Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Campaign

Campaign

Tim Microsoft Diincar Oleh Trojan yang Mengambil Alih Perangkat

by

Pelaku ancaman menargetkan pengguna Microsoft Teams dengan menanam dokumen berbahaya di utas obrolan yang mengeksekusi Trojan yang pada akhirnya dapat mengambil alih mesin pengguna akhir, menurut temuan para peneliti.

Pada bulan Januari, para peneliti di Avanan, sebuah Perusahaan Check Point, mulai melacak kampanye, yang menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan Teams yang, ketika diklik, akhirnya mengambil alih komputer pengguna, menurut laporan yang diterbitkan Kamis.

“Menggunakan file yang dapat dieksekusi, atau file yang berisi instruksi untuk dieksekusi sistem, peretas dapat menginstal file DLL dan memungkinkan program untuk mengatur sendiri dan mengambil kendali atas komputer,” tulis peneliti dan analis keamanan siber di Avanan Jeremy Fuchs dalam sebuah laporan. “Dengan melampirkan file ke serangan Teams, peretas telah menemukan cara baru untuk menargetkan jutaan pengguna dengan mudah.”

Penjahat dunia maya telah lama menargetkan suite pembuatan dan berbagi dokumen Microsoft yang ada di mana-mana – Office lawas dan versi berbasis cloud-nya, Office 365 – dengan serangan terhadap aplikasi individual dalam suite seperti PowerPoint serta kompromi email bisnis dan penipuan lainnya.

Sekarang Microsoft Teams – rangkaian komunikasi dan kolaborasi bisnis – muncul sebagai permukaan serangan yang semakin populer bagi penjahat dunia maya, kata Fuchs.

Minat ini dapat dikaitkan dengan lonjakan penggunaannya selama pandemi COVID-19, karena banyak karyawan organisasi yang bekerja dari jarak jauh mengandalkan aplikasi untuk berkolaborasi. Memang, jumlah pengguna aktif harian Teams hampir dua kali lipat selama setahun terakhir, meningkat dari 75 juta pengguna pada April 2020 menjadi 145 juta pada kuartal kedua 2021, menurut Statista.

Selengkapnya: Threat Post

Peretas mengambil alih akun CEO dengan aplikasi OAuth jahat

by

Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.

Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.

Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.

OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.

Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.

Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.

Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.

Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.

Selengkapnya: Bleeping Computer

Kampanye MirrorBlast Baru yang Eksplosif Menargetkan Perusahaan Keuangan

by

Tim Morphisec Labs telah melacak versi baru kampanye yang menargetkan organisasi keuangan. Dijuluki “MirrorBlast” oleh ET Labs, kampanye serangan saat ini yang dilacak tim Labs dimulai pada awal September. Ada kegiatan serupa pada April 2021 juga, tetapi kampanye saat ini dimulai baru-baru ini.

Rantai serangan infeksi memiliki kesamaan dengan taktik, teknik, dan prosedur yang biasa digunakan oleh kelompok ancaman TA505 yang diduga berbasis di Rusia. Kesamaan meluas ke rantai serangan, fungsionalitas GetandGo, muatan akhir, dan kesamaan dalam pola nama domain.

Pada bulan September peneliti mengamati kampanye malspam yang mengirimkan dokumen Excel sebagai lampiran. Kampanye ini menargetkan beberapa sektor dari Kanada, Amerika Serikat, Hong Kong, Eropa, dan banyak lagi.

Rantai serangan dimulai dengan dokumen lampiran email, tetapi pada tahap selanjutnya, itu berubah untuk menggunakan URL proksi umpan Google dengan SharePoint dan umpan OneDrive, yang bertindak sebagai permintaan berbagi file. URL ini mengarah ke SharePoint yang disusupi atau situs OneDrive palsu yang digunakan penyerang untuk menghindari deteksi, selain persyaratan masuk (SharePoint) yang membantu menghindari sandboxing.

MirrorBlast memiliki deteksi yang rendah pada VirusTotal karena makro yang sangat ringan yang tertanam dalam file Excel-nya, membuatnya sangat berbahaya bagi organisasi yang bergantung pada keamanan berbasis deteksi dan sandboxing

Selengkapnya: Security Boulevard

Ternyata Kampanye Peretasan Canggih Ini Sebenarnya Karya ‘Operator Pemerintah Barat’

by

Sebuah kampanye peretasan canggih yang sebelumnya disaksikan menargetkan kelemahan keamanan di perangkat Android, Windows dan iOS sebenarnya adalah pekerjaan “operasi pemerintah Barat” yang melakukan “counterterrorism operation,,” menurut laporan baru dari MIT Technology Review.

Kampanye tersebut, yang telah mendapatkan lebih banyak perhatian dari outlet media selama beberapa minggu terakhir, pertama kali ditulis pada bulan Januari oleh tim riset ancaman Google Project Zero. Pada saat itu, semua yang diketahui publik adalah bahwa seseorang telah melakukan beberapa bisnis yang sangat rumit: kelompok “sangat canggih”, kemungkinan dikelola oleh “tim ahli”, bertanggung jawab untuk menargetkan banyak kerentanan zero-day (total keseluruhan kemudian berubah menjadi 11) di berbagai sistem operasi terkemuka, tulis para peneliti.

Kampanye peretasan ini, yang berlangsung selama sekitar sembilan bulan, menggunakan apa yang disebut metode “watering hole” — di mana pelaku ancaman menyuntikkan kode berbahaya ke situs web untuk secara efektif “menjebak jebakan” (pengunjung situs kemudian akan terinfeksi perangkat lunak perusak, yang memungkinkan peretas menargetkan dan meningkatkan penyusupan target tertentu).

Dari semua deskriptor ini, tanda-tanda secara alami menunjuk pada keterlibatan semacam peretas negara-bangsa tingkat tinggi — meskipun hanya sedikit yang akan menduga bahwa pelakunya adalah, sebenarnya, teman kita! Namun demikian, tampaknya itulah masalahnya. Tidak jelas apa yang sebenarnya menjadi tanggung jawab pemerintah atas serangan tersebut, siapa targetnya, atau apa yang disebut operasi “kontraterorisme” terkait dengan semua ini. MIT belum membocorkan bagaimana mereka mendapatkan informasi ini.

Satu hal yang pasti: Penemuan Google dan pengungkapan publik berikutnya atas eksploitasi (serta keputusan perusahaan untuk menambal kerentanan) tampaknya telah menggagalkan operasi pemerintah apa pun yang terjadi. MIT menulis bahwa, dengan go public, perusahaan teknologi secara efektif menutup misi dunia maya “kontraterorisme langsung”, juga menambahkan bahwa “tidak jelas apakah Google memberikan pemberitahuan sebelumnya kepada pejabat pemerintah bahwa mereka akan mempublikasikan dan menghentikan” serangan tersebut. Hal ini rupanya “menyebabkan perpecahan internal di Google dan menimbulkan pertanyaan di dalam komunitas intelijen Amerika Serikat dan sekutunya”.

Ada banyak pertanyaan di sini, tentu saja. Pertama, pemerintah apa yang melakukan ini? Apa ancaman “teror” yang mereka selidiki? Situs web mana yang digunakan untuk mengejar teroris tersebut? Mengingat sifat politik sensitif dari jenis operasi ini, kecil kemungkinan kami akan mendapatkan jawaban untuk pertanyaan tersebut — setidaknya tidak langsung. Tetapi karena informasi yang tersedia sangat sedikit, juga cukup sulit untuk memahami apakah Project Zero dibenarkan dalam menjalankan operasi tersebut atau tidak, atau bahkan apa yang terjadi di sini.

sumber : gizmodo.com