Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Malware LodaRAT Muncul Kembali dengan Varian Baru Menggunakan Fungsionalitas yang Diperbarui

by

Malware LodaRAT telah muncul kembali dengan varian baru yang digunakan bersama dengan malware canggih lainnya, seperti RedLine Stealer dan Neshta.

“Kemudahan akses ke kode sumbernya menjadikan LodaRAT alat yang menarik bagi setiap pelaku ancaman yang tertarik dengan kemampuannya,” kata peneliti Cisco Talos, Chris Neal dalam sebuah artikel yang diterbitkan Kamis.

Selain dijatuhkan bersama keluarga malware lainnya, LodaRAT juga telah diamati dikirim melalui varian yang sebelumnya tidak diketahui dari trojan komoditas lain yang disebut Venom RAT, yang telah diberi nama kode S500.

Malware berbasis AutoIT, LodaRAT (alias Nymeria) dikaitkan dengan kelompok bernama Kasablanca dan mampu mengumpulkan informasi sensitif dari mesin yang disusupi.

Pada Februari 2021, versi Android dari malware muncul sebagai cara bagi pelaku ancaman untuk memperluas permukaan serangan mereka. Kemudian pada September 2022, Zscaler ThreatLabz menemukan mekanisme pengiriman baru yang melibatkan penggunaan pencuri informasi yang dijuluki Prynt Stealer.

Temuan terbaru dari Cisco Talos mendokumentasikan varian LodaRAT yang telah diubah yang telah terdeteksi di alam liar dengan fungsionalitas yang diperbarui, terutama memungkinkannya berkembang biak ke setiap perangkat penyimpanan lepasan yang terpasang dan mendeteksi proses antivirus yang sedang berjalan.

Selengkapnya: The Hacker News

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

by

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

dekripsi rutin chunk (kapersky)

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Ukraina Mengatakan Peretas Rusia Menggunakan Ransomware Somnia Baru

by

Peretas Rusia telah menginfeksi banyak organisasi di Ukraina dengan jenis ransomware baru yang disebut ‘Somnia’, yang mengenkripsi sistem mereka dan menyebabkan masalah operasional.

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengonfirmasi wabah tersebut melalui pengumuman di portalnya, menghubungkan serangan tersebut dengan ‘From Russia with Love’ (FRwL), juga dikenal sebagai ‘Z-Team,’ yang mereka lacak sebagai UAC-0118.

Detail serangan FRwL

Situs web palsu yang untuk menjatuhkan Vidar Stealer (CERT-UA)

penginstal menginfeksi sistem dengan pencuri Vidar, yang mencuri data sesi Telegram korban untuk mengambil kendali akun mereka.

Selanjutnya, CERT-UA mengatakan bahwa pelaku ancaman menyalahgunakan akun Telegram korban dengan cara yang tidak ditentukan untuk mencuri data koneksi VPN (otentikasi dan sertifikat).

Jika akun VPN tidak dilindungi oleh otentikasi dua faktor, peretas menggunakannya untuk mendapatkan akses tidak sah ke jaringan perusahaan majikan korban.

Selanjutnya, penyusup menyebarkan suar Cobalt Strike, mengekstrak data, dan menggunakan Netscan, Rclone, Anydesk, dan Ngrok, untuk melakukan berbagai aktivitas pengawasan dan akses jarak jauh.

CERT-UA melaporkan bahwa sejak musim semi 2022, dengan bantuan broker akses awal, FRwL telah melakukan beberapa serangan terhadap komputer milik organisasi Ukraina.

Jenis file (ekstensi) yang ditargetkan oleh ransomware Somnia ditunjukkan di bawah ini, termasuk dokumen, gambar, database, arsip, file video, dan lainnya, yang mencerminkan kehancuran yang ingin ditimbulkan oleh ketegangan ini.

Jenis file yang dienkripsi oleh ransomware Somnia (CERT-UA)

Somnia tidak meminta korban untuk membayar uang tebusan sebagai ganti dekripsi yang berfungsi, karena operatornya lebih tertarik mengganggu operasi target daripada menghasilkan pendapatan.

Oleh karena itu, malware ini harus dianggap sebagai penghapus data daripada serangan ransomware tradisional.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

by

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

by

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Rantai infeksi lengkap Worok

Menyembunyikan muatan dalam PNG

LSB pada piksel gambar

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

  • Jalankan “cmd /c” dengan parameter yang diberikan
  • Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
  • Unduh data dari DropBox ke perangkat
  • Unggah data dari perangkat ke DropBox
  • Hapus data di sistem korban
  • Ganti nama data pada sistem korbaN
  • Exfiltrate info file dari direktori yang ditentukan
  • Tetapkan direktori baru untuk pintu belakang
  • Exfiltrat informasi sistem
  • Perbarui konfigurasi pintu belakang

    • Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

    sumber : bleeping computer

Phishing Menjatuhkan Malware IceXLoader di Ribuan Perangkat Rumah dan Perusahaan

by Leave a Comment

Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.

Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’

rantai pengiriman saat ini

Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.

Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\\AppData\Local\Temp” dan meninggalkan executable tahap berikutnya, ‘STOREM~2.exe.’

Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.

executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.

Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.

Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.

Rantai infeksi IceXLoader lengkap
(Minerva Labs)

IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”

Perintah yang didukung oleh loader adalah sebagai berikut:

  • stop execution
  • collect system info and exfiltrate to C2
  • display dialog box with specified message
  • restart icexloader
  • Send GET request to download a file and open it with “cmd/ C”
  • Send GET request to download an executable to run it from memory
  • Load and execute a .NET assembly
  • Change C2 server beaconing interval
  • Update IceXLoader
  • Remove all copies from the disk and stop running

Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.

sumber : bleeping computer

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

by

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer