Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Library NPM Berbahaya Memasang Ransomware Pencuri Kata Sandi

by

Paket NPM berbahaya yang berpura-pura menjadi library Roblox mengirimkan ransomware dan trojan pencuri kata sandi pada pengguna yang tidak menaruh curiga.

Kedua paket NPM diberi nama noblox.js-proxy dan noblox.js-proxies, dan menggunakan salah ketik untuk berpura-pura menjadi pembungkus Roblox API yang sah yang disebut noblox.js-proksi dengan mengubah satu huruf dalam nama library.

Malicious noblox.js-proxies NPM (sumber: Bleeping Computer)

Dalam laporan baru oleh perusahaan keamanan open source Sonatype dengan analisis lebih lanjut oleh BleepingComputer, NPM berbahaya ini menginfeksi korban dengan ransomware MBRLocker yang meniru ransomware GoldenEye yang terkenal, trollware, dan trojan pencuri kata sandi.

Kedua Library NPM berbahaya telah dihapus dan tidak lagi tersedia.

Kekacauan Aktivitas Malicious
Setelah libraby NPM berbahaya ditambahkan ke proyek dan diluncurkan, library akan menjalankan skrip postinstall.js. Skrip ini biasanya digunakan untuk menjalankan perintah yang sah setelah library diinstal, tetapi dalam kasus ini, skrip ini memulai rantai aktivitas jahat di komputer korban.

Seperti yang Anda lihat di bawah, skrip postinstall.js sangat dikaburkan untuk mencegah analisis oleh peneliti keamanan dan perangkat lunak.

Obfuscated postinstall.js script (sumber: Bleeping Computer)

Saat dieksekusi, skrip akan meluncurkan file batch yang sangat dikaburkan yang disebut ‘nobox.bat,’ yang ditunjukkan di bawah ini.

Obfuscated noblox.bat batch file (sumber: Bleeping Computer)

File batch ini didekodekan oleh peneliti keamanan Sonatype Juan Aguirre dan akan mengunduh berbagai malware dari Discord dan meluncurkannya dengan bantuan bypass UAC fodhelper.exe

File yang diunduh oleh file batch noblox.bat tercantum di bawah ini sesuai urutan penginstalannya, bersama dengan tautan VirusTotal dan deskripsi tindakannya.

exclude.bat – Menambahkan pengecualian Microsoft Defender untuk tidak memindai file di bawah drive C:\.
legion.exe – Menyebarkan trojan pencuri kata sandi yang mencuri riwayat browser, cookie, kata sandi yang disimpan, dan upaya untuk merekam video melalui webcam internal.
000.exe – Trollware yang mengubah nama pengguna saat ini menjadi ‘UR NEXT,’ memutar video, mengubah kata sandi pengguna, dan mencoba menguncinya dari sistem mereka.
tunamor.exe – Menginstal MBRLocker yang disebut ‘Monster Ransomware,’ yang meniru ransomware GoldenEye.

Rakasa Ransomware MBRLocker
Yang menarik adalah executable ‘tunamor.exe’, yang menginstal MBRLocker yang menyebut dirinya ‘Monster Ransomware.’

Ketika dieksekusi, ransomware akan melakukan restart paksa komputer dan kemudian menampilkan CHKDSK palsu dari sistem. Selama proses ini, ransomware diduga mengenkripsi disk di komputer.

Setelah selesai, komputer akan reboot dan menampilkan layar kunci tengkorak dan tulang bersilang yang awalnya ditemukan di keluarga ransomware Petya/GoldenEye.

Setelah menekan enter, korban diperlihatkan layar yang menyatakan bahwa hard disk mereka dienkripsi dan mereka harus mengunjungi situs http://monste3rxfp2f7g3i.onion/ Tor, yang sekarang sedang down, untuk membayar uang tebusan.

BleepingComputer menemukan string ‘qVwaofRW5NbLa8gj’, yang diterima sebagai kunci yang valid untuk mendekripsi komputer. Namun, sementara kuncinya diterima dan ransomware menyatakan itu mendekripsi komputer, Windows akan gagal untuk memulai sesudahnya.

Tidak jelas apakah string tambahan harus ditambahkan ke kunci itu untuk mendekripsi drive hard disk dengan benar atau apakah program ini hanya penghapus yang dirancang untuk menghancurkan sistem.

Ransomware ini tampaknya tidak tersebar luas dan hanya diketahui didistribusikan melalui paket NPM ini.

Berdasarkan aktivitas 000.exe trollware dan perilaku aneh ransomware Monster, kemungkinan paket ini dirancang untuk menghancurkan sistem daripada menghasilkan permintaan tebusan.

NPM berbahaya yang digunakan dalam serangan rantai pasokan, seperti ini, menjadi lebih umum.

Sonatype baru-baru ini menemukan tiga library NPM berbahaya yang digunakan untuk menyebarkan cryptominers di perangkat Linux dan Windows.

Jumat lalu, library UA-Parser-JS NPM yang sangat populer dibajak untuk menginfeksi pengguna dengan penambang dan trojan pencuri kata sandi.

sumber: Bleeping Computer

Gratis! Telah Rilis Babuk Ransomware Decryptor untuk Memulihkan File

by

Perusahaan perangkat lunak keamanan siber Ceko, Avast, telah membuat dan merilis alat dekripsi untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Menurut Avast Threat Labs, dekripsi Babuk dibuat menggunakan kode sumber dan kunci dekripsi yang bocor.

Decryptor gratis dapat digunakan oleh korban Babuk yang filenya dienkripsi menggunakan ekstensi berikut: .babuk, .babyk, .doydo.

Korban ransomware Babuk dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi sekaligus menggunakan instruksi yang ditampilkan dalam antarmuka pengguna dekripsi.

Dari pengujian BleepingComputer, decryptor ini kemungkinan hanya akan bekerja untuk korban yang kuncinya bocor sebagai bagian dari dump kode sumber Babuk.

Ransomware dan Kunci Dekripsi Bocor
Kode sumber ransomware lengkap geng Babuk bocor di forum peretasan berbahasa Rusia bulan lalu oleh aktor ancaman yang mengaku sebagai anggota kelompok ransomware.

Keputusan untuk membocorkan kode tersebut dilatarbelakangi oleh dugaan anggota Babu yang mengidap penyakit kanker stadium akhir. Dia mengatakan dalam posting kebocorannya bahwa dia memutuskan untuk merilis kode sumber sementara mereka harus “hidup seperti manusia.”

Arsip bersama berisi berbagai proyek ransomware Visual Studio Babuk untuk VMware ESXi, NAS, dan Windows encryptors, dengan folder Windows berisi kode sumber lengkap untuk Windows encryptor, decryptor, dan apa yang tampak seperti generator kunci pribadi dan publik.

Termasuk dalam kebocoran itu juga encryptors dan decryptors yang dikompilasi untuk korban tertentu dari geng ransomware.

Setelah kebocoran tersebut, CTO Emsisoft dan pakar ransomware Fabian Wosar mengatakan kepada BleepingComputer bahwa kode sumbernya sah dan arsip tersebut mungkin juga berisi kunci dekripsi untuk korban sebelumnya.

Sejarah Babuk yang Bermasalah
Babuk Locker, juga dikenal sebagai Babyk dan Babuk, adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis untuk mencuri dan mengenkripsi data mereka sebagai bagian dari serangan pemerasan ganda.

Setelah serangan mereka di Departemen Kepolisian Metropolitan (MPD) Washington DC, mereka mendarat di rambut salib penegak hukum AS dan mengaku telah menutup operasi mereka setelah mulai merasakan panas.

Setelah serangan ini, ‘Admin’ geng tersebut diduga ingin membocorkan data MPD yang dicuri secara online untuk publisitas, sementara anggota lainnya menentangnya.

Setelah ini, anggota Babuk terpecah, dengan admin asli meluncurkan forum kejahatan dunia maya Ramp dan yang lainnya meluncurkan kembali ransomware dengan nama Babuk V2, terus menargetkan dan mengenkripsi korban sejak saat itu.

Tepat setelah peluncuran forum cybercrime Ramp, itu menjadi sasaran serangkaian serangan DDoS yang akhirnya menyebabkan situs menjadi tidak dapat digunakan.

Sementara Admin Babuk menyalahkan mantan rekannya atas insiden ketiga, tim Babuk V2 mengatakan kepada BleepingComputer bahwa mereka tidak berada di balik serangan tersebut.

sumber: BLEEPING COMPUTER

Baru Dirilis, Decryptor Gratis untuk Atom Silo dan LockFile Ransomware

by

Avast baru saja merilis alat dekripsi yang akan membantu korban ransomware AtomSilo dan LockFile memulihkan beberapa file mereka secara gratis tanpa harus membayar uang tebusan.

Avast merilis alat dekripsi lain sebelumnya hari ini untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Seperti yang dijelaskan oleh perusahaan perangkat lunak keamanan siber Ceko, decryptor ini mungkin tidak dapat mendekripsi file dengan tidak dikenal, berpemilik, atau tanpa format sama sekali.

“Selama proses dekripsi, dekripsi Avast AtomSilo bergantung pada format file yang diketahui untuk memverifikasi bahwa file berhasil didekripsi. Oleh karena itu, beberapa file mungkin tidak didekripsi,” kata Tim Intelijen Ancaman Avast.

Decryptor bekerja untuk kedua jenis ransomware karena mereka sangat mirip, meskipun kelompok yang menyebarkannya di jaringan korban menggunakan taktik serangan yang berbeda.

Avast Threat Labs mengatakan dekripsi ransomware ini dibuat bekerja sama dengan analis malware RE – CERT Jiří Vinopal, yang menemukan kelemahan di ransomware AtomSilo awal bulan ini.

Korban AtomSilo dan LockFile dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi disk menggunakan petunjuk yang ditampilkan dalam UI dekripsi.

BleepingComputer menguji alat ini dan memulihkan file yang dienkripsi dengan sampel Atom Silo menggunakan dekripsi gratis Avast.

Avast Atom Silo Decryptor (sumber:BleepingComputer)

Operasi ransomware LockFile pertama kali terlihat pada Juli 2021 setelah geng tersebut terlihat mengambil alih domain Windows dan mengenkripsi perangkat setelah mengeksploitasi server yang belum ditambal terhadap kerentanan ProxyShell dan PetitPotam.

Saat mengenkripsi file, LockFile ransomware akan menambahkan ekstensi .lockfile ke nama file terenkripsi dan menjatuhkan catatan tebusan yang diberi nama menggunakan format ‘[victim_name]-LOCKFILE-README.hta’.

Yang menarik adalah bahwa skema warna LockFile dan tata letak catatan tebusan sangat mirip dengan ransomware LockBit. Namun, tampaknya tidak ada hubungan antara kedua kelompok.

Atom Silo adalah geng ransomware baru yang operatornya baru-baru ini menargetkan Server Confluence dan server Pusat Data yang rentan terhadap bug yang sekarang ditambal dan dieksploitasi secara aktif.

Ransomware yang digunakan oleh Atom Silo hampir identik dengan LockFile, menurut peneliti SophosLabs.

Namun, operator Atom Silo menggunakan teknik baru yang membuatnya sangat sulit untuk menyelidiki serangan mereka, termasuk pemuatan samping pustaka tautan dinamis berbahaya yang mengganggu solusi perlindungan titik akhir.

sumber: BLEEPING COMPUTER

Spammer Menggunakan Malware Squirrelwaffle untuk Menjatuhkan Cobalt Strike

by

Ancaman malware baru bernama Squirrelwaffle telah muncul di alam liar, mendukung aktor dengan pijakan awal dan cara untuk menjatuhkan malware ke sistem dan jaringan yang disusupi.

Alat malware baru menyebar melalui kampanye spam yang menjatuhkan Qakbot dan Cobalt Strike di kampanye terbaru. Ditemukan oleh para peneliti di Cisco Talos, Squirrelwaffle adalah salah satu alat yang muncul sebagai pengganti Emotet tak lama setelah gangguan penegakan hukum pada botnet yang banyak digunakan.

Ancaman baru ini pertama kali muncul pada September 2021, dengan volume distribusi memuncak pada akhir bulan itu. Sementara kampanye spam terutama menggunakan kampanye email rantai balasan curian dalam bahasa Inggris, pelaku ancaman juga menggunakan email Prancis, Jerman, Belanda, dan Polandia.

Email ini berisi hyperlink ke arsip ZIP berbahaya yang dihosting di server web yang dikendalikan penyerang dan biasanya menyertakan lampiran .doc atau .xls berbahaya yang menjalankan kode penghapus malware jika dibuka.

Pada beberapa dokumen yang diambil sampelnya dan dianalisis oleh peneliti Talos, para aktor menggunakan platform penandatanganan DocuSign sebagai umpan untuk mengelabui penerima agar mengaktifkan makro di suite MS Office mereka.

Kode yang terkandung memanfaatkan pembalikan string untuk kebingungan, menulis skrip VBS ke %PROGRAMDATA%, dan menjalankannya.

Tindakan ini mengambil Squirrelwaffle dari salah satu dari lima URL hardcode, mengirimkannya dalam bentuk file DLL ke sistem yang disusupi.

Squirrelwaffle loader kemudian menyebarkan malware seperti Qakbot atau alat pengujian penetrasi Cobalt Strike yang banyak disalahgunakan.

Cobalt Strike adalah alat pengujian penetrasi yang sah yang dirancang sebagai kerangka kerja serangan untuk menguji infrastruktur organisasi untuk menemukan celah keamanan dan kerentanan.

Namun, versi Cobalt Strike yang retak juga digunakan oleh pelaku ancaman (biasanya terlihat digunakan selama serangan ransomware) untuk tugas pasca-eksploitasi setelah menggunakan beacon, yang memberi mereka akses jarak jauh yang terus-menerus ke perangkat yang disusupi.

Squirrelwaffle juga menampilkan daftar blokir IP yang diisi dengan perusahaan riset keamanan terkemuka sebagai cara untuk menghindari deteksi dan analisis.

Semua komunikasi antara Squirrelwaffle dan infrastruktur C2 dienkripsi (XOR+Base64) dan dikirim melalui permintaan HTTP POST.

Pelaku ancaman memanfaatkan server web yang sebelumnya disusupi untuk mendukung aspek distribusi file dari operasi mereka, dengan sebagian besar situs ini menjalankan WordPress 5.8.1.

Di server ini, musuh menyebarkan skrip “antibot” yang membantu mencegah deteksi dan analisis topi putih.

Aktor mapan lainnya telah menerapkan beberapa metode yang tercakup dalam laporan Cisco Talos di masa lalu.

Dengan demikian, Squirrelwaffle mungkin merupakan reboot Emotet oleh anggota yang menghindari penegakan hukum atau pelaku ancaman lain yang mencoba mengisi kekosongan yang ditinggalkan oleh malware terkenal.

Karena pemanfaatannya yang meningkat, Cisco Talos menyarankan semua organisasi dan profesional keamanan untuk mengetahui TTP yang digunakan dalam kampanye malware ini.

Source: Bleeping Computer

WordPress Terancam Dapat Dihapus Pelanggan akibat Bug Plugin

by

Telah ditemukan kelemahan keamanan tingkat tinggi di plugin WordPress yang melibatkan 8.000 pengguna. Hal ini memungkinkan attackers untuk mengatur ulang dan menghapus situs web yang rentan.

Plugin yang dimaksud dikenal sebagai Hashthemes Demo Importer, dirancang untuk membantu admin mengimpor demo untuk tema WordPress, tanpa harus menginstal dependensi apa pun.

Bug keamanan akan memungkinkan penyerang yang diautentikasi untuk mengatur ulang situs WordPress dan menghapus hampir semua konten basis data dan media yang diunggah.

Insinyur QA Wordfence dan analis ancaman Ram Gall, menjelaskan bahwa plugin gagal melakukan pemeriksaan nonce dengan benar, membocorkan nonce AJAX di dasbor admin situs yang rentan untuk semua pengguna, “termasuk pengguna dengan hak istimewa rendah seperti pelanggan.”

Sebagai konsekuensi langsung dari bug ini, pengguna tingkat pelanggan yang masuk dapat menyalahgunakannya untuk menghapus semua konten di situs yang menjalankan versi Pengimpor Demo Hashthemes yang belum ditambal.

“Sementara sebagian besar kerentanan dapat memiliki efek merusak, tidak mungkin memulihkan situs di mana kerentanan ini dieksploitasi kecuali telah dicadangkan,” tambah Gall.

Setiap pengguna yang masuk dapat memicu fungsi hdi_install_demo AJAX dan memberikan parameter reset yang disetel ke true, sehingga plugin menjalankan fungsi database_reset. Fungsi ini menghapus database dengan memotong setiap tabel database di situs kecuali untuk wp_options, wp_users, dan wp_usermeta. Setelah database dihapus, plugin kemudian akan menjalankan fungsi clear_uploads, yang menghapus setiap file dan folder di wp-content/uploads. — Ram Gall

Sementara Wordfence melaporkan kerentanan bug ke tim pengembangan plugin pada 25 Agustus 2021, para pengembang tidak membalas pesan pengungkapan selama hampir sebulan.

Ini mendorong Wordfence untuk menghubungi tim plugin WordPress pada 20 September, yang menyebabkan penghapusan plugin pada hari yang sama dan rilis tambalan yang mengatasi bug empat hari kemudian, pada 24 September.

Namun, pengembang Hashthemes Demo Importer tidak menyebutkan rilis 1.1.2 atau pembaruan pada halaman changelog plugin meskipun merilis pembaruan keamanan.

sumber: BLEEPING COMPUTER

Penyerang Lazarus Beralih ke Rantai Pasokan TI

by

Lazarus – kelompok ancaman persisten tingkat lanjut (APT) Korea Utara – sedang berupaya meluncurkan serangan yang berfokus pada spionase siber pada rantai pasokan dengan framework MATA multi-platformnya.

Kerangka kerja malware MATA dapat menargetkan tiga sistem operasi: Windows, Linux, dan macOS. MATA secara historis telah digunakan untuk mencuri database pelanggan dan menyebarkan ransomware di berbagai industri, tetapi pada bulan Juni, peneliti Kaspersky melacak Lazarus menggunakan MATA untuk spionase cyber.

Para peneliti juga telah melihat Lazarus membangun kemampuan serangan rantai pasokan dengan kluster malware DeathNote (alias Operation Dream Job) yang diperbarui yang terdiri dari varian yang sedikit diperbarui dari trojan akses jarak jauh (RAT) Korea Utara yang dikenal sebagai BlindingCan.

Para peneliti menganggap Lazarus, yang telah aktif setidaknya sejak 2009, sebagai salah satu aktor ancaman paling aktif di dunia.

“Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar cryptocurrency,” catat para peneliti Kaspersky. “Dengan berbagai alat canggih yang mereka miliki, mereka tampaknya menerapkannya pada tujuan baru.”

Serangan Lazarus terhadap militer termasuk kampanye yang ditemukan pada bulan Juli, di mana APT menyebarkan dokumen jahat kepada para insinyur yang mencari pekerjaan dengan menyamar sebagai kontraktor pertahanan yang mencari kandidat pekerja.

Sebagai bagian dari rantai infeksi terhadap vendor alat pemantau aset Latvia, Lazarus menggunakan pengunduh bernama Racket yang ditandatangani oleh pelaku ancaman dengan sertifikat curian.

Ariel Jungheit, peneliti keamanan senior untuk Tim Penelitian dan Analisis Global (GReAT) Kaspersky, mengatakan dalam ringkasan bahwa penemuan baru-baru ini menunjukkan bahwa Lazarus masih tertarik untuk menyusup ke industri pertahanan, tetapi juga ingin memperluas ke serangan rantai pasokan.

Selengkapnya: Threat Post

Ancaman Siber Teratas Pada Sektor Kesehatan, Kerentanan yang Harus Diwaspadai

by

Buletin bulanan Health Sector Cybersecurity Coordination Center (HC3) HHS memperingatkan sektor perawatan kesehatan akan ancaman dan kerentanan sier teratas pada perawatan kesehatan saat ini yang harus diwaspadai.

Kerentanan BrakTooth, grup Conti Ransomware, dan malware Medusa/TangleBot terus menjadi ancaman signifikan bagi organisasi layanan kesehatan, kata grup tersebut.

Kelompok kerentanan BrakTooth berdampak pada perangkat berkemampuan Bluetooth dan pertama kali ditemukan oleh ASSET Research Group pada bulan Agustus. Kerentanan memungkinkan pelaku jahat untuk memulai serangan Denial-of-Service (DoS) pada laptop, smartphone, dan perangkat Bluetooth lainnya.

Temuan awal menunjukkan bahwa kerentanan BrakTooth dapat memengaruhi lebih dari 1.400 daftar produk. Kerentanan menimbulkan ancaman signifikan bagi sektor perawatan kesehatan karena sifat serangan DoS, yang dapat merusak firmware perangkat dan menonaktifkan koneksi Bluetooth.

Malware Medusa/TangleBot terus menjadi ancaman bagi organisasi perawatan kesehatan juga. Peretas menyebarkan malware melalui SMS dan diketahui menargetkan pengguna Android dengan mengirimkan pesan terkait COVID-19 dengan tautan berbahaya. Saat diklik, tautan menyebarkan malware dan mulai mengumpulkan data. Malware dapat mengakses internet, GPS, dan log panggilan korbannya.

HC3 juga mendesak industri kesehatan untuk memperkuat layanan jaringan pribadi virtual (VPN), karena VPN sering digunakan sebagai titik masuk ke jaringan yang dilindungi. Sektor kesehatan bergantung pada teknologi VPN untuk telemedicine dan akses pasien ke catatan kesehatan. NSA dan CISA merilis lembar informasi bersama untuk membantu organisasi mengelola risiko VPN.

Sumber: Health IT Security

Google meluncurkan alat untuk membantu anak di bawah umur menghapus foto dari pencarian

by

Google sekarang mempermudah anak di bawah umur atau orang tua mereka untuk menghapus foto mereka dari hasil pencarian.

Dalam posting blog yang diterbitkan hari Rabu, perusahaan mengatakan sedang meluncurkan alat yang memungkinkan orang tua dan anak-anak di bawah usia 18 tahun meminta foto dihapus dari tab gambarnya atau tidak lagi muncul sebagai thumbnail dalam penyelidikan pencarian.

Meskipun Google (GOOG) sebelumnya menawarkan cara bagi orang-orang untuk meminta penghapusan informasi pribadi dan foto yang sesuai dengan kategori seperti “eksplisit non-konsensual” atau “identitas keuangan, medis, dan nasional”, sekarang memperluasnya ke gambar anak di bawah umur.

Sistem baru ini memungkinkan pengguna untuk menandai URL gambar atau hasil pencarian apa pun yang berisi gambar yang ingin mereka hapus. Google mengatakan timnya akan meninjau setiap pengiriman dan menghubungi jika mereka memerlukan informasi tambahan untuk memverifikasi persyaratan penghapusan.

Namun, perusahaan menekankan ini tidak akan menghapus gambar dari internet sepenuhnya; orang perlu menghubungi webmaster situs web untuk meminta konten tersebut dihapus.

Perusahaan sebelumnya mengumumkan alat tersebut pada bulan Agustus sebagai bagian dari upaya yang lebih besar untuk melindungi anak di bawah umur di seluruh platformnya. Fitur lain yang diperkenalkan pada saat itu termasuk pengaturan default pribadi untuk semua video yang diunggah oleh seorang remaja dan alat yang disebut Family Link yang membantu orang tua memantau akun anak-anak mereka.

Selengkapnya: CNN