Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas licik membalikkan mitigasi pertahanan saat terdeteksi

by

Pelaku ancaman meretas penyedia layanan telekomunikasi dan perusahaan outsourcing proses bisnis, dan secara aktif membalikkan mitigasi defensif yang diterapkan saat pelanggaran terdeteksi.

Kampanye tersebut ditemukan oleh Crowdstrike, yang mengatakan serangan dimulai pada Juni 2022 dan masih berlangsung, dengan peneliti keamanan dapat mengidentifikasi lima intrusi berbeda.

Serangan tersebut dikaitkan dengan peretas yang dilacak sebagai ‘Scattered Spider‘ yang menunjukkan persisten dalam mempertahankan akses, membalikkan mitigasi, menghindari deteksi, dan berputar ke target valid lainnya jika digagalkan.

Tujuan utama kampanye ini adalah untuk menembus sistem jaringan telekomunikasi, mengakses informasi pelanggan, dan melakukan operasi seperti pertukaran SIM.

Lima peristiwa intrusi yang dikaitkan dengan Scattered Spider (Crowdstrike)

Pelaku ancaman mendapatkan akses awal ke jaringan perusahaan menggunakan berbagai taktik rekayasa sosial.

Taktik ini termasuk memanggil karyawan dan menyamar sebagai staf TI untuk mengambil kredensial atau menggunakan pesan Telegram dan SMS untuk mengalihkan target ke situs phishing yang dibuat khusus yang menampilkan logo perusahaan.

Jika MFA melindungi akun target, penyerang menggunakan taktik push-notification MFA kelelahan atau terlibat dalam rekayasa sosial untuk mendapatkan kode dari para korban.

Dalam satu kasus, musuh mengeksploitasi CVE-2021-35464, sebuah kelemahan di server ForgeRock AM yang diperbaiki pada Oktober 2021, untuk menjalankan kode dan meningkatkan hak istimewa mereka pada instans AWS.

Setelah peretas mendapatkan akses ke sistem, mereka mencoba menambahkan perangkat mereka sendiri ke daftar perangkat MFA (otentikasi multi-faktor) tepercaya menggunakan akun pengguna yang disusupi.

Crowdstrike memperhatikan para peretas menggunakan utilitas berikut dan alat pemantauan dan manajemen jarak jauh (RMM) dalam kampanye mereka:

  • AnyDesk
  • BeAnywhere
  • Domotz
  • DWservice
  • Fixme.it
  • Fleetdeck.io
  • Itarian Endpoint Manager
  • Level.io
  • Logmein
  • ManageEngine
  • N-Able
  • Pulseway
  • Rport
  • Rsocx
  • ScreenConnect
  • SSH RevShell and RDP Tunnelling via SSH
  • Teamviewer
  • TrendMicro Basecamp
  • Sorillus
  • ZeroTier

Dalam intrusi yang diamati oleh Crowdstrike, musuh tidak henti-hentinya berusaha mempertahankan akses ke jaringan yang dibobol, bahkan setelah terdeteksi.

“Dalam beberapa investigasi, CrowdStrike mengamati musuh menjadi lebih aktif, menyiapkan mekanisme persistensi tambahan, yaitu akses VPN dan/atau beberapa alat RMM, jika tindakan mitigasi diterapkan secara perlahan,” CrowdStrike memperingatkan.

“Dan dalam beberapa kasus, musuh mengembalikan beberapa tindakan mitigasi dengan mengaktifkan kembali akun yang sebelumnya dinonaktifkan oleh organisasi korban.”

Dalam semua intrusi yang diamati oleh Crowdstrike, musuh menggunakan berbagai VPN dan ISP untuk mengakses lingkungan Google Workspace organisasi yang menjadi korban.

Untuk bergerak secara lateral, pelaku ancaman mengekstraksi berbagai jenis informasi pengintaian, mengunduh daftar pengguna dari penyewa yang dilanggar, menyalahgunakan WMI, dan melakukan tunneling SSH dan replikasi domain.

Selengkpanya: Bleeping Computer

Malware-As-A-Service Memberikan Fitur Canggih Untuk Pelaku Ancaman

by

Cyble Research and Intelligence Labs (CRIL) terus memantau keluarga malware yang baru dan aktif di alam bebas. Baru-baru ini, CRIL mengamati jenis malware baru bernama DuckLogs, yang melakukan berbagai aktivitas jahat seperti Stealer, Keylogger, Clipper, Remote access, dll. sekarang.

DuckLogs adalah MaaS (Malware-as-a-Service). Itu mencuri informasi sensitif pengguna, seperti kata sandi, cookie, data login, riwayat, detail dompet crypto, dll., Dan mengekstraksi data yang dicuri dari mesin korban ke server C&C-nya. Gambar di bawah menunjukkan iklan Threat Actors (TAs) di forum cybercrime tentang DuckLogs.

DuckLogs menyediakan panel web canggih yang memungkinkan TA melakukan beberapa operasi, seperti membuat biner malware, memantau, dan mengunduh log korban yang dicuri, dll.

DuckLogs adalah kombinasi unik dari malware Stealer, Keylogger, dan Clipper yang dibundel menjadi satu paket perangkat lunak berbahaya yang tersedia di forum kejahatan dunia maya dengan harga yang relatif rendah, menjadikan ancaman ini berbahaya bagi calon korban yang lebih luas.

Cyble Research and Intelligence Labs akan terus memantau jenis malware baru di alam liar dan memperbarui blog dengan kecerdasan yang dapat ditindaklanjuti untuk melindungi pengguna dari serangan terkenal tersebut.

Selengkapnya: Cyble

Pembeli Berhati-hatilah: Aplikasi Cryptocurrency Palsu Berfungsi sebagai Front untuk Malware AppleJeus

by

Selama beberapa bulan terakhir, Volexity telah mengamati aktivitas baru yang terkait dengan aktor ancaman Korea Utara yang dilacaknya yang secara luas disebut sebagai Grup Lazarus. Aktivitas ini terutama melibatkan kampanye yang kemungkinan besar menargetkan pengguna dan organisasi cryptocurrency dengan varian malware AppleJeus melalui dokumen Microsoft Office yang berbahaya.

Analisis Volexity terhadap kampanye ini mengungkap situs web bertema cryptocurrency langsung dengan konten yang dicuri dari situs web sah lainnya. Analisis teknis lebih lanjut dari malware AppleJeus yang disebarkan menemukan variasi baru dari pemuatan samping DLL yang belum pernah dilihat Volexity sebelumnya didokumentasikan seperti di alam liar.

Blog ini menguraikan teknik baru yang digunakan oleh Grup Lazarus, menganalisis varian malware AppleJeus terbaru, membagikan indikator dari versi lain malware ini, serta menguraikan tautan antara aktivitas ini dan kampanye bersejarah.

Bagian akhir postingan mencakup peluang deteksi dan mitigasi untuk individu atau organisasi yang mungkin menjadi sasaran aktivitas ini. Seperti semua blog Volexity, indikator terkait dapat ditemukan di sini di Github.

Volexity menemukan situs web BloxHolder palsu setelah mengidentifikasi sampel malware AppleJeus baru yang dibundel sebagai bagian dari file Instalasi Microsoft (MSI). File yang ditemukan ini, “aplikasi BloxHolder”, sebenarnya adalah kasus lain dari AppleJeus yang diinstal bersama aplikasi perdagangan mata uang kripto sumber terbuka QTBitcoinTrader yang tersedia di GitHub.

Aplikasi sah yang sama ini sebelumnya telah digunakan oleh Grup Lazarus, sebagaimana didokumentasikan dalam laporan ini dari CISA. File MSI digunakan untuk menginstal aplikasi jahat dan sah secara bersamaan.

Selengkapnya: Volexity

Serangan peretasan terkait Korea Utara berpura-pura menjadi topik diskusi di konferensi diplomatik dan keamanan Waspadalah!

by

Serangan peretasan terkait Korea Utara yang disamarkan sebagai topik diskusi dan permintaan untuk presentasi di konferensi keamanan dan diplomasi antar-Korea telah muncul, yang mengharuskan pengguna untuk memberikan perhatian khusus.

Serangan ini tampaknya ditujukan kepada pekerja di bidang diplomasi domestik, keamanan, dan unifikasi, dan telah dipastikan bahwa target menghadiri konferensi akademik atau acara akhir tahun yang akan datang didekati melalui email dengan menipu mereka seperti jadwal. pertanyaan atau permintaan data.

Awalnya, penyerang mengirim email dengan konten umum, seperti pertanyaan umum, tetapi saat ini, lampiran terpisah atau tautan URL tidak sengaja disertakan. Setelah itu, apa yang disebut serangan phishing tombak dua jalur dilakukan di mana hanya mereka yang menunjukkan minat dengan membalas email yang dipilih dan serangan lebih lanjut dilakukan.

Jenis serangan ini dimaksudkan untuk menghindari kecurigaan dari pihak penyerang. Pada umumnya, dalam kasus orang yang telah mendapatkan pelatihan pencegahan insiden keamanan siber atau telah mengikuti pelatihan simulasi peretasan, jika sebuah file dilampirkan atau tautan disertakan dalam email, mereka seringkali tidak membukanya atau meneruskannya ke tim keamanan internal, mencurigai bahwa itu berbahaya. Namun, jika tidak ada konten tertentu, mereka dapat dengan mudah mempercayai dan membalas email tanpa pertanyaan, jadi mereka menggunakan strategi yang dengan cerdik menggali psikologi keamanan dan kesadaran akan masalah ini.

Penyerang mengirimkan file berbahaya dengan menyamar sebagai target tambahan untuk serangan yang dipilih sebagai permintaan presentasi di konferensi akademik tahunan tertentu. File jahat adalah file ‘pintasan (LNK)’, tetapi serangan menggunakan ekstensi ganda yang terlihat seperti dokumen PDF biasa. Itu mendorong eksekusi target.

Selengkapnya: Alyac

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

by

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Malware yang belum pernah terlihat sebelumnya membobol data di pengadilan dan kantor walikota Rusia

by

Kantor walikota dan pengadilan di Rusia diserang oleh malware yang belum pernah terlihat sebelumnya yang berperan sebagai ransomware tetapi sebenarnya adalah penghapus yang secara permanen menghancurkan data pada sistem yang terinfeksi, menurut perusahaan keamanan Kaspersky dan layanan berita Izvestia.

Peneliti Kaspersky telah menamai wiper CryWiper, mengacu pada ekstensi .cry yang ditambahkan ke file yang dihancurkan. Kaspersky mengatakan timnya telah melihat peluncuran malware “serangan tepat” pada target di Rusia.

Izvestia, sementara itu, melaporkan bahwa targetnya adalah kantor walikota dan pengadilan Rusia. Detail tambahan, termasuk berapa banyak organisasi yang terkena dan apakah malware berhasil menghapus data, tidak segera diketahui.

Malware penghapus telah berkembang semakin umum selama dekade terakhir. Pada tahun 2012, wiper yang dikenal sebagai Shamoon mendatangkan malapetaka pada Saudi Aramco Arab Saudi dan RasGas Qatar.

Empat tahun kemudian, varian baru Shamoon kembali dan menyerang banyak organisasi di Arab Saudi. Pada tahun 2017, malware penggandaan diri yang disebut NotPetya menyebar ke seluruh dunia dalam hitungan jam dan menyebabkan kerugian sekitar $10 miliar.

Pada tahun lalu, banyak wiper baru bermunculan. Mereka termasuk DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2, dan RuRansom.

Kaspersky mengatakan menemukan upaya serangan oleh CryWiper dalam beberapa bulan terakhir. Setelah menginfeksi target, malware tersebut meninggalkan catatan yang menuntut, menurut Izvestia, 0,5 bitcoin dan termasuk alamat dompet tempat pembayaran dapat dilakukan.

Selengkapnya: ars TECHNICA

Peretas Mengeksploitasi Kerentanan Redis untuk Menyebarkan Malware Redigo Baru di Server

by

Malware berbasis Go yang sebelumnya tidak berdokumen menargetkan server Redis dengan tujuan mengambil kendali sistem yang terinfeksi dan kemungkinan membangun jaringan botnet.

Serangan tersebut melibatkan pengambilan keuntungan dari kerentanan keamanan kritis di open source, dalam memori, penyimpanan nilai kunci yang diungkapkan awal tahun ini untuk menyebarkan Redigo, menurut perusahaan keamanan cloud Aqua.

Dilacak sebagai CVE-2022-0543 (skor CVSS: 10.0), kelemahannya berkaitan dengan kasus pelarian sandbox di mesin skrip Lua yang dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh.

Ini bukan pertama kalinya cacat tersebut dieksploitasi secara aktif, dengan Juniper Threat Labs mengungkap serangan yang dilakukan oleh botnet Muhstik pada Maret 2022 untuk menjalankan perintah sewenang-wenang.

Rantai infeksi Redigo serupa karena musuh memindai server Redis yang terbuka pada port 6379 untuk membuat akses awal, menindaklanjutinya dengan mengunduh perpustakaan bersama “exp_lin.so” dari server jarak jauh.

File perpustakaan ini dilengkapi dengan exploit untuk CVE-2022-0543 untuk menjalankan perintah guna mengambil Redigo dari server yang sama, selain mengambil langkah untuk menutupi aktivitasnya dengan mensimulasikan komunikasi klaster Redis yang sah melalui port 6379.

“Malware yang dijatuhkan meniru komunikasi server Redis yang memungkinkan musuh menyembunyikan komunikasi antara host yang ditargetkan dan server C2,” jelas peneliti Aqua Nitzan Yaakov.

Tidak diketahui apa tujuan akhir dari serangan itu, tetapi diduga bahwa host yang dikompromikan dapat dikooptasi ke dalam botnet untuk memfasilitasi serangan DDoS atau digunakan untuk mencuri informasi sensitif dari server database untuk memperluas jangkauan mereka.

Selengkapnya: The Hacker News

Cacat Linux baru dapat dirantai dengan dua bug lainnya untuk mendapatkan hak akses root penuh

by

Para peneliti di Unit Riset Ancaman Qualys mendemonstrasikan cara membuat rantai kerentanan Linux baru, dilacak sebagai CVE-2022-3328, dengan dua kelemahan lain untuk mendapatkan hak akses root penuh pada sistem yang terpengaruh.

Kerentanan terletak pada fungsi snap-confine pada sistem operasi Linux, program SUID-root yang diinstal secara default di Ubuntu.

Snap-confine digunakan secara internal oleh snapd untuk membangun lingkungan eksekusi untuk aplikasi snap, alat internal untuk membatasi aplikasi snappy.

CVE-2022-3328 adalah masalah kondisi balapan Snapd yang dapat menyebabkan eskalasi hak istimewa lokal dan eksekusi kode arbitrer.

“Pada Februari 2022, Qualys Threat Research Unit (TRU) menerbitkan CVE-2021-44731 dalam penasihat “Lemmings” kami. Kerentanan (CVE-2022-3328) diperkenalkan pada Februari 2022 oleh tambalan untuk CVE-2021-44731). membaca posting yang diterbitkan oleh Qualys.

“Qualys Threat Research Unit (TRU) mengeksploitasi bug ini di Server Ubuntu dengan menggabungkannya dengan dua kerentanan di multipathd yang disebut Leeloo Multipath (bypass otorisasi dan serangan symlink, CVE-2022-41974 dan CVE-2022-41973), untuk mendapatkan hak akses root penuh.”

Para ahli menggabungkan cacat CVE-2022-3328 dengan dua cacat yang baru ditemukan di Multipathd, yang merupakan daemon yang bertugas memeriksa jalur yang gagal.

Multipathd berjalan sebagai root pada instalasi default beberapa distribusi, termasuk Ubuntu.

Selengkapnya: Security Affairs