News 121 - Naga Cyber Defense

Facebook menghancurkan jaringan China yang menargetkan orang Amerika

September 28, 2022 by Eevee

Meta menghapus jaringan pengaruh Tiongkok yang berusaha mengobarkan ketegangan politik di Facebook, Instagram, dan Twitter menjelang pemilihan.

Akun-akun itu meniru orang Amerika untuk menargetkan orang-orang di kedua sisi lorong politik atas isu-isu panas seperti akses aborsi dan hak senjata dan polarisasi tokoh masyarakat termasuk Presiden Joe Biden dan Gubernur Florida Ron DeSantis.

Ben Nimmo, pemimpin intelijen ancaman global untuk Meta, mengatakan aktivitas tersebut menandai pergeseran operasi pengaruh China yang biasanya berusaha membentuk opini publik di luar negeri dengan mendorong propaganda pro-China dan menyerang Amerika Serikat.

Operasi yang berasal dari China mendapat sedikit keterlibatan dan tidak secara langsung dikaitkan dengan pemerintah di Beijing.

China tampaknya bereksperimen dengan taktik baru sebagai bagian dari operasi pengaruhnya yang lebih luas, menurut Graham Brookie, direktur senior Laboratorium Penelitian Forensik Digital Dewan Atlantik.

Operasi pengaruh menargetkan terutama Amerika Serikat dan Republik Ceko.

Tak satu pun dari posting mencapai audiens yang besar. Secara keseluruhan, ada 81 akun Facebook, delapan Halaman, satu Grup dan dua akun di Instagram.

Sekitar 20 akun mengikuti satu atau lebih halaman. Sekitar 250 akun bergabung dengan satu atau lebih grup. Kurang dari 10 akun mengikuti satu atau lebih akun Instagram, menurut Meta.

Meta mengatakan mereka menghapus semuanya karena melanggar kebijakannya terhadap “perilaku tidak autentik yang terkoordinasi.”

Meta menghapus jaringan China lainnya pada tahun 2020 yang memposting tentang politik AS tetapi terutama menargetkan pengguna di Filipina dan Asia Tenggara.

Pada bulan Agustus, Facebook, Instagram, WhatsApp, dan Twitter menghapus operasi pengaruh yang mempromosikan kepentingan kebijakan luar negeri AS di luar negeri.

Operasi itu mempromosikan pandangan Amerika Serikat saat menyerang China, Iran, Rusia, dan negara-negara lain, menurut temuan para peneliti dari Stanford Internet Observatory dan perusahaan riset Graphika.

Sumber: phys.org

Malware pencuri kata sandi Erbium menyebar sebagai game cracks

September 28, 2022 by Eevee

Malware pencuri informasi ‘Erbium’ baru sedang didistribusikan sebagai celah palsu dan cheat untuk video game populer untuk mencuri kredensial korban dan dompet cryptocurrency.

Erbium adalah Malware-as-a-Service (MaaS) baru yang memberi pelanggan malware pencuri informasi baru yang semakin populer di komunitas kejahatan dunia maya berkat fungsionalitasnya yang luas, dukungan pelanggan, dan harga yang kompetitif.

Para peneliti di tim Cluster25 adalah yang pertama melaporkan Erbium awal bulan ini, tetapi laporan baru oleh Cyfirma membagikan informasi lebih lanjut tentang bagaimana trojan pencuri kata sandi didistribusikan.

Erbium awalnya berharga $9 per minggu, tetapi karena popularitasnya meningkat pada akhir Agustus, harganya naik menjadi $100 per bulan atau $1000 untuk lisensi setahun penuh.

Seperti malware pencuri informasi lainnya, Erbium akan mencuri data yang disimpan di browser web (berbasis Chromium atau Gecko), seperti kata sandi, cookie, kartu kredit, dan informasi pengisian otomatis.

Malware ini juga mencoba untuk mengekstrak data dari sejumlah besar dompet cryptocurrency yang dipasang di browser web sebagai ekstensi.

Dompet cryptocurrency panas yang ditargetkan (Cyfirma)

Dompet desktop seperti Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, dan Jaxx juga dicuri.

Erbium juga mencuri kode otentikasi dua faktor dari Trezor Password Manager, EOS Authenticator, Authy 2FA, dan Authenticator 2FA.

Malware dapat mengambil tangkapan layar dari semua monitor, mengambil token Steam dan Discord, mencuri file auth Telegram, dan membuat profil host berdasarkan OS dan perangkat keras.

Semua data dieksfiltrasi ke C2 melalui sistem API bawaan, sementara operator mendapatkan gambaran umum tentang apa yang telah dicuri dari setiap host yang terinfeksi di dasbor Erbium, yang ditunjukkan di bawah ini.

Malware menggunakan tiga URL untuk terhubung ke panel, termasuk Jaringan Pengiriman Konten (CDN) Discord, sebuah platform yang sering disalahgunakan oleh operator malware.

Cluster25 melaporkan tanda-tanda infeksi Erbium di seluruh dunia, termasuk di Amerika Serikat, Prancis, Kolombia, Spanyol, Italia, India, Vietnam, dan Malaysia.

Sementara kampanye Erbium pertama menggunakan celah permainan sebagai umpan, saluran distribusi dapat terdiversifikasi secara signifikan kapan saja, karena pembeli malware dapat memilih untuk mendorongnya melalui metode yang berbeda.

Untuk menghindari ancaman dari sistem, hindari mengunduh perangkat lunak bajakan, pindai semua file yang diunduh pada alat AV, dan perbarui perangkat lunak Anda dengan menginstal patch keamanan terbaru yang tersedia.

Sumber: Bleeping Computer

Alat pencurian data Ransomware mungkin menunjukkan pergeseran dalam taktik pemerasan

September 27, 2022 by Eevee

Malware pemusnahan data yang dikenal sebagai Exmatter dan sebelumnya ditautkan dengan grup ransomware BlackMatter kini ditingkatkan dengan fungsionalitas korupsi data yang mungkin mengindikasikan taktik baru yang mungkin digunakan oleh afiliasi ransomware di masa mendatang.

Sampel baru ditemukan oleh analis malware dengan tim Operasi Khusus Cyderes selama respons insiden baru-baru ini setelah serangan ransomware BlackCat dan kemudian dibagikan dengan tim Stairwell Threat Research untuk analisis lebih lanjut (Symantec melihat sampel serupa digunakan dalam serangan ransomware Noberus).

Sementara Exmatter telah digunakan oleh afiliasi BlackMatter setidaknya sejak Oktober 2021, ini adalah pertama kalinya alat berbahaya itu terlihat menggunakan modul yang merusak.

Taktik menggunakan data dari satu file yang dieksfiltrasi untuk merusak file lain mungkin merupakan bagian dari upaya untuk menghindari ransomware atau deteksi berbasis heuristik penghapus yang dapat memicu saat menggunakan data yang dibuat secara acak.

Seperti yang ditemukan oleh peneliti ancaman Stairwell, kemampuan penghancuran data yang diimplementasikan sebagian dari Exmatter kemungkinan masih dalam pengembangan mengingat bahwa:

Tidak ada mekanisme untuk menghapus file dari antrian korupsi, yang berarti bahwa beberapa file dapat ditimpa berkali-kali sebelum program dihentikan, sementara yang lain mungkin tidak pernah dipilih.

Fungsi yang membuat instance kelas Eraser, bernama Erase, tampaknya tidak sepenuhnya diimplementasikan dan tidak didekompilasi dengan benar.

Panjang potongan file kedua, yang digunakan untuk menimpa file pertama, ditentukan secara acak dan bisa sesingkat satu byte.

Fitur korupsi data ini merupakan perkembangan yang menarik, dan meskipun juga dapat digunakan untuk menghindari perangkat lunak keamanan, peneliti di Stairwell dan Cyderes berpikir ini mungkin bagian dari perubahan strategi yang digunakan oleh afiliasi ransomware.

Banyak operasi ransomware berjalan sebagai Ransomware-as-a-Service, di mana operator/pengembang bertanggung jawab mengembangkan ransomware, situs pembayaran, dan menangani negosiasi, sementara afiliasi bergabung untuk menembus jaringan perusahaan, mencuri data, menghapus cadangan, dan mengenkripsi perangkat .

Sebagai bagian dari pengaturan ini, operator ransomware menerima antara 15-30% dari setiap pembayaran tebusan, dan afiliasi menerima sisanya.

Namun, operasi ransomware telah dikenal di masa lalu untuk memperkenalkan bug yang memungkinkan peneliti keamanan membuat dekripsi yang membantu korban memulihkan file secara gratis.

Ketika ini terjadi, afiliasi kehilangan potensi pendapatan yang akan mereka terima sebagai bagian dari pembayaran tebusan.

Karena itu, para peneliti percaya bahwa fitur korupsi data baru ini bisa menjadi perubahan baru dari serangan ransomware tradisional, di mana data dicuri dan kemudian dienkripsi, ke serangan di mana data dicuri dan kemudian dihapus atau rusak.

Di bawah metode ini, afiliasi dapat menyimpan semua pendapatan yang dihasilkan dari serangan, karena mereka tidak perlu berbagi persentase dengan pengembang encryptor.

“Afiliasi juga kehilangan keuntungan dari penyusupan yang berhasil karena kelemahan yang dapat dieksploitasi dalam ransomware yang disebarkan, seperti halnya dengan BlackMatter, ransomware yang terkait dengan penampilan sebelumnya dari alat eksfiltrasi berbasis .NET ini,” tambah Cyderes.

Menghancurkan data sensitif setelah mengekstraknya ke server mereka akan mencegah hal ini terjadi dan kemungkinan besar juga akan bertindak sebagai insentif tambahan bagi korban untuk membayar permintaan tebusan.

Ini mungkin mengapa kami melihat alat eksfiltrasi dalam proses ditingkatkan dengan kemampuan korupsi data dalam pengembangan yang kemungkinan akan memungkinkan afiliasi RaaS untuk menghapus bagian penyebaran ransomware dalam serangan mereka untuk menyimpan semua uang untuk diri mereka sendiri.

Sumber: Bleeping Computer

Situs palsu menipu pengguna Zoom agar mengunduh kode mematikan

September 27, 2022 by Eevee

Waspadalah terhadap situs Zoom yang tidak Anda kenal, karena geng kriminal membuat beberapa versi palsu yang bertujuan memikat pengguna untuk mengunduh malware yang dapat mencuri data perbankan, alamat IP, dan informasi lainnya.

Peneliti ancaman di perusahaan cybersecurity Cyble menemukan enam situs Zoom palsu yang menawarkan aplikasi yang, jika diklik, akan mengunduh malware Vidar Stealer, yang juga mengambil banyak barang lainnya. Situs Zoom palsu adalah bagian dari upaya mencuri informasi yang lebih luas, menurut Cyble Research and Intelligence Lab (CRIL).

Perusahaan seperti Zoom memberi penyerang kelompok pengguna yang luas untuk dimangsa. Basis pengguna perusahaan telah meroket selama tiga tahun terakhir karena pandemi COVID-19, dan itu menjadikannya target yang sangat menarik.

Pada kuartal kedua, Zoom melaporkan 204.100 pelanggan perusahaan, meningkat 18 persen dari tahun ke tahun. Itu juga menghasilkan pendapatan hampir $ 1,1 miliar, melonjak 8 persen dibandingkan periode yang sama tahun lalu.

Mereka kemudian menemukan enam situs yang masih beroperasi: zoom-download[.]host; zoom-download[.]space, zoom-download[.]menyenangkan, zoomus[.]host, zoomus[.]tech, dan zoomus[.]website.

Situs-situs tersebut mengarahkan pengguna ke URL GitHub di backend yang menunjukkan aplikasi yang dapat diunduh. Jika pengguna mengunduh aplikasi berbahaya, itu menjatuhkan dua binari ZOOMIN-1.EXE dan Decoder.exe ke dalam folder sementara.

Malware disuntikkan ke MSBuild.exe dan kemudian mengekstrak alamat IP yang menampung DLL dan data konfigurasi, menempatkannya pada posisi untuk mencuri lebih banyak informasi. Itu juga dapat menyembunyikan alamat IP dari server command-and-control (C&C).

“Kami menemukan bahwa malware ini memiliki Tactics, Techniques, and Procedures (TTPs) yang tumpang tindih dengan Vidar Stealer,” tulis para peneliti, menambahkan bahwa, seperti Vidar Stealer, “payload malware ini menyembunyikan alamat IP C&C dalam deskripsi Telegram. teknik infeksi tampaknya serupa.”

Cyble menulis laporan mendalam tentang Vidar Stealer setahun yang lalu, mengatakan bahwa malware tersebut telah ada sejak 2018. Malware tersebut juga memiliki tautan ke ancaman serupa, Arkei Stealer.

