Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Layanan PPI PrivateLoader Ditemukan Mendistribusikan Info-Mencuri Malware RisePro

by

Layanan pengunduh malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader digunakan untuk mendistribusikan malware pencuri informasi yang didokumentasikan sebelumnya yang dijuluki RisePro.

Setelah menemukan beberapa set log yang diekstraksi menggunakan malware di pasar kejahatan dunia maya ilegal, Pasar Rusia, Flashpoint dapat melihat pencuri yang baru diidentifikasi pada 13 Desember lalu.

Malware RisePro dikatakan memiliki kesamaan dengan malware pencuri info lainnya yang disebut sebagai Vidar stealer, merupakan cabang dari pencuri dengan nama kode Arkei yang muncul pada tahun 2018.

Perusahaan Keamanan Siber, SEKOIA, merilis analisisnya terhadap RisePro, mengidentifikasi lebih lanjut sebagian kode sumber tumpang tindih dengan PrivateLoader. Proses identifikasi mencakup mekanisme pengacakan string, metode HTTP dan pengaturan port, dan metode penyamaran pesan HTTP.

PrivateLoader adalah layanan unduhan yang memungkinkan pelanggannya mengirimkan muatan berbahaya ke host target.

Malware Wireshark

Tidak berbeda dengan pencuri lainnya, RisePro mampu mencuri berbagai data dari sebanyak 36 browser web, termasuk cookie, kata sandi, kartu kredit, dompet crypto, serta mengumpulkan file yang menarik dan memuat lebih banyak muatan.

Pengembang malware menyediakan saluran telegram untuk saranapelaku kriminal berinteraksi dengan sistem terinfeksi. Begitu pula dengan RisePro yang juga menawarkan data curiannya di telegram.

Belum diketahui jelas penulis RisePro, entah sekelompok pelaku ancaman yang sama di balik PrivateLoader, dan apakah RisePro dibundel secara eksklusif bersama dengan layanan PPI.

Selengkapnya: The Hacker News

Pencuri W4SP Ditemukan di Beberapa Paket PyPI dengan Berbagai Nama

by

Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.

Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.

Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.

Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.

Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.

Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.

Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.

Selengkapnya: The Hacker News

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

by

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.


Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Korea Utara Meretas Hampir 900 Pakar Kebijakan Luar Negeri Korea Selatan, Mencari Uang Tebusan

by

Otoritas Korea Selatan mengatakan serangan itu mungkin telah menipu beberapa korban untuk masuk ke situs web palsu, memperlihatkan detail login mereka kepada penyerang. Badan Intelijen Nasional Korea Selatan yakin Pyongyang telah mencuri sekitar US$1,72 miliar mata uang kripto di seluruh dunia sejak 2017.

Badan Kepolisian Nasional Korea Selatan mengatakan bahwa Korea Utara melakukan serangan siber terhadap setidaknya 892 ahli kebijakan luar negeri dari Korea Selatan untuk mencuri data pribadi dan daftar email mereka serta melakukan serangan ransomware terhadap mal online.

Peretas melakukan penyerangan dimulai pada awal bulan April, menargetkan pakar dan profesor think tank, dengan mengirimkan email phishing tombak dari beberapa akun yang menyamar sebagai tokoh di Korea Selatan. Email berisi tautan situs web palsu atau lampiran yang membawa virus yang dipicu saat dibuka.

Untuk pertama kalinya, polisi mendeteksi peretas Korea Utara menggunakan ransomware, yang mengenkripsi file perangkat target dan meminta uang tebusan untuk membukanya. Peretas juga menyerang pusat perbelanjaan dengan kerentanan keamanan siber.

Polisi dan Badan Intelijen Nasional (NIS) memperkirakan bahwa aktivitas peretas Pyongyang akan berlanjut dan mendesak orang-orang untuk meningkatkan keamanan akun email dan basis data pribadi lainnya.

Pada 30 November lalu, NIS memperkenalkan pusat kerja sama keamanan siber baru agar penyedia keamanan siber pemerintah dan swasta dapat bekerja sama untuk melindungi dari serangan siber sepanjang waktu.

Paik Jong-wook, salah satu wakil presiden NIS, mengatakan bahwa peretas yang didukung negara seperti Korea Utara ini, akan melanjutkan serangan mereka ke Seoul untuk mencuri teknologi Korea Selatan terkait dengan industri nuklir, luar angkasa, semikonduktor, pertahanan nasional, dan strategi bersama dengan AS melawan Pyongyang.

Selengkapnya: South China Morning Post

Malware Pencuri Info Baru Menginfeksi Pembajak Perangkat Lunak Melalui Situs Crack Palsu

by

Malware pencuri informasi baru bernama ‘RisePro’ sedang didistribusikan melalui situs crack palsu yang dioperasikan oleh layanan distribusi malware PrivateLoader pay-per-install (PPI).

RisePro dirancang untuk membantu penyerang mencuri kartu kredit, kata sandi, dan dompet kripto korban dari perangkat yang terinfeksi.

Flashpoint melaporkan bahwa pelaku ancaman telah mulai menjual ribuan log RisePro (paket data yang dicuri dari perangkat yang terinfeksi) di pasar web gelap Rusia.

Detail dan kemampuan RisePro

RisePro adalah malware C++ yang, menurut Flashpoint, mungkin didasarkan pada malware pencuri kata sandi Vidar, karena menggunakan sistem dependensi DLL tertanam yang sama.

DLL dijatuhkan di direktori kerja malware (Flashpoint)

RisePro berupaya mencuri berbagai macam data dari aplikasi, browser, dompet crypto, dan ekstensi browser, seperti yang tercantum di bawah ini:

  • Web browsers: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
  • Browser extensions: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
  • Software: Discord, battle.net, Authy Desktop
  • Cryptocurrency assets: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Link to PrivateLoader
PrivateLoader adalah layanan distribusi malware bayar per pemasangan yang disamarkan sebagai crack perangkat lunak, pembuat kunci, dan modifikasi game.

Pelaku ancaman memberikan sampel malware yang ingin mereka distribusikan, kriteria penargetan, dan pembayaran kepada tim PrivateLoader, yang kemudian menggunakan jaringan situs web palsu dan yang diretas untuk mendistribusikan malware.

Dengan tambahan RisePro, Sekoia sekarang melaporkan menemukan kemampuan loader di malware baru, juga menyoroti bahwa bagian kodenya ini memiliki banyak tumpang tindih dengan PrivateLoader.

Kesamaannya termasuk teknik kebingungan string, kebingungan pesan HTTP, dan pengaturan HTTP dan port.

Code similarity of 30% in HTTP port setup (Sekoia)

Salah satu skenario yang mungkin terjadi adalah orang yang sama di belakang PrivateLoader mengembangkan RisePro.

sumber : bleeping computer

Kilang Minyak Besar di Negara NATO, Target Peretas yang Didukung Kremlin

by

Saat invasi Rusia ke Ukraina berlanjut, peretas negara itu memperluas target mereka.

Salah satu kelompok peretas paling aktif di Kremlin yang menargetkan Ukraina, baru-baru ini mencoba meretas perusahaan penyulingan minyak besar yang berlokasi di negara NATO.

Meskipun gagal, serangan pada 30 Agustus ini menandakan bahwa kelompok tersebut berusaha memperluas pengumpulan intelijennya seiring dengan berlanjutnya invasi Rusia ke negara tetangganya. Grup peretasan telah dikaitkan oleh Dinas Keamanan Ukraina dengan Dinas Keamanan Federal Rusia.


Menatap Industri Energi
Dalam 10 bulan terakhir, Unit 42 memetakan lebih dari 500 domain baru dan 200 sampel serta remah roti lain yang ditinggalkan Trident Ursa dalam kampanye phishing tombak yang mencoba menginfeksi target dengan malware pencuri informasi.
Peneliti perusahaan menilai bahwa sampel menunjukkan Trident Ursa sedang berusaha meningkatkan pengumpulan intelijen dan akses jaringan mereka terhadap sekutu Ukraina dan NATO.

Beberapa nama file yang digunakan dalam serangan yang gagal adalah MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar, dan daftar hal-hal yang diperlukan untuk penyediaan bantuan kemanusiaan militer ke Ukraina.lnk.

Direktur Siber Badan Keamanan Nasional, Rob Joyce, mengatakan prihatin dengan serangan siber yang signifikan dari Rusia, khususnya pada sektor energi global, menurut CyberScoop.

Tinjauan tahunan NSA mencatat bahwa Rusia telah mengeluarkan setidaknya tujuh malware penghapus berbeda yang dirancang untuk menghancurkan data secara permanen.

Perdana Menteri Norwegia, Jonas Gahr Støre, memperingatkan bahwa Rusia merupakan ancaman yang nyata dan serius terhadap industri minyak dan gas di Eropa Barat karena negara tersebut berusaha untuk mematahkan keinginan sekutu Ukraina.

Meski sederhana, teknik peretasan yang Trident Ursa cukup efektif. Berbagai cara digunakan untuk menyembunyikan alamat IP dan tanda tangan lain dari infrastrukturnya, dokumen phishing dengan tingkat deteksi rendah di antara layanan anti-phishing, dan dokumen HTML dan Word yang berbahaya.

Salah satu pernyataan peneliti Unit 42 yaitu untuk semua alasan yang ada, Rusia tetap menjadi ancaman signifikan bagi Ukraina, yang harus dilawan secara aktif oleh Ukraina dan sekutunya.

Selengkapnya: arsTECHNICA

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer