Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

BEC Group Mengkompromi Akun Pribadi dan Menarik Hati untuk Meluncurkan Serangan Kartu Hadiah Massal

by

Ada satu kelompok kriminal yang sekarang menyempurnakan eksploitasi kesediaan orang untuk membantu orang lain ketika mereka sakit atau berduka. Penjahat ini memanfaatkan salah satu instrumen bantuan orang-ke-orang yang disukai di era pandemi untuk memberikan sentuhan baru yang berbahaya pada penipuan kartu hadiah, menggunakan taktik manipulasi dan kompromi email bisnis (BEC).

Lilac Wolverine adalah grup BEC yang menyusup ke akun email pribadi, lalu mengirimkan kampanye email yang sangat besar yang menargetkan semua orang di setiap daftar kontak akun yang disusupi untuk meminta bantuan membeli kartu hadiah untuk teman atau kerabat. Berdasarkan keterlibatan pertahanan aktif yang telah kami lakukan dengan para aktor Lilac Wolverine, grup ini sangat tersentralisasi di Nigeria, yang secara historis menjadi titik panas bagi para aktor BEC.

Untuk serangan BEC penipuan pembayaran, target scammer umumnya terbatas pada karyawan di tim keuangan perusahaan. Serangan pengalihan gaji biasanya hanya dapat dilakukan dengan menyerang karyawan di departemen sumber daya manusia. Serangan kartu hadiah, di sisi lain, dapat menargetkan karyawan mana pun di suatu organisasi, terlepas dari departemen apa yang mereka duduki.

Alih-alih memiliki jumlah target yang terbatas, scammer berpotensi memiliki ratusan karyawan yang dapat mereka kejar dalam satu kampanye. . Dan sementara tingkat keberhasilan keseluruhan mungkin jauh lebih rendah untuk setiap email serangan BEC kartu hadiah individu, peluang sukses keseluruhan scammer dalam kampanye email yang jauh lebih besar naik, karena mereka hanya perlu persentase kecil dari populasi target yang jauh lebih besar untuk jatuh. penipuan.

Selengkapnya: Abnormal Security

APT37 Menyalahgunakan Google Drive Menggunakan Dynamic Dolphin Malware

by

Grup peretasan Korea Utara APT37 (alias ScarCruft atau Reaper) telah memperbarui persenjataan alatnya yang luas dengan pintu belakang canggih baru bernama Dolphin. Backdoor menyalahgunakan layanan penyimpanan cloud, khususnya Google Drive untuk komunikasi C2.

Peneliti ESET menemukan bahwa APT37 menggunakan Dolphin sejak awal 2021 dan pintu belakang terus mengembangkan kemampuan baru dan berevolusi untuk menghindari deteksi.

  • Penemuan terbaru terkait dengan serangan lubang berair pada tahun 2021 di surat kabar online Korea Selatan yang melaporkan aktivitas dan acara yang berkaitan dengan Korea Utara.
  • Peretas mengandalkan banyak komponen, termasuk eksploit Internet Explorer dan kode shell yang mengarah ke pintu belakang bernama BLUELIGHT, yang menyebarkan muatan sekunder Dolphin pada target yang dipilih.
  • BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi dan Dolphin mencari drive dari sistem yang disusupi untuk mencari file menarik dan mengekstraknya ke Google Drive.

Dolphin, ditulis dalam C++, adalah backdoor yang mengumpulkan informasi dan mengeksekusi perintah secara otomatis atau seperti yang dikeluarkan oleh operatornya.

  • Dolphin memiliki berbagai kemampuan mata-mata, termasuk memantau layanan cloud dan perangkat portabel serta mengekstraksi file yang menarik.
  • Selain itu, ia mampu melakukan keylogging dan mengambil screenshot, dan mencuri kredensial dari browser seperti Chrome, Edge, dan Internet Explorer. Itu dapat membangun kegigihan pada sistem yang dikompromikan dengan memodifikasi Windows Registry.

Sejauh ini, empat varian pintu belakang Dolphin telah terdeteksi, 1.9 hingga 3.0 (86/64-bit). Dolphin sering menambah, menghapus, atau memperbaiki perintah di setiap varian.

Selengkapnya: Cyware

Peneliti menemukan bug yang memungkinkan akses, remote control mobil

by

Beberapa merek mobil besar telah mengatasi kerentanan yang memungkinkan peretas mengontrol kunci, mesin, klakson, lampu depan, dan bagasi mobil tertentu dari jarak jauh yang dibuat setelah 2012, menurut seorang peneliti keamanan.

Insinyur keamanan staf Yuga Labs, Sam Curry, menerbitkan dua utas di Twitter yang merinci penelitiannya tentang aplikasi seluler untuk beberapa merek mobil yang memberi pelanggan kemampuan untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan mereka dari jarak jauh.

Curry dan beberapa peneliti lainnya memulai dengan Hyundai dan Genesis, menemukan bahwa sebagian besar proses verifikasi untuk mendapatkan akses ke kendaraan bergantung pada alamat email terdaftar. Mereka menemukan cara untuk mem-bypass fitur verifikasi email dan mendapatkan kendali penuh.

Kerentanan telah ditambal, masalah intinya adalah kerentanan kontrol akses yang memengaruhi akun pengguna di aplikasi itu sendiri. Anda dapat masuk ke akun siapa pun jika Anda mengetahui alamat email mereka dan karenanya mengontrol/menemukan kendaraan mereka dari jarak jauh,” kata Curry, mencatat bahwa serangan itu dapat terjadi “dari mana saja.”

Seorang juru bicara Hyundai mengatakan kepada The Record bahwa mereka bekerja dengan konsultan untuk menyelidiki kerentanan yang diklaim “segera setelah para peneliti menyampaikannya kepada kami.”

Dalam komentarnya kepada The Record, Curry menjelaskan bahwa manuver tersebut akan memungkinkan penyerang untuk memulai, menghentikan, mengunci, membuka kunci, membunyikan klakson, menyalakan lampu, atau menemukan kendaraan dari jarak jauh yang mengaktifkan fungsi jarak jauh. Fitur itu telah diaktifkan di semua kendaraan yang dibuat setelah 2012.

Selengkapnya: The Record

Dari Makro ke Tanpa Makro: Perbaikan Malware Berkelanjutan oleh QakBot

by

Pada tahun 2007 kami melihat permulaan awal dan kebangkitan QakBot, tahun yang sama ketika Windows XP dan Windows Server 2003 masih menjadi sistem operasi utama di perusahaan. QakBot, atau QuackBot, hadir sebagai trojan perbankan dan loader.

Saat ini, kita melihat QakBot digunakan oleh berbagai kelompok musuh dengan berbagai cara, seperti menyebarkan ransomware, kegigihan, dan mencuri kredensial. Sebelum musuh memiliki akses ke titik akhir atau kemampuan untuk bergerak secara lateral, mereka harus mendapatkan akses awal. Vektor akses awal tersebut terus berkembang dan mengimbangi sistem operasi, browser, dan vendor antivirus untuk memastikan pengiriman muatan berbahaya.

Pada Februari 2022 Microsoft mendorong pembaruan untuk menonaktifkan makro secara default di produk Office. Kemenangan besar dalam industri ini adalah untuk mencegah vektor akses awal dalam jumlah besar ke dalam organisasi.

Tidak lama kemudian musuh mulai memperbarui keahlian mereka untuk menggunakan segalanya kecuali makro. Mirip dengan apa yang disebutkan oleh Bleeping Computer pada bulan Februari, DarkReading menyebutkan dalam artikel ini, perubahan tersebut masuk ke Aplikasi HTML (.hta) dan sangat sukses.

Seiring waktu, kami mulai mendengar tentang bypass Mark-of-the-Web (MOTW). Windows MOTW adalah fitur sederhana di OS yang memberi label item dan memeriksanya saat diunduh. Sebagaimana diuraikan oleh Outflank pada tahun 2020, peran MOTW dalam langkah-langkah keamanan digunakan oleh Windows SmartScreen, dan Kotak pasir tampilan terlindungi di Excel dan Word, untuk beberapa nama.

Bagaimana musuh melewati kontrol ini? Beberapa file yang diunduh tidak diperiksa, oleh karena itu menghindari MOTW dan mengizinkan eksekusi proses. Salah satu format populer yang kita lihat saat ini mencakup pengiriman file ISO dalam file HTML. Sebagian besar kontainer, seperti ISO atau VHDX, tidak diperiksa oleh MOTW.

Selengkapnya: Splunk

TSA Merencanakan Regulasi Risiko Siber untuk Sektor Pipa dan Kereta Api

by

Administrasi Keamanan Transportasi memanggil otoritas yang ada sejak pembentukannya pasca 9/11 dalam pemberitahuan sebelumnya tentang usulan pembuatan aturan yang menyerukan program manajemen risiko dunia maya untuk perusahaan pipa dan kereta api.

Pemberitahuan awal – biasanya langkah pertama dari prosedur pembuatan aturan pemberitahuan dan komentar federal – adalah bagian dari upaya administrasi Biden yang lebih luas untuk menekan operator infrastruktur kritis ke dalam keamanan dunia maya yang lebih baik, upaya yang dilakukan setelah gangguan pasokan bensin pada Mei 2021 di selatan Amerika dan Pantai Timur setelah peretas yang berbasis di Rusia melakukan serangan ransomware pada pemasok pipa utama.

Industri jalur pipa dan kereta api telah berada di bawah regulasi keamanan siber yang ditingkatkan melalui arahan TSA yang mengamanatkan langkah-langkah seperti rencana tanggap insiden, kebijakan segmentasi jaringan, dan pemantauan berkelanjutan (lihat: TSA Menerbitkan Arahan Keamanan Siber Baru untuk Jalur Pipa Minyak).

Badan tersebut mengatakan program manajemen risiko dunia maya federal akan melampaui arahan tersebut untuk meningkatkan fokus industri pada ketahanan operasional. “Pencegahan saja tidak cukup,” kata pemberitahuan itu. Industri harus berasumsi bahwa penyerang akan mengganggu sistem, yang berarti bahwa “kapasitas dan kemampuan untuk merespons dan pulih dengan cepat saat insiden keamanan siber terjadi adalah kunci untuk mengurangi gangguan dan memastikan operasi yang tangguh.”

TSA mengatakan tidak tertarik untuk memaksakan “persyaratan statis”, yang menyatakan bahwa program manajemen risiko harus mendorong penilaian berkelanjutan terhadap lingkungan ancaman dan penerapan kontrol keamanan yang dinamis.

Selengkapnya: Gov Info Security

Pejabat Vanuatu beralih ke buku telepon dan mesin tik, satu bulan setelah serangan dunia maya

by

Satu bulan setelah serangan dunia maya meruntuhkan server dan situs web pemerintah di Vanuatu, para pejabat yang frustrasi masih menggunakan akun Gmail pribadi, laptop pribadi, pulpen dan kertas, dan mesin tik untuk menjalankan pemerintahan perdana menteri, Ismael Kalsakau, yang mulai menjabat. hanya beberapa hari setelah kecelakaan itu.

Serangan malware pada jaringan negara telah menyebabkan keterlambatan komunikasi dan koordinasi di negara kepulauan Pasifik berpenduduk 314.000 orang dan 80 pulau itu.

Orang-orang menggunakan Yellow Pages online atau direktori hard copy telepon untuk menemukan nomor telepon pemerintah. Beberapa kantor beroperasi dari halaman Facebook dan Twitter mereka.

Masalahnya dimulai sekitar sebulan yang lalu, ketika aktivitas phishing yang mencurigakan pertama kali diketahui melalui email ke Kementerian Keuangan, menurut seorang analis keuangan yang bekerja sama dengan tim keamanan siber kementerian.

Malware tersebut merusak hampir semua email pemerintah dan arsip situs web. Banyak departemen masih menggunakan drive komputer lokal untuk menyimpan data, berbeda dengan server web atau cloud. Tidak ada informasi resmi yang dirilis tentang apakah permintaan tebusan dibuat oleh para peretas.

“Butuh waktu lebih lama untuk pembayaran [dari Kementerian Keuangan] untuk keluar, tapi … toh kami selalu dalam waktu Vanuatu,” kata analis keuangan itu.

Departemen pemerintah telah berjuang untuk tetap terhubung, membuat frustrasi pejabat, dengan solusi dadakan yang diterapkan untuk komunikasi antara lembaga dan departemen. Banyak kantor pemerintah pulau terluar mengalami keterlambatan tajam dalam pelayanan.

Selengkapnya: The Guardian

Peneliti keamanan siber menghapus botnet DDoS secara tidak sengaja

by

Saat menganalisis kemampuannya, peneliti Akamai secara tidak sengaja menghapus botnet cryptomining yang juga digunakan untuk serangan denial-of-service (DDoS) terdistribusi.

Seperti terungkap dalam laporan yang diterbitkan awal bulan ini, malware KmsdBot di balik botnet ini ditemukan oleh anggota Akamai Security Intelligence Response Team (SIRT) setelah menginfeksi salah satu honeypots mereka.

KmsdBot menargetkan perangkat Windows dan Linux dengan beragam arsitektur, dan menginfeksi sistem baru melalui koneksi SSH yang menggunakan kredensial login yang lemah atau default.

Perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dan meluncurkan serangan DDoS, dengan beberapa target sebelumnya adalah perusahaan game dan teknologi, serta produsen mobil mewah.

Sayangnya untuk pengembangnya dan untungnya bagi pemilik perangkat, botnet belum memiliki kemampuan bertahan untuk menghindari deteksi.

Namun, ini berarti malware harus memulai dari awal jika terdeteksi dan dihapus atau malfungsi dengan cara apa pun dan kehilangan koneksi ke server perintah-dan-kontrol (C2).

Selengkapnya: Bleeping Computer

Google TAG Memperingatkan Kerangka Eksploitasi Heliconia yang Muncul untuk RCE

by

Grup Analisis Ancaman (TAG) Google telah menemukan kerangka kerja serangan siber yang dijuluki Heliconia, dibuat untuk mengeksploitasi kerentanan zero-day dan n-day di Chrome, Firefox, dan Microsoft Defender. Ini kemungkinan memiliki koneksi ke broker spyware pasar abu-abu bernama Variston IT, yang menyoroti bagaimana segmen bayangan ini berkembang.

Ancaman Heliconia terdiri dari tiga modul:

  • Heliconia Noise karena menyusupi browser Chrome, keluar dari kotak pasir, dan memasang malware;
  • Heliconia Soft, kerangka kerja Web yang menyebarkan PDF berisi eksploit Windows Defender untuk CVE-2021-42298 yang memungkinkan eskalasi hak istimewa ke SISTEM dan eksekusi kode jarak jauh (RCE);
  • Dan paket File Heliconia yang berisi rantai eksploit Firefox yang terdokumentasi lengkap untuk Windows dan Linux, termasuk CVE-2022-26485 untuk RCE.

TAG menyadari ancaman tersebut setelah menerima kiriman anonim ke program pelaporan bug Chrome. Setelah penyelidikan lebih lanjut, kode sumber kerangka kerja Heliconia ditemukan berisi skrip yang merujuk ke Variston IT, entitas yang berkantor pusat di Barcelona yang mengklaim menyediakan “solusi keamanan khusus”.

Spyware komersial sering dijual oleh organisasi yang mengaku sebagai perusahaan yang sah, untuk “digunakan oleh penegak hukum”. Namun, semakin banyak bukti menunjukkan bahwa terlalu sering, broker ini tidak memeriksa klien mereka, “menempatkan kemampuan pengawasan canggih di tangan pemerintah yang menggunakannya untuk memata-matai jurnalis, aktivis hak asasi manusia, oposisi politik, dan pembangkang,” menurut TAG posting pada hari Rabu.

Selengkapnya: DARKReading