Malware

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

June 15, 2023 by Coffee Bean

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Penjahat Siber Menggunakan Mesin BatCloak yang Kuat untuk Membuat Malware Sepenuhnya Tidak Terdeteksi

June 13, 2023 by Flamango

Mesin obfuscation malware yang sepenuhnya tidak terdeteksi (FUD), BatCloak, digunakan untuk menyebarkan berbagai jenis malware sejak September 2022, sambil terus menghindari deteksi antivirus.

Mesin BatCloak membentuk inti dari alat pembuat file batch siap pakai yang disebut Jlaive, dengan kemampuan mem-bypass Antimalware Scan Interface (AMSI) serta mengompres dan mengenkripsi muatan utama untuk mencapai penghindaran keamanan yang lebih tinggi.

Peneliti Trend Micro mengatakan bahwa sampel memberikan kemampuan pada aktor ancaman untuk memuat banyak keluarga malware dan mengeksploitasi dengan mudah melalui file batch yang sangat disamarkan.

Sekitar 79,6% dari total 784 artefak yang digali tidak memiliki deteksi di semua solusi keamanan.

Alat open-source telah diiklankan sebagai “EXE to BAT crypter”. Sejak itu telah dikloning dan dimodifikasi oleh aktor lain dan dipindahkan ke bahasa seperti Rust.

Payload terakhir dienkapsulasi menggunakan tiga lapisan pemuat, yaitu pemuat C#, PowerShell, dan batch. Pemuat batch berisi pemuat PowerShell yang disamarkan dan biner rintisan C# terenkripsi.

Peneliti Peter Girnus dan Aliakbar Zahravi mengatakan bahwa pada akhirnya, Jlaive menggunakan BatCloak sebagai mesin kebingungan file untuk mengaburkan pemuat batch dan menyimpannya di disk.

BatCloak telah menerima banyak pembaruan dan adaptasi. ScrubCrypt, versi terbarunya yang pertama kali disorot oleh Fortinet FortiGuard Labs sehubungan dengan operasi cryptojacking yang dilakukan oleh 8220 Gang. ScrubCrypt dirancang agar dapat dioperasikan dengan berbagai keluarga malware terkenal.

ScrubCrypt dapat dikaitkan dengan pencapaian proyek seperti Jlaive, serta keinginan untuk memonetisasi proyek dan melindunginya terhadap replikasi yang tidak sah.

Para peneliti menyimpulkan bahwa evolusi BatCloak menggarisbawahi fleksibilitas dan kemampuan beradaptasi dari mesin ini dan menyoroti pengembangan obfuscator batch FUD, menunjukkan kehadiran teknik tersebut di lanskap ancaman modern.

Selengkapnya: The Hacker News

Evolusi Ancaman Teknologi Informasi Kuartal Pertama 2023

June 12, 2023 by Søren

Targeted Attacks

BlueNoroff memperkenalkan metode baru untuk bypass MotW

Pada akhir tahun 2022, peneliti melaporkan aktivitas BlueNoroff, aktor ancaman yang bermotivasi finansial dan dikenal mencuri mata uang kripto. Pelaku ancaman biasanya mengeksploitasi dokumen Word, menggunakan file shortcut untuk intrusi awal. Namun, baru-baru ini grup tersebut telah mengadopsi metode baru untuk mengirimkan malware-nya.
Salah satunya, yang dirancang untuk menghindari bendera Mark-of-the-Web (MotW), adalah penggunaan format file .ISO (optical disk image) dan .VHD (virtual hard disk). MotW adalah ukuran keamanan Windows — sistem menampilkan pesan peringatan saat seseorang mencoba membuka file yang diunduh dari internet.

Roaming Mantis menerapkan DNS changer baru

Peneliti juga terus melacak aktivitas Roaming Mantis (alias Shaoye), aktor ancaman mapan yang menargetkan negara-negara di Asia. Dari 2019 hingga 2022, pelaku ancaman ini terutama menggunakan ‘smishing’ untuk mengirim tautan ke laman landasnya, dengan tujuan mengendalikan perangkat Android yang terinfeksi dan mencuri informasi perangkat, termasuk kredensial pengguna.

Namun, pada September 2022, peneliti menganalisis malware Android Wroba.o baru, yang digunakan oleh Roaming Mantis, dan menemukan fungsi pengubah DNS yang diterapkan untuk menargetkan router Wi-Fi tertentu yang digunakan terutama di Korea Selatan.

BadMagic: APT baru yang berhubungan dengan konflik Russia-Ukraina

Sejak awal konflik Rusia-Ukraina, peneliti telah mengidentifikasi sejumlah besar serangan dunia maya geo-politik, sebagaimana diuraikan dalam ikhtisar kami tentang serangan dunia maya yang terkait dengan konflik tersebut.

Oktober lalu, peneliti mengidentifikasi infeksi aktif organisasi pemerintah, pertanian, dan transportasi yang berlokasi di Donetsk, Lugansk, dan Krimea. Vektor awal kompromi tidak jelas, tetapi detail tahap selanjutnya menyiratkan penggunaan spear-phishing atau yang serupa. Target menavigasi ke URL yang mengarah ke arsip ZIP yang dihosting di server web berbahaya. Arsip ini berisi dua file: dokumen umpan (peneliti menemukan versi PDF, XLSX, dan DOCX) dan file LNK berbahaya dengan ekstensi ganda (mis. PDF.LNK) yang, ketika dibuka, menyebabkan infeksi.

Malware

Prilex menargetkan transaksi contactless pada credit card

Prilex telah berevolusi dari malware yang berfokus pada ATM menjadi ancaman PoS tercanggih yang pernah kami lihat sejauh ini. Pelaku ancaman melampaui pengikis memori lama yang terlihat dalam serangan PoS, hingga malware yang sangat canggih yang menyertakan skema kriptografi unik, penambalan perangkat lunak target secara real-time, memaksa penurunan versi protokol, memanipulasi kriptogram, melakukan apa yang disebut “transaksi GHOST” dan kredit penipuan kartu — bahkan pada kartu chip-dan-PIN.

Saat menyelidiki suatu insiden, kami menemukan sampel Prilex baru, dan salah satu fitur baru mencakup kemampuan untuk memblokir transaksi nirsentuh. Transaksi ini menghasilkan pengidentifikasi unik yang valid hanya untuk satu transaksi, menjadikannya tidak berharga bagi penjahat dunia maya. Dengan memblokir transaksi, Prilex mencoba memaksa pelanggan memasukkan kartu mereka untuk melakukan transaksi chip-dan-PIN, memungkinkan penjahat dunia maya untuk mengambil data dari kartu menggunakan teknik standar mereka.

Mencuri cryptocurrency menggunakan Tor browser palsu

Kami baru-baru ini menemukan kampanye pencurian mata uang kripto yang sedang berlangsung yang memengaruhi lebih dari 15.000 pengguna di 52 negara. Para penyerang menggunakan teknik yang telah ada selama lebih dari satu dekade dan awalnya digunakan oleh Trojan perbankan untuk mengganti nomor rekening bank. Namun, dalam kampanye baru-baru ini, penyerang menggunakan Tor Browser versi Trojan untuk mencuri mata uang kripto.

Target mengunduh Tor Browser versi Trojan dari sumber daya pihak ketiga yang berisi arsip RAR yang dilindungi kata sandi — kata sandi digunakan untuk mencegahnya terdeteksi oleh solusi keamanan. Setelah file dijatuhkan ke komputer target, ia mendaftarkan dirinya sendiri di mulai otomatis sistem dan menyamar sebagai ikon untuk aplikasi populer, seperti uTorrent.

Malvertising menggunakan search engine

Dalam beberapa bulan terakhir, kami mengamati peningkatan jumlah kampanye berbahaya yang menggunakan Iklan Google sebagai sarana untuk mendistribusikan dan mengirimkan malware. Setidaknya dua pencuri berbeda, Rhadamanthys dan RedLine, menyalahgunakan rencana promosi mesin pencari untuk mengirimkan muatan berbahaya ke komputer korban.

Mereka tampaknya menggunakan teknik yang sama untuk meniru situs web yang terkait dengan perangkat lunak terkenal, seperti Notepad ++ dan Blender 3D. Pelaku ancaman membuat salinan situs web perangkat lunak yang sah dan menggunakan “typosquatting” (menggunakan merek atau nama perusahaan yang dieja salah sebagai URL) atau “combosquatting” (seperti di atas, tetapi menambahkan kata acak sebagai URL) untuk membuat situs terlihat sah. Mereka kemudian membayar untuk mempromosikan situs di mesin pencari untuk mendorongnya ke bagian atas hasil pencarian — sebuah teknik yang dikenal sebagai “malvertising”.

Selengkapnya: Secure List

Asylum Ambuscade: Grup Cybercrime dengan Ambisi Spionase

June 10, 2023 by Søren

Kelompok ancaman yang dikenal dengan nama Asylum Ambuscade telah terlihat dalam operasi cybercrime dan cyber espionage sejak awal 2020.

“Mereka adalah kelompok crimeware yang menargetkan pelanggan bank dan pedagang cryptocurrency di berbagai wilayah, termasuk Amerika Utara dan Eropa,” kata ESET dalam analisis yang diterbitkan pada hari Kamis. “Asylum Ambuscade juga melakukan spionase terhadap entitas pemerintah di Eropa dan Asia Tengah.”

Asylum Ambuscade pertama kali didokumentasikan oleh Proofpoint pada Maret 2022 sebagai kampanye phishing yang disponsori oleh negara yang menargetkan entitas pemerintah Eropa dalam upaya untuk memperoleh intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.

Tujuan para penyerang, menurut perusahaan keamanan Siber Slovakia, adalah untuk mencuri informasi rahasia dan kredensial email web dari portal email resmi pemerintah.

Serangan ini dimulai dengan email spear-phishing yang membawa lampiran spreadsheet Excel berbahaya yang, ketika dibuka, akan mengeksploitasi kode VBA atau kerentanan Follina (CVE-2022-30190) untuk mengunduh paket MSI dari server jarak jauh.

Kemudian, installer menggunakan downloader yang ditulis dalam Lua yang disebut SunSeed (atau versi Visual Basic Script) untuk mengunduh malware berbasis AutoHotkey yang dikenal sebagai AHK Bot dari server jarak jauh.

Yang mencolok tentang Asylum Ambuscade adalah aksi kejahatan siber mereka yang telah menyerang lebih dari 4.500 korban di seluruh dunia sejak Januari 2022, dengan sebagian besar dari mereka berlokasi di Amerika Utara, Asia, Afrika, Eropa, dan Amerika Selatan.

Rantai kompromi ini mengikuti pola yang serupa kecuali vektor intrusi awalnya, yang melibatkan penggunaan iklan Google palsu atau sistem traffic direction system (TDS) untuk mengarahkan korban potensial ke situs web palsu yang mengirimkan file JavaScript berisi malware.

Serangan ini juga menggunakan versi Node.js dari AHK Bot yang diberi nama kode NODEBOT yang kemudian digunakan untuk mengunduh plugin yang bertanggung jawab atas pengambilan tangkapan layar, pencurian kata sandi, pengumpulan informasi sistem, dan instalasi trojan dan stealer tambahan.

Serangan ini menunjukkan bahwa para pelaku ancaman terus mengembangkan metode dan alat untuk mencapai tujuan jahat mereka. Penting bagi pengguna komputer dan internet untuk selalu waspada terhadap tautan yang mencurigakan, iklan palsu, dan situs web yang tidak dikenal.

Selain itu, penting juga untuk memperbarui perangkat lunak dan sistem keamanan secara teratur serta menggunakan solusi keamanan yang andal untuk melindungi diri dari serangan siber. Kesadaran akan teknik-teknik serangan dan kebijakan keamanan yang kuat adalah langkah-langkah yang krusial dalam menghadapi ancaman siber saat ini.

Selengkapnya: The Hacker News

Kaspersky mengatakan Malware Zero-Day baru Menyerang iPhone

June 5, 2023 by Søren

Perusahaan keamanan Siber yang berbasis di Moskow, Kaspersky, telah menjadi sorotan selama bertahun-tahun dengan mengungkap serangan peretasan yang canggih oleh mata-mata siber yang didukung negara, baik dari Rusia maupun Barat. Kini, perusahaan ini mengungkapkan kampanye infiltrasi baru yang sangat rahasia, di mana Kaspersky sendiri menjadi target.

Dalam laporan yang diterbitkan hari ini, Kaspersky mengatakan bahwa pada awal tahun ini, mereka mendeteksi serangan terarah terhadap sekelompok iPhone setelah menganalisis lalu lintas jaringan korporat perusahaan mereka sendiri.

Kampanye ini, yang para peneliti sebut sebagai Operasi Triangulasi dan dikatakan “sedang berlangsung,” tampaknya bermula sejak tahun 2019 dan memanfaatkan beberapa kerentanan dalam sistem operasi mobile Apple, iOS, untuk memungkinkan para penyerang mengambil alih perangkat korban.

Kaspersky mengatakan bahwa rantai serangan ini menggunakan eksploitasi “zero-click” untuk mengompromikan perangkat target dengan cukup mengirimkan pesan yang dirancang khusus ke korban melalui layanan iMessage Apple.

Korban menerima pesan tersebut, yang menyertakan lampiran berbahaya, dan eksploitasi akan dimulai baik korban membuka pesan dan memeriksa lampiran tersebut atau tidak.

Kemudian, serangan tersebut akan menggabungkan beberapa kerentanan untuk memberikan akses yang lebih dalam kepada para peretas ke perangkat target.

Dan payload perangkat lunak berbahaya akhir akan diunduh secara otomatis ke perangkat korban sebelum pesan dan lampiran berbahaya asli dihapus sendiri.

Kaspersky mengatakan bahwa malware yang mereka temukan tidak dapat bertahan di perangkat setelah direstart, namun para peneliti mengatakan mereka melihat bukti adanya infeksi ulang dalam beberapa kasus.

Kerentanan yang digunakan dalam rangkaian eksploitasi masih belum jelas, meskipun Kaspersky mengatakan bahwa salah satu kerentanan kemungkinan adalah kerentanan ekstensi kernel CVE-2022-46690 yang diperbaiki oleh Apple pada bulan Desember.

Selengkapnya: WIRED

Operasi Baru Dari Horabot Mengambil Alih Akun Gmail & Outlook Korban

June 3, 2023 by Søren

Operasi Horabot yang baru ini ditemukan oleh para analis di Cisco Talos, yang melaporkan bahwa pelaku ancaman di baliknya kemungkinan berbasis di Brasil.

Rantai infeksi dengan beberapa tahap dimulai dengan email phishing berisi tema pajak yang dikirim kepada target, dengan lampiran HTML yang seolah-olah merupakan tanda terima pembayaran.

Membuka file HTML tersebut akan memicu rangkaian pengalihan URL yang mengarahkan korban ke halaman HTML yang dihosting pada instansi AWS yang dikendalikan oleh penyerang.

Korban mengklik hyperlink pada halaman tersebut dan mengunduh sebuah arsip RAR yang berisi file batch dengan ekstensi CMD, yang kemudian mengunduh sebuah skrip PowerShell yang mengambil DLL trojan dan serangkaian file eksekusi yang sah dari server C2.

Trojan-trojan ini dijalankan untuk mengambil dua payload terakhir dari server C2 yang berbeda. Salah satunya adalah skrip pengunduh PowerShell, dan yang lainnya adalah binary Horabot.

Function to extract email addresses (Cisco)

Payload utama yang dijatuhkan ke sistem korban adalah Horabot, sebuah botnet berbasis PowerShell yang terdokumentasi dan mengincar kotak surat Outlook korban untuk mencuri kontak dan menyebarkan email phishing yang berisi lampiran HTML berbahaya.

Malware ini menjalankan aplikasi desktop Outlook korban untuk memeriksa buku alamat dan kontak dari isi inbox.

Semua alamat email yang diekstraksi ditulis ke dalam file “.Outlook” dan kemudian dienkripsi dan dieksfiltrasi ke server C2.

Terakhir, malware ini membuat sebuah file HTML secara lokal, mengisinya dengan konten yang disalin dari sumber eksternal, dan mengirimkan email phishing ke semua alamat email yang diekstraksi secara individu.

Setelah proses distribusi email phishing selesai, file dan folder yang dibuat secara lokal dihapus untuk menghapus jejak-jejak yang ada.

Selengkapnya: Bleeping Computer

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

May 29, 2023 by Flamango

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Malware Legion memperluas cakupan untuk menargetkan alat pemantauan AWS CloudWatch

May 26, 2023 by Coffee Bean Leave a Comment

Pembaruan terbaru Legion, terutama penargetan AWS CloudWatch, mewakili evolusi yang mengkhawatirkan dalam kemampuan alat peretasan ini, kata Ani Chaudhuri, CEO Dasera. Chaudhuri mengatakan perkembangan ini menandakan perluasan cakupan penjahat dunia maya: mereka memanfaatkan server web yang salah konfigurasi untuk mencuri kredensial dan memperluas jangkauan mereka untuk memanipulasi layanan cloud.

Chaudhuri menjelaskan bahwa AWS CloudWatch beroperasi sebagai layanan pemantauan untuk sumber daya dan aplikasi cloud. Jika peretas mendapatkan akses tidak sah ke sana, mereka dapat mengganggu wawasan operasional, berpotensi menyebabkan gangguan yang signifikan atau bahkan pelanggaran.

Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, menambahkan bahwa saat organisasi memindahkan aplikasi dan sistem lama ke infrastruktur cloud, mereka masih berjuang dengan kesalahan konfigurasi yang mengekspos lingkungan cloud, menjadikan mereka sasaran empuk bagi penjahat dunia maya.

selengkapnya : scmagazine.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings