Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Upaya Kedua Hacker Tim Tonto Tiongkok untuk Menargetkan Grup Perusahaan Keamanan Siber-IB Gagal

by

Pelaku ancaman persisten tingkat lanjut (APT), dikenal sebagai Tim Tonto, melakukan serangan yang gagal terhadap perusahaan keamanan siber Group-IB pada Juni 2022.

Perusahaan tersebut mendeteksi dan memblokir email phishing berbahaya yang berasal dari grup yang menargetkan karyawannya. Ini merupakan serangan kedua yang ditujukan ke Grup-IB, yang pertama terjadi pada Maret 2021.

Disebut Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda, dan UAC-0018, Tim Tonto adalah kelompok peretas Cina yang diduga telah dikaitkan dengan serangan yang menargetkan berbagai organisasi di Asia dan Eropa Timur.

Aktor ini diketahui aktif setidaknya sejak tahun 2009 dan dikatakan memiliki hubungan dengan Departemen Ketiga (3PLA) Shenyang TRB Tentara Pembebasan Rakyat (Unit 65016).

Rantai serangan melibatkan umpan spear-phishing yang berisi lampiran berbahaya yang dibuat menggunakan perangkat eksploitasi Royal Road Rich Text Format (RTF) untuk menjatuhkan backdoor seperti Bisonal, Dexbia, dan ShadowPad.

Trend Micro pada tahun 2020 mengungkap bahwa metode sedikit berbeda yang digunakan oleh pelaku ancaman di alam liar adalah penggunaan alamat email perusahaan yang sah, kemungkinan besar diperoleh dengan phishing, untuk mengirim email ke pengguna lain.

Tangkapan layar Laporan di Grup-IB sandbox
Tangkapan layar Laporan di Grup-IB sandbox

Tim Tonto akan terus menyelidiki perusahaan TI dan keamanan siber dengan memanfaatkan spear-phishing untuk mengirimkan dokumen berbahaya menggunakan kerentanan dengan umpan yang disiapkan khusus untuk tujuan ini.

Selengkapnya: The Hacker News

Hacker Mengembangkan Malware ‘Screenshotter’ Baru untuk Menemukan Target Bernilai Tinggi

by

Pelaku ancaman baru dilacak saat TA886 menargetkan organisasi di Amerika Serikat dan Jerman dengan malware khusus baru untuk melakukan pengawasan dan pencurian data pada sistem yang terinfeksi.

Kelompok aktivitas yang sebelumnya tidak diketahui pertama kali ditemukan oleh Proofpoint pada Oktober 2022, dengan perusahaan keamanan melaporkan bahwa hal itu berlanjut hingga 2023.

Pelaku ancaman tampaknya memiliki motivasi finansial, melakukan evaluasi awal terhadap sistem yang dilanggar untuk menentukan apakah target cukup berharga untuk disusupi lebih lanjut.

Pelaku ancaman menargetkan korban menggunakan email phishing yang menyertakan lampiran Microsoft Publisher (.pub) dengan makro berbahaya, URL yang tertaut ke file .pub dengan makro, atau PDF berisi URL yang mengunduh file JavaScript berbahaya.

Proofpoint mengatakan jumlah email yang dikirim di TA886 meningkat secara eksponensial pada Desember 2022 dan terus meningkat pada Januari 2023, dengan email yang ditulis dalam bahasa Inggris atau Jerman, tergantung targetnya.

Penyerang kemudian secara manual memeriksa tangkapan layar ini dan memutuskan apakah korban berharga. Evaluasi ini mungkin termasuk membuat malware Screenshotter mengambil lebih banyak tangkapan layar atau menjatuhkan muatan khusus tambahan seperti:

  • Skrip profiler domain yang mengirimkan detail domain AD (Active Directory) ke C2
  • Skrip pemuat malware (AHK Bot loader) yang memuat pencuri info ke dalam memori

Pencuri yang dimuat dalam memori bernama Rhadamanthys, keluarga malware terlihat dipromosikan di forum bawah tanah sejak musim panas lalu dan menjadi lebih umum digunakan dalam serangan.

Kemampuannya termasuk mencuri dompet cryptocurrency, kredensial, dan cookie yang disimpan di browser web, klien FTP, akun Steam, akun Telegram dan Discord, konfigurasi VPN, dan klien email.

Proofpoint telah berusaha untuk menemukan tumpang tindih dan kesamaan dengan laporan sebelumnya yang menggambarkan TTP serupa (teknik, taktik, dan prosedur), tetapi tidak dapat membuat hubungan yang pasti.

Namun, ada tanda-tanda alat Bot AHK digunakan dalam kampanye spionase sebelumnya.

Selengkapnya : bleepingcomputer

Graphiron: Malware Pencuri Informasi Rusia Baru yang Dikerahkan Melawan Ukraina

by

Nodaria yang terkait dengan Rusia telah menyebarkan ancaman baru yang dirancang untuk mencuri berbagai informasi dari komputer yang terinfeksi.

Grup spionase Nodaria (UAC-0056) menggunakan informasi baru untuk mencuri malware terhadap target di Ukraina. Malware (Infostealer.Graphiron) ditulis dalam Go dan dirancang untuk mengumpulkan berbagai informasi dari komputer yang terinfeksi, termasuk informasi sistem, kredensial, tangkapan layar, dan file.

Bukti paling awal dari Graphiron berasal dari Oktober 2022. Itu terus digunakan hingga pertengahan Januari 2023 dan masuk akal untuk mengasumsikan bahwa itu tetap menjadi bagian dari perangkat Nodaria.

Grafiron
Graphiron adalah ancaman dua tahap yang terdiri dari pengunduh (Downloader.Graphiron) dan muatan (Infostealer.Graphiron).

Graphiron menggunakan enkripsi AES dengan kunci hardcoded, membuat file sementara dengan ekstensi “.lock” dan “.trash”. Itu menggunakan nama file hardcode yang dirancang untuk menyamar sebagai executable Microsoft office: OfficeTemplate.exe dan MicrosoftOfficeDashboard.exe

Payload mampu melakukan tugas-tugas seperti membaca MachineGuid, memperoleh alamat IP dari https://checkip.amazonaws.com, mengambil nama host, info sistem, dan info pengguna, dan lain sebagainya.

Kesamaan dengan Alat Lama
GraphSteel dirancang untuk mengekstraksi file bersama dengan informasi sistem dan kredensial yang dicuri dari brankas kata sandi menggunakan PowerShell. Sementara Graphiron memiliki fungsi serupa tetapi dapat mengekstraksi lebih banyak lagi, seperti tangkapan layar dan kunci SSH.

Tabel perbandingan antara Graphiron dan alat Nodaria yang lebih tua (GraphSteel dan GrimPlant)
Tabel perbandingan antara Graphiron dan alat Nodaria yang lebih tua (GraphSteel dan GrimPlant)

Nodaria
Nodaria telah aktif setidaknya sejak Maret 2021 dan tampaknya terutama terlibat dalam organisasi penargetan di Ukraina. Ada juga bukti terbatas yang menunjukkan bahwa kelompok tersebut telah terlibat dalam serangan terhadap sasaran di Kyrgyzstan.

Selengkapnya: Symantec

Hacker Menggunakan Trik Baru Untuk Serangan Phishing

by

Penjahat dunia maya menggunakan email phishing yang dibuat secara unik untuk menginfeksi korban dengan malware — dan mereka melakukannya dengan bereksperimen dengan metode baru untuk mengirimkan muatan berbahaya.

Menurut analisis oleh Proofpoint, telah terjadi peningkatan penyerang dunia maya yang mencoba mengirimkan malware menggunakan dokumen OneNote, buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi perkantoran Microsoft 365.

Email phishing, yang pertama kali dikirim selama Desember 2022, dengan jumlah yang meningkat secara signifikan pada Januari 2023, berusaha mengirimkan salah satu dari beberapa muatan malware yang berbeda, termasuk AsyncRAT, Redline, AgentTesla, dan Doubleback, yang semuanya dirancang untuk mencuri informasi sensitif dari korban, termasuk username dan password.

Peneliti Proofpoint juga mencatat bahwa kelompok penjahat dunia maya yang mereka lacak sebagai TA577 juga mulai memanfaatkan OneNote dalam kampanye untuk menghadirkan Qbot.

Para peneliti memperingatkan bahwa kemungkinan kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir — dan lebih banyak kelompok ancaman dunia maya cenderung mengadopsi teknik ini untuk berhasil mengirimkan kampanye phishing dan malware.

“Proofpoint semakin mengamati lampiran OneNote digunakan untuk mengirimkan malware. Berdasarkan penelitian kami, kami yakin banyak pelaku ancaman menggunakan lampiran OneNote dalam upaya untuk melewati deteksi ancaman,” kata peneliti.

walaupun serangan phishing adalah alat yang efektif untuk penjahat dunia maya, jatuhnya korban tidak bisa dihindari. Proofpoint menyarankan bahwa organisasi harus menggunakan filter spam yang kuat yang mencegah pesan ini masuk ke kotak masuk orang, dan bahwa organisasi harus mendidik pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.

Sumber : zdnet.com

Varian Spyware Gamaredon Baru yang Didukung Rusia Menargetkan Pihak Berwenang Ukraina

by

Pusat Perlindungan Siber Negara (SCPC) Ukraina telah memanggil aktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon atas serangan siber yang ditargetkan pada otoritas publik dan infrastruktur informasi penting di negara tersebut.

Ancaman gigih tingkat lanjut, juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.

Tujuan serangan lebih diarahkan pada spionase dan pencurian informasi daripada sabotase, catat agensi tersebut. SCPC juga menekankan evolusi taktik grup yang “terus-menerus” dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar, menyebut Gamaredon sