Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas yang didukung negara semakin banyak menggunakan injeksi RTF untuk phishing

by

Tiga grup peretas APT dari India, Rusia, dan China, diamati menggunakan teknik injeksi template RTF (rich text format) baru dalam kampanye phishing mereka.

Teknik ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh, dan analis ancaman menduga ini akan segera menjangkau audiens yang lebih luas dari pelaku ancaman.

Para peneliti di Proofpoint melihat kasus pertama injeksi weaponized template RTF pada Maret 2021, dan sejak itu, para aktor terus mengoptimalkan teknik tersebut.

File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, WordPad, dan aplikasi lain yang ditemukan di hampir semua sistem operasi.

Saat membuat file RTF, Anda dapat menyertakan Template RTF yang menentukan bagaimana teks dalam dokumen harus diformat. Template ini adalah file lokal yang diimpor ke RTF viewer sebelum menampilkan konten file untuk memformatnya dengan benar.

Sementara Template RTF dimaksudkan untuk dihosting secara lokal, pelaku ancaman sekarang menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL alih-alih sumber daya file lokal.

Substitusi ini memungkinkan pelaku ancaman untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word atau melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows. Selain itu, karena file-file ini ditransfer sebagai Template RTF, mereka lebih cenderung untuk melewati umpan deteksi phishing karena awalnya tidak ada dalam file RTF.

Proofpoint telah mengamati metode pengambilan muatan ini pada kampanye phishing oleh kelompok peretas pro-India, Tim DoNot, kelompok peretasan Gamaredon yang terkait dengan Rusia, dan aktor ancaman TA423.

Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

by Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Mozilla memperbaiki bug kritis di perpustakaan kriptografi lintas platform

by

Mozilla telah mengatasi kerentanan kerusakan memori kritis yang memengaruhi rangkaian pustaka kriptografi Layanan Keamanan Jaringan (NSS) lintas platform.

NSS dapat digunakan untuk mengembangkan aplikasi klien dan server yang mendukung keamanan dengan dukungan untuk sertifikat SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3, dan berbagai sertifikat lainnya. standar keamanan.

Kelemahan keamanan ditemukan oleh peneliti kerentanan Google Tavis Ormandy dalam versi NSS sebelum 3.73 atau 3.68.1 ESR—yang juga menjulukinya BigSig—dan sekarang dilacak sebagai CVE-2021-43527.

Ini dapat menyebabkan buffer overflow berbasis heap saat menangani tanda tangan DSA atau RSA-PSS yang dikodekan DER di klien email dan pemirsa PDF menggunakan versi NSS yang rentan (bug telah diperbaiki di NSS 3.68.1 dan NSS 3.73).

Dampak dari eksploitasi heap overflow yang berhasil dapat berkisar dari crash program dan eksekusi kode arbitrer hingga melewati perangkat lunak keamanan jika eksekusi kode tercapai.

“Aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dikodekan dalam CMS, S/MIME, PKCS #7, atau PKCS #12 kemungkinan akan terpengaruh,” kata Mozilla dalam peringatan keamanan yang dikeluarkan hari ini.

“Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsionalitas TLS, X.509, OCSP, atau CRL lainnya dapat terpengaruh, bergantung pada cara mereka mengonfigurasi NSS.”

“Kami yakin semua versi NSS sejak 3.14 (dirilis Oktober 2012) rentan,” Ormandy menambahkan pada pelacak masalah Project Zero.

Untungnya, menurut Mozilla, kerentanan ini tidak memengaruhi browser web Mozilla Firefox. Namun, semua pemirsa PDF dan klien email yang menggunakan NSS untuk verifikasi tanda tangan diyakini akan terpengaruh.

NSS digunakan oleh Mozilla, Red Hat, SUSE, dan lainnya dalam berbagai macam produk, termasuk:

  • Firefox, Thunderbird, SeaMonkey, dan Firefox OS.
  • Aplikasi klien sumber terbuka seperti Evolution, Pidgin, Apache OpenOffice, dan LibreOffice.
  • Produk server dari Red Hat: Red Hat Directory Server, Red Hat Certificate System, dan modul SSL mod_nss untuk server web Apache.
  • Produk server dari Oracle (sebelumnya Sun Java Enterprise System), termasuk Oracle Communications Messaging Server dan Oracle Directory Server Enterprise Edition.
  • SUSE Linux Enterprise Server mendukung NSS dan modul SSL mod_nss untuk server web Apache.

Sumber : Bleeping Computer

Interpol Menangkap Lebih dari 1.000 Penjahat Siberdari 20 Negara; Menyita $27 Juta

by

Operasi bersama selama empat bulan yang dikoordinasikan oleh Interpol, organisasi polisi kriminal internasional, telah mencapai puncaknya dengan penangkapan lebih dari 1.000 penjahat siber dan pengembalian dana ilegal sebesar $27 juta.

Dengan nama sandi “HAECHI-II,” tindakan keras itu memungkinkan unit penegak hukum dari seluruh 20 negara, serta Hong Kong dan Makau, menutup 1.660 kasus bersama dengan pemblokiran 2.350 rekening bank yang terkait dengan dana ilegal penipuan yang dikumpulkan dari berbagai kejahatan keuangan online, seperti penipuan asmara, penipuan investasi, dan pencucian uang yang terkait dengan perjudian online ilegal.

Negara peserta HAECHI-II antara lain Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep. of), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand , dan Vietnam.

“Hasil Operasi HAECHI-II menunjukkan bahwa lonjakan kejahatan keuangan online yang ditimbulkan oleh pandemi COVID-19 tidak menunjukkan tanda-tanda akan berkurang,” kata Sekretaris Jenderal Interpol Jürgen Stock dalam pernyataan pers yang dikeluarkan pada 26 November.

Penyelidikan penegakan hukum terkoordinasi berlangsung selama empat bulan, mulai dari Juni 2021 hingga September 2021, dengan sepuluh modus operandi kriminal baru diidentifikasi selama operasi.

Dalam satu contoh penipuan tentang bagaimana aktor ancaman dengan cepat memanfaatkan tren populer untuk eksploitasi oportunistik, Interpol juga mengatakan telah menemukan kampanye malware yang memanfaatkan acara Netflix Korea Selatan Squid Game untuk mendistribusikan trojan yang membuat korban berlangganan layanan premium berbayar tanpa persetujuan eksplisit mereka.

Penangkapan tersebut merupakan bagian dari proyek tiga tahun untuk mengatasi kejahatan keuangan berbasis dunia maya, dan mengikuti gelombang pertama dari operasi tersebut – dijuluki “HAECHI-I” – yang dilakukan antara September 2020 dan Maret 2021.

Selengkapnya: The Hacker News

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

by

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

FBI menyita $2,2 juta dari afiliasi REvil, geng ransomware Gandcrab

by

FBI menyita $2,2 juta pada bulan Agustus dari afiliasi ransomware REvil dan GandCrab. Dalam pengaduan yang dibuka hari ini, FBI menyita 39.89138522 bitcoin senilai sekitar $2,2 juta dari dompet Exodus pada 3 Agustus 2021.

Exodus adalah dompet desktop atau seluler yang dapat digunakan pemiliknya untuk menyimpan cryptocurrency, termasuk Bitcoin, Ethereum, Solana, dan banyak lainnya.

“Amerika Serikat mengajukan keluhan terverifikasi ini dalam rem terhadap 39.89138522 Bitcoin yang Disita Dari Dompet Keluaran (“Properti Tergugat”) yang sekarang berada dan dalam pengawasan dan pengelolaan Biro Investigasi Federal (“FBI”) Divisi Dallas, One Justice Way, Dallas Texas,” demikian bunyi Complaint for Forfeiture Amerika Serikat.

Keluhan selanjutnya mengatakan bahwa dompet berisi pembayaran tebusan REvil milik afiliasi yang diidentifikasi sebagai “Aleksandr Sikerin, a/k/a Alexander Sikerin, a/k/a Oleksandr Sikerin” dengan alamat email ‘engfog1337@gmail.com .’

Sementara FBI tidak menunjukkan alias online dari pelaku ancaman, nama ‘engfog’ di alamat email terkait dengan afiliasi GandCrab dan REvil/Sodinokibi yang terkenal yang dikenal sebagai ‘Lalartu.’

Organisasi GandCrab dan REvil beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator inti bermitra dengan peretas pihak ketiga, yang dikenal sebagai afiliasi.

Operator inti akan mengembangkan dan mengelola perangkat lunak enkripsi/dekripsi, portal pembayaran, dan situs kebocoran data. Afiliasinya ditugaskan untuk meretas jaringan perusahaan, mencuri data, dan menyebarkan ransomware untuk mengenkripsi perangkat.

Setiap pembayaran tebusan kemudian akan dibagi antara afiliasi dan operator inti, dengan operator umumnya mendapatkan 20-30% dari tebusan dan afiliasi membuat sisanya.

Dalam laporan REvil oleh McAfee, para peneliti mengikuti jejak uang untuk aktor ancaman terkenal yang dikenal sebagai ‘Lalartu,’ afiliasi untuk operasi ransomware GandCrab dan REvil.

Pada tahun 2019, aktor ancaman memposting ke forum peretasan berbahasa Rusia yang mengakui bahwa mereka bekerja dengan GandCrab dan beralih ke REvil setelah operasi sebelumnya ditutup.

Posting oleh Lalartu di forum peretasan berbahasa Rusia
Sumber: McAfee

Gal melacak Lalartu ke alias ‘Engfog’ atau ‘Eng_Fog’, yang cocok dengan alamat email ‘engfog1337@gmail.com’ yang tercantum dalam pengaduan FBI.

Pada bulan November, Departemen Kehakiman mengumumkan bahwa FBI menyita $6 juta uang tebusan yang dibayarkan kepada geng ransomware REvil. Strategi lanjutan penegakan hukum untuk mengganggu ekonomi dan sistem afiliasi operasi ransomware membuahkan hasil.

Kegiatan ini telah menyebabkan banyak penangkapan dan pencopotan infrastruktur, termasuk:

  • Gangguan operasi ransomware Netwalker dan penangkapan afiliasi di Kanada.
  • Penangkapan dua anggota operasi Egregor menyebabkan penutupan organisasi.
  • Penangkapan 12 orang yang diyakini terkait dengan serangan ransomware terhadap 1.800 korban di 71 negara.
  • Penangkapan seorang warga negara Ukraina yang diyakini berada di balik serangan ransomware Kaseya.

Penangkapan dan penyitaan infrastruktur juga menakut-nakuti geng ransomware untuk menutup operasi mereka, termasuk REvil pada bulan Oktober dan BlackMatter pada bulan Juli.

Kerentanan Printer HP Berusia 8 Tahun Memengaruhi 150 Model Printer

by

Para peneliti telah menemukan beberapa kerentanan yang mempengaruhi setidaknya 150 printer multi-fungsi (cetak, scan, faks) yang dibuat oleh Hewlett-Packard.

Kekurangan yang ditemukan sejak 2013 oleh peneliti keamanan F-Secure, Alexander Bolshev dan Timo Hirvonen, berupa kemungkinan telah tereksposnya sejumlah besar pengguna ke serangan cyber sejak lama.

HP telah merilis perbaikan untuk kerentanan dalam bentuk pembaruan firmware untuk dua kelemahan paling penting pada 1 November 2021.

Di antaranya adalah kerentanan CVE-2021-39237 dan CVE-2021-39238.

Yang pertama menyangkut dua port fisik terbuka yang memberikan akses penuh ke perangkat. Memanfaatkannya membutuhkan akses fisik dan dapat menyebabkan pengungkapan informasi potensial.

Yang kedua adalah kerentanan buffer overflow pada parser font, yang jauh lebih parah, memiliki skor CVSS 9,3. Mengeksploitasinya memberi aktor ancaman cara untuk eksekusi kode jarak jauh.

CVE-2021-39238 juga “wormable,” yang berarti aktor ancaman dapat dengan cepat menyebar dari satu printer ke seluruh jaringan.

Alur serangan CVE-2021-38238

Dengan demikian, perusahaan-perusahaan harus meng-upgrade firmware printer mereka sesegera mungkin untuk menghindari infeksi skala besar yang dimulai dari titik masuk yang sering diabaikan ini.

Selengkapnya: Bleepingcomputer