Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Microsoft menghentikan operasi peretasan besar-besaran yang dapat memengaruhi pemilu

by

Microsoft telah mengganggu operasi peretasan besar-besaran yang dikatakannya secara tidak langsung dapat memengaruhi infrastruktur pemilu jika dibiarkan berlanjut.

Perusahaan itu mengatakan pada hari Senin bahwa mereka menghentikan server di belakang Trickbot, jaringan malware besar yang digunakan penjahat untuk meluncurkan serangan siber lainnya, termasuk serangkaian ransomware yang sangat kuat.

Microsoft mengatakan memperoleh perintah pengadilan federal untuk menonaktifkan alamat IP yang terkait dengan server Trickbot, dan bekerja dengan penyedia telekomunikasi di seluruh dunia untuk membasmi jaringan.

Trickbot mengizinkan peretas untuk menjual apa yang dikatakan Microsoft sebagai layanan kepada peretas lain – menawarkan mereka kemampuan untuk menyuntikkan komputer, router, dan perangkat lain yang rentan dengan malware lain.

Itu termasuk ransomware, yang telah diperingatkan oleh Microsoft dan pejabat AS dapat menimbulkan risiko bagi situs web yang menampilkan informasi pemilu atau vendor perangkat lunak pihak ketiga yang menyediakan layanan kepada pejabat pemilu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: CNN

PoetRAT Muncul Kembali dalam Serangan di Azerbaijan Di Tengah Meningkatnya Konflik

by

Iterasi baru dari spyware PoetRAT, dengan peningkatan keamanan operasional, kode yang efisiensi dan membingungkan, sedang beredar di Azerbaijan, menargetkan sektor publik dan organisasi penting lainnya seiring dengan meningkatnya konflik negara dengan Armenia atas wilayah yang disengketakan.

Peneliti intelijen ancaman telah mengamati beberapa serangan baru menggunakan malware yang menunjukkan “perubahan dalam kemampuan aktor” dan “kedewasaan menuju keamanan operasional yang lebih baik,” sambil mempertahankan taktik spear-phishing untuk memikat pengguna agar mengunduh dokumen berbahaya, peneliti Cisco Talos mengungkapkan dalam sebuah posting blog, hari Selasa kemarin.

PoetRAT muncul pada bulan April sebagai backdoor yang bertindak sebagai ujung tombak untuk kerangka spionase yang lebih besar.

Kali ini, serangan tersebut menggunakan dokumen Microsoft Word yang diduga berasal dari pemerintah Azerbaijan – lengkap dengan Lambang Nasional Azerbaijan di pojok atas – untuk menginstal PoetRAT di dua file terpisah pada mesin korban, menurut peneliti Warren Mercer, Paul Rascagneres. dan Vitor Ventura.

Perbedaan antara kampanye sebelumnya dan yang terbaru termasuk perubahan dalam bahasa pemrograman yang digunakan untuk malware dari skrip Python ke Lua.

Kampanye terbaru juga menampilkan beberapa taktik baru untuk menghindari deteksi, catat para peneliti. Ini termasuk protokol eksfiltrasi baru untuk menyembunyikan aktivitas penyerang, serta “teknik obfuscation tambahan untuk menghindari deteksi berdasarkan string atau signatures,” termasuk Base64 dan algoritme kompresi LZMA, catat para peneliti.

Korban kampanye termasuk VIP Azerbaijan dan organisasi di sektor publik, dengan penyerang yang menunjukkan akses ke informasi sensitif, seperti paspor diplomatik milik beberapa warga negara.

Berita selengkapnya:
Source: Threat Post

Peringatan CISA memperingatkan serangan Emotet terhadap entitas pemerintah AS

by

Badan Keamanan Siber dan Infrastruktur (CISA) mengeluarkan peringatan untuk memperingatkan gelombang serangan Emotet yang telah menargetkan beberapa negara bagian dan pemerintah lokal di AS sejak Agustus.

Selama waktu itu, Sistem Deteksi Intrusi EINSTEIN milik agensi tersebut telah mendeteksi sekitar 16.000 peringatan terkait aktivitas Emotet.

Menurut para ahli dari CISA, serangan Emotet ditargetkan pada entitas pemerintah AS.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware tersebut digunakan dalam kampanye spam baru bertema COVID19.

Trojan perbankan terkenal juga digunakan untuk memberikan kode berbahaya lainnya, seperti Trickbot dan QBot trojan atau ransomware seperti Conti (TrickBot) atau ProLock (QBot).

Peringatan yang diterbitkan oleh CISA didasarkan pada data yang disediakan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC) dan CISA sendiri sejak Juli 2020.

CISA dan MS-ISAC merekomendasikan admin dan pengguna untuk menggunakan solusi antimalware untuk memblokir lampiran yang mencurigakan dan untuk memblokir alamat IP yang mencurigakan.

Peringatan tersebut mencakup mitigasi, Indikator Kompromi (IoCs) dan Teknik MITRE ATT&CK.

Mata-mata asing menggunakan perusahaan untuk menyamarkan peretasan mereka, meminjam taktik penyamaran lama

by

Peretas profesional yang sudah mencoba menyembunyikan aktivitas mereka melalui berbagai cara teknis sekarang tampaknya mencoba lebih banyak penyamaran perusahaan, dengan membuat perusahaan depan atau bekerja sebagai kontraktor pemerintah untuk meningkatkan legitimasi mereka.

“Ini hanya mempersulit untuk mengetahui siapa yang melakukan apa, dan apa motivasi mereka,” John Demers, asisten jaksa agung AS untuk keamanan nasional, mengatakan tentang motivasi yang terlihat dalam wawancara baru-baru ini.

Departemen Kehakiman pada 16 September membuka segel dakwaan terhadap lima pria China dan dua warga negara Malaysia atas dugaan peran mereka dalam skema mata-mata selama bertahun-tahun yang menginfeksi perangkat lunak termasuk Asus, CCleaner dan Netsarang dengan malware.

Beberapa tersangka yang bekerja sebagai bagian dari operasi yang lebih besar berfungsi sebagai bagian dari Chengdu 404, yang memasarkan dirinya sebagai perusahaan penetration testing dengan “semangat patriotik”, kata satu dakwaan.

Saat mengiklankan uji peretasan ofensif, Chengdu 404 menggunakan phishing dan cara lain untuk melanggar lebih dari 100 organisasi di AS, Korea Selatan, Jepang, dan negara lain, menurut tuduhan tersebut.

Peretas akan mengeksploitasi akses mereka untuk mencuri kode sumber, sertifikat penandatanganan perangkat lunak, dan informasi identitas pribadi atas nama Beijing, sambil mengumpulkan uang untuk mereka sendiri. (Perusahaan keamanan telah mengaitkan aktivitas tersebut dengan APT41, unit spionase siber China yang diduga terkait dengan Kementerian Keamanan Negara.)

Sejarah yang kurang membanggakan dari peretasan serupa

Jaksa penuntut AS mengatakan tiga pria Ukraina yang ditangkap pada 2018 mengklaim mengoperasikan Combi Security sebagai perusahaan penetration testing yang sah. Alih-alih benar-benar melakukan tes, perusahaan itu meretas terminal tempat penjualan, mencuri informasi kartu kredit, dan melanggar restoran besar Amerika dan rantai ritel.

Berita selengkapnya:
Source: Cyber Scoop

Malware untuk Penipuan Iklan Menjadi Lebih Canggih

by

Minggu lalu, Facebook mengungkapkan bahwa perusahaan telah menemukan serangan luas pada penggunanya yang telah membobol akun, mengumpulkan kredensial dan token sesi, dan menggunakan akses untuk membeli iklan, barang palsu, dan untuk membuat ulasan produk palsu.

Disebut SilentFade – yang menurut perusahaan adalah singkatan dari “Diam-diam Menjalankan Iklan Facebook dengan Eksploitasi” – sistem pengguna yang terinfeksi malware dan mengakibatkan biaya lebih dari $4 juta, Facebook menyatakan dalam analisisnya.

Kampanye ini – yang ditemukan Facebook pada Desember 2018 dan telah mengambil tindakan pada dua bulan kemudian, menghindari deteksi ancaman dengan mencuri cookie sesi dari pengguna dan masuk dari alamat IP yang secara geografis dekat dengan korban.

SilentFade juga menonaktifkan banyak peringatan dan pemberitahuan keamanan dan menggunakan exploit untuk mencegah pengguna membatalkan perubahan, menurut peneliti perusahaan.

Selain itu, SilentFade mencuri cookie yang berisi token sesi, yang sering dianggap lebih berharga daripada sandi, karena cookie merupakan bukti pasca-otentikasi bahwa pengguna memberikan kredensial yang benar. Dengan menggunakan cookie alih-alih mencuri nama pengguna dan kata sandi, penyerang sering menghindari otentikasi dua faktor.

Komponen pencuri cookie dari SilentFade menargetkan sejumlah besar browser, termasuk Chrome, Opera, Internet Explorer, Edge, dan lainnya.

Facebook telah memperkuat layanannya terhadap SilentFade dan serangan grup lainnya, tetapi menekankan bahwa platform media sosial lainnya mungkin masih terpengaruh oleh kampanye penipuan iklan.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: Dark Reading

Botnet HEH baru dapat menghapus router dan perangkat IoT

by

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Black-T Malware Muncul Dari Cryptojacker Group TeamTNT

by

Para peneliti telah menemukan langkah awal malware cryptojacking terbaru dari TeamTNT, yang disebut Black-T. Varian ini dibangun di atas pendekatan khas grup, dengan beberapa tambahan baru – dan canggih.

TeamTNT dikenal dengan penargetan kredensial Amazon Web Services (AWS), untuk membobol cloud dan menggunakannya untuk menambang cryptocurrency Monero.

Namun menurut para peneliti dari Palo Alto Network’s Unit 42, menggunakan Black-T, kelompok tersebut telah menambahkan kemampuan tambahan pada taktik, teknik dan prosedur (TTP). Ini termasuk penambahan pemindai jaringan yang canggih; penargetan alat penambangan XMR pesaing di jaringan; dan penggunaan pengikis kata sandi.

Apa yang akan dilakukan TeamTNT dengan kata sandi yang disimpan dan kemampuan tambahan masih belum jelas, tetapi perkembangan menandakan bahwa grup tidak berencana untuk melambat dalam waktu dekat.

Setelah diterapkan, urutan bisnis pertama untuk Black-T adalah menonaktifkan malware lain yang bersaing untuk mendapatkan kekuatan pemrosesan, termasuk Kinsing, Kswapd0, ntpd miner, redis-backup miner, auditd miner, Migration miner, the Crux worm dan Crux worm miner.

Ironisnya, fakta bahwa TeamTNT mengidentifikasi pesaing ini dalam malware mereka memberi para profesional keamanan peringatan kritis untuk mewaspadai potensi ancaman dari kelompok-kelompok ini, kata Unit 42.

Setelah menghilangkan pesaing mereka, Black-T menginstal masscan, libpcap untuk mendengarkan berbagai sumber daya di jaringan, termasuk pnscan, zgrab, Docker dan jq.

Berikutnya, Black-T mengambil berbagai download: Beta untuk membuat direktori baru; alat pengikis sandi mimipy dan mimipenquin; dan perangkat lunak penambangan XMR yang disebut bd.

Karena pekerjaan jarak jauh dan penghematan biaya terus mendorong komputasi ke cloud, lebih banyak grup seperti TeamTNT pasti akan muncul dan siap untuk memanfaatkan, menurut Quist.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Keluarga Malware Beralih ke Layanan Seperti Pastebin yang Sah

by

Penjahat siber semakin beralih ke layanan web yang sah dan mirip Pastebin untuk mengunduh malware – seperti AgentTesla dan LimeRAT – dalam serangan spear-phishing.

Pastebin, layanan hosting kode yang memungkinkan pengguna untuk berbagi plain text melalui pos publik yang disebut “pastes”, saat ini memiliki 17 juta pengguna unik bulanan dan populer di kalangan penjahat siber (seperti grup FIN5 APT dan grup ancaman Rocke) untuk menampung muatan mereka atau infrastruktur command-and-control (C2).

Tapi sekarang, lebih banyak kelompok malware dan ransomware mulai menggunakan layanan lain, dengan domain Paste.nrecom[.]Net.

Layanan ini sudah ada sejak Mei 2014, dan memiliki fungsi yang mirip dengan Pastebin. Ia juga memiliki API (didukung oleh pastebin berbasis PHP open-source Stikked) yang memungkinkan untuk pembuatan skrip.

Peneliti dengan Juniper Networks mengatakan bahwa fitur API menguntungkan bagi penjahat siber, yang dapat memanfaatkannya untuk dengan mudah memasukkan dan memperbarui data mereka secara terprogram.

Peneliti mengatakan bahwa serangan yang memanfaatkan layanan tersebut umumnya dimulai dengan email spear-phishing yang menyertakan lampiran (seperti dokumen, arsip, atau file yang dapat dieksekusi). Penerima ditipu untuk membuka lampiran berbahaya (sebagai tahap pertama serangan), yang kemudian mendownload tahap berikutnya dari paste.nrecom[.]Net.

Ke depan, para peneliti memperingatkan bahwa lebih banyak keluarga malware akan beralih ke layanan web yang sah untuk menghosting infrastruktur berbahaya mereka.

“Menggunakan layanan web yang sah seperti pastebin atau paste.nrecom untuk infrastruktur malware memberikan keuntungan bagi penjahat siber, karena layanan ini tidak dapat dengan mudah dihapus karena penggunaannya yang sah,” kata peneliti.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post