Cybersecurity

Seseorang Menjalankan Ratusan Server Berbahaya di Jaringan Tor

December 8, 2021 by Winnie the Pooh

Penelitian baru menunjukkan bahwa seseorang telah menjalankan ratusan server jahat di jaringan Tor, berpotensi dalam upaya untuk de-anonymize pengguna dan membuka kedok aktivitas web mereka.

Seperti yang pertama kali dilaporkan oleh The Record, aktivitas tersebut tampaknya berasal dari satu pengguna yang canggih dan gigih, yang entah bagaimana memiliki sumber daya untuk menjalankan banyak server bandwidth tinggi selama bertahun-tahun.

Juga disebut sebagai “Onion router,”, Tor mungkin adalah platform privasi online paling terkenal di dunia, dan perangkat lunak serta jaringan terkaitnya seharusnya melindungi aktivitas penjelajahan web Anda dari pengawasan dengan menyembunyikan alamat IP Anda dan mengenkripsi lalu lintas Anda.

Server jahat awalnya ditemukan oleh peneliti keamanan yang menggunakan nama samaran “nusenu” dan yang mengoperasikan node mereka sendiri di jaringan Tor.

Di Medium nya, nusenu menulis bahwa mereka pertama kali menemukan bukti pelaku ancaman—yang mereka juluki “KAX17”—pada tahun 2019. Setelah melakukan penelitian lebih lanjut ke KAX17, mereka menemukan bahwa KAX17 telah aktif di jaringan tersebut sejak 2017 .

Intinya, KAX tampaknya menjalankan segmen besar jaringan Tor — berpotensi dengan harapan dapat melacak jalur pengguna web tertentu dan membuka kedoknya.

Tor menganonimkan aktivitas web pengguna dengan mengenkripsi lalu lintas mereka dan kemudian merutekannya melalui serangkaian node yang berbeda—juga disebut “relay”—sebelum mencapai tujuan akhirnya dan tidak dienkripsi.

Penyedia node tidak seharusnya dapat melihat lalu lintas Anda, karena Tor menyediakan enkripsi dan mereka hanya membantu dengan salah satu dari beberapa bagian perjalanan lalu lintas Anda (juga disebut “circuit”).

Namun, dalam kasus KAX17, aktor ancaman tampaknya memiliki sumber daya yang jauh lebih baik daripada konten web gelap rata-rata Anda: mereka telah menjalankan ratusan server jahat di seluruh dunia—aktivitas yang setara dengan “menjalankan sebagian besar jaringan tor,” tulis nusenu. Dengan jumlah aktivitas itu, kemungkinan sirkuit pengguna Tor dapat dilacak oleh KAX relatif tinggi, menurut peneliti.

Menurut penelitian nusenu, KAX pada satu titik memiliki begitu banyak server — sekitar 900 — sehingga Anda memiliki kemungkinan 16 persen untuk menggunakan relay mereka sebagai “hop” pertama (yaitu, node di circuit Anda) ketika Anda masuk ke Tor. Anda memiliki peluang 35 persen untuk menggunakan salah satu relay mereka selama “hop” ke-2 Anda, dan peluang 5 persen untuk menggunakannya sebagai exit relay, tulis nusenu.

Selengkapnya: Gizmodo

Emotet sekarang menjatuhkan Cobalt Strike, mempercepat serangan ransomware

December 8, 2021 by Winnie the Pooh

Dalam perkembangan yang mengkhawatirkan, malware Emotet yang terkenal sekarang menginstal beacon Cobalt Strike secara langsung, memberikan akses jaringan langsung ke pelaku ancaman dan membuat serangan ransomware segera diluncurkan. Temuan ini ditemukan oleh Kelompok riset Emotet Cryptolaemus.

Emotet adalah infeksi malware yang menyebar melalui email spam yang berisi dokumen Word atau Excel berbahaya. Dokumen-dokumen ini menggunakan makro untuk mengunduh dan menginstal Trojan Emotet di komputer korban, yang kemudian digunakan untuk mencuri email dan menyebarkan malware lebih lanjut ke perangkat.

Secara historis, Emotet akan menginstal trojan TrickBot atau Qbot pada perangkat yang terinfeksi. Trojan ini pada akhirnya akan menyebarkan Cobalt Strike pada perangkat yang terinfeksi atau melakukan perilaku jahat lainnya.

Sekarang setelah muatan malware awal ini dilewati, pelaku ancaman akan memiliki akses langsung ke jaringan untuk menyebar secara lateral, mencuri data, dan menyebarkan ransomware dengan cepat.

Penyebaran cepat Cobalt Strike ini kemungkinan akan mempercepat penyebaran ransomware di jaringan yang disusupi. Hal ini terutama berlaku untuk geng ransomware Conti yang meyakinkan operator Emotet untuk kembali setelah mereka ditutup oleh penegak hukum pada bulan Januari.

Selengkapnya: Bleeping Computer

Peretas yang didukung negara semakin banyak menggunakan injeksi RTF untuk phishing

December 2, 2021 by Winnie the Pooh

Tiga grup peretas APT dari India, Rusia, dan China, diamati menggunakan teknik injeksi template RTF (rich text format) baru dalam kampanye phishing mereka.

Teknik ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh, dan analis ancaman menduga ini akan segera menjangkau audiens yang lebih luas dari pelaku ancaman.

Para peneliti di Proofpoint melihat kasus pertama injeksi weaponized template RTF pada Maret 2021, dan sejak itu, para aktor terus mengoptimalkan teknik tersebut.

File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, WordPad, dan aplikasi lain yang ditemukan di hampir semua sistem operasi.

Saat membuat file RTF, Anda dapat menyertakan Template RTF yang menentukan bagaimana teks dalam dokumen harus diformat. Template ini adalah file lokal yang diimpor ke RTF viewer sebelum menampilkan konten file untuk memformatnya dengan benar.

Sementara Template RTF dimaksudkan untuk dihosting secara lokal, pelaku ancaman sekarang menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL alih-alih sumber daya file lokal.

Substitusi ini memungkinkan pelaku ancaman untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word atau melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows. Selain itu, karena file-file ini ditransfer sebagai Template RTF, mereka lebih cenderung untuk melewati umpan deteksi phishing karena awalnya tidak ada dalam file RTF.

Proofpoint telah mengamati metode pengambilan muatan ini pada kampanye phishing oleh kelompok peretas pro-India, Tim DoNot, kelompok peretasan Gamaredon yang terkait dengan Rusia, dan aktor ancaman TA423.

Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Interpol Menangkap Lebih dari 1.000 Penjahat Siberdari 20 Negara; Menyita $27 Juta

December 2, 2021 by Winnie the Pooh

Operasi bersama selama empat bulan yang dikoordinasikan oleh Interpol, organisasi polisi kriminal internasional, telah mencapai puncaknya dengan penangkapan lebih dari 1.000 penjahat siber dan pengembalian dana ilegal sebesar $27 juta.

Dengan nama sandi “HAECHI-II,” tindakan keras itu memungkinkan unit penegak hukum dari seluruh 20 negara, serta Hong Kong dan Makau, menutup 1.660 kasus bersama dengan pemblokiran 2.350 rekening bank yang terkait dengan dana ilegal penipuan yang dikumpulkan dari berbagai kejahatan keuangan online, seperti penipuan asmara, penipuan investasi, dan pencucian uang yang terkait dengan perjudian online ilegal.

Negara peserta HAECHI-II antara lain Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep. of), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand , dan Vietnam.

“Hasil Operasi HAECHI-II menunjukkan bahwa lonjakan kejahatan keuangan online yang ditimbulkan oleh pandemi COVID-19 tidak menunjukkan tanda-tanda akan berkurang,” kata Sekretaris Jenderal Interpol Jürgen Stock dalam pernyataan pers yang dikeluarkan pada 26 November.

Penyelidikan penegakan hukum terkoordinasi berlangsung selama empat bulan, mulai dari Juni 2021 hingga September 2021, dengan sepuluh modus operandi kriminal baru diidentifikasi selama operasi.

Dalam satu contoh penipuan tentang bagaimana aktor ancaman dengan cepat memanfaatkan tren populer untuk eksploitasi oportunistik, Interpol juga mengatakan telah menemukan kampanye malware yang memanfaatkan acara Netflix Korea Selatan Squid Game untuk mendistribusikan trojan yang membuat korban berlangganan layanan premium berbayar tanpa persetujuan eksplisit mereka.

Penangkapan tersebut merupakan bagian dari proyek tiga tahun untuk mengatasi kejahatan keuangan berbasis dunia maya, dan mengikuti gelombang pertama dari operasi tersebut – dijuluki “HAECHI-I” – yang dilakukan antara September 2020 dan Maret 2021.

Selengkapnya: The Hacker News

Arsitektur zero-trust diharapkan dapat meningkatkan kemanjuran keamanan siber sebesar 144%

November 28, 2021 by Søren

Mendekati tahun 2022 dengan cepat, Symmetry Systems dan Osterman Research telah merilis laporan yang merinci bagaimana organisasi berencana untuk menerapkan arsitektur zero-trust, dengan 53% responden mengutip serangan ransomware profil tinggi sebagai motivator utama mereka.

Memasukkan prinsip-prinsip zero-trust ke dalam keamanan data modern memastikan tidak ada satu titik kegagalan pun saat sistem dilanggar. Prinsip zero-trust dapat memastikan bahwa meskipun penyerang mengetahui lokasi basis data/IP, nama pengguna, dan kata sandi, mereka tidak dapat menggunakan informasi tersebut untuk mengakses informasi istimewa yang diberikan kepada peran aplikasi tertentu, manajemen identitas dan akses (IAM), dan perimeter jaringan cloud .

Saat ini, kita hidup di lingkungan hybrid-cloud di mana pengguna, pengembang, vendor rantai pasokan, dan kontraktor mendapatkan data melalui web infrastruktur statis dan aplikasi cloud. Solusi kontrol lawas untuk data ini bergantung pada aturan IAM pengembang internal dan kebijakan otorisasi untuk layanan web yang dihadapi pelanggan.

Menurut laporan tersebut, arsitektur zero-trust diharapkan dapat meningkatkan kemanjuran perlindungan keamanan siber untuk menghentikan pelanggaran data sebesar 144%. Laporan ini juga menekankan pada pengamanan data pelanggan sebagai motivator lain di balik penerapan di seluruh perusahaan.

Sorotan utama lainnya dari responden termasuk hambatan yang dihadapi saat menerapkan arsitektur zero-trust, tingkat kepercayaan mereka terhadap perlindungan keamanan siber yang ada, sepuluh sumber data teratas yang membutuhkan perlindungan, dan total anggaran TI yang dialokasikan untuk inisiatif zero-trust menurut tahun.

Laporan ini merujuk data dari survei mendalam terhadap 125 pembuat keputusan TI dan keamanan di organisasi menengah dan besar, yang semuanya memiliki pengetahuan tentang bagaimana organisasi mereka menggunakan atau berencana untuk menggunakan arsitektur zero-trust, atau mengapa organisasi mereka sengaja dipilih untuk tidak melakukannya.

Selengkapnya: Venture Beat

Kampanye malware Discord menargetkan komunitas crypto dan NFT

November 26, 2021 by Winnie the Pooh

Kampanye malware baru di Discord menggunakan crypter Babadeda untuk menyembunyikan malware yang menargetkan komunitas crypto, NFT, dan DeFi.

Babadeda adalah crypter yang digunakan untuk mengenkripsi dan mengaburkan muatan berbahaya dalam installer atau program aplikasi yang tidak berbahaya.

Mulai Mei 2021, aktor ancaman telah mendistribusikan trojan akses jarak jauh yang dikaburkan oleh Babadeda sebagai aplikasi yang sah di channel Discord bertema kripto.

Karena obfuscation yang kompleks, ia memiliki tingkat deteksi AV yang sangat rendah, dan menurut para peneliti di Morphisec, tingkat infeksinya meningkat pesat.

Rantai pengiriman dimulai di channel Discord publik yang memiliki audiens yang berfokus pada kripto, seperti penurunan NFT baru atau diskusi mata uang kripto.

Pelaku ancaman memposting di channel ini atau mengirim pesan pribadi ke calon korban, mengundang mereka untuk mengunduh game atau aplikasi.

Dalam beberapa kasus, para aktor meniru proyek perangkat lunak blockchain yang ada seperti game “Tambang Dalarna”.

Jika pengguna tertipu dan mengklik URL yang disediakan, mereka akan berakhir di situs umpan yang menggunakan domain cybersquatted yang mudah dilewati sebagai domain asli.

Domain ini menggunakan sertifikat LetsEncrypt yang valid dan mendukung koneksi HTTPS, sehingga semakin sulit bagi pengguna yang ceroboh untuk menyadari bahwa ini adalah penipuan.

Malware diunduh setelah mengklik tombol “Mainkan Sekarang” atau “Unduh aplikasi” di situs yang sudah dibuat oleh penyerang, bersembunyi dalam bentuk file DLL dan EXE di dalam arsip yang sekilas tampak seperti folder aplikasi biasa.

Jika pengguna mencoba untuk menjalankan installer, mereka akan menerima pesan kesalahan palsu untuk menipu korban agar berpikir bahwa tidak ada yang terjadi.

Namun, di latar belakang, eksekusi malware berlanjut, membaca langkah-langkah dari file XML untuk mengeksekusi utas baru dan memuat DLL yang akan menerapkan persistence.

Selengkapnya: Bleeping Computer

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

November 25, 2021 by Winnie the Pooh

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

November 25, 2021 by Winnie the Pooh

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings