Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware-As-A-Service Memberikan Fitur Canggih Untuk Pelaku Ancaman

by

Cyble Research and Intelligence Labs (CRIL) terus memantau keluarga malware yang baru dan aktif di alam bebas. Baru-baru ini, CRIL mengamati jenis malware baru bernama DuckLogs, yang melakukan berbagai aktivitas jahat seperti Stealer, Keylogger, Clipper, Remote access, dll. sekarang.

DuckLogs adalah MaaS (Malware-as-a-Service). Itu mencuri informasi sensitif pengguna, seperti kata sandi, cookie, data login, riwayat, detail dompet crypto, dll., Dan mengekstraksi data yang dicuri dari mesin korban ke server C&C-nya. Gambar di bawah menunjukkan iklan Threat Actors (TAs) di forum cybercrime tentang DuckLogs.

DuckLogs menyediakan panel web canggih yang memungkinkan TA melakukan beberapa operasi, seperti membuat biner malware, memantau, dan mengunduh log korban yang dicuri, dll.

DuckLogs adalah kombinasi unik dari malware Stealer, Keylogger, dan Clipper yang dibundel menjadi satu paket perangkat lunak berbahaya yang tersedia di forum kejahatan dunia maya dengan harga yang relatif rendah, menjadikan ancaman ini berbahaya bagi calon korban yang lebih luas.

Cyble Research and Intelligence Labs akan terus memantau jenis malware baru di alam liar dan memperbarui blog dengan kecerdasan yang dapat ditindaklanjuti untuk melindungi pengguna dari serangan terkenal tersebut.

Selengkapnya: Cyble

Pembeli Berhati-hatilah: Aplikasi Cryptocurrency Palsu Berfungsi sebagai Front untuk Malware AppleJeus

by

Selama beberapa bulan terakhir, Volexity telah mengamati aktivitas baru yang terkait dengan aktor ancaman Korea Utara yang dilacaknya yang secara luas disebut sebagai Grup Lazarus. Aktivitas ini terutama melibatkan kampanye yang kemungkinan besar menargetkan pengguna dan organisasi cryptocurrency dengan varian malware AppleJeus melalui dokumen Microsoft Office yang berbahaya.

Analisis Volexity terhadap kampanye ini mengungkap situs web bertema cryptocurrency langsung dengan konten yang dicuri dari situs web sah lainnya. Analisis teknis lebih lanjut dari malware AppleJeus yang disebarkan menemukan variasi baru dari pemuatan samping DLL yang belum pernah dilihat Volexity sebelumnya didokumentasikan seperti di alam liar.

Blog ini menguraikan teknik baru yang digunakan oleh Grup Lazarus, menganalisis varian malware AppleJeus terbaru, membagikan indikator dari versi lain malware ini, serta menguraikan tautan antara aktivitas ini dan kampanye bersejarah.

Bagian akhir postingan mencakup peluang deteksi dan mitigasi untuk individu atau organisasi yang mungkin menjadi sasaran aktivitas ini. Seperti semua blog Volexity, indikator terkait dapat ditemukan di sini di Github.

Volexity menemukan situs web BloxHolder palsu setelah mengidentifikasi sampel malware AppleJeus baru yang dibundel sebagai bagian dari file Instalasi Microsoft (MSI). File yang ditemukan ini, “aplikasi BloxHolder”, sebenarnya adalah kasus lain dari AppleJeus yang diinstal bersama aplikasi perdagangan mata uang kripto sumber terbuka QTBitcoinTrader yang tersedia di GitHub.

Aplikasi sah yang sama ini sebelumnya telah digunakan oleh Grup Lazarus, sebagaimana didokumentasikan dalam laporan ini dari CISA. File MSI digunakan untuk menginstal aplikasi jahat dan sah secara bersamaan.

Selengkapnya: Volexity

Serangan peretasan terkait Korea Utara berpura-pura menjadi topik diskusi di konferensi diplomatik dan keamanan Waspadalah!

by

Serangan peretasan terkait Korea Utara yang disamarkan sebagai topik diskusi dan permintaan untuk presentasi di konferensi keamanan dan diplomasi antar-Korea telah muncul, yang mengharuskan pengguna untuk memberikan perhatian khusus.

Serangan ini tampaknya ditujukan kepada pekerja di bidang diplomasi domestik, keamanan, dan unifikasi, dan telah dipastikan bahwa target menghadiri konferensi akademik atau acara akhir tahun yang akan datang didekati melalui email dengan menipu mereka seperti jadwal. pertanyaan atau permintaan data.

Awalnya, penyerang mengirim email dengan konten umum, seperti pertanyaan umum, tetapi saat ini, lampiran terpisah atau tautan URL tidak sengaja disertakan. Setelah itu, apa yang disebut serangan phishing tombak dua jalur dilakukan di mana hanya mereka yang menunjukkan minat dengan membalas email yang dipilih dan serangan lebih lanjut dilakukan.

Jenis serangan ini dimaksudkan untuk menghindari kecurigaan dari pihak penyerang. Pada umumnya, dalam kasus orang yang telah mendapatkan pelatihan pencegahan insiden keamanan siber atau telah mengikuti pelatihan simulasi peretasan, jika sebuah file dilampirkan atau tautan disertakan dalam email, mereka seringkali tidak membukanya atau meneruskannya ke tim keamanan internal, mencurigai bahwa itu berbahaya. Namun, jika tidak ada konten tertentu, mereka dapat dengan mudah mempercayai dan membalas email tanpa pertanyaan, jadi mereka menggunakan strategi yang dengan cerdik menggali psikologi keamanan dan kesadaran akan masalah ini.

Penyerang mengirimkan file berbahaya dengan menyamar sebagai target tambahan untuk serangan yang dipilih sebagai permintaan presentasi di konferensi akademik tahunan tertentu. File jahat adalah file ‘pintasan (LNK)’, tetapi serangan menggunakan ekstensi ganda yang terlihat seperti dokumen PDF biasa. Itu mendorong eksekusi target.

Selengkapnya: Alyac

Staf TI Albania dituduh lalai atas serangan siber

by

Kejaksaan Albania pada hari Rabu meminta penahanan rumah terhadap lima pegawai negeri yang mereka salahkan karena tidak melindungi negara dari serangan dunia maya yang diduga dilakukan oleh peretas Iran.

Jaksa mengatakan lima pejabat TI dari departemen administrasi publik telah gagal memeriksa keamanan sistem dan memperbaruinya dengan peranti lunak antivirus terbaru.

Mereka dituduh melakukan “penyalahgunaan jabatan”, yang dapat dikenai hukuman penjara hingga tujuh tahun.

Pada bulan September, Albania memutuskan hubungan diplomatik dengan Iran atas serangan siber 15 Juli yang menutup sementara banyak layanan digital dan situs web pemerintah Albania. Tirana menyebut gangguan itu sebagai tindakan “agresi negara.”

Sejak itu, ada beberapa serangan dunia maya yang lebih ringan dari sumber Iran yang sama.

Pemerintah Amerika Serikat memberlakukan sanksi terhadap badan intelijen Iran dan kepemimpinannya sebagai tanggapan atas serangan siber bulan Juli.

Albania, anggota NATO, telah dibantu oleh aliansi, AS, dan UE untuk menyelidiki dan memasang pertahanan dunia maya yang lebih baik.

Selengkapnya: AP News

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

by

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Pembaruan darurat Google Chrome memperbaiki hari nol ke-9 dalam setahun

by

Google telah merilis Chrome 108.0.5359.94/.95 untuk pengguna Windows, Mac, dan Linux untuk mengatasi satu kelemahan keamanan tingkat tinggi, Chrome zero-day kesembilan yang dieksploitasi secara liar sejak awal tahun.

“Google mengetahui laporan bahwa eksploit untuk CVE-2022-4262 ada di alam liar,” kata raksasa pencarian itu dalam penasehat keamanan yang diterbitkan pada hari Jumat.

Menurut Google, versi baru telah mulai diluncurkan ke pengguna di saluran Stable Desktop, dan akan menjangkau seluruh basis pengguna dalam hitungan hari atau minggu.

Pembaruan ini segera diluncurkan ke sistem kami saat BleepingComputer memeriksa pembaruan baru dari menu Chrome > Bantuan > Tentang Google Chrome.

Browser web juga akan secara otomatis memeriksa pembaruan baru dan akan menginstalnya tanpa memerlukan interaksi pengguna setelah peluncuran berikutnya.

Kerentanan zero-day (CVE-2022-4262) disebabkan oleh kelemahan kebingungan tipe tingkat keparahan tinggi di mesin JavaScript Chrome V8 yang dilaporkan oleh Clement Lecigne dari Grup Analisis Ancaman Google.

Meskipun kelemahan keamanan kebingungan jenis umumnya menyebabkan browser mogok setelah berhasil dieksploitasi dengan membaca atau menulis memori di luar batas buffer, pelaku ancaman juga dapat mengeksploitasinya untuk eksekusi kode arbitrer.

Meskipun Google mengatakan mendeteksi serangan yang mengeksploitasi zero-day ini, perusahaan belum membagikan detail teknis atau informasi terkait insiden ini.

“Akses ke detail bug dan tautan dapat dibatasi sampai mayoritas pengguna diperbarui dengan perbaikan,” tambah Google.

“Kami juga akan mempertahankan batasan jika bug ada di perpustakaan pihak ketiga yang juga bergantung pada proyek lain, tetapi belum diperbaiki.”

Selengkapnya: Bleeping Computer

Malware yang belum pernah terlihat sebelumnya membobol data di pengadilan dan kantor walikota Rusia

by

Kantor walikota dan pengadilan di Rusia diserang oleh malware yang belum pernah terlihat sebelumnya yang berperan sebagai ransomware tetapi sebenarnya adalah penghapus yang secara permanen menghancurkan data pada sistem yang terinfeksi, menurut perusahaan keamanan Kaspersky dan layanan berita Izvestia.

Peneliti Kaspersky telah menamai wiper CryWiper, mengacu pada ekstensi .cry yang ditambahkan ke file yang dihancurkan. Kaspersky mengatakan timnya telah melihat peluncuran malware “serangan tepat” pada target di Rusia.

Izvestia, sementara itu, melaporkan bahwa targetnya adalah kantor walikota dan pengadilan Rusia. Detail tambahan, termasuk berapa banyak organisasi yang terkena dan apakah malware berhasil menghapus data, tidak segera diketahui.

Malware penghapus telah berkembang semakin umum selama dekade terakhir. Pada tahun 2012, wiper yang dikenal sebagai Shamoon mendatangkan malapetaka pada Saudi Aramco Arab Saudi dan RasGas Qatar.

Empat tahun kemudian, varian baru Shamoon kembali dan menyerang banyak organisasi di Arab Saudi. Pada tahun 2017, malware penggandaan diri yang disebut NotPetya menyebar ke seluruh dunia dalam hitungan jam dan menyebabkan kerugian sekitar $10 miliar.

Pada tahun lalu, banyak wiper baru bermunculan. Mereka termasuk DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2, dan RuRansom.

Kaspersky mengatakan menemukan upaya serangan oleh CryWiper dalam beberapa bulan terakhir. Setelah menginfeksi target, malware tersebut meninggalkan catatan yang menuntut, menurut Izvestia, 0,5 bitcoin dan termasuk alamat dompet tempat pembayaran dapat dilakukan.

Selengkapnya: ars TECHNICA

Peretas Mengeksploitasi Kerentanan Redis untuk Menyebarkan Malware Redigo Baru di Server

by

Malware berbasis Go yang sebelumnya tidak berdokumen menargetkan server Redis dengan tujuan mengambil kendali sistem yang terinfeksi dan kemungkinan membangun jaringan botnet.

Serangan tersebut melibatkan pengambilan keuntungan dari kerentanan keamanan kritis di open source, dalam memori, penyimpanan nilai kunci yang diungkapkan awal tahun ini untuk menyebarkan Redigo, menurut perusahaan keamanan cloud Aqua.

Dilacak sebagai CVE-2022-0543 (skor CVSS: 10.0), kelemahannya berkaitan dengan kasus pelarian sandbox di mesin skrip Lua yang dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh.

Ini bukan pertama kalinya cacat tersebut dieksploitasi secara aktif, dengan Juniper Threat Labs mengungkap serangan yang dilakukan oleh botnet Muhstik pada Maret 2022 untuk menjalankan perintah sewenang-wenang.

Rantai infeksi Redigo serupa karena musuh memindai server Redis yang terbuka pada port 6379 untuk membuat akses awal, menindaklanjutinya dengan mengunduh perpustakaan bersama “exp_lin.so” dari server jarak jauh.

File perpustakaan ini dilengkapi dengan exploit untuk CVE-2022-0543 untuk menjalankan perintah guna mengambil Redigo dari server yang sama, selain mengambil langkah untuk menutupi aktivitasnya dengan mensimulasikan komunikasi klaster Redis yang sah melalui port 6379.

“Malware yang dijatuhkan meniru komunikasi server Redis yang memungkinkan musuh menyembunyikan komunikasi antara host yang ditargetkan dan server C2,” jelas peneliti Aqua Nitzan Yaakov.

Tidak diketahui apa tujuan akhir dari serangan itu, tetapi diduga bahwa host yang dikompromikan dapat dikooptasi ke dalam botnet untuk memfasilitasi serangan DDoS atau digunakan untuk mencuri informasi sensitif dari server database untuk memperluas jangkauan mereka.

Selengkapnya: The Hacker News