Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Dua Kampanye Spyware Android yang Menargetkan Uyghurs

by Leave a Comment

Dua kampanye pengawasan jangka panjang telah ditemukan menargetkan komunitas Uyghur di China dan di tempat lain dengan alat spyware Android yang dirancang untuk mengumpulkan informasi sensitif dan melacak keberadaan mereka.

Ini mencakup jenis malware yang sebelumnya tidak terdokumentasi yang disebut BadBazaar dan varian terbaru dari artefak spionase yang dijuluki MOONSHINE oleh para peneliti dari Citizen Lab Universitas Toronto pada September 2019.

BadBazaar, setelah diinstal, hadir dengan beberapa fitur yang memungkinkannya mengumpulkan log panggilan, lokasi GPS, pesan SMS, dan file yang diinginkan; merekam panggilan telepon; ambil foto; dan mengekstrak metadata perangkat yang substansial.

Serangan yang menggunakan MOONSHINE, dalam nada yang sama, telah menggunakan lebih dari 50 aplikasi berbahaya sejak Juli 2022 yang direkayasa untuk mengumpulkan data pribadi dari perangkat yang terinfeksi, selain merekam audio dan mengunduh file sewenang-wenang.

Perkembangan ini juga mengikuti laporan dari Google Project Zero minggu lalu, yang mengungkap bukti vendor pengawasan komersial yang tidak disebutkan namanya mempersenjatai tiga kelemahan keamanan zero-day di ponsel Samsung dengan chip Exynos yang menjalankan kernel versi 4.14.113. Lubang keamanan dipasang oleh Samsung pada Maret 2021.

Yang mengatakan, raksasa pencarian mengatakan eksploitasi mencerminkan pola yang mirip dengan kompromi baru-baru ini di mana aplikasi Android berbahaya disalahgunakan untuk menargetkan pengguna di Italia dan Kazakhstan dengan implan yang disebut Hermit, yang telah dikaitkan dengan perusahaan Italia RCS Lab.

sumber : the hacker news

Departemen Kesehatan AS memperingatkan tentang ransomware Venus yang menargetkan organisasi perawatan kesehatan

by

Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) hari ini memperingatkan bahwa serangan ransomware Venus juga menargetkan organisasi perawatan kesehatan negara itu.

Dalam catatan analis yang dikeluarkan oleh Pusat Koordinasi Keamanan Siber Sektor Kesehatan (HC3), tim keamanan HHS juga menyebutkan bahwa mereka mengetahui setidaknya satu insiden di mana ransomware Venus dikerahkan pada jaringan organisasi perawatan kesehatan AS.

Namun, tidak ada situs kebocoran data yang diketahui bahwa aktor ancaman yang menyebarkan ransomware Venus diketahui digunakan untuk menerbitkan data curian secara online, menurut laporan HC3.

“HC3 mengetahui setidaknya satu entitas perawatan kesehatan di Amerika Serikat yang menjadi korban ransomware Venus baru-baru ini,” laporan itu memperingatkan.

“Operator Venus ransomware tidak diyakini beroperasi sebagai model ransomware-as-a-service (RaaS) dan tidak ada situs kebocoran data (DLS) terkait saat ini.”

Otoritas federal AS telah memperingatkan tentang operasi ransomware lain yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat tahun ini.

Peringatan sebelumnya termasuk peringatan aktor ancaman yang menyebarkan muatan ransomware Maui dan Zeppelin dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

CISA, FBI, dan HHS juga memperingatkan bulan lalu bahwa kelompok kejahatan dunia maya yang dikenal sebagai Tim Daixin menargetkan sektor HPH dalam serangan ransomware yang sedang berlangsung.

Last but not least, perusahaan manajemen piutang layanan lengkap Professional Finance Company Inc (PFC) mengungkapkan dalam pemberitahuan pelanggaran data bahwa serangan ransomware Quantum dari akhir Februari menyebabkan pelanggaran data yang berdampak pada 657 organisasi perawatan kesehatan.

Namun, serangan itu bisa memiliki dampak yang jauh lebih signifikan karena PFC membantu ribuan organisasi layanan kesehatan, pemerintah, dan utilitas AS untuk memastikan bahwa pelanggan mereka membayar tagihan tepat waktu.

Selengkapnya: Bleeping Computer

Driver utama Lenovo menimbulkan risiko keamanan bagi pengguna 25 model notebook

by

Lebih dari dua lusin model notebook Lenovo rentan terhadap peretasan berbahaya yang menonaktifkan proses boot aman UEFI dan kemudian menjalankan aplikasi UEFI yang tidak ditandatangani atau memuat bootloader yang secara permanen menutup perangkat.

Peneliti keamanan ESET juga mengungkapkan kerentanan, pembuat notebook merilis pembaruan keamanan untuk 25 model, termasuk ThinkPads, Yoga Slims, dan IdeaPads. Kerentanan yang merusak boot aman UEFI bisa serius karena memungkinkan penyerang untuk menginstal firmware berbahaya yang bertahan dari beberapa penginstalan ulang sistem operasi.

Unified Extensible Firmware Interface UEFI adalah perangkat lunak yang menjembatani firmware perangkat komputer dengan sistem operasinya. Sebagai bagian kode pertama yang dijalankan ketika hampir semua mesin modern dihidupkan, ini adalah tautan pertama dalam rantai keamanan.

Karena UEFI berada dalam chip flash pada motherboard, infeksi sulit untuk dideteksi dan dihilangkan. Tindakan umum seperti menghapus hard drive dan menginstal ulang OS tidak memiliki dampak yang berarti karena infeksi UEFI hanya akan menginfeksi ulang komputer setelahnya.

ESET mengatakan kerentanan—dilacak sebagai CVE-2022-3430, CVE-2022-3431, dan CVE-2022-3432—“memungkinkan penonaktifan UEFI Secure Boot atau memulihkan database Secure Boot default pabrik (termasuk dbx): semuanya hanya dari OS .” Boot aman menggunakan database untuk mengizinkan dan menolak mekanisme. Basis data DBX, khususnya, menyimpan hash kriptografi dari kunci yang ditolak. Menonaktifkan atau memulihkan nilai default dalam database memungkinkan penyerang menghapus batasan yang biasanya ada.

Menonaktifkan UEFI Secure Boot membebaskan penyerang untuk mengeksekusi aplikasi UEFI berbahaya, sesuatu yang biasanya tidak mungkin dilakukan karena boot aman memerlukan aplikasi UEFI untuk ditandatangani secara kriptografis.

Memulihkan DBX default pabrik, sementara itu, memungkinkan penyerang memuat bootloader yang rentan. Pada bulan Agustus, peneliti dari perusahaan keamanan Eclypsium mengidentifikasi tiga driver perangkat lunak terkemuka yang dapat digunakan untuk mem-bypass boot aman ketika penyerang memiliki hak yang lebih tinggi, yang berarti administrator di Windows atau root di Linux.

Kerentanan dapat dieksploitasi dengan mengutak-atik variabel di NVRAM, RAM non-volatil yang menyimpan berbagai opsi boot. Kerentanan adalah hasil dari Lenovo keliru mengirimkan Notebook dengan driver yang dimaksudkan untuk digunakan hanya selama proses pembuatan. Kerentanannya adalah:

  • CVE-2022-3430: Potensi kerentanan dalam driver Pengaturan WMI pada beberapa perangkat Notebook Lenovo konsumen dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
  • CVE-2022-3431: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
  • CVE-2022-3432: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada Ideapad Y700-14ISK yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan menyesuaikan variabel NVRAM.

Lenovo hanya menambal dua yang pertama. CVE-2022-3432 tidak akan ditambal karena perusahaan tidak lagi mendukung Ideapad Y700-14ISK, model notebook akhir masa pakai yang terpengaruh.

Sumber: Arstechnica

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

by

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Rantai infeksi lengkap Worok

Menyembunyikan muatan dalam PNG

LSB pada piksel gambar

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

  • Jalankan “cmd /c” dengan parameter yang diberikan
  • Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
  • Unduh data dari DropBox ke perangkat
  • Unggah data dari perangkat ke DropBox
  • Hapus data di sistem korban
  • Ganti nama data pada sistem korbaN
  • Exfiltrate info file dari direktori yang ditentukan
  • Tetapkan direktori baru untuk pintu belakang
  • Exfiltrat informasi sistem
  • Perbarui konfigurasi pintu belakang

    • Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

    sumber : bleeping computer

Departemen Kesehatan AS Memperingatkan Tentang Ransomware Venus yang Menargetkan Organisasi Perawatan Kesehatan

by

Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) hari ini memperingatkan bahwa serangan ransomware Venus juga menargetkan organisasi perawatan kesehatan negara itu.

Namun, tidak ada situs yang kebocoran data yang diketahui bahwa aktor ancaman yang menyebarkan ransomware Venus diketahui digunakan untuk menerbitkan data curian secara online, menurut laporan HC3.

Puluhan korban sejak Agustus

Venus Ransomware pertama kali terlihat pada pertengahan Agustus 2022 dan sejak itu telah digunakan di seluruh jaringan puluhan korban perusahaan di seluruh dunia.

Pelaku ancaman di balik serangan ransomware Venus dikenal karena meretas layanan Remote Desktop korban yang diekspos ke publik untuk mengenkripsi perangkat Windows.

Selain menghentikan layanan database dan aplikasi Office, ransomware juga akan menghapus log peristiwa, Volume Salinan Bayangan, dan menonaktifkan Pencegahan Eksekusi Data pada titik akhir yang disusupi.

Pengiriman ransomware Venus (ID Ransomware)

Ransomware menargetkan perawatan kesehatan
Otoritas federal AS telah memperingatkan tentang operasi ransomware lain yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat tahun ini.

Peringatan sebelumnya termasuk peringatan pelaku ancaman yang menyebarkan muatan ransomware Maui dan Zeppelin dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

pada akhirnya, perusahaan manajemen piutang layanan lengkap Professional Finance Company Inc (PFC) mengungkapkan dalam pemberitahuan pelanggaran data bahwa serangan ransomware Quantum dari akhir Februari menyebabkan pelanggaran data yang berdampak pada 657 organisasi layanan kesehatan.

sumber : bleeping computer

Phishing Menjatuhkan Malware IceXLoader di Ribuan Perangkat Rumah dan Perusahaan

by Leave a Comment

Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.

Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’

rantai pengiriman saat ini

Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.

Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\\AppData\Local\Temp” dan meninggalkan executable tahap berikutnya, ‘STOREM~2.exe.’

Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.

executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.

Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.

Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.

Rantai infeksi IceXLoader lengkap
(Minerva Labs)

IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”

Perintah yang didukung oleh loader adalah sebagai berikut:

  • stop execution
  • collect system info and exfiltrate to C2
  • display dialog box with specified message
  • restart icexloader
  • Send GET request to download a file and open it with “cmd/ C”
  • Send GET request to download an executable to run it from memory
  • Load and execute a .NET assembly
  • Change C2 server beaconing interval
  • Update IceXLoader
  • Remove all copies from the disk and stop running

Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.

sumber : bleeping computer

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

by

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

Operator ransomware LockBit Rusia ditangkap di Canada

by

Europol hari ini mengumumkan penangkapan seorang warga negara Rusia yang terkait dengan serangan ransomware LockBit yang menargetkan organisasi infrastruktur penting dan perusahaan terkenal di seluruh dunia.

Tersangka ditangkap di Ontario, Kanada, bulan lalu menyusul penyelidikan yang dipimpin oleh Gendarmerie Nasional Prancis dengan bantuan European Cybercrime Center (EC3) Europol, FBI, dan Canadian Royal Canadian Mounted Police (RCMP).

Penegak hukum juga menyita delapan komputer dan 32 hard drive eksternal, dua senjata api, dan cryptocurrency senilai €400.000 dari rumah tersangka.

Europol menambahkan bahwa operator LockBit ini “adalah salah satu target bernilai tinggi Europol karena keterlibatannya dalam banyak kasus ransomware tingkat tinggi,” dan ia dikenal karena mencoba memeras korban dengan tuntutan tebusan antara €5 hingga €70 juta.

Sementara Europol menggambarkan tersangka sebagai ‘operator’ ransomware LockBit, ia kemungkinan adalah afiliasi daripada manajer operasi kejahatan dunia maya.

Selanjutnya, perwakilan LockBit yang dikenal publik yang dikenal sebagai ‘LockBitSupp’ memposting di forum peretas baru-baru ini kemarin.

Departemen Kehakiman AS (DOJ) mengatakan dalam siaran pers yang diterbitkan hari ini bahwa nama tersangka berusia 33 tahun adalah Mikhail Vasiliev, warga negara ganda Rusia dan Kanada dari Bradford, Ontario, Kanada.

Menurut pengaduan pidana, dalam penggeledahan di rumahnya pada Agustus 2022, penegak hukum Kanada juga menemukan tangkapan layar pertukaran Tox dengan ‘LockBitSupp,’ instruksi tentang cara menyebarkan loker LockBit Linux/ESXi dan kode sumber malware, serta ” foto-foto layar komputer yang menunjukkan nama pengguna dan kata sandi untuk berbagai platform milik karyawan korban LockBit di Kanada, yang menderita serangan LockBit yang dikonfirmasi pada atau sekitar Januari 2022.”

Vasiliev didakwa dengan konspirasi untuk mengirimkan permintaan tebusan dan dengan sengaja merusak komputer yang dilindungi. Dia menghadapi hukuman maksimal lima tahun penjara jika terbukti bersalah.

Penangkapan ini mengikuti tindakan serupa di Ukraina pada Oktober 2021 ketika operasi penegakan hukum internasional gabungan yang melibatkan FBI, polisi Prancis, dan Polisi Nasional Ukraina menyebabkan penangkapan dua kaki tangannya.

Kedua tersangka ditangkap di Kyiv, Ukraina, dengan salah satu dari mereka digambarkan sebagai “peretas” pria berusia 25 tahun.

Tahun lalu, polisi Ukraina juga menangkap tersangka lain yang diyakini sebagai anggota operasi ransomware Clop and Egregor.

Europol juga mengumumkan pada Oktober 2021 bahwa lembaga penegak hukum menangkap 12 tersangka di Ukraina dan Swiss yang diyakini terkait dengan serangan ransomware LockerGoga, MegaCortex, dan Dharma yang memengaruhi lebih dari 1.800 korban di 71 negara.

Sumber: Bleeping Computer