Cybersecurity

Peretas menyalahgunakan layanan Windows error dalam serangan malware tanpa file

October 7, 2020 by Winnie the Pooh

Grup peretasan tak dikenal menyuntikkan kode berbahaya dalam layanan Windows Error Reporting (WER) yang sah untuk menghindari deteksi sebagai bagian dari serangan malware fileless seperti yang ditemukan oleh peneliti Malwarebytes bulan lalu.

Memanfaatkan layanan WER dalam serangan untuk menghindari pertahanan bukanlah taktik baru tetapi, seperti yang dikatakan oleh peneliti Malwarebytes Threat Intelligence Team Hossein Jazi dan Jérôme Segura, kampanye ini kemungkinan besar adalah hasil kerja dari kelompok spionase siber yang belum diketahui.

“Pelaku ancaman menyusupi situs web untuk menampung muatannya dan menggunakan kerangka CactusTorch untuk melakukan serangan fileless yang diikuti oleh beberapa teknik anti-analisis,” jelas laporan tersebut, yang dibagikan sebelumnya dengan BleepingComputer.

Muatan awal yang berbahaya masuk ke komputer target melalui spear-phishing email menggunakan klaim kompensasi pekerja sebagai umpan.

Setelah dibuka, dokumen akan mengeksekusi kode shell melalui makro berbahaya yang diidentifikasi sebagai modul CactusTorch VBA yang memuat muatan .NET langsung ke memori perangkat Windows yang sekarang terinfeksi.

Pada langkah berikutnya, binary ini dijalankan dari memori komputer tanpa meninggalkan jejak pada hard drive, memasukkan kode shell yang tertanam ke dalam WerFault.exe, proses Windows layanan WER.

Jika semua pemeriksaan dilewati dan malware yang dimuat terasa cukup aman untuk melanjutkan ke langkah berikutnya, malware akan mendekripsi dan memuat kode shell terakhir di thread WER yang baru dibuat, yang akan dieksekusi di thread baru.

Muatan malware terakhir yang dihosting di asia-kotoba[.]Net dalam bentuk favicon palsu kemudian akan diunduh dan dimasukkan ke dalam proses baru.

Sementara para peneliti Malwarebytes tidak dapat mengaitkan serangan itu dengan kelompok peretas mana pun dengan cukup percaya diri, beberapa indikator kompromi dan taktik yang digunakan mengarah ke kelompok spionase cyber APT32 yang didukung Vietnam (juga dilacak sebagai OceanLotus dan SeaLotus).

Sayangnya, Malwarebytes tidak berhasil mendapatkan salinan muatan terakhir setelah menyelidiki serangan ini untuk membuat koneksi langsung.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

October 7, 2020 by Winnie the Pooh

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

Amerika Serikat (98,1% meningkat)
India (39,2% meningkat)
Sri Lanka (436% meningkat)
Rusia (57,9% meningkat)
Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Botnet HEH baru dapat menghapus router dan perangkat IoT

October 7, 2020 by Winnie the Pooh

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Anatomi perampokan siber senilai $15 juta di perusahaan AS

October 7, 2020 by Winnie the Pooh

Penipu berpengalaman mendapatkan $15 juta dari perusahaan AS setelah dengan hati-hati menjalankan email yang telah disusupi yang membutuhkan waktu sekitar dua bulan untuk menyelesaikannya.

Penjahat siber melaksanakan rencana mereka dengan sangat teliti setelah mendapatkan akses ke percakapan email tentang transaksi komersial. Mereka memasukkan diri mereka ke dalam pertukaran untuk mengalihkan pembayaran dan mampu menyembunyikan pencurian cukup lama untuk mendapatkan uang.

Meskipun peneliti menyelidiki peristiwa pada satu korban, mereka menemukan petunjuk yang menunjukkan bahwa lusinan bisnis di sektor konstruksi, ritel, keuangan, dan hukum ada dalam daftar target mereka.

Setelah aktor tersebut memutuskan sebuah target, mereka menghabiskan waktu sekitar dua minggu untuk mencoba mengakses akun email. Setelah masuk, mereka menghabiskan waktu seminggu lagi untuk mengumpulkan informasi dari kotak surat korban dan mengidentifikasi peluang.

Selama empat minggu, penyerang dengan hati-hati membuat rencana mereka menggunakan informasi yang dikumpulkan dari kotak masuk eksekutif senior yang disusupi. Mereka mengambil alih percakapan menggunakan domain palsu pada saat yang tepat untuk memberikan detail yang diubah untuk pengiriman uang.

Untuk menyembunyikan pencurian hingga mereka memindahkan uang ke bank asing dan membuatnya hilang selamanya, penyerang menggunakan aturan penyaringan kotak masuk untuk memindahkan pesan dari alamat email tertentu ke folder tersembunyi.

Itu adalah langkah yang membuat pemilik kotak masuk yang sah tidak mengetahui komunikasi mengenai pemindahan uang. Itu berlangsung sekitar dua minggu, cukup bagi aktor untuk membuat $15 juta menghilang.

Organisasi dapat memperkuat pertahanan mereka terhadap jenis serangan ini dengan mengikuti sekumpulan rekomendasi sederhana yang mencakup, antara lain, mengaktifkan otentikasi dua faktor di Office 365 dan mencegah email forwarding ke alamat eksternal.

Baca berita selengkapnya pada tautan dibawah ini;
Source: Bleeping Computer

Black-T Malware Muncul Dari Cryptojacker Group TeamTNT

October 6, 2020 by Winnie the Pooh

Para peneliti telah menemukan langkah awal malware cryptojacking terbaru dari TeamTNT, yang disebut Black-T. Varian ini dibangun di atas pendekatan khas grup, dengan beberapa tambahan baru – dan canggih.

TeamTNT dikenal dengan penargetan kredensial Amazon Web Services (AWS), untuk membobol cloud dan menggunakannya untuk menambang cryptocurrency Monero.

Namun menurut para peneliti dari Palo Alto Network’s Unit 42, menggunakan Black-T, kelompok tersebut telah menambahkan kemampuan tambahan pada taktik, teknik dan prosedur (TTP). Ini termasuk penambahan pemindai jaringan yang canggih; penargetan alat penambangan XMR pesaing di jaringan; dan penggunaan pengikis kata sandi.

Apa yang akan dilakukan TeamTNT dengan kata sandi yang disimpan dan kemampuan tambahan masih belum jelas, tetapi perkembangan menandakan bahwa grup tidak berencana untuk melambat dalam waktu dekat.

Setelah diterapkan, urutan bisnis pertama untuk Black-T adalah menonaktifkan malware lain yang bersaing untuk mendapatkan kekuatan pemrosesan, termasuk Kinsing, Kswapd0, ntpd miner, redis-backup miner, auditd miner, Migration miner, the Crux worm dan Crux worm miner.

Ironisnya, fakta bahwa TeamTNT mengidentifikasi pesaing ini dalam malware mereka memberi para profesional keamanan peringatan kritis untuk mewaspadai potensi ancaman dari kelompok-kelompok ini, kata Unit 42.

Setelah menghilangkan pesaing mereka, Black-T menginstal masscan, libpcap untuk mendengarkan berbagai sumber daya di jaringan, termasuk pnscan, zgrab, Docker dan jq.

Berikutnya, Black-T mengambil berbagai download: Beta untuk membuat direktori baru; alat pengikis sandi mimipy dan mimipenquin; dan perangkat lunak penambangan XMR yang disebut bd.

Karena pekerjaan jarak jauh dan penghematan biaya terus mendorong komputasi ke cloud, lebih banyak grup seperti TeamTNT pasti akan muncul dan siap untuk memanfaatkan, menurut Quist.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Keluarga Malware Beralih ke Layanan Seperti Pastebin yang Sah

October 6, 2020 by Winnie the Pooh

Penjahat siber semakin beralih ke layanan web yang sah dan mirip Pastebin untuk mengunduh malware – seperti AgentTesla dan LimeRAT – dalam serangan spear-phishing.

Pastebin, layanan hosting kode yang memungkinkan pengguna untuk berbagi plain text melalui pos publik yang disebut “pastes”, saat ini memiliki 17 juta pengguna unik bulanan dan populer di kalangan penjahat siber (seperti grup FIN5 APT dan grup ancaman Rocke) untuk menampung muatan mereka atau infrastruktur command-and-control (C2).

Tapi sekarang, lebih banyak kelompok malware dan ransomware mulai menggunakan layanan lain, dengan domain Paste.nrecom[.]Net.

Layanan ini sudah ada sejak Mei 2014, dan memiliki fungsi yang mirip dengan Pastebin. Ia juga memiliki API (didukung oleh pastebin berbasis PHP open-source Stikked) yang memungkinkan untuk pembuatan skrip.

Peneliti dengan Juniper Networks mengatakan bahwa fitur API menguntungkan bagi penjahat siber, yang dapat memanfaatkannya untuk dengan mudah memasukkan dan memperbarui data mereka secara terprogram.

Peneliti mengatakan bahwa serangan yang memanfaatkan layanan tersebut umumnya dimulai dengan email spear-phishing yang menyertakan lampiran (seperti dokumen, arsip, atau file yang dapat dieksekusi). Penerima ditipu untuk membuka lampiran berbahaya (sebagai tahap pertama serangan), yang kemudian mendownload tahap berikutnya dari paste.nrecom[.]Net.

Ke depan, para peneliti memperingatkan bahwa lebih banyak keluarga malware akan beralih ke layanan web yang sah untuk menghosting infrastruktur berbahaya mereka.

“Menggunakan layanan web yang sah seperti pastebin atau paste.nrecom untuk infrastruktur malware memberikan keuntungan bagi penjahat siber, karena layanan ini tidak dapat dengan mudah dihapus karena penggunaannya yang sah,” kata peneliti.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

MosaicRegressor: Rootkit UEFI kedua ditemukan di alam liar

October 6, 2020 by Winnie the Pooh

Rootkit UEFI kedua yang digunakan di alam liar ditemukan oleh peneliti keamanan selama investigasi seputar serangan dari tahun 2019 terhadap dua organisasi non-pemerintah (LSM).

Firmware UEFI (Unified Extensible Firmware Interface) memungkinkan malware yang sangat persisten mengingat bahwa itu diinstal dalam penyimpanan flash SPI yang disolder ke motherboard komputer sehingga tidak mungkin untuk dihilangkan melalui instalasi ulang OS atau penggantian hard drive.

Bootkit UEFI, dijuluki MosaicRegressor oleh peneliti Kaspersky Mark Lechtik dan Igor Kuznetsov yang menemukannya, adalah kerangka kerja malware modular dan multi-stage yang digunakan oleh peretas berbahasa Mandarin dalam operasi pencurian data dan spionase.

Hanya satu contoh lain dari bootkit UEFI yang digunakan di alam liar yang diketahui, yaitu LoJax, rootkit yang ditemukan oleh ESET pada tahun 2018.

LoJax disuntikkan oleh kelompok peretas APT28 berbahasa Rusia dalam perangkat lunak anti-theft LoJack yang sah dalam bentuk modul UEFI yang ditambal.

MosaicRegressor mempunyai beberapa downloader dan, terkadang, beberapa pemuat perantara yang tujuan akhirnya adalah mengunduh dan mengeksekusi muatan berbahaya pada mesin target.

Laporan lengkap Kaspersky (termasuk detail teknis) tentang bootkit MosaicRegressor UEFI multi-stage dan modular dapat ditemukan di sini (PDF).

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Grup peretas menyerang penyedia seluler untuk mencuri kartu kredit

October 6, 2020 by Winnie the Pooh

Grup skimming kartu kredit Fullz House telah menyusupi dan menginjeksi situs web operator jaringan virtual seluler AS (MVNO) Boom! Seluler dengan skrip pencuri kartu kredit.

Jenis penyusupan ini dikenal sebagai serangan MageCart (alias web skimming atau e-skimming), yang terdiri dari pelaku ancaman yang menyuntikkan skrip JavaScript berbahaya dalam satu atau beberapa bagian situs web yang disusupi.

Skrip ini kemudian digunakan oleh peretas untuk mencuri pembayaran atau info pribadi yang dikirimkan oleh pelanggan situs.

Seperti yang ditemukan oleh Tim Intelijen Ancaman Malwarebytes, penyerang memasukkan satu baris kode yang memuat pustaka JavaScript eksternal dari paypal-debit[.]Com/cdn/ga.js, yang disamarkan sebagai skrip Google Analytics.

Skimmer kartu bekerja dengan mengumpulkan informasi kartu pembayaran dari bidang input setiap kali mendeteksi perubahan apa pun, segera mengeksfiltrasi data yang dipanen sebagai permintaan GET yang dikodekan menggunakan Base64.

Meskipun metode pasti yang digunakan oleh grup Fullz House Magecart untuk menyusup ke situs web Boom tidak diketahui, Malwarebytes mengamati bahwa situs perusahaan tersebut menjalankan PHP versi 5.6.40, sebuah versi yang tidak didukung sejak Januari 2019.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings