Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Peretas yang didukung negara melanggar perusahaan telekomunikasi dengan malware khusus

by

Aktor yang disponsori negara yang sebelumnya tidak dikenal sedang menyebarkan perangkat baru dalam serangan yang menargetkan penyedia telekomunikasi dan perusahaan TI di Asia Selatan.

Tujuan kelompok tersebut — dilacak sebagai Harvester oleh para peneliti di Symantec yang menemukannya — adalah untuk mengumpulkan intelijen dalam kampanye spionase yang sangat bertarget yang berfokus pada TI, telekomunikasi, dan entitas pemerintah.

Alat berbahaya Harvester belum pernah ditemukan di alam liar sebelumnya, menunjukkan bahwa ini adalah aktor ancaman tanpa koneksi ke musuh yang diketahui.

Berikut ringkasan alat yang digunakan oleh operator Harvester dalam serangan mereka:

  • Backdoor.Graphon – pintu belakang khusus yang menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Downloader – menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Screenshotter – secara berkala mencatat tangkapan layar ke file
  • Cobalt Strike Beacon – menggunakan infrastruktur CloudFront untuk aktivitas C&C-nya (Cobalt Strike adalah alat siap pakai yang dapat digunakan untuk menjalankan perintah, menyuntikkan proses lain, meningkatkan proses saat ini, atau meniru proses lain, serta mengunggah dan mengunduh file)
  • Metasploit – kerangka kerja modular siap pakai yang dapat digunakan untuk berbagai tujuan jahat pada mesin korban, termasuk eskalasi hak istimewa, tangkapan layar, untuk menyiapkan pintu belakang persisten, dan banyak lagi.

Sementara analis Symantec tidak dapat mengetahui vektor infeksi awal, ada beberapa bukti bahwa URL jahat digunakan untuk tujuan itu.

Graphon memberi aktor akses jarak jauh ke jaringan dan menyamarkan kehadirannya dengan memadukan aktivitas komunikasi perintah-dan-kontrol (C2) dengan lalu lintas jaringan yang sah dari CloudFront dan infrastruktur Microsoft.

Poin menarik ditemukan dalam cara custom downloader bekerja, membuat file yang diperlukan pada sistem, menambahkan nilai registri untuk titik muat baru, dan akhirnya membuka browser web tertanam di hxxps://usedust[.]com.

Symantec memperingatkan bahwa Harvester masih aktif di luar sana, kebanyakan menargetkan organisasi di Afghanistan saat ini.

Selengkapnya: Bleeping Computer

Geng TrickBot Memasuki Cybercrime Elite dengan Afiliasi Baru

by

Penjahat dunia maya di balik trojan TrickBot yang terkenal telah menandatangani dua afiliasi distribusi tambahan, dijuluki Hive0106 (alias TA551) dan Hive0107 oleh IBM X-Force. Hasilnya? Meningkatnya serangan ransomware pada perusahaan, terutama menggunakan ransomware Conti.

Perkembangan ini juga berbicara tentang peningkatan kecanggihan geng TrickBot dan berdiri di bawah tanah kejahatan dunia maya, peneliti IBM mengatakan: “Perkembangan terbaru ini menunjukkan kekuatan koneksinya dalam ekosistem kejahatan dunia maya dan kemampuannya untuk memanfaatkan hubungan ini untuk memperluas jumlah organisasi yang terinfeksi. malware-nya.”

Malware TrickBot mulai hidup sebagai trojan perbankan pada tahun 2016, tetapi dengan cepat berkembang menjadi ancaman layanan penuh modular. TrickBot mampu melakukan berbagai fungsi pintu belakang dan pencurian data, dapat memberikan muatan tambahan, dan memiliki kemampuan untuk bergerak cepat secara lateral di seluruh perusahaan.

Untuk mengurangi kemungkinan menderita kerusakan besar akibat infeksi (atau serangan ransomware lanjutan), IBM merekomendasikan untuk mengambil langkah-langkah berikut:

  • Pastikan Anda memiliki redundansi cadangan, disimpan secara terpisah dari zona jaringan yang dapat diakses penyerang dengan akses hanya baca. Ketersediaan cadangan yang efektif merupakan pembeda yang signifikan bagi organisasi dan dapat mendukung pemulihan dari serangan ransomware.
  • Terapkan strategi untuk mencegah pencurian data yang tidak sah, terutama yang berlaku untuk mengunggah data dalam jumlah besar ke platform penyimpanan cloud yang sah yang dapat disalahgunakan oleh penyerang.
  • Gunakan analitik perilaku pengguna untuk mengidentifikasi potensi insiden keamanan. Saat terpicu, anggap telah terjadi pelanggaran. Audit, pantau, dan lakukan tindakan cepat atas dugaan penyalahgunaan yang terkait dengan akun dan grup istimewa.
  • Gunakan otentikasi multi-faktor pada semua titik akses jarak jauh ke dalam jaringan perusahaan.
  • Amankan atau nonaktifkan remote desktop protocol (RDP). Beberapa serangan ransomware telah diketahui mengeksploitasi akses RDP yang lemah untuk mendapatkan entri awal ke dalam jaringan.

Selengkapnya: Threat Post

Mantan Analis Keamanan Microsoft Mengklaim Office 365 Sengaja Menghosting Malware Selama Bertahun-tahun

by

Pada hari Jumat, peneliti keamanan siber TheAnalyst menjelaskan di Twitter bagaimana malware BazarLoader mengarah ke ransomware yang dapat sangat memengaruhi industri kesehatan, di antara industri lainnya.

Dia kemudian memanggil Microsoft, menanyakan apakah perusahaan memiliki “tanggung jawab dalam hal ini ketika mereka TAHU bahwa mereka meng-hosting ratusan file yang mengarah ke hal ini,” di samping hal yang tampaknya menjadi file berbahaya yang di-host di OneDrive.

Untuk mendukung ini, mantan analis keamanan Microsoft Kevin Beaumont menjawab, mengatakan bahwa Microsoft tidak dapat menyebut dirinya sebagai pemimpin keamanan karena penyalahgunaan Office365 dan OneDrive terjadi selama bertahun-tahun.

Dia melanjutkan, menjelaskan bahwa menghapus sesuatu dari OneDrive adalah proses mimpi buruk dengan waktu reaksi yang agak lambat, menjadikan Microsoft “hoster malware terbaik di dunia selama sekitar satu dekade, karena O365.”

Namun, ini bukan masalah eksklusif Microsoft atau masalah baru, karena kita juga telah melihat malware yang dihosting di platform lain di masa lalu.

Menurut penelitian oleh Bern University of Applied Sciences, Google dan Cloudflare saat ini berada di antara jaringan hosting malware online teratas. Dengan demikian, seluruh industri teknologi harus lebih baik dalam menemukan konten berbahaya yang dihosting di servernya sebelum mencari masalah di tempat lain.

Bagaimanapun, semoga, insiden ini akan mendorong Microsoft untuk mengambil tindakan tegas yang dapat membantu melindungi jutaan orang dan ribuan organisasi dari serangan malware.

Sumber: Hot Hardware

Malware BlackByte yang ‘Kikuk’ Menggunakan Kembali Kunci Crypto, Worms Ke Jaringan

by

Ransomware baru yang dijuluki BlackByte memiliki semua keunggulan dari upaya pengembangan pertama oleh pengembang malware amatir, membuat kesalahan signifikan — seperti mengaburkan kode dengan cara yang mudah dilewati dan menggunakan kunci enkripsi yang sama untuk setiap korban.

Malware ini memiliki beberapa kesamaan dengan ransomware lain yang terkait dengan Rusia, seperti menghindari sistem berbahasa Rusia dengan cara yang sama seperti REvil dan menggunakan eksploitasi jaringan untuk menyebar di dalam jaringan dengan cara yang sama seperti Ryuk, menurut para peneliti di Trustwave, yang menerbitkan analisis mereka. varian minggu ini.

Para peneliti, yang menemukan program jahat ketika menanggapi insiden keamanan, juga menemukan bahwa program tersebut menggunakan kunci enkripsi simetris yang diunduh dari server publik. Itu memungkinkan mereka untuk membuat utilitas dekripsi untuk membantu korban memulihkan data mereka.

Pilihan desain yang buruk itu menunjukkan bahwa ransomware bukanlah varian dari keluarga ransomware sebelumnya dan bahwa para pengembang relatif tidak berpengalaman dalam merancang ransomware, kata Karl Sigler, manajer riset keamanan senior di Trustwave.

“Sepertinya mereka menulis ini dari awal,” katanya. “Tapi itu kikuk. Ini sangat kikuk.”

Pertumbuhan serangan ransomware mungkin telah meyakinkan para pengembang di balik BlackByte untuk membuat kerangka kerja malware mereka sendiri, kata Sigler dari Trustwave.

Selengkapnya: Dark Reading

Malware FontOnLake menginfeksi sistem Linux melalui utilitas trojan

by

Keluarga malware yang baru saja ditemukan telah menginfeksi sistem Linux yang bersembunyi di dalam binari yang sah. Dijuluki FontOnLake, malware ini memberikan komponen backdoor dan rootkit.

Malware ini memiliki prevalensi rendah di alam liar dan mendapat manfaat dari desain canggih yang memungkinkannya mempertahankan persistensi yang diperpanjang pada sistem yang terinfeksi.

FontOnLake memiliki beberapa modul yang berinteraksi satu sama lain dan memungkinkan komunikasi dengan operator malware, mencuri data sensitif, dan tetap tersembunyi di sistem.

Para peneliti di ESET menemukan beberapa sampel malware yang diunggah ke layanan pemindaian VirusTotal sepanjang tahun lalu, yang pertama muncul pada Mei 2020.

Ditandai dengan desain tersembunyi dan canggih, FontOnLake kemungkinan digunakan dalam serangan yang ditargetkan oleh operator yang cukup berhati-hati untuk menggunakan server perintah dan kontrol (C2) yang unik untuk “hampir semua sampel” dan berbagai port non-standar.

Di antara utilitas Linux yang diubah oleh aktor ancaman untuk mengirimkan FontOnLake adalah:

  • cat – digunakan untuk mencetak konten file
  • kill – daftar semua proses yang berjalan
  • sftp – secure FTP utility
  • sshd – the OpenSSH server process

Menurut para peneliti, utilitas trojan kemungkinan dimodifikasi pada tingkat kode sumber, menunjukkan bahwa aktor ancaman mengkompilasinya dan menggantikan yang asli.

Selain membawa malware, peran binari yang dimodifikasi ini adalah memuat muatan tambahan, mengumpulkan informasi, atau melakukan tindakan jahat lainnya.

Para peneliti menemukan tiga pintu belakang khusus yang ditulis dalam C++ yang terkait dengan keluarga malware FontOnLake, yang memberikan akses jarak jauh kepada operator ke sistem yang terinfeksi.

ESET mengatakan bahwa FontOnLake mungkin merupakan malware yang sama yang sebelumnya dianalisis oleh para peneliti di Tencent Security Response Center, yang mengaitkannya dengan insiden ancaman persisten tingkat lanjut.

Selengkapnya: Bleeping Computer

Malware Bootkit “ESPecter” Menghantui Korban dengan Spionase Persisten

by

Bootkit berbahaya baru, yang oleh para peneliti di ESET dinamai ESPecter, ditempatkan di bagian EFI System Partition (ESP) dari teknologi yang disematkan. ESP berisi boot loader atau image kernel yang digunakan UEFI untuk memulai OS yang diinstal dan berbagai utilitas pada saat proses boot.

“Penyerang [dengan demikian] mencapai eksekusi pada tahap awal proses boot sistem, sebelum sistem operasi dimuat penuh,” menurut analisis ESPecter ESET, yang dikeluarkan Selasa (5/10/2021). “Ini memungkinkan ESPecter untuk mem-bypass Windows Driver Signature Enforcement (DSE) untuk menjalankan drivernya sendiri yang tidak ditandatangani saat startup sistem.”

Driver tersebut kemudian menyuntikkan komponen user-mode lainnya ke dalam proses sistem tertentu, catat para peneliti; dan yang pada gilirannya digunakan untuk terhubung dengan server command-and-control (C2). Setelah koneksi dibuat, penyerang dapat mulai mengunduh dan menjalankan malware tambahan atau menjalankan berbagai perintah untuk mengambil kendali penuh atas mesin.

Menurut ESET, tujuan utama driver adalah memuat dua user-mode payload yang berbeda (WinSys.dll dan Client.dll) dan untuk mengatur keylogger yang merekam semua aktivitas keyboard. Setelah itu, itu menghapus dirinya sendiri.

Payload WinSys.dll secara berkala melakukan ping ke server C2 (menemukan alamatnya di file konfigurasi malware) untuk mengunduh malware tambahan atau menjalankan perintah sederhana. C2 dapat memintanya untuk mengunggah informasi sistem (nama CPU, versi OS, ukuran memori, alamat MAC ethernet, daftar perangkat lunak yang diinstal, dan sebagainya), mengambil dan menjalankan file baru, memulai ulang PC, atau mengunduh konfigurasi baru.

Selengkapnya: Threat Post

Malware Baru ‘BloodyStealer’ Menargetkan Akun Epic dan Steam

by

Menurut para ahli di Kaspersky, BloodyStealer adalah malware baru yang dibuat untuk meretas komputer dan mengumpulkan data sensitif dari perangkat yang rentan. Data ini berkisar dari kata sandi, data cookie, data pengisian otomatis, data perangkat, log, dan data klien dari layanan game populer. Layanan ini termasuk Epic Games, peluncur Bethesda, Steam, Origin, dan GOG. Bahkan layanan perpesanan seperti Telegram adalah target untuk BloodyStealer, yang signifikan karena Telegram telah mendorong lebih banyak fitur untuk menyerupai Discord akhir-akhir ini, termasuk streaming langsung dan obrolan video grup.

Model penyebaran BloodyStealer di antara peretas dan penjahat dunia maya menyerupai sarana industri perangkat lunak untuk merilis perangkat lunak, karena pengguna dapat menyewa malware untuk mendapatkan akses ke botnetnya, mengatur serangan, dan bahkan mengakses dukungan teknis.

Komposisi teknis BloodyStealer mencakup metode anti-analisis bawaan untuk mencegah pakar keamanan siber merekayasa balik perangkat lunak untuk menciptakan metode untuk mencegah sistem agar tidak terinfeksi olehnya. BloodyStealer juga dapat menetapkan ID unik ke sistem yang terinfeksi dan mengidentifikasi sistem berdasarkan alamat IP mereka, sehingga memudahkan peretas untuk menargetkan pengguna tertentu dalam serangan berbahaya.

Salah satu metode terbaik untuk mencegah serangan berbahaya terhadap informasi pribadi Anda adalah mengubah dan memperbarui kata sandi Anda secara teratur. Pastikan untuk mengubah kata sandi Steam, Epic, GOG, dll setidaknya setiap bulan ke frasa yang dapat Anda ingat. Banyak layanan seperti Steam dan Epic menawarkan otentikasi dua faktor baik melalui penggunaan perangkat pintar atau email Anda untuk memastikan keamanan tambahan.Hindari mengunduh program yang dapat dieksekusi dari sumber yang tidak dapat dipercaya.

Selengkapnya: ESportTalk

Peretas Telah Menemukan Teknik Penghindaran Malware Baru untuk Terbang di Bawah Radar

by

Grup Threat Analysis milik Google baru-baru ini menemukan jenis malware yang mengeksploitasi metode baru untuk menghindari deteksi oleh produk keamanan, dan malware ini dengan mudah memodifikasi tanda tangan digital filenya.

Tanda tangan kode yang ada pada file executable Windows memberikan jaminan mengenai integritas executable yang dikonfirmasi, menyediakan data dan memberi tahu identitas sebenarnya dari pembuat kode.

Pelaku ancaman dapat menghindari deteksi jika mereka mampu menyamarkan identitas mereka dalam tanda tangan pada proses penyerangan integritas tanda tangan.

Neel Mehta salah satu peneliti keamanan yang mendeteksi malware tersebut mengklaim metode ini digunakan oleh strain adware yang disebut OpenSUpdater.

OpenSUpdater adalah keluarga malware yang sangat terkenal, dan mereka terkenal dengan perangkat lunak yang tidak diinginkan yang umumnya melanggar kebijakan Google.

Sampel OpenSUpdater telah memberikan tanda tangan yang tidak valid, dan penelitian tambahan menunjukkan bahwa ini adalah upaya yang disengaja untuk menghindari deteksi.

Namun, produk keamanan menggunakan OpenSSL untuk mengambil data tanda tangan, dan kemudian akan menolak pengkodean ini sebagai tidak valid. Dan untuk parser yang mengotorisasi pengkodean ini, tanda tangan digital biner akan menyerupai sah dan efisien.

Selengkapnya: Cyber Security News