor tersebut menerima nama LazyScripter dan telah aktif sejak 2018, menggunakan phishing untuk menargetkan individu yang mencari imigrasi ke Kanada untuk mendapatkan pekerjaan, maskapai penerbangan, dan Asosiasi Transportasi Udara Internasional (IATA).

Infrastruktur yang mendukung kampanye jangka panjang ini masih aktif dan pelaku terus berkembang dengan memperbaharui perangkatnya.

Aktivitas terbaru LazyScripter melibatkan penggunaan malware Octopus dan Koadic yang tersedia secara gratis. Keduanya dikirim melalui dokumen berbahaya dan arsip ZIP yang berisi objek yang disematkan (VBScript atau file batch) dan bukan kode makro yang biasa terlihat dalam serangan phishing.

Dengan menggunakan alat pasca-eksploitasi open-source dan malware yang banyak digunakan dalam aktivitas peretasan oleh banyak aktor, LazyScripter meninggalkan sedikit petunjuk tentang atribusi.

Namun, Malwarebytes mencatat bahwa penelitian publik hanya menunjukkan dua aktor ancaman yang telah menggunakan alat pengujian penetrasi Koadic dalam kampanye mereka: MuddyWater yang terkait dengan Iran dan APT28 Rusia (Fancy Bear / Sofacy / Strontium / Sednit).

Perusahaan tersebut mengatakan bahwa mereka tidak menemukan koneksi dengan APT28 tetapi melihat kemiripan dengan MuddyWater di mana kampanye mereka sebelumnya menggunakan Koadic dan PowerShell Empire, dan mengandalkan GitHub untuk menghosting perangkat jahat mereka.

selengkapnya : BleepingComputer

Ancaman ransomware yang harus diperhatikan pada tahun 2021 termasuk crimeware-as-a-service

February 26, 2021 by Mally

Ransomware telah menjadi ancaman yang semakin ganas yang menargetkan bisnis, lembaga pemerintah, sekolah, dan bahkan individu. Karena serangan ransomware mendapatkan daya tarik dan variasi yang lebih besar pada tahun 2020, demikian juga akan membawa lebih banyak perkembangan pada tahun 2021. Sebuah laporan yang dirilis hari Rabu oleh BlackBerry menyoroti beberapa tren yang harus diperhatikan di tahun mendatang.

Untuk “Laporan Ancaman 2021” BlackBerry, peneliti dan profesional keamanan di perusahaan diminta untuk menawarkan prediksi keamanan siber mereka untuk tahun mendatang. Sebagai tanggapan, mereka menyarankan organisasi dan pengguna untuk tetap waspada terhadap ancaman berikut seiring berjalannya 2021.

Taktik yang berkembang di antara penjahat dunia maya adalah serangan ransomware pemerasan ganda. Dalam kasus ini, para penyerang menuntut uang tebusan tidak hanya untuk mendekripsi data yang dicuri, tetapi juga menahan diri untuk tidak merilisnya ke publik. Jika tebusan tidak dibayarkan dalam waktu tertentu, para penjahat berjanji untuk menerbitkannya agar semua orang dapat melihat atau mengungkapkannya kepada pesaing yang mungkin.

Bahkan jika organisasi yang menjadi korban dapat memulihkan data dari cadangan, mereka mungkin masih dipaksa untuk membayar uang tebusan untuk mencegah data terungkap.

selengkapnya : TechRepublic

Semua yang Perlu Anda Ketahui Tentang Perkembangan Ancaman Ransomware

February 25, 2021 by Mally

Apa itu ransomware?

Ransomware adalah program jahat yang memperoleh kendali atas perangkat yang terinfeksi, mengenkripsi file, dan memblokir akses pengguna ke data atau sistem hingga sejumlah uang, atau tebusan, dibayarkan.

Skema penjahat termasuk catatan tebusan — dengan jumlah dan instruksi tentang bagaimana membayar tebusan sebagai imbalan untuk kunci dekripsi — atau komunikasi langsung dengan korban.

Serangan ransomware mulai meningkat pada tahun 2012, dan sejak saat itu, serangan tersebut menjadi serangan siber yang paling luas di seluruh dunia.

Detail Serangan

Deployment: Pada langkah pertama, penyerang mendistribusikan komponen penting yang digunakan untuk menginfeksi, mengenkripsi, atau mengunci sistem, diunduh tanpa sepengetahuan pengguna, menggunakan phishing, atau setelah mengeksploitasi kelemahan sistem yang ditargetkan.
Instalasi: Saat payload diunduh, langkah selanjutnya adalah infeksi. Malware menjatuhkan file kecil yang seringkali mampu menghindari pertahanan. Ransomware dijalankan dan mencoba untuk mendapatkan persistence pada sistem yang terinfeksi dengan menempatkan dirinya untuk menjalankan kunci registri secara otomatis, memungkinkan penyerang jarak jauh untuk mengontrol sistem.
Command-and-Control: Malware kemudian terhubung ke server command and control (C2) penyerang untuk menerima instruksi dan, terutama, untuk menyimpan kunci enkripsi pribadi asimetris dari jangkauan korban.
Destruction: Setelah file dienkripsi, malware menghapus salinan asli di sistem, dan satu-satunya cara untuk memulihkannya adalah dengan mendekripsi file yang disandikan.
Extortion: Penyerang menampilkan catatan tebusan dan memeras korban. Untuk membingungkan dan menakut-nakuti korban, penyerang dapat menghapus beberapa file dari komputer. Namun, jika pengguna membayar uang tebusan, ini bukan jaminan bahwa informasi tersebut akan dipulihkan atau ransomware itu sendiri akan dihapus.

Target serangan ransomware

Ada beberapa alasan penyerang pertama kali memilih jenis organisasi apa yang ingin mereka targetkan dengan ransomware:

Mudah menghindari pertahanan. Universitas, perusahaan kecil yang memiliki tim keamanan kecil adalah sasaran empuk. Berbagi file dan database yang luas membuat penetrasi mudah bagi penyerang.
Kemungkinan pembayaran cepat. Beberapa organisasi terpaksa membayar tebusan dengan cepat. Instansi pemerintah atau fasilitas medis seringkali membutuhkan akses langsung ke datanya. Firma hukum dan organisasi lain dengan data sensitif biasanya ingin merahasiakan serangan.

Tindakan pencegahan

Untuk melindungi dari ransomware, perusahaan harus memiliki rencana yang rumit terhadap malware, termasuk data cadangan. Karena ransomware sangat sulit untuk dideteksi dan diperangi, mekanisme perlindungan yang berbeda harus digunakan.

Selengkapnya dapat dibaca di The Hacker News

Perubahan pada iOS 14.5 membuat eksploitasi iPhone ‘zero-click’ lebih sulit untuk dilakukan

February 24, 2021 by Mally

Perubahan yang akan datang di iOS 14.5 membuat eksploitasi zero-click jauh lebih sulit untuk dilakukan di iPhone, beberapa peneliti malware telah menyatakan.

Apple diam-diam membuat perubahan pada cara mengamankan kode yang berjalan di iOS dalam iOS 14.5 beta, menyarankan bahwa itu dapat dirilis dengan pembaruan publik berikutnya. Beberapa peneliti keamanan menemukan kontrol tersebut, Vice melaporkan Senin.

Secara khusus, perusahaan telah menambahkan Pointer Authentication Codes (PAC) untuk melindungi pengguna dari eksploitasi yang menyuntikkan kode berbahaya melalui kerusakan memori. Sistem sekarang mengautentikasi dan memvalidasi apa yang disebut pointer ISA – fitur yang memberi tahu program iOS kode apa yang harus dijalankan – sebelum digunakan.

Peneliti keamanan memberi tahu Motherboard bahwa mitigasi keamanan akan membuat eksploitasi zero-click lebih sulit untuk dilakukan. Zero-click mengacu pada eksploitasi yang memungkinkan penyerang menyusupi iPhone tanpa interaksi apa pun dari pengguna. Itu juga bisa memperumit pelarian kotak pasir, yang merupakan serangan yang mencoba melewati sistem keamanan isolasi bawaan di iOS

Eksploitasi zero-click telah digunakan dalam beberapa serangan profil tinggi pada pengguna iPhone di masa lalu. Pada 2016, peretas yang bekerja untuk pemerintah Uni Emirat Arab menggunakan alat klik nol yang disebut Karma untuk membobol ratusan iPhone. Pada tahun 2020, sebuah laporan menunjukkan bahwa eksploitasi zero-click digunakan untuk mengawasi iPhone milik 37 jurnalis. Tim Project Zero Google juga telah menemukan kerentanan yang memungkinkan terjadinya serangan zero-click.

Source : Appleinsider

“Shadow Attack” Memungkinkan Penyerang Mengganti Konten dalam PDF yang Ditandatangani Secara Digital

February 24, 2021 by Mally

Para peneliti telah mendemonstrasikan kelas serangan baru yang dapat memungkinkan aktor jahat untuk berpotensi menghindari tindakan balasan yang ada dan merusak perlindungan integritas dokumen PDF yang ditandatangani secara digital.

Disebut “Serangan bayangan” oleh akademisi dari Ruhr-University Bochum, teknik ini menggunakan “fleksibilitas luar biasa yang disediakan oleh spesifikasi PDF sehingga dokumen bayangan tetap memenuhi standar.”

Gambar dari TheHackerNews

Penemuan ini dipresentasikan kemarin di Network and Distributed System Security Symposium (NDSS), dengan 16 dari 29 PDF viewer yang diuji – termasuk Adobe Acrobat, Foxit Reader, Perfect PDF, dan Okular – ditemukan rentan terhadap serangan bayangan.

Untuk melakukan serangan, pelaku kejahatan membuat dokumen PDF dengan dua konten berbeda: satu konten yang diharapkan oleh pihak yang menandatangani dokumen, dan yang lainnya, sepotong konten tersembunyi yang akan ditampilkan setelah PDF ditandatangani.

Dalam dunia analog, serangan tersebut setara dengan sengaja meninggalkan ruang kosong di dokumen kertas dan membuatnya ditandatangani oleh pihak terkait, yang pada akhirnya memungkinkan pihak lawan untuk memasukkan konten sewenang-wenang di ruang tersebut.

Meskipun vendor telah menerapkan langkah-langkah keamanan untuk memperbaiki masalah tersebut, studi baru ini bertujuan untuk memperluas model serangan ini untuk memastikan kemungkinan bahwa musuh dapat memodifikasi konten yang terlihat dari PDF yang ditandatangani secara digital tanpa membatalkan tanda tangannya, dengan asumsi bahwa mereka dapat memanipulasi PDF. sebelum ditandatangani.

Cacatnya – dilacak sebagai CVE-2020-9592 dan CVE-2020-9596 – telah diatasi oleh Adobe dalam pembaruan yang dirilis pada 12 Mei 2020. Per 17 Desember 2020, 11 dari 29 aplikasi PDF yang diuji tetap belum ditambal.

Source : https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Apa itu ransomware?

Detail Serangan

Target serangan ransomware

Tindakan pencegahan

Cookies Settings