• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for MaaS

MaaS

Peretas Ransomware Black Basta Menyusup ke Jaringan melalui Qakbot untuk Menyebarkan Brute Rate C4

October 18, 2022 by Eevee

Pelaku ancaman di balik keluarga ransomware Black Basta telah diamati menggunakan trojan Qakbot untuk menyebarkan kerangka kerja Brute Ratel C4 sebagai payload tahap kedua dalam serangan baru-baru ini.

Perkembangan tersebut menandai pertama kalinya perangkat lunak simulasi musuh yang baru lahir dikirimkan melalui infeksi Qakbot.

Penyusupan, dicapai dengan menggunakan email phishing yang berisi tautan senjata yang menunjuk ke arsip ZIP, selanjutnya memerlukan penggunaan Cobalt Strike untuk gerakan lateral.

Sementara utilitas yang sah ini dirancang untuk melakukan aktivitas pengujian penetrasi, kemampuan mereka untuk menawarkan akses jarak jauh telah menjadikannya alat yang menguntungkan di tangan penyerang yang ingin menyelidiki secara diam-diam lingkungan yang disusupi tanpa menarik perhatian untuk waktu yang lama.

Ini telah diperparah oleh fakta bahwa versi Brute Ratel C4 yang telah di-crack mulai beredar bulan lalu di seluruh kejahatan dunia maya bawah tanah, mendorong pengembangnya untuk memperbarui algoritme lisensi agar lebih sulit untuk diretas.

Qakbot, juga disebut QBot dan QuackBot, adalah pencuri informasi dan trojan perbankan yang diketahui aktif sejak 2007. Namun desain modularnya dan kemampuannya untuk bertindak sebagai pengunduh telah mengubahnya menjadi kandidat yang menarik untuk menjatuhkan malware tambahan.

Menurut Trend Micro, file ZIP dalam email berisi file ISO, yang, pada gilirannya, mencakup file LNK yang mengambil muatan Qakbot, yang menggambarkan upaya sebagian pelaku ancaman untuk beradaptasi dengan taktik lain setelah keputusan Microsoft untuk blokir makro secara default untuk dokumen yang diunduh dari web.

Infeksi Qakbot digantikan oleh pengambilan Brute Ratel dan Cobalt Strike, tetapi tidak sebelum melakukan pengintaian otomatis melalui alat baris perintah bawaan seperti arp, ipconfig, nslookup, netstat, dan whoami.

Dalam rantai eksekusi Qakbot lain yang ditemukan oleh perusahaan keamanan siber, file ZIP dikirimkan melalui metode yang semakin populer yang disebut penyelundupan HTML, yang mengakibatkan eksekusi Brute Rate C4 sebagai tahap kedua.

Temuan ini bertepatan dengan kebangkitan serangan Qakbot dalam beberapa bulan terakhir melalui berbagai teknik seperti lampiran file HTML, pemuatan samping DLL, dan pembajakan utas email, yang terakhir melibatkan pengumpulan email secara massal dari serangan ProxyLogon yang sukses yang ditujukan untuk Microsoft. Server pertukaran.

Qakbot jauh dari satu-satunya malware access-as-a-service yang semakin didistribusikan melalui ISO dan format file lain untuk mengatasi pembatasan makro, karena kampanye Emotet, IcedID, dan Bumblebee semuanya mengikuti lintasan yang sama.

Palo Alto Networks Unit 42, pada akhir September 2022, mengatakan telah menemukan file polyglot berbahaya Microsoft Compiled HTML Help (CHM) yang digunakan untuk mengirimkan malware IcedID (alias BokBot).

Metode pengiriman dan jalur infeksi terkemuka lainnya telah melibatkan penggunaan file ZIP yang dilindungi kata sandi yang berisi file ISO, yang mencerminkan file Qakbot, dengan muatan yang disebarkan melalui layanan bayar per penginstal yang dikenal sebagai PrivateLoader, menurut Tim Cymru.

Dan, di atas semua itu, Emotet tampaknya bersiap untuk serangkaian serangan baru setelah jeda singkat selama tiga bulan untuk mengerjakan ulang modul “systeminfo” untuk “meningkatkan penargetan korban tertentu dan membedakan bot pelacak dari pengguna nyata,” ungkap ESET dalam serangkaian tweet.

Sumber: The Hackernews

Tagged With: Black Basta Ransomware, Brute Ratel, Cobalt Strike, MaaS, Qakbot, Qbot

Multitool Kriminal LilithBot Hadir Di Kancah Malware-as-a-service

October 11, 2022 by Winnie the Pooh

Kelompok ancaman yang berbasis di Rusia yang mendirikan toko distribusi malware awal tahun ini berada di belakang botnet yang dilengkapi dengan berbagai kemampuan jahat, mulai dari mencuri informasi hingga menambang cryptocurrency.

Itu menurut para peneliti di unit intelijen ancaman ThreatLabz Zscaler. Dikatakan grup Eternity – juga dikenal sebagai EternityTeam dan Eternity Project – menawarkan malware LilithBot multifungsi melalui grup Telegram khusus dan tautan Tor di mana penjahat dunia maya dapat memperoleh berbagai muatan melalui langganan.

Grup malware as a service (MaaS) telah aktif setidaknya sejak Januari, mendistribusikan berbagai modul di bawah merek Eternity yang – bersama dengan malware pencuri dan penambang – termasuk ransomware, bot distributed denial of service (DDoS), worm and dropper, dan clipper yang memalsukan alamat crypto di dompet, tulis para peneliti dalam sebuah laporan.

Beberapa kelompok ancaman beralih ke model as-a-service sebagai penghasil pendapatan utama mereka atau sebagai sumber pendapatan tambahan untuk melengkapi aktivitas jahat mereka yang lain. Tidak hanya mencakup MaaS tetapi juga ransomware dan access-as-a-service, di mana sebuah grup akan mendapatkan akses awal ke jaringan perusahaan dan kemudian menjual akses itu ke penjahat dunia maya lainnya.

Selengkapnya: The Register

Tagged With: Botnet, Cyber Security, Cyber Threat Actor, Eternity, Keamanan Siber, LilithBot, MaaS

Malware pencuri kata sandi Erbium menyebar sebagai game cracks

September 28, 2022 by Eevee

Malware pencuri informasi ‘Erbium’ baru sedang didistribusikan sebagai celah palsu dan cheat untuk video game populer untuk mencuri kredensial korban dan dompet cryptocurrency.

Erbium adalah Malware-as-a-Service (MaaS) baru yang memberi pelanggan malware pencuri informasi baru yang semakin populer di komunitas kejahatan dunia maya berkat fungsionalitasnya yang luas, dukungan pelanggan, dan harga yang kompetitif.

Para peneliti di tim Cluster25 adalah yang pertama melaporkan Erbium awal bulan ini, tetapi laporan baru oleh Cyfirma membagikan informasi lebih lanjut tentang bagaimana trojan pencuri kata sandi didistribusikan.

Erbium awalnya berharga $9 per minggu, tetapi karena popularitasnya meningkat pada akhir Agustus, harganya naik menjadi $100 per bulan atau $1000 untuk lisensi setahun penuh.

Seperti malware pencuri informasi lainnya, Erbium akan mencuri data yang disimpan di browser web (berbasis Chromium atau Gecko), seperti kata sandi, cookie, kartu kredit, dan informasi pengisian otomatis.

Malware ini juga mencoba untuk mengekstrak data dari sejumlah besar dompet cryptocurrency yang dipasang di browser web sebagai ekstensi.

Dompet cryptocurrency panas yang ditargetkan (Cyfirma)

Dompet desktop seperti Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, dan Jaxx juga dicuri.

Erbium juga mencuri kode otentikasi dua faktor dari Trezor Password Manager, EOS Authenticator, Authy 2FA, dan Authenticator 2FA.

Malware dapat mengambil tangkapan layar dari semua monitor, mengambil token Steam dan Discord, mencuri file auth Telegram, dan membuat profil host berdasarkan OS dan perangkat keras.

Semua data dieksfiltrasi ke C2 melalui sistem API bawaan, sementara operator mendapatkan gambaran umum tentang apa yang telah dicuri dari setiap host yang terinfeksi di dasbor Erbium, yang ditunjukkan di bawah ini.

Malware menggunakan tiga URL untuk terhubung ke panel, termasuk Jaringan Pengiriman Konten (CDN) Discord, sebuah platform yang sering disalahgunakan oleh operator malware.

Cluster25 melaporkan tanda-tanda infeksi Erbium di seluruh dunia, termasuk di Amerika Serikat, Prancis, Kolombia, Spanyol, Italia, India, Vietnam, dan Malaysia.

Sementara kampanye Erbium pertama menggunakan celah permainan sebagai umpan, saluran distribusi dapat terdiversifikasi secara signifikan kapan saja, karena pembeli malware dapat memilih untuk mendorongnya melalui metode yang berbeda.

Untuk menghindari ancaman dari sistem, hindari mengunduh perangkat lunak bajakan, pindai semua file yang diunduh pada alat AV, dan perbarui perangkat lunak Anda dengan menginstal patch keamanan terbaru yang tersedia.

Sumber: Bleeping Computer

Tagged With: cryptocurrency, Erbium, MaaS, Malware

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Winnie the Pooh

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

source: ZDNet

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Tagged With: Botnet, Cybersecurity, Emotet, MaaS, Malspam, Security, TrickBot

Penghapusan TrickBot Mengganggu Perangkat Kriminal Utama

October 14, 2020 by Winnie the Pooh

TrickBot dikenal karena menyebarkan malware lain, terutama ransomware. Microsoft mengatakan minggu ini bahwa Pengadilan Distrik Amerika Serikat untuk Distrik Timur Virginia mengabulkan permintaan pengadilan untuk menghentikan operasi TrickBot, yang dilakukan bersama dengan perusahaan lain, termasuk ESET, Lumen’s Black Lotus Labs, NTT Ltd., Symantec dan lainnya.

“Kami mengganggu TrickBot melalui perintah pengadilan yang kami peroleh, serta tindakan teknis yang kami lakukan dalam kemitraan dengan penyedia telekomunikasi di seluruh dunia,” tulis Tom Burt, wakil presiden perusahaan, Keamanan & Kepercayaan Pelanggan, di Microsoft, dalam posting hari Senin.

Menurut ESET, salah satu kunci penyelidikan adalah kenyataan bahwa arsitektur modular TrickBot menggunakan berbagai plugin untuk melakukan berbagai tindakan berbahaya.

Menariknya, permintaan Microsoft untuk persetujuan hukum bergantung pada klaim hak cipta terhadap TrickBot yang menggunakan kode perangkat lunaknya untuk tujuan berbahaya.

Ini adalah pertama kalinya raksasa komputasi menggunakan pendekatan ini, kata Burt, menambahkan bahwa taktik tersebut “memungkinkan kami mengambil tindakan sipil untuk melindungi pelanggan di sejumlah besar negara di seluruh dunia yang menerapkan undang-undang ini”.

TrickBot mungkin terganggu untuk saat ini, tetapi para peneliti menunjukkan bahwa operator memiliki proyek lain yang sedang berlangsung.

“Salah satu dari proyek ini adalah apa yang disebut proyek Anchor, sebuah platform yang sebagian besar ditujukan untuk spionase daripada crimeware,” menurut ESET.

Berita selengkapnya:
Source: The Threat Post

Tagged With: Cybersecurity, MaaS, Microsoft, Security, TrickBot

Microsoft menghentikan operasi peretasan besar-besaran yang dapat memengaruhi pemilu

October 13, 2020 by Winnie the Pooh

Microsoft telah mengganggu operasi peretasan besar-besaran yang dikatakannya secara tidak langsung dapat memengaruhi infrastruktur pemilu jika dibiarkan berlanjut.

Perusahaan itu mengatakan pada hari Senin bahwa mereka menghentikan server di belakang Trickbot, jaringan malware besar yang digunakan penjahat untuk meluncurkan serangan siber lainnya, termasuk serangkaian ransomware yang sangat kuat.

Microsoft mengatakan memperoleh perintah pengadilan federal untuk menonaktifkan alamat IP yang terkait dengan server Trickbot, dan bekerja dengan penyedia telekomunikasi di seluruh dunia untuk membasmi jaringan.

Trickbot mengizinkan peretas untuk menjual apa yang dikatakan Microsoft sebagai layanan kepada peretas lain – menawarkan mereka kemampuan untuk menyuntikkan komputer, router, dan perangkat lain yang rentan dengan malware lain.

Itu termasuk ransomware, yang telah diperingatkan oleh Microsoft dan pejabat AS dapat menimbulkan risiko bagi situs web yang menampilkan informasi pemilu atau vendor perangkat lunak pihak ketiga yang menyediakan layanan kepada pejabat pemilu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: CNN

Tagged With: Cybersecurity, MaaS, Malware, Microsoft, Security, TrickBot, US Election

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo