Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

by

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Peneliti Menjatuhkan Lexmark RCE Zero-day Daripada Menjual Vuln ‘for peanuts’

by

Seorang peneliti keamanan menghentikan rantai kerentanan eksekusi kode jarak jauh (RCE) zero-day yang memengaruhi printer Lexmark setelah mengklaim bahwa hadiah pengungkapan yang ditawarkan kepadanya “menggelikan”.

Peneliti independen Peter Geissler (@bl4sty) mengatakan bahwa pengungkapan bug secara publik, cacat zero-day pada saat rilis tetapi sekarang ditambal, lebih disukai daripada laporan yang dijual “untuk kacang”.

Dalam penasihat keamanan yang dirilis pada 23 Januari, Lexmark mengatakan masalah tersebut, dilacak sebagai CVE-2023-23560 (CVSSv3 9.0) dan dirilis di bawah satu penugasan CVE, memengaruhi lebih dari 100 model tetapi kini telah ditambal.

Perusahaan mengatakan tidak ada bukti penggunaan berbahaya di alam liar. Ketika didekati untuk memberikan komentar, Lexmark berkata: “Lexmark mengetahui detail kerentanan ini ketika diungkapkan kepada publik. Kami telah menyediakan tambalan kepada pelanggan kami.

Menurut peneliti, Lexmark tidak diberi tahu sebelum rilis zero-day karena dua alasan.

Pertama, Geissler ingin menyoroti bagaimana kontes Pwn2Own “rusak” dalam beberapa hal, seperti yang ditunjukkan saat hadiah uang rendah ditawarkan untuk “sesuatu yang berpotensi berdampak besar” – seperti rantai eksploit yang dapat membahayakan lebih dari 100 model printer.

Lebih lanjut, dia mengatakan bahwa proses keterbukaan informasi seringkali bertele-tele dan berbelit-belit.

selengkapnya : portswigger.net

Iklan Pekerjaan Cybercrime di dark web membayar hingga $20rb per bulan

by

200.000 iklan pekerjaan diposting di 155 situs web gelap antara Maret 2020 dan Juni 2022, grup peretasan dan grup APT berusaha untuk mempekerjakan sebagian besar pengembang perangkat lunak (61% dari semua iklan), menawarkan paket yang sangat kompetitif untuk memikat mereka.

Pekerjaan bergaji tertinggi yang dilihat oleh analis Kaspersky termasuk gaji bulanan sebesar $20.000, sementara iklan untuk spesialis serangan yang cakap mencapai $15.000/per bulan.

Peran yang dalam iklan pekerjaan darknet (Kaspersky)

Dalam beberapa kasus, perekrut juga melihat CV atau portofolio yang disediakan, dan dalam satu dari empat posting, ada sesi wawancara yang dilakukan dengan pencari kerja.

Dalam contoh karakteristik yang ditemukan oleh Kaspersky, satu posting pekerjaan berjanji untuk membayar kandidat sekitar $300 dalam BTC untuk tugas tes.

Tawaran pekerjaan lain mengatur proses penyaringan multi-langkah di mana kandidat akan diminta untuk mengenkripsi DLL uji dalam 24 jam, membuatnya sepenuhnya tidak terdeteksi oleh AV (maksimal 3 pendeteksian runtime AV minor).

Saat perusahaan kejahatan dunia maya mengadopsi operasi seperti bisnis, kami akan terus melihat web gelap sebagai alat perekrutan bagi pelaku ancaman yang mencari penghasilan stabil.

Beberapa pengembang perangkat lunak mungkin melihat peluang ini sebagai penyelamat selama masa sulit kerusuhan politik, ekonomi yang buruk, atau kurangnya kesempatan kerja di wilayah mereka.

Namun, sangat penting untuk memahami potensi risiko bekerja untuk pemberi kerja web gelap, mulai dari penipuan hingga dijebak, ditangkap, dituntut, dan dipenjara.

selengkapnya : bleepingcomputer

Eksploitasi ChromeBook Sh1mmer Baru Membatalkan Pendaftaran Perangkat Terkelola

by

Eksploitasi baru ‘Sh1mmer’ memungkinkan pengguna membatalkan pendaftaran Chromebook yang dikelola perusahaan, memasang aplikasi apapun yang mereka inginkan, dan melewati batasan perangkat.

Chromebook akan dikelola oleh kebijakan yang dibuat oleh administrator organisasi saat didaftarkan dengan sekolah atau perusahaan. Ini memungkinkan admin untuk menginstal paksa ekstensi browser, aplikasi, dan membatasi cara penggunaan perangkat.

Hampir tidak mungkin membatalkan pendaftaran perangkat tanpa dilakukan oleh admin organisasi untuk Anda.

Peneliti keamanan dari Mercury Workshop Team telah mengembangkan exploit baru ‘Shady Hacking 1nstrument Makes Machine Enrollment Retreat’, atau ‘Sh1mmer,’ untuk melewati batasan ini.

Para peneliti juga menyebutkan beberapa board Chromebook yang telah merilis shim RMA secara publik.

Eksploitasi membutuhkan RMA shim yang dibocorkan secara publik yang akan dimodifikasi oleh eksploitasi Sh1mmer untuk memungkinkan pengguna mengelola pendaftaran perangkat.

Di menu ini, pengguna dapat membatalkan pendaftaran dan mendaftarkan ulang perangkat sesuai kebutuhan, mengaktifkan boot USB, mengizinkan akses tingkat root ke sistem operasi, membuka bash shell, dan banyak lagi.

Menu eksploitasi Google ChromeBook Sh1mmer
Menu eksploitasi Sh1mmer

Administrator sistem lain memperingatkan bahwa penggunaan eksploit ini kemungkinan melanggar kode etik siswa dan dapat menyebabkan konsekuensi serius.

Google mengetahui eksploit tersebut dan sedang bertindak untuk mengatasi masalah tersebut.

Selengkapnya: BleepingComputer

Laporan Baru Mengungkap Malware NikoWiper yang Menargetkan Sektor Energi Ukraina

by

Sandworm yang berafiliasi dengan Rusia menggunakan strain malware penghapus lain yang dijuluki NikoWiper sebagai bagian dari serangan yang terjadi pada Oktober 2022 yang menargetkan perusahaan sektor energi di Ukraina.

Perusahaan cybersecurity Slovakia mengatakan serangan itu bertepatan dengan serangan rudal yang diatur oleh angkatan bersenjata Rusia yang ditujukan pada infrastruktur energi Ukraina, menunjukkan tujuan yang tumpang tindih.

Pengungkapan itu terjadi hanya beberapa hari setelah ESET mengaitkan Sandworm dengan penghapus data berbasis Golang yang dikenal sebagai SwiftSlicer yang digunakan melawan entitas Ukraina yang tidak disebutkan namanya pada 25 Januari 2023.

Kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan badan intelijen militer asing Rusia GRU juga terlibat dalam serangan yang sebagian berhasil menargetkan kantor berita nasional Ukrinform, mengerahkan sebanyak lima wiper berbeda pada mesin yang disusupi.

Selain mempersenjatai SDelete, kampanye Sandworm baru-baru ini juga memanfaatkan keluarga ransomware pesanan, termasuk Prestige dan RansomBoggs, untuk mengunci data korban di balik penghalang enkripsi tanpa opsi apa pun untuk memulihkannya.

Menurut Recorded Future, yang melacak APT29 (alias Nobelium) di bawah moniker BlueBravo, APT telah terhubung ke infrastruktur baru yang dikompromikan yang kemungkinan digunakan sebagai umpan untuk mengirimkan pemuat malware dengan nama kode GraphicalNeutrino.

Saat perang Rusia-Ukraina secara resmi memasuki bulan kedua belas, masih harus dilihat bagaimana konflik berkembang ke depan di dunia maya.

“Selama setahun terakhir kami telah melihat gelombang peningkatan aktivitas – seperti pada musim semi setelah invasi, pada musim gugur dan bulan-bulan yang lebih tenang selama musim panas – tetapi secara keseluruhan ada aliran serangan yang hampir konstan,” kata Lipovsky. “Jadi satu hal yang bisa kita yakini adalah kita akan melihat lebih banyak serangan dunia maya.”

selengkapnya : thehackernews

Lebih dari 29.000 Perangkat QNAP Unpatched Terhadap Kelemahan Baru

by

Puluhan ribu perangkat penyimpanan terpasang jaringan (NAS) QNAP sedang menunggu untuk ditambal terhadap kelemahan keamanan kritis yang ditangani oleh perusahaan Taiwan pada hari Senin.

Pelaku ancaman jarak jauh dapat mengeksploitasi kerentanan injeksi SQL ini (CVE-2022-27596) untuk menyuntikkan kode berbahaya dalam serangan yang menargetkan perangkat QNAP yang terpapar Internet dan tidak terhubung.

Perusahaan merekomendasikan pelanggan dengan perangkat yang terpengaruh (menjalankan QTS 5.0.1 dan QuTS hero h5.0.1) untuk meningkatkan ke QTS 5.0.1.2234 build 20221201 atau lebih baru dan QuTS hero h5.0.1.2248 build 20221215 atau lebih baru untuk mengamankan mereka dari serangan.

Untuk memperbarui perangkat Anda, Anda harus masuk sebagai pengguna admin, buka “Panel Kontrol → Sistem → Pembaruan Firmware,” klik opsi “Periksa Pembaruan” di bawah bagian “Pembaruan Langsung” dan tunggu pengunduhan dan pemasangan untuk menyelesaikan.

Puluhan ribu perangkat yang belum ditambal terkena serangan
“Censys telah mengamati 67.415 host dengan indikasi menjalankan sistem berbasis QNAP; sayangnya, kami hanya dapat memperoleh nomor versi dari 30.520 host. Namun, jika sarannya benar, lebih dari 98% perangkat QNAP yang teridentifikasi akan rentan terhadap serangan ini ,” kata peneliti keamanan senior Mark Ellzey.

“Kami menemukan bahwa dari 30.520 host dengan versi, hanya 557 yang menjalankan QuTS Hero lebih besar dari atau sama dengan ‘h5.0.1.2248’ atau QTS lebih besar dari atau sama dengan ‘5.0.1.2234,’ artinya 29.968 host dapat terpengaruh oleh kerentanan ini.”

Anda juga harus menonaktifkan koneksi SSH dan Telnet, mengubah nomor port sistem, mengubah kata sandi perangkat, dan mengaktifkan perlindungan akses IP dan akun menggunakan prosedur langkah demi langkah yang terperinci ini.

selengkapnya : bleepingcomputer

GitHub: Hacker Kloning Sertifikat Penandatanganan Kode di Repositori yang Dilanggar

by

Belum jelas bagaimana aktor ancaman mengkompromikan token akses yang digunakan dalam pelanggaran tersebut.

Penyusup tak dikenal memperoleh akses tidak sah ke beberapa repositori kode GitHub dan mencuri sertifikat penandatanganan kode untuk dua aplikasi desktopnya, Desktop dan Atom.

Satu set sertifikat penandatanganan kode terenkripsi telah diekstraksi. Namun, sertifikat itu dilindungi kata sandi dan GitHub tidak memiliki bukti penggunaan jahat. GitHub melakukan tindakan pencegahan dengan mencabut sertifikat terbuka yang digunakan untuk aplikasi GitHub Desktop dan Atom.

Pencabutan ini akan menyebabkan beberapa versi aplikasi berhenti bekerja. Aplikasi tersebut adalah GitHub Desktop untuk Mac dengan versi 3.0.2 hingga 3.1.2, dan Atom pada versi 1.63.1 dan 1.63.0, sedangkan Desktop untuk Windows tidak terpengaruh.

GitHub sedang bekerja dengan Apple untuk memantau setiap file baru yang dapat dieksekusi (seperti aplikasi) yang ditandatangani dengan sertifikat terbuka.

Tanpa pencabutan, aplikasi semacam itu akan lulus pemeriksaan tanda tangan. Pencabutan memiliki efek membuat semua kode gagal dalam pemeriksaan tanda tangan, tidak peduli kapan ditandatangani.

Pelaku ancaman menggunakan token akses pribadi (PAT) yang dikompromikan untuk mengkloning repositori untuk Desktop, Atom, dan organisasi milik GitHub yang sudah tidak digunakan lagi.

GitHub mencabut PAT sehari kemudian setelah menemukan pelanggaran tersebut. Tak satu pun dari repositori yang dikloning berisi data pelanggan. Tidak ada bukti bahwa pelaku ancaman dapat mendekripsi atau menggunakan salah satu sertifikat.

Selengkapnya: arsTECHNICA

Hacker Menggunakan Wiper SwiftSlicer Baru untuk Menghancurkan Domain Windows

by

Peneliti keamanan telah mengidentifikasi malware penghapus data baru SwiftSlicer yang bertujuan untuk menimpa file penting yang digunakan oleh sistem operasi Windows.

SwiftSlicer ditemukan dalam serangan cyber baru-baru ini terhadap target di Ukraina, dikaitkan dengan Sandworm, kelompok peretasan yang bekerja untuk Direktorat Intelijen Utama (GRU) Staf Umum Rusia sebagai bagian dari unit militer Pusat Utama untuk Teknologi Khusus (GTsST) 74455 .

Penghapus Data Berbasis Go
Peneliti keamanan perusahaan cybersecurity ESET menemukan malware destruktif yang digunakan selama serangan cyber di Ukraina.

Sandworm meluncurkan SwiftSlicer menggunakan Kebijakan Grup Direktori Aktif, memungkinkan admin domain untuk mengeksekusi skrip dan perintah di semua perangkat di jaringan Windows.

SwiftSlicer juga digunakan untuk menghapus salinan bayangan dan menimpa file penting di direktori sistem Windows, khususnya driver dan database Active Directory.
pict – Fungsi malware penghapus data SwiftSlicer (ESET)

Malware Destruktif Rusia
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan bahwa Sandworm juga mencoba menggunakan lima utilitas penghancur data di jaringan kantor berita Ukrinform yaitu CaddyWiper (Windows), ZeroWipe (Windows), SDelete (alat yang sah untuk Windows), AwfulShred (Linux), dan BidSwipe (FreeBSD).

Hasil investigasi diketahui bahwa SandWorm mendistribusikan malware ke komputer di jaringan menggunakan Group Policy Object (GPO).

Selengkapnya: BleepingComputer