Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

by

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Rantai infeksi lengkap Worok

Menyembunyikan muatan dalam PNG

LSB pada piksel gambar

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

  • Jalankan “cmd /c” dengan parameter yang diberikan
  • Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
  • Unduh data dari DropBox ke perangkat
  • Unggah data dari perangkat ke DropBox
  • Hapus data di sistem korban
  • Ganti nama data pada sistem korbaN
  • Exfiltrate info file dari direktori yang ditentukan
  • Tetapkan direktori baru untuk pintu belakang
  • Exfiltrat informasi sistem
  • Perbarui konfigurasi pintu belakang

    • Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

    sumber : bleeping computer

Departemen Kesehatan AS Memperingatkan Tentang Ransomware Venus yang Menargetkan Organisasi Perawatan Kesehatan

by

Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) hari ini memperingatkan bahwa serangan ransomware Venus juga menargetkan organisasi perawatan kesehatan negara itu.

Namun, tidak ada situs yang kebocoran data yang diketahui bahwa aktor ancaman yang menyebarkan ransomware Venus diketahui digunakan untuk menerbitkan data curian secara online, menurut laporan HC3.

Puluhan korban sejak Agustus

Venus Ransomware pertama kali terlihat pada pertengahan Agustus 2022 dan sejak itu telah digunakan di seluruh jaringan puluhan korban perusahaan di seluruh dunia.

Pelaku ancaman di balik serangan ransomware Venus dikenal karena meretas layanan Remote Desktop korban yang diekspos ke publik untuk mengenkripsi perangkat Windows.

Selain menghentikan layanan database dan aplikasi Office, ransomware juga akan menghapus log peristiwa, Volume Salinan Bayangan, dan menonaktifkan Pencegahan Eksekusi Data pada titik akhir yang disusupi.

Pengiriman ransomware Venus (ID Ransomware)

Ransomware menargetkan perawatan kesehatan
Otoritas federal AS telah memperingatkan tentang operasi ransomware lain yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat tahun ini.

Peringatan sebelumnya termasuk peringatan pelaku ancaman yang menyebarkan muatan ransomware Maui dan Zeppelin dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

pada akhirnya, perusahaan manajemen piutang layanan lengkap Professional Finance Company Inc (PFC) mengungkapkan dalam pemberitahuan pelanggaran data bahwa serangan ransomware Quantum dari akhir Februari menyebabkan pelanggaran data yang berdampak pada 657 organisasi layanan kesehatan.

sumber : bleeping computer

Phishing Menjatuhkan Malware IceXLoader di Ribuan Perangkat Rumah dan Perusahaan

by Leave a Comment

Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.

Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’

rantai pengiriman saat ini

Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.

Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\\AppData\Local\Temp” dan meninggalkan executable tahap berikutnya, ‘STOREM~2.exe.’

Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.

executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.

Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.

Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.

Rantai infeksi IceXLoader lengkap
(Minerva Labs)

IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”

Perintah yang didukung oleh loader adalah sebagai berikut:

  • stop execution
  • collect system info and exfiltrate to C2
  • display dialog box with specified message
  • restart icexloader
  • Send GET request to download a file and open it with “cmd/ C”
  • Send GET request to download an executable to run it from memory
  • Load and execute a .NET assembly
  • Change C2 server beaconing interval
  • Update IceXLoader
  • Remove all copies from the disk and stop running

Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.

sumber : bleeping computer

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

by

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

Operator ransomware LockBit Rusia ditangkap di Canada

by

Europol hari ini mengumumkan penangkapan seorang warga negara Rusia yang terkait dengan serangan ransomware LockBit yang menargetkan organisasi infrastruktur penting dan perusahaan terkenal di seluruh dunia.

Tersangka ditangkap di Ontario, Kanada, bulan lalu menyusul penyelidikan yang dipimpin oleh Gendarmerie Nasional Prancis dengan bantuan European Cybercrime Center (EC3) Europol, FBI, dan Canadian Royal Canadian Mounted Police (RCMP).

Penegak hukum juga menyita delapan komputer dan 32 hard drive eksternal, dua senjata api, dan cryptocurrency senilai €400.000 dari rumah tersangka.

Europol menambahkan bahwa operator LockBit ini “adalah salah satu target bernilai tinggi Europol karena keterlibatannya dalam banyak kasus ransomware tingkat tinggi,” dan ia dikenal karena mencoba memeras korban dengan tuntutan tebusan antara €5 hingga €70 juta.

Sementara Europol menggambarkan tersangka sebagai ‘operator’ ransomware LockBit, ia kemungkinan adalah afiliasi daripada manajer operasi kejahatan dunia maya.

Selanjutnya, perwakilan LockBit yang dikenal publik yang dikenal sebagai ‘LockBitSupp’ memposting di forum peretas baru-baru ini kemarin.

Departemen Kehakiman AS (DOJ) mengatakan dalam siaran pers yang diterbitkan hari ini bahwa nama tersangka berusia 33 tahun adalah Mikhail Vasiliev, warga negara ganda Rusia dan Kanada dari Bradford, Ontario, Kanada.

Menurut pengaduan pidana, dalam penggeledahan di rumahnya pada Agustus 2022, penegak hukum Kanada juga menemukan tangkapan layar pertukaran Tox dengan ‘LockBitSupp,’ instruksi tentang cara menyebarkan loker LockBit Linux/ESXi dan kode sumber malware, serta ” foto-foto layar komputer yang menunjukkan nama pengguna dan kata sandi untuk berbagai platform milik karyawan korban LockBit di Kanada, yang menderita serangan LockBit yang dikonfirmasi pada atau sekitar Januari 2022.”

Vasiliev didakwa dengan konspirasi untuk mengirimkan permintaan tebusan dan dengan sengaja merusak komputer yang dilindungi. Dia menghadapi hukuman maksimal lima tahun penjara jika terbukti bersalah.

Penangkapan ini mengikuti tindakan serupa di Ukraina pada Oktober 2021 ketika operasi penegakan hukum internasional gabungan yang melibatkan FBI, polisi Prancis, dan Polisi Nasional Ukraina menyebabkan penangkapan dua kaki tangannya.

Kedua tersangka ditangkap di Kyiv, Ukraina, dengan salah satu dari mereka digambarkan sebagai “peretas” pria berusia 25 tahun.

Tahun lalu, polisi Ukraina juga menangkap tersangka lain yang diyakini sebagai anggota operasi ransomware Clop and Egregor.

Europol juga mengumumkan pada Oktober 2021 bahwa lembaga penegak hukum menangkap 12 tersangka di Ukraina dan Swiss yang diyakini terkait dengan serangan ransomware LockerGoga, MegaCortex, dan Dharma yang memengaruhi lebih dari 1.800 korban di 71 negara.

Sumber: Bleeping Computer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

by

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.


Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

by

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.


Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

Varian Baru IceXLoader Malware Loader Menginfeksi Ribuan Korban di Seluruh Dunia

by

Versi terbaru dari pemuat malware dengan nama kode IceXLoader diduga telah menyusupkan ribuan mesin Windows pribadi dan perusahaan di seluruh dunia.

Juni lalu, Fortinet FortiGuard Labs mengatakan telah menemukan versi trojan yang ditulis dalam bahasa pemrograman Nim dengan tujuan menghindari analisis dan deteksi.

IceXLoader sebelumnya didistribusikan melalui kampanye phishing, dengan email yang berisi arsip ZIP berfungsi sebagai pemicu untuk menyebarkan malware. Rantai infeksi telah membantu IceXLoader untuk menghadirkan DarkCrystal RAT dan penambang cryptocurrency.

Dalam urutan serangan yang dirinci oleh Minerva Labs, file ZIP telah ditemukan menyimpan penetes, yang menjatuhkan pengunduh berbasis .NET yang, seperti namanya, mengunduh gambar PNG (“Ejvffhop.png”) dari hard- kode URL.

File gambar ini, penetes lain, kemudian diubah menjadi array byte, yang secara efektif memungkinkannya untuk mendekripsi dan menyuntikkan IceXLoader ke dalam proses baru menggunakan teknik yang disebut proses pengosongan.

Minerva Labs mengatakan file database SQLite yang dihosting di server command-and-control (C2) terus diperbarui dengan informasi tentang ribuan korban, menambahkannya dalam proses memberi tahu perusahaan yang terkena dampak.

sumber : the hacker news