Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Emotet

Emotet

Emotet mulai menjatuhkan Cobalt Strike lagi untuk serangan yang lebih cepat

by

Tepat pada waktunya untuk liburan, malware Emotet yang terkenal sekali lagi secara langsung memasang beacon Cobalt Strike untuk serangan siber yang cepat.

Bagi mereka yang tidak akrab dengan Emotet, Emotet dianggap sebagai salah satu infeksi malware paling luas dan didistribusikan melalui email phishing yang menyertakan lampiran berbahaya.

Secara historis, setelah perangkat terinfeksi, Emotet akan mencuri email korban untuk digunakan dalam kampanye mendatang dan kemudian menjatuhkan muatan malware, seperti TrickBot dan Qbot.

Namun, awal bulan ini, Emotet mulai menguji pemasangan beacon Cobalt Strike pada perangkat yang terinfeksi alih-alih muatan reguler mereka.

Cobalt Strike adalah alat pentesting sah yang biasanya digunakan oleh pelaku ancaman untuk menyebar secara lateral melalui organisasi dan akhirnya menyebarkan ransomware di jaringan.

Joseph Roosen dari grup Cryptolaemus Emotet mengatakan kepada BleepingComputer bahwa Emotet sekarang mengunduh modul Cobalt Strike langsung dari server perintah dan kontrolnya dan kemudian menjalankannya di perangkat yang terinfeksi.

Dengan beacon Cobalt Strike yang dipasang langsung oleh Emotet, pelaku ancaman yang menggunakannya untuk menyebar secara lateral melalui jaringan, mencuri file, dan menyebarkan malware akan memiliki akses langsung ke jaringan yang disusupi.

Akses ini akan mempercepat proses serangan, dan dengan itu tepat sebelum liburan, Emotet dapat menyebabkan banyak pelanggaran karena perusahaan sekarang memiliki staf yang terbatas untuk memantau dan menanggapi serangan.

Selengkapnya: Bleeping Computer

Emotet sekarang menjatuhkan Cobalt Strike, mempercepat serangan ransomware

by

Dalam perkembangan yang mengkhawatirkan, malware Emotet yang terkenal sekarang menginstal beacon Cobalt Strike secara langsung, memberikan akses jaringan langsung ke pelaku ancaman dan membuat serangan ransomware segera diluncurkan. Temuan ini ditemukan oleh Kelompok riset Emotet Cryptolaemus.

Emotet adalah infeksi malware yang menyebar melalui email spam yang berisi dokumen Word atau Excel berbahaya. Dokumen-dokumen ini menggunakan makro untuk mengunduh dan menginstal Trojan Emotet di komputer korban, yang kemudian digunakan untuk mencuri email dan menyebarkan malware lebih lanjut ke perangkat.

Secara historis, Emotet akan menginstal trojan TrickBot atau Qbot pada perangkat yang terinfeksi. Trojan ini pada akhirnya akan menyebarkan Cobalt Strike pada perangkat yang terinfeksi atau melakukan perilaku jahat lainnya.

Sekarang setelah muatan malware awal ini dilewati, pelaku ancaman akan memiliki akses langsung ke jaringan untuk menyebar secara lateral, mencuri data, dan menyebarkan ransomware dengan cepat.

Penyebaran cepat Cobalt Strike ini kemungkinan akan mempercepat penyebaran ransomware di jaringan yang disusupi. Hal ini terutama berlaku untuk geng ransomware Conti yang meyakinkan operator Emotet untuk kembali setelah mereka ditutup oleh penegak hukum pada bulan Januari.

Selengkapnya: Bleeping Computer

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

by Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Berikut adalah kampanye spam Emotet baru yang menghantam kotak surat di seluruh dunia

by

Malware Emotet mulai beraksi kemarin setelah jeda sepuluh bulan dengan beberapa kampanye spam yang mengirimkan dokumen berbahaya ke kotak surat di seluruh dunia.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau JavaScript berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori menggunakan PowerShell.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti TrickBot atau Qbot yang biasanya menyebabkan infeksi ransomware.

Peneliti cybersecurity Brad Duncan menerbitkan SANS Handler Diary tentang bagaimana botnet Emotet mulai mengirim spam ke beberapa kampanye email untuk menginfeksi perangkat dengan malware Emotet.

Menurut Duncan, kampanye spam menggunakan email replay-chain untuk memikat penerima agar membuka file Word, Excel, dan file ZIP yang dilindungi kata sandi.

Email phishing rantai balasan adalah saat utas email yang sebelumnya dicuri digunakan dengan balasan palsu untuk mendistribusikan malware ke pengguna lain.

Saat Anda membuka lampiran Emotet, templat dokumen akan menyatakan bahwa pratinjau tidak tersedia dan Anda perlu mengeklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk melihat konten dengan benar.

Namun, setelah Anda mengklik tombol-tombol ini, makro jahat akan diaktifkan yang meluncurkan perintah PowerShell untuk mengunduh DLL pemuat Emotet dari situs WordPress yang disusupi dan menyimpannya ke folder C:\ProgramData.

Organisasi pemantau malware dan botnet Abuse.ch telah merilis daftar 245 server perintah dan kontrol yang dapat diblokir oleh firewall perimeter untuk mencegah komunikasi dengan server perintah dan kontrol.

Memblokir komunikasi ke C2 juga akan mencegah Emotet menjatuhkan muatan lebih lanjut pada perangkat yang disusupi.

Selengkapnya: Bleeping Computer

FBI membagikan 4 juta alamat email yang digunakan oleh Emotet dengan Have I Been Pwned

by

Jutaan alamat email yang dikumpulkan oleh botnet Emotet untuk kampanye distribusi malware telah dibagikan oleh Biro Investigasi Federal (FBI) sebagai bagian dari upaya badan tersebut untuk membersihkan komputer yang terinfeksi.

Individu dan pemilik domain sekarang dapat mengetahui apakah Emotet memengaruhi akun mereka dengan menelusuri database dengan alamat email yang dicuri oleh malware.

Untuk tujuan ini, agensi dan Unit Kejahatan Teknis Tinggi Nasional Belanda (NHTCU) membagikan 4.324.770 alamat email yang telah dicuri oleh Emotet dengan layanan pemberitahuan pelanggaran data Have I Been Pwned (HIBP).

Troy Hunt, pencipta layanan HIBP mengatakan bahwa 39% dari alamat email ini telah diindeks sebagai bagian dari insiden pelanggaran data lainnya.

Alamat email milik pengguna dari berbagai negara. Mereka berasal dari login yang disimpan di infrastruktur Emotet untuk mengirimkan email berbahaya atau telah diambil dari browser web pengguna.

Sumber: Bleeping Computer

Mengingat sifat sensitifnya, data Emotet tidak dapat ditelusuri secara publik. Pelanggan layanan yang terkena dampak pelanggaran Emotet telah diberi tahu, kata pencipta HIBP, Troy Hunt.

Mengacu pada proses verifikasi, Hunt mengatakan bahwa “individu perlu memverifikasi kontrol alamat melalui layanan notifikasi atau melakukan penelusuran domain untuk melihat apakah mereka terpengaruh”.

Selengkapnya: Bleeping Computer

Malware Emotet menghancurkan dirinya sendir dari semua komputer yang terinfeksi di seluruh dunia

by

Emotet, salah satu botnet spam email paling berbahaya dalam sejarah baru-baru ini, diuninstall pada tanggal 25 April, 2021 dari semua perangkat yang terinfeksi dengan bantuan modul malware yang dikirimkan pada bulan Januari oleh penegak hukum.

Penghapusan botnet adalah hasil dari tindakan penegakan hukum internasional yang memungkinkan penyelidik untuk mengambil kendali server Emotet dan mengganggu operasi malware.

Emotet digunakan oleh kelompok ancaman TA542 (alias Mummy Spider) untuk menyebarkan muatan malware tahap kedua, termasuk QBot dan Trickbot, ke komputer korbannya yang disusupi.

Serangan TA542 biasanya menyebabkan gangguan jaringan penuh dan penyebaran muatan ransomware pada semua sistem yang terinfeksi, termasuk ProLock atau Egregor oleh Qbot, serta Ryuk dan Conti oleh TrickBot.

Setelah operasi penghapusan, penegakan hukum mendorong konfigurasi baru ke infeksi Emotet aktif sehingga malware akan mulai menggunakan server perintah dan kontrol yang dikendalikan oleh Bundeskriminalamt, badan polisi federal Jerman.

Penegak hukum kemudian mendistribusikan modul Emotet baru dalam bentuk EmotetLoader.dll 32-bit ke semua sistem yang terinfeksi yang secara otomatis akan menghapus malware tersebut pada 25 April 2021.

Selengkapnya: Bleeping Computer

Polisi Belanda memposting peringatan ‘ramah’ di forum peretasan

by

Polisi Belanda telah memposting pesan “ramah” di dua forum peretasan terbesar saat ini yang memperingatkan penjahat siber bahwa “menjadi tuan rumah infrastruktur kriminal di Belanda adalah ‘lost cause’ (perkara yang pasti kalah).”

Pesan-pesan itu diposting setelah “Operasi Ladybird”, di mana lembaga penegak hukum di beberapa negara turun tangan untuk menjatuhkan Emotet, salah satu botnet terbesar saat ini.

Polisi Belanda mengungkapkan bahwa setelah penghapusan Emotet, petugasnya juga melanjutkan Raid dan XSS, dua forum peretasan yang dapat diakses publik dan sangat populer, dan memposting pesan untuk mencegah pelaku ancaman lainnya menyalahgunakan penyedia hosting Belanda untuk menjadi host botnet atau bentuk kejahatan siber lainnya.

Sumber: ZDNet

Tautan ke video YouTube juga disertakan, video yang diakhiri dengan pesan dari polisi Belanda yang mengatakan: “Semua orang membuat kesalahan. Kami menunggu kesalahan Anda.”

Pesan agresif tersebut bukanlah suatu kejutan, setidaknya bagi para pakar keamanan siber, yang sebagian besar sangat menyadari sikap agresif polisi Belanda.

Polisi Belanda saat ini juga berada di jantung operasi pencopotan massal untuk menghapus malware Emotet dari host yang terinfeksi, bersama dengan polisi Jerman.

Sumber: ZDNet