Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas di Balik Serangan Ransomware Kuba Menggunakan Malware RAT Baru

by

Pelaku ancaman yang terkait dengan ransomware Kuba telah dikaitkan dengan taktik, teknik, dan prosedur (TTP) yang sebelumnya tidak terdokumentasi, termasuk trojan akses jarak jauh baru yang disebut ROMCOM RAT pada sistem yang disusupi.

Temuan baru datang dari tim intelijen ancaman Unit 42 Palo Alto Networks, yang melacak kelompok ransomware pemerasan ganda di bawah moniker bertema konstelasi Tropical Scorpius.

Cuba ransomware (alias COLDDRAW), yang pertama kali terdeteksi pada Desember 2019, muncul kembali di lanskap ancaman pada November 2021 dan telah dikaitkan dengan serangan terhadap 60 entitas di lima sektor infrastruktur penting, mengumpulkan setidaknya $ 43,9 juta dalam pembayaran tebusan.

Dari 60 korban yang terdaftar di situs kebocoran datanya, 40 berada di AS, menunjukkan distribusi global organisasi yang ditargetkan tidak seperti geng ransomware lainnya.

“Ransomware Kuba didistribusikan melalui malware Hancitor, pemuat yang dikenal menjatuhkan atau mengeksekusi pencuri, seperti Remote Access Trojans (RAT) dan jenis ransomware lainnya, ke jaringan korban,” menurut peringatan Desember 2021 dari Biro Federal AS. Investigasi (FBI).

“Aktor malware Hancitor menggunakan email phishing, kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah untuk mendapatkan akses awal ke jaringan korban.”

Dalam bulan-bulan berikutnya, operasi ransomware menerima peningkatan substansial dengan tujuan untuk “mengoptimalkan pelaksanaannya, meminimalkan perilaku sistem yang tidak diinginkan, dan memberikan dukungan teknis kepada korban ransomware jika mereka memilih untuk bernegosiasi,” kata Trend Micro pada bulan Juni.

Perubahan utama meliputi penghentian lebih banyak proses sebelum enkripsi (yaitu Microsoft Outlook, Exchange, dan MySQL), memperluas jenis file yang akan dikecualikan, dan revisi catatan tebusan untuk menawarkan dukungan korban melalui quTox.

Tropical Scorpius juga diyakini berbagi koneksi dengan pasar pemerasan data yang disebut Industrial Spy, seperti yang dilaporkan oleh Bleeping Computer pada Mei 2022, dengan data yang dieksfiltrasi menyusul serangan ransomware Kuba yang diposting untuk dijual di portal terlarang alih-alih situs kebocoran datanya sendiri.

Pembaruan terbaru yang diamati oleh Unit 42 pada Mei 2022 berkaitan dengan taktik penghindaran pertahanan yang digunakan sebelum penyebaran ransomware untuk terbang di bawah radar dan bergerak secara lateral melintasi lingkungan TI yang disusupi.

Tropical Scorpius memanfaatkan penetes yang menulis driver kernel ke sistem file yang disebut ApcHelper.sys,” kata perusahaan itu. “Ini menargetkan dan menghentikan produk keamanan. Dropper tidak ditandatangani, namun driver kernel ditandatangani menggunakan sertifikat yang ditemukan di kebocoran LAPSUS$ NVIDIA.”

Tugas utama driver kernel adalah untuk menghentikan proses yang terkait dengan produk keamanan untuk menghindari deteksi. Juga tergabung dalam rantai serangan adalah alat eskalasi hak istimewa lokal yang diunduh dari server jauh untuk mendapatkan izin SISTEM.

Ini, pada gilirannya, dicapai dengan memicu eksploitasi untuk CVE-2022-24521 (skor CVSS: 7.8), sebuah cacat pada Sistem File Log Umum Windows (CLFS) yang ditambal oleh Microsoft sebagai cacat nol hari pada April 2022 .

Langkah eskalasi hak istimewa diikuti dengan melakukan pengintaian sistem dan aktivitas gerakan lateral melalui alat seperti ADFind dan Net Scan, sementara juga menggunakan utilitas ZeroLogon yang mengeksploitasi CVE-2020-1472 untuk mendapatkan hak administrator domain.

Lebih lanjut, penyusupan tersebut membuka jalan bagi penyebaran pintu belakang baru yang disebut ROMCOM RAT, yang dilengkapi untuk memulai shell terbalik, menghapus file arbitrer, mengunggah data ke server jauh, dan memanen daftar proses yang sedang berjalan.

Trojan akses jarak jauh, per Unit 42, dikatakan sedang dalam pengembangan aktif, ketika perusahaan keamanan siber menemukan sampel kedua yang diunggah ke database VirusTotal pada 20 Juni 2022.

Varian yang ditingkatkan hadir dengan dukungan untuk serangkaian 22 perintah yang diperluas, menghitung kemampuan untuk mengunduh muatan yang dipesan lebih dahulu untuk menangkap tangkapan layar serta mengekstrak daftar semua aplikasi yang diinstal untuk dikirim kembali ke server jarak jauh.

“Scorpius tropis tetap menjadi ancaman aktif,” kata para peneliti. “Aktivitas grup memperjelas bahwa pendekatan untuk tradecraft menggunakan hibrida dari alat yang lebih bernuansa yang berfokus pada internal Windows tingkat rendah untuk penghindaran pertahanan dan eskalasi hak istimewa lokal bisa sangat efektif selama intrusi.

Temuan ini muncul saat kelompok ransomware yang muncul seperti Stormous, Vice Society, Luna, SolidBit, dan BlueSky terus berkembang biak dan berkembang di ekosistem kejahatan dunia maya, pada saat yang sama menggunakan teknik enkripsi dan mekanisme pengiriman canggih.

Sumber: The Hacker News

Aplikasi Facebook dan Instagram Dapat Melacak Pengguna Melalui Browser dalam Aplikasi Mereka

by

Jika Anda mengunjungi situs web yang Anda lihat di Facebook dan Instagram, Anda mungkin memperhatikan bahwa Anda tidak diarahkan ke browser pilihan Anda melainkan browser dalam aplikasi khusus. Ternyata browser tersebut menyuntikkan kode javascript ke setiap situs web yang dikunjungi, memungkinkan induk Meta untuk berpotensi melacak Anda di seluruh situs web, peneliti Felix Krause telah menemukan.

“Aplikasi Instagram menyuntikkan kode pelacakan mereka ke setiap situs web yang ditampilkan, termasuk saat mengklik iklan, memungkinkan mereka [untuk] memantau semua interaksi pengguna, seperti setiap tombol dan tautan yang diketuk, pilihan teks, tangkapan layar, serta input formulir apa pun, seperti kata sandi, alamat dan nomor kartu kredit,” kata Krause dalam sebuah posting blog.

Penelitiannya berfokus pada Facebook dan Instagram versi iOS. Itu kuncinya karena Apple memungkinkan pengguna untuk memilih masuk atau keluar dari pelacakan aplikasi ketika mereka pertama kali membuka aplikasi, melalui Transparansi Pelacakan Aplikasi (ATT) yang diperkenalkan di iOS 14.5. Meta sebelumnya telah mengatakan bahwa fitur tersebut adalah “penghambat bisnis kami 2022… pada urutan $ 10 miliar.”

Meta mengatakan bahwa kode pelacakan yang disuntikkan mematuhi preferensi pengguna pada ATT. “Kode ini memungkinkan kami untuk mengumpulkan data pengguna sebelum menggunakannya untuk tujuan periklanan atau pengukuran yang ditargetkan,” kata seorang juru bicara kepada The Guardian. “Kami tidak menambahkan piksel apa pun. Kode dimasukkan sehingga kami dapat menggabungkan peristiwa konversi dari piksel. Untuk pembelian yang dilakukan melalui browser dalam aplikasi, kami meminta persetujuan pengguna untuk menyimpan informasi pembayaran untuk tujuan pengisian otomatis.”

Krause mencatat bahwa Facebook tidak selalu menggunakan injeksi javascript untuk mengumpulkan data sensitif. Namun, jika aplikasi membuka browser pilihan pengguna seperti Safari atau Firefox, tidak akan ada cara untuk melakukan injeksi javascript serupa di situs aman mana pun. Sebaliknya, pendekatan yang digunakan oleh browser dalam aplikasi Instagram dan Facebook “berfungsi untuk situs web apa pun, tidak peduli apakah itu dienkripsi atau tidak,” katanya.

Menurut penelitian Krause, WhatsApp tidak memodifikasi situs web pihak ketiga dengan cara yang sama. Karena itu, ia menyarankan agar Meta melakukan hal yang sama dengan Facebook dan Instagram, atau cukup gunakan Safari atau browser lain untuk membuka tautan. “Itu yang terbaik bagi pengguna, dan hal yang benar untuk dilakukan.” Untuk lebih lanjut, lihat ringkasan temuannya di sini.

Sumber: Endgadget

Lebih dari 9.000 Server VNC Terbuka Secara Online Tanpa Kata Sandi

by

Para peneliti telah menemukan setidaknya 9.000 titik akhir VNC (komputasi jaringan virtual) terbuka yang dapat diakses dan digunakan tanpa otentikasi, yang memungkinkan pelaku ancaman akses mudah ke jaringan internal.

VNC (komputasi jaringan virtual) adalah sistem platform-independen dimaksudkan untuk membantu pengguna terhubung ke sistem yang memerlukan pemantauan dan penyesuaian, menawarkan kontrol komputer jarak jauh melalui RFB (protokol penyangga bingkai jarak jauh) melalui koneksi jaringan.

Jika titik akhir ini tidak diamankan dengan benar dengan kata sandi, yang sering kali merupakan akibat dari kelalaian, kesalahan, atau keputusan yang diambil untuk kenyamanan, titik akhir ini dapat berfungsi sebagai titik masuk bagi pengguna yang tidak sah, termasuk pelaku ancaman dengan niat jahat.

Temuan yang mengkhawatirkan

Pemburu kelemahan keamanan di Cyble memindai web untuk mencari instans VNC yang terhubung ke internet tanpa kata sandi dan menemukan lebih dari 9.000 server yang dapat diakses.

Lebih buruk lagi, Cybcle menemukan beberapa contoh VNC yang terbuka ini untuk sistem kontrol industri, yang tidak boleh diekspos ke Internet.

Untuk melihat seberapa sering penyerang menargetkan server VNC, Cyble menggunakan alat intelijen sibernya untuk memantau serangan pada port 5900, port default untuk VNC. Cyble menemukan bahwa ada lebih dari enam juta permintaan selama satu bulan.

Sebagian besar upaya untuk mengakses server VNC berasal dari Belanda, Rusia, dan Amerika Serikat.

Permintaan untuk akses VNC

Permintaan untuk mengakses jaringan kritis melalui VNC yang terbuka atau retak sangat tinggi di forum peretas, karena jenis akses ini, dalam keadaan tertentu, dapat digunakan untuk penyusupan jaringan yang lebih dalam.

“Musuh dapat menyalahgunakan VNC untuk melakukan tindakan jahat sebagai pengguna yang masuk seperti membuka dokumen, mengunduh file, dan menjalankan perintah sewenang-wenang,” kata seorang peneliti Cyble kepada Bleeping Computer selama diskusi pribadi.

“Seorang musuh dapat menggunakan VNC untuk mengontrol dan memantau sistem dari jarak jauh guna mengumpulkan data dan informasi untuk beralih ke sistem lain di dalam jaringan.”

Sumber: BleepingComputer

Malware SOVA menambahkan fitur ransomware untuk mengenkripsi perangkat Android

by

Trojan perbankan Android SOVA terus berkembang dengan fitur baru, peningkatan kode, dan penambahan fitur ransomware baru yang mengenkripsi file di perangkat seluler.

Dengan rilis terbaru, malware SOVA sekarang menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency, dan dompet digital, mencoba mencuri data pengguna dan cookie sensitif dari mereka.

Selain itu, fitur refactored dan kode yang ditingkatkan yang membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbarunya, 5.0, menambahkan modul ransomware.

Analis ancaman di perusahaan keamanan seluler Cleafy telah mengikuti evolusi SOVA sejak pengumuman proyek pada September 2021 dan melaporkan bahwa perkembangannya meningkat pesat pada 2022.

Pada Maret 2022, SOVA merilis versi 3, menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk banyak bank di seluruh dunia. Suntikan adalah hamparan yang ditampilkan di atas permintaan masuk yang sah yang digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.

Pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil hingga 200 aplikasi yang ditargetkan, dan menambahkan kemampuan VNC (komputasi jaringan virtual) untuk penipuan di perangkat.

Aplikasi bank yang ditargetkan oleh SOVA v3 (kiri) dan SOVA v4 (kanan) (Cleafy)

Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML yang berisi daftar alamat yang mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.

Versi utama keempat juga menambahkan dukungan untuk perintah seperti mengambil tangkapan layar, melakukan klik dan gesekan, menyalin dan menempel file, dan menyajikan layar overlay sesuka hati.

Rilis ini juga melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencuri cookie, sekarang menargetkan Gmail, GPay, dan Google Password Manager.

Kode pencuri cookie yang difaktorkan ulang (Cleafy)

SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin Aksesibilitas untuk mendorong pengguna kembali ke layar beranda jika mereka mencoba mencopot pemasangan aplikasi secara manual.

Terakhir, versi keempat berfokus pada Binance dan aplikasi ‘Trust Wallet’ platform, menggunakan modul khusus yang dibuat untuk mencuri frase benih rahasia pengguna.

Baru-baru ini, Cleafy mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak perbaikan kode dan penambahan fitur baru seperti modul ransomware.

Modul ransomware baru SOVA (Cleafy)

Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi “.enc” pada file yang telah diubah namanya dan dienkripsi.

Versi kelima belum diedarkan secara luas, dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan.

Bahkan dalam bentuknya yang belum selesai saat ini, SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi kewaspadaan disarankan untuk semua pengguna Android.

Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat, karena trojan perbankan sekarang menetapkan dirinya sebagai salah satu pelopor ruang ransomware seluler yang masih belum dijelajahi.

Sumber: Bleeping Computer

Peretas Cina Mengalihkan Aplikasi Obrolan MiMi untuk Menargetkan Pengguna Windows, Linux, macOS

by

Sepasang laporan dari perusahaan keamanan siber SEKOIA dan Trend Micro menyoroti kampanye baru yang dilakukan oleh aktor ancaman China bernama Lucky Mouse yang melibatkan pemanfaatan versi trojan dari aplikasi perpesanan lintas platform ke sistem pintu belakang.

Rantai infeksi memanfaatkan aplikasi obrolan yang disebut MiMi, dengan file penginstalnya dikompromikan untuk mengunduh dan menginstal sampel HyperBro untuk sistem operasi Windows dan artefak rshell untuk Linux dan macOS.

Sebanyak 13 entitas berbeda yang berlokasi di Taiwan dan Filipina telah menerima serangan, delapan di antaranya terkena rshell. Korban pertama rshell dilaporkan pada pertengahan Juli 2021.

Lucky Mouse, juga disebut APT27, Bronze Union, Utusan Panda, dan Iron Tiger, diketahui aktif sejak 2013 dan memiliki sejarah mendapatkan akses ke jaringan yang ditargetkan dalam mengejar tujuan pengumpulan intelijen politik dan militer yang selaras dengan China.

Aktor ancaman persisten (APT) tingkat lanjut juga mahir dalam mengekstrak informasi bernilai tinggi menggunakan berbagai macam implan khusus seperti SysUpdate, HyperBro, dan PlugX.

Perkembangan terbaru sangat signifikan, paling tidak karena menandai upaya pengenalan aktor ancaman untuk menargetkan macOS bersama Windows dan Linux.

Kampanye ini memiliki semua keunggulan serangan rantai pasokan di mana server backend yang menghosting penginstal aplikasi MiMi dikendalikan oleh Lucky Mouse, sehingga memungkinkan untuk men-tweak aplikasi untuk mengambil backdoors dari server jarak jauh.

Ini dibuktikan dengan fakta bahwa macOS versi 2.3.0 aplikasi telah dirusak untuk memasukkan kode JavaScript berbahaya pada 26 Mei 2022. Meskipun ini mungkin merupakan varian macOS pertama yang disusupi, versi 2.2.0 dan 2.2.1 dibuat untuk Windows telah ditemukan untuk memasukkan tambahan serupa pada 23 November 2021.

rshell, pada bagiannya, adalah pintu belakang standar yang dilengkapi dengan semua lonceng dan peluit biasa, memungkinkan eksekusi perintah arbitrer yang diterima dari server command-and-control (C2) dan mengirimkan hasil eksekusi kembali ke server.

Tidak segera jelas apakah MiMi adalah program obrolan yang sah, atau apakah itu “dirancang atau digunakan kembali sebagai alat pengawasan,” meskipun aplikasi tersebut telah digunakan oleh aktor berbahasa Cina lainnya yang dijuluki Earth Berberoka (alias GamblingPuppet) yang ditujukan untuk situs perjudian online. – sekali lagi menunjukkan pembagian alat yang lazim di antara grup APT Cina.

Koneksi operasi ke Lucky Mouse berasal dari tautan ke infrastruktur yang sebelumnya diidentifikasi seperti yang digunakan oleh perangkat intrusi China-nexus dan penyebaran HyperBro, pintu belakang yang secara eksklusif digunakan oleh kelompok peretas.

Seperti yang ditunjukkan SEKOIA, ini bukan pertama kalinya musuh menggunakan aplikasi perpesanan sebagai titik awal dalam serangannya. Pada akhir 2020, ESET mengungkapkan bahwa perangkat lunak obrolan populer bernama Able Desktop disalahgunakan untuk mengirimkan HyperBro, PlugX, dan trojan akses jarak jauh bernama Tmanger yang menargetkan Mongolia.

Sumber: The Hackernews

Installer Zoom memungkinkan peneliti meretas ke akses root di macOS

by

Seorang peneliti keamanan telah menemukan cara agar penyerang dapat memanfaatkan Zoom versi macOS untuk mendapatkan akses ke seluruh sistem operasi.

Rincian eksploitasi dirilis dalam presentasi yang diberikan oleh spesialis keamanan Mac Patrick Wardle pada konferensi peretasan Def Con di Las Vegas pada hari Jumat. Beberapa bug yang terlibat telah diperbaiki oleh Zoom, tetapi peneliti juga menyajikan satu kerentanan yang belum ditambal yang masih memengaruhi sistem sekarang.

Eksploitasi bekerja dengan menargetkan penginstal untuk aplikasi Zoom, yang perlu dijalankan dengan izin pengguna khusus untuk menginstal atau menghapus aplikasi Zoom utama dari komputer. Meskipun penginstal mengharuskan pengguna untuk memasukkan kata sandi mereka saat pertama kali menambahkan aplikasi ke sistem, Wardle menemukan bahwa fungsi pembaruan otomatis kemudian terus berjalan di latar belakang dengan hak pengguna super.

Ketika Zoom mengeluarkan pembaruan, fungsi pembaru akan menginstal paket baru setelah memeriksa bahwa itu telah ditandatangani secara kriptografis oleh Zoom. Tetapi bug dalam cara metode pemeriksaan diterapkan berarti bahwa memberikan pembaruan file apa pun dengan nama yang sama dengan sertifikat penandatanganan Zoom akan cukup untuk lulus tes — sehingga penyerang dapat mengganti segala jenis program malware dan menjalankannya oleh pembaru dengan hak istimewa yang lebih tinggi.

Hasilnya adalah serangan eskalasi hak istimewa, yang mengasumsikan penyerang telah mendapatkan akses awal ke sistem target dan kemudian menggunakan eksploitasi untuk mendapatkan tingkat akses yang lebih tinggi. Dalam kasus ini, penyerang memulai dengan akun pengguna yang dibatasi tetapi meningkat menjadi tipe pengguna yang paling kuat — dikenal sebagai “pengguna super” atau “root” — memungkinkan mereka untuk menambah, menghapus, atau memodifikasi file apa pun di mesin.

Wardle adalah pendiri Objective-See Foundation, sebuah organisasi nirlaba yang menciptakan alat keamanan sumber terbuka untuk macOS. Sebelumnya, pada konferensi keamanan siber Black Hat yang diadakan pada minggu yang sama dengan Def Con, Wardle merinci penggunaan algoritme yang tidak sah yang diambil dari perangkat lunak keamanan sumber terbukanya oleh perusahaan nirlaba.

Mengikuti protokol pengungkapan yang bertanggung jawab, Wardle memberi tahu Zoom tentang kerentanan pada bulan Desember tahun lalu. Yang membuatnya frustrasi, dia mengatakan perbaikan awal dari Zoom mengandung bug lain yang berarti kerentanan itu masih dapat dieksploitasi dengan cara yang sedikit lebih tidak langsung, jadi dia mengungkapkan bug kedua ini ke Zoom dan menunggu delapan bulan sebelum menerbitkan penelitian.

Beberapa minggu sebelum acara Def Con, Wardle mengatakan Zoom mengeluarkan tambalan yang memperbaiki bug yang awalnya ia temukan. Tetapi pada analisis lebih dekat, kesalahan kecil lainnya berarti bug itu masih dapat dieksploitasi.

Dalam versi baru penginstal pembaruan, paket yang akan diinstal pertama kali dipindahkan ke direktori yang dimiliki oleh pengguna “root”. Secara umum ini berarti bahwa tidak ada pengguna yang tidak memiliki izin root yang dapat menambah, menghapus, atau memodifikasi file dalam direktori ini.

Tetapi karena kehalusan sistem Unix (di mana macOS adalah salah satunya), ketika file yang ada dipindahkan dari lokasi lain ke direktori root, file tersebut mempertahankan izin baca-tulis yang sama seperti sebelumnya. Jadi, dalam hal ini, masih dapat dimodifikasi oleh pengguna biasa. Dan karena dapat dimodifikasi, pengguna jahat masih dapat menukar isi file tersebut dengan file yang mereka pilih sendiri dan menggunakannya untuk menjadi root.

Sementara bug ini saat ini aktif di Zoom, Wardle mengatakan sangat mudah untuk memperbaikinya dan dia berharap membicarakannya secara terbuka akan “melumasi roda” agar perusahaan menanganinya lebih cepat daripada nanti.

Dalam sebuah pernyataan kepada The Verge, Matt Nagel, pemimpin humas keamanan dan privasi Zoom, mengatakan: “Kami menyadari kerentanan yang baru dilaporkan dalam pembaruan otomatis Zoom untuk macOS dan sedang bekerja keras untuk mengatasinya.”

Sumber: THE VERGE

Conti Cybercrime Cartel Menggunakan Serangan Phishing ‘BazarCall’ sebagai Vektor Serangan Awal

by Leave a Comment

Tiga cabang dari kartel kejahatan dunia maya Conti yang terkenal kejam telah menggunakan teknik phishing panggilan balik sebagai vektor akses awal untuk menembus jaringan yang ditargetkan.

“Tiga kelompok ancaman otonom sejak itu mengadopsi dan secara independen mengembangkan taktik phishing bertarget mereka sendiri yang berasal dari metodologi phishing panggilan balik,” kata perusahaan keamanan siber AdvIntel dalam laporan hari Rabu.

Kampanye yang ditargetkan ini “meningkatkan secara substansial” serangan terhadap entitas di sektor keuangan, teknologi, hukum, dan asuransi, perusahaan menambahkan.

Aktor yang dimaksud termasuk Silent Ransom, Quantum, dan Roy/Zeon, yang semuanya berpisah dari Conti setelah kartel ransomware-as-a-service (RaaS) mengatur penutupannya pada Mei 2022 menyusul dukungan publiknya untuk Rusia di Russo yang sedang berlangsung. -Konflik Ukraina.

Taktik rekayasa sosial tingkat lanjut, juga disebut BazaCall (alias BazarCall), menjadi sorotan pada 2020/2021 ketika digunakan oleh operator ransomware Ryuk, yang kemudian diganti namanya menjadi Conti.

Dikatakan telah menerima peningkatan operasional yang substansial pada bulan Mei, sekitar waktu yang sama tim Conti sibuk mengoordinasikan restrukturisasi seluruh organisasi sambil mensimulasikan pergerakan kelompok yang aktif.

Serangan phishing juga unik karena menghilangkan tautan atau lampiran berbahaya dalam pesan email demi nomor telepon yang ditipu oleh penerima untuk menelepon dengan memberi tahu mereka tentang tagihan yang akan datang pada kartu kredit mereka untuk langganan premium.

Jika penerima target jatuh untuk skema dan memutuskan untuk memanggil nomor telepon yang ditunjukkan dalam email, orang sungguhan dari pusat panggilan palsu yang didirikan oleh operator BazaCall mencoba meyakinkan korban untuk memberikan kontrol desktop jarak jauh kepada petugas layanan pelanggan untuk membantu membatalkan langganan yang seharusnya.

Dengan akses ke desktop, pelaku ancaman diam-diam mengambil langkah untuk menyusup ke jaringan pengguna serta membangun ketekunan untuk aktivitas lanjutan seperti eksfiltrasi data.

“Phishing panggilan balik adalah taktik yang memungkinkan perubahan luas dalam pendekatan penyebaran ransomware,” kata AdvIntel, menambahkan “vektor serangan secara intrinsik tertanam ke dalam tradisi organisasi Conti.”

Silent Ransom, “nenek moyang BazarCall” dan grup turunan pertama yang pindah dari Conti pada Maret 2022, sejak itu telah dikaitkan dengan serangkaian serangan pemerasan data yang memerlukan akses awal melalui email kedaluwarsa langganan yang mengklaim memberi tahu pengguna tentang penundaan pembayaran untuk layanan Zoho Masterclass dan Duolingo.

“Serangan ini dapat dikategorikan sebagai serangan pelanggaran data tebusan, di mana fokus utama kelompok ini adalah untuk mendapatkan akses ke dokumen dan informasi sensitif, dan meminta pembayaran untuk menahan publikasi data yang dicuri,” kata Sygnia bulan lalu, menggambarkan infeksi tersebut. prosedur.

Sumber: The Hacker News

SmokeLoader Menyebar Secara Aktif dengan Mengeksploitasi Kerentanan Lama

by

Kerentanan yang tidak ditambal selalu menjadi titik manis bagi penjahat dunia maya untuk melancarkan serangan. Salah satu insiden yang menggambarkan keadaan menyedihkan dari sistem yang rentan telah menjadi perhatian akhir-akhir ini.

Para peneliti telah melihat eksploitasi massal dari dua kelemahan—CVE-2017-0199 dan CVE-2017-11882—yang berusia hampir lima tahun. Meskipun tambalan tersedia untuk kedua kekurangan, mereka terus dieksploitasi. Pelaku ancaman memanfaatkan kerentanan ini untuk mendistribusikan malware SmokeLoader.

SmokeLoader, yang tersedia di pasar dalam satu atau lain bentuk sejak 2011, terutama digunakan untuk mendistribusikan keluarga malware lain seperti TrickBot.

Modus operandi

  • Rantai infeksi dimulai dengan email phishing yang mendesak penerima untuk meninjau pesanan pembelian dan memeriksa tanggal yang terkait dengan pengiriman.
  • Email ini berasal dari alamat email web yang dihosting oleh perusahaan telekomunikasi besar di Taiwan dan menyertakan file excel seperti ‘Pesanan Pembelian FG-20220629.xlsx.’
  • File-file ini berisi eksploitasi untuk kerentanan dalam format terenkripsi.
  • Serangan itu juga memanfaatkan file EXE dan DLL untuk mem-bypass sistem keamanan email.

Sementara Fortinet menemukan bahwa sampel terbaru yang dijatuhkan oleh SmokeLoader adalah trojan zgRAT, ada juga laporan yang menjelaskan distribusi malware Amadey.

Menurut peneliti AhnLab, SmokeLoader digunakan dalam kampanye baru-baru ini yang menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Setelah celah perangkat lunak ini dibuka, mereka menyebabkan pengunduhan SmokeLoader yang akhirnya mendistribusikan versi baru malware Amadey.

Sementara CVE-2017-0199 dan CVE-2017-11882 ditemukan pada tahun 2017, mereka masih aktif dieksploitasi di berbagai kampanye lainnya. Ini menunjukkan bahwa pembuat malware mengandalkan kerentanan penuaan yang masih harus ditambal secara efektif di berbagai perangkat lunak. Sementara itu, kemunculan kembali SmokeLoader, menunjukkan bahwa penetes malware ada di sini untuk waktu yang lama.

Sumber: cyware