Biz keamanan menguraikan langkah-langkah yang dapat diambil perusahaan dan pengguna untuk menghindari malware semacam itu, termasuk tidak mengunduh perangkat lunak bajakan, menggunakan kata sandi yang kuat dan otentikasi multi-faktor, memastikan pembaruan sistem secara otomatis, dan melatih karyawan untuk tidak membuka tautan yang tidak tepercaya.

Organisasi juga harus memantau suar jaringan untuk mendeteksi dan memblokir data yang dieksfiltrasi oleh malware atau kelompok ancaman, tambahnya.

Sumber: The Register

Peneliti Mengungkap APT Baru “Metador ” yang Menargetkan Telco, ISP, dan Universitas

September 25, 2022 by Søren

Seorang aktor ancaman yang sebelumnya tidak terdokumentasi dengan asal tidak diketahui telah dikaitkan dengan serangan yang menargetkan telekomunikasi, penyedia layanan internet, dan universitas di berbagai negara di Timur Tengah dan Afrika.

“Operator sangat menyadari keamanan operasi, mengelola infrastruktur yang tersegmentasi dengan hati-hati per korban, dan dengan cepat menerapkan tindakan pencegahan yang rumit dengan adanya solusi keamanan,” kata peneliti dari SentinelOne dalam sebuah laporan baru.

Perusahaan keamanan siber menamai grup Metador dengan mengacu pada string “Saya meta” di salah satu sampel malware mereka dan karena respons bahasa Spanyol dari server command-and-control (C2).

Aktor ancaman dikatakan telah terutama berfokus pada pengembangan malware lintas platform dalam mengejar tujuan spionase. Keunggulan lain dari kampanye ini adalah jumlah gangguan yang terbatas dan akses jangka panjang ke target.

Ini termasuk dua platform malware Windows yang berbeda yang disebut metaMain dan Mafalda yang secara tegas dirancang untuk beroperasi di dalam memori dan menghindari deteksi. metaMain juga bertindak sebagai saluran untuk menyebarkan Mafalda, implan interaktif fleksibel yang mendukung 67 perintah.

metaMain, pada bagiannya, kaya fitur sendiri, memungkinkan musuh untuk mempertahankan akses jangka panjang, mencatat penekanan tombol, mengunduh dan mengunggah file arbitrer, dan mengeksekusi shellcode.

Sebagai tanda bahwa Mafalda secara aktif dikelola oleh pengembangnya, malware tersebut memperoleh dukungan untuk 13 perintah baru antara dua varian yang dikompilasi pada bulan April dan Desember 2021, menambahkan opsi untuk pencurian kredensial, pengintaian jaringan, dan manipulasi sistem file.

Selengkapnya: The Hacker News

Sophos memperingatkan bug RCE firewall baru yang dieksploitasi dalam serangan

September 24, 2022 by Søren

Sophos hari ini memperingatkan bahwa kerentanan keamanan injeksi kode kritis dalam produk Firewall perusahaan sedang dieksploitasi secara liar.

Dilacak sebagai CVE-2022-3236, cacat ditemukan di Portal Pengguna dan Webadmin dari Sophos Firewall, memungkinkan penyerang untuk mengeksekusi kode (RCE).

Perusahaan mengatakan telah merilis perbaikan terbaru untuk versi Sophos Firewall yang terpengaruh oleh bug keamanan ini (v19.0 MR1 (19.0.1) dan yang lebih lama) yang akan diluncurkan secara otomatis ke semua instance karena pembaruan otomatis diaktifkan secara default.

“Tidak ada tindakan yang diperlukan untuk pelanggan Sophos Firewall dengan fitur ‘Izinkan pemasangan otomatis perbaikan terbaru’ yang diaktifkan pada versi yang diperbaiki (lihat bagian Remediasi di bawah). Diaktifkan adalah pengaturan default,” jelas Sophos.

Namun, perusahaan menambahkan bahwa pengguna Sophos Firewall versi lama harus meningkatkan ke versi yang didukung untuk menerima patch CVE-2022-3236.

Ini juga memberikan info terperinci tentang mengaktifkan fitur penginstalan hotfix otomatis dan memeriksa apakah hotfix berhasil diinstal.

Sophos juga memberikan solusi bagi pelanggan yang tidak dapat segera menambal perangkat lunak rentan yang akan mengharuskan mereka untuk memastikan bahwa Portal Pengguna dan Webadmin firewall tidak terkena akses WAN.

“Nonaktifkan akses WAN ke Portal Pengguna dan Webadmin dengan mengikuti praktik terbaik akses perangkat dan sebagai gantinya gunakan VPN dan/atau Sophos Central (lebih disukai) untuk akses dan manajemen jarak jauh,” tambah perusahaan.

Selengkapnya: Bleeping Computer

Peretas Colonial Pipeline menambahkan kemampuan baru yang mengejutkan ke operasi ransomware

September 24, 2022 by Søren

Grup ransomware di balik peretasan Colonial Pipeline baru-baru ini menambahkan serangkaian taktik, alat, dan prosedur baru ke dalam operasinya, membuatnya semakin mudah bagi anggota untuk mengenkripsi, mencuri, dan menyortir data.

Dalam laporan dari Tim Pemburu Ancaman Symantec, para peneliti memeriksa evolusi terbaru dari kelompok yang mereka beri nama Coreid.

Peneliti Symantec menguraikan bagaimana kelompok tersebut telah menghindari penegakan hukum dengan menyebarkan jenis ransomware baru, setelah sekarang menetap di Noberus — yang merupakan singkatan dari ransomware BlackCat ALPHV yang telah digunakan dalam serangan di beberapa universitas AS.

Geng kriminal telah ada dalam beberapa bentuk sejak 2012, menurut para peneliti, yang mengatakan mulai menggunakan malware Carbanak untuk mencuri uang dari organisasi di sektor perbankan, perhotelan dan ritel.

Tiga anggota kelompok itu ditangkap pada tahun 2018 sebelum berkembang menjadi operasi ransomware-as-a service (RaaS) sekitar tahun 2020.

Coreid telah berulang kali memperbarui operasi ransomware-nya sejak serangan yang menjadi berita utama di Colonial Pipeline — di mana ia menggunakan ransomware Darkside untuk melumpuhkan pompa bensin di seluruh Pantai Timur pada Mei 2021.

Pengawasan dari penegak hukum memaksa kelompok itu untuk mengesampingkan ransomware dan membuat yang baru bernama BlackMatter, yang digunakan untuk menargetkan perusahaan pertanian selama musim panen pada musim gugur 2021.

Serangkaian serangan itu menarik pengawasan penegakan hukum tingkat tinggi yang sama, mendorong kelompok tersebut untuk beralih dari menggunakan ransomware BlackMatter ke merek baru bernama Noberus.

Selengkapnya: The Record

Spyware Android berbahaya ini dapat memengaruhi jutaan perangkat

September 24, 2022 by Søren

Versi terbaru dari spyware Banker Android (terbuka di tab baru) telah terdeteksi, mencuri detail perbankan korban dan bahkan mungkin uang dalam beberapa kasus.

Menurut peneliti keamanan siber dari Microsoft (terbuka di tab baru), aktor ancaman yang tidak dikenal telah memulai kampanye smishing (phishing SMS), yang mencoba menipu orang agar mengunduh TrojanSpy:AndroidOS/Banker.O. Ini adalah varian malware (terbuka di tab baru) yang mampu mengekstrak semua jenis informasi sensitif, termasuk kode otentikasi dua faktor (2FA), detail login akun, dan informasi pengenal pribadi (PII) lainnya.

Apa yang membuat serangan ini sangat mengkhawatirkan adalah bagaimana diam-diam seluruh operasi bekerja.

Setelah pengguna mengunduh malware, mereka perlu memberikan izin tertentu, seperti MainActivity, AutoStartService, dan RestartBroadCastReceiverAndroid.

Itu memungkinkannya untuk mencegat panggilan, mengakses log panggilan, pesan, kontak, dan bahkan informasi jaringan. Dengan mampu melakukan hal-hal ini, malware juga dapat menerima dan membaca kode otentikasi dua faktor yang masuk melalui SMS, dan menghapusnya untuk memastikan korban tidak mencurigai sesuatu yang mencurigakan.

Lebih buruk lagi, aplikasi ini mengizinkan perintah diam, yang berarti kode 2FA yang masuk melalui SMS dapat diterima, dibaca, dan dihapus, dalam keheningan total – tidak ada suara notifikasi, tidak ada getaran, tidak ada lampu layar, tidak ada apa-apa.

Pelaku ancaman di balik kampanye tersebut tidak diketahui, tetapi yang diketahui Microsoft adalah bahwa aplikasi tersebut, pertama kali terlihat pada tahun 2021, dan ditingkatkan secara signifikan sejak itu, dapat diakses dari jarak jauh.

Selengkapnya: Tech Radar

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings