Malware

Malware Lazarus menyerang rantai pasokan Korea Selatan

November 17, 2020 by Mally

Malware Lazarus telah dilacak dalam kampanye baru melawan rantai pasokan Korea Selatan, yang kemungkinan menggunakan sertifikat keamanan yang dicuri.

Pada hari Senin, peneliti keamanan siber dari ESET mengungkapkan penyalahgunaan sertifikat, yang dicuri dari dua perusahaan resmi Korea Selatan yang terpisah.

Lazarus, juga dikenal sebagai Hidden Cobra, adalah istilah umum untuk kelompok ancaman tertentu – termasuk entitas cabang – yang dicurigai terkait dengan Korea Utara.

Dalam serangan rantai pasokan ini, pelaku ancaman menggunakan “mekanisme rantai pasokan yang tidak biasa,” kata ESET, di mana Lazarus menyalahgunakan persyaratan standar untuk pengguna internet Korea Selatan – kebutuhan untuk memasang perangkat lunak keamanan tambahan saat mereka mengunjungi situs web pemerintah atau layanan keuangan.

Biasanya, pengguna akan diminta untuk mengunduh WIZVERA VeraPort, program yang digunakan untuk mengatur unduhan perangkat lunak yang diperlukan untuk mengunjungi domain tertentu. WIZVERA VeraPort menandatangani secara digital dan memverifikasi unduhan secara kriptografis.

“[Inilah] mengapa penyerang tidak dapat dengan mudah mengubah konten file konfigurasi ini atau membuat situs palsu mereka sendiri,” kata para peneliti. “Namun, para penyerang dapat mengganti perangkat lunak yang akan dikirimkan ke pengguna WIZVERA VeraPort dari situs web yang sah tetapi disusupi. Kami yakin ini adalah skenario yang digunakan penyerang Lazarus”.

Lazarus telah menargetkan link yang lebih lemah dalam rantai tersebut dengan secara ilegal memperoleh sertifikat penandatanganan kode dari dua perusahaan keamanan Korea Selatan.

Untuk mengeksploitasi perangkat lunak, sertifikat yang dicuri – tetapi valid – digunakan untuk meluncurkan muatan malware Lazarus.

Jika korban mengunjungi situs web berbahaya, misalnya, dan tanpa disadari mengunduh perangkat lunak yang dikompromikan, Lazarus kemudian akan meluncurkan dropper melalui WIZVERA VeraPort yang mengekstrak downloader dan file konfigurasi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Ticketmaster Mendapat Denda Besar Selama Pelanggaran Data 2018

November 15, 2020 by Mally

Raksasa acara menghadapi hukuman terkait GDPR di Inggris, dan lebih banyak lagi bisa mengikuti. Divisi Ticketmaster Inggris telah didenda $ 1,65 juta oleh Kantor Komisaris Informasi (ICO) di Inggris, atas pelanggaran data 2018 yang berdampak pada 9,4 juta pelanggan.

Denda (£ 1,25 juta) telah dikenakan setelah ICO menemukan bahwa perusahaan “gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan cyber pada bot-chat yang dipasang di halaman pembayaran online-nya” – kegagalan yang melanggar Peraturan Perlindungan Data Umum (GDPR) UE.

Pada Juni 2018, raksasa penjualan tiket itu mengatakan bahwa mereka menemukan malware dalam fungsi obrolan pelanggan untuk situs webnya, yang dihosting oleh Inbenta Technologies. Yang mengkhawatirkan, kode berbahaya tersebut ditemukan mengakses berbagai informasi, termasuk nama, alamat, alamat email, nomor telepon, detail pembayaran, dan detail login Ticketmaster. Belakangan diketahui bahwa serangan itu adalah pekerjaan geng Magecart, yang dikenal karena menyuntikkan skimmer pembayaran ke komponen situs web yang rentan.

sumber : ThreatPost

Play Store diidentifikasi sebagai vektor distribusi utama untuk sebagian besar malware Android

November 12, 2020 by Mally

Google Play Store resmi telah diidentifikasi sebagai sumber utama penginstalan malware di perangkat Android dalam studi akademis baru-baru ini.

Menggunakan data telemetri yang disediakan oleh NortonLifeLock (sebelumnya Symantec), para peneliti menganalisis asal penginstalan aplikasi di lebih dari 12 juta perangkat Android selama periode empat bulan antara Juni dan September 2019.

Secara total, para peneliti melihat lebih dari 34 juta penginstalan APK (aplikasi Android) untuk 7,9 juta aplikasi unik.

Peneliti mengatakan bahwa sesuai klasifikasi malware Android yang berbeda, antara 10% dan 24% aplikasi yang mereka analisis dapat dikategorikan sebagai aplikasi yang berbahaya atau tidak diinginkan.

Namun para peneliti berfokus secara khusus pada “hubungan siapa-menginstal-siapa antara installer dan aplikasi anak” untuk menemukan jalur yang diambil aplikasi berbahaya untuk menjangkau perangkat pengguna.

Hasilnya menunjukkan bahwa sekitar 67% dari pemasangan aplikasi berbahaya yang diidentifikasi peneliti berasal dari Google Play Store.

Penelitian berjudul “How Did That Get In My Phone? Unwanted App Distribution on Android Devices,” tersedia untuk diunduh dalam format PDF dan ditulis oleh peneliti dari NortonLifeLock dan IMDEA Software Institute di Madrid, Spanyol.

Baca berita selengkapnya pada tautan berikut ini;
Source: ZDNet

Malware baru ini ingin server Linux dan perangkat IoT Anda ke botnetnya

November 10, 2020 by Mally

Malware baru menargetkan server Linux dan perangkat Internet of Things (IoT) untuk menambahkannya sebagai pasukan botnet dalam kampanye peretasan yang menargetkan infrastruktur cloud computing.

Ditemukan oleh peneliti keamanan siber di Juniper Threat Labs, worm berbahaya ini telah dijuluki Gitpaste-12, mencerminkan bagaimana ia menggunakan GitHub dan Pastebin untuk kode komponen perumahan dan memiliki 12 cara berbeda untuk mengkompromikan server x86 berbasis Linux, serta Linux ARM dan MIPS perangkat Io.

Ini termasuk 11 kerentanan yang diketahui dalam teknologi termasuk router Asus, Huawei dan Netlink serta orang-orang seperti MongoDB dan Apache Struts serta kemampuan untuk menyusupi sistem dengan menggunakan serangan brute force untuk mencari tau nama pengguna dan kata sandi default.

Setelah menggunakan salah satu kerentanan ini untuk menyusupi sistem, Gitpaste-12 mengunduh skrip dari Pastebin untuk memberikan perintah sebelum juga mengunduh instruksi dari penyimpanan GitHub.

Malware ini memiliki kemampuan untuk menjalankan cryptomining, menjadi worm yang dapat menyebar ke seluruh jaringan, dan melewati mekanisme pertahanan seperti firewall.

URL Pastebin dan penyimpanan GitHub yang digunakan untuk memberikan instruksi kepada malware telah ditutup setelah dilaporkan oleh para peneliti, sesuatu yang seharusnya menghentikan penyebaran botnet untuk saat ini. Namun, para peneliti juga mencatat bahwa Gitpaste-12 sedang dalam pengembangan, yang berarti ada risiko Gitpaste-12 bisa kembali.

Namun, mungkin untuk membantu melindungi terhadap Gitpaste-12 dengan memotong cara utama penyebarannya dengan menerapkan patch keamanan yang menutup kerentanan yang diketahui dieksploitasi.

Pengguna juga harus menghindari penggunaan kata sandi default untuk perangkat IoT, karena ini membantu melindungi dari serangan brute force yang mengandalkan eksploitasi kredensial default dan kata sandi umum lainnya.

Source : ZDnet

Kampanye Malspam Memanfaatkan Ketidakpastian Pemilihan

November 7, 2020 by Mally

Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,

Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”

Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.

Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.

Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.

Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.

Source : Threatpost

Geng REvil ransomware ‘memperoleh’ malware KPOT

November 4, 2020 by Mally

Operator ransomware REvil telah “memperoleh” source code trojan KPOT dalam lelang yang diadakan di forum peretas bulan lalu.

Penjualan tersebut terjadi setelah pembuat malware KPOT memutuskan untuk melelang kode tersebut karena ingin pindah ke proyek lain.

Penjualan itu diselenggarakan sebagai lelang publik di forum peretasan bawah tanah pribadi untuk penjahat siber berbahasa Rusia, peneliti keamanan Pancak3 mengatakan kepada ZDNet dalam sebuah wawancara bulan lalu.

Satu-satunya penawar adalah UNKN, anggota terkenal dari geng ransomware REvil (Sodinokibi), kata Pancak3.

UNKN membayar harga permintaan awal $6.500, sementara anggota forum lainnya menolak untuk berpartisipasi, dengan alasan harga permintaan yang tinggi.

Pertama kali ditemukan pada tahun 2018, KPOT adalah “pencuri informasi” yang dapat mengekstrak dan mencuri sandi dari berbagai aplikasi di komputer yang terinfeksi. Ini termasuk web browser, pengirim pesan instan, klien email, VPN, layanan RDP, aplikasi FTP, dompet cryptocurrency, dan gaming software, menurut laporan Proofpoint 2019.

Berita selengkapnya:
Source: ZDNet

Malware Android Firestarter Menyalahgunakan Google Firebase Cloud Messaging

November 2, 2020 by Mally

Grup APT memulai serangan dengan loader malware Android baru, yang menggunakan layanan perpesanan Google yang sah untuk melewati deteksi.

Malware, yang dijuluki “Firestarter”, digunakan oleh grup ancaman APT yang disebut “DoNot”. DoNot menggunakan Firebase Cloud Messaging (FCM), yang merupakan solusi cloud lintas platform untuk pesan dan notifikasi untuk aplikasi Android, iOS, dan web. Layanan ini disediakan oleh Firebase, anak perusahaan Google, dan sebelumnya juga telah dimanfaatkan oleh penjahat siber.

Dalam hal ini, loader menggunakannya sebagai mekanisme komunikasi untuk terhubung dengan server perintah-dan-kontrol (C2) DoNot, membantu aktivitas grup menghindari deteksi.

“Penelitian kami mengungkapkan bahwa DoNot telah bereksperimen dengan teknik baru untuk menjaga pijakan pada mesin korban mereka,” menurut peneliti dengan Cisco Talos dalam analisis hari Kamis. “Eksperimen ini, yang dibuktikan dengan loader Firestarter, adalah tanda betapa bertekadnya mereka untuk tetap menjalankan operasi meskipun terekspos, yang menjadikan mereka aktor yang sangat berbahaya yang beroperasi di area spionase.”

Tim DoNot terus berfokus pada India dan Pakistan, dan dikenal karena menargetkan pejabat pemerintah Pakistan dan organisasi nirlaba Kashmir (Kashmir adalah kelompok etnis Dardik yang berasal dari Lembah Kashmir yang disengketakan).

Pengguna dibujuk untuk memasang aplikasi berbahaya di perangkat seluler mereka, kemungkinan dilakukan melalui pesan langsung yang memanfaatkan rekayasa sosial, kata peneliti. Nama file aplikasi Android ini (kashmir_sample.apk atau Kashmir_Voice_v4.8.apk) menunjukkan minat yang berkelanjutan di India, Pakistan, dan krisis Kashmir.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

US Cyber Command mengungkap malware Rusia baru

November 2, 2020 by Mally

US Cyber Command telah mengungkap delapan sampel malware baru yang dikembangkan dan digunakan oleh peretas Rusia dalam serangan baru-baru ini.

Enam dari delapan sampel adalah untuk malware ComRAT (digunakan oleh grup peretasan Turla), sedangkan dua lainnya adalah sampel untuk malware Zebrocy (digunakan oleh grup peretasan APT28).

Baik ComRAT dan Zebrocy adalah keluarga malware yang telah digunakan oleh kelompok peretas Rusia selama bertahun-tahun, dengan ComRAT digunakan dalam serangan selama lebih dari satu dekade, yang telah berevolusi dari malware Agent.BTZ yang lama.

Baik Turla dan APT28 secara konsisten memperbarui kedua alat untuk menambahkan teknik penghindaran dan menjaga malware mereka tidak terdeteksi.

Tujuan dari pengungkapan pemerintah AS baru-baru ini adalah untuk membagikan versi terbaru dari alat peretasan ini dengan masyarakat umum sehingga administrator sistem dan defender lainnya dapat menambahkan aturan deteksi dan memperbarui tindakan perlindungan.

Pada hari Kamis, Pasukan Misi Nasional Siber Komando Siber AS (CNMF) mengunggah sampel versi ComRAT dan Zebrocy baru di akun VirusTotal-nya, sementara Cybersecurity and Infrastructure Security Agency (CISA), bekerja sama dengan CyWatch Biro Investigasi Federal, menerbitkan dua advisory keamanan yang menjelaskan cara kerja ComRAT dan Zebrocy.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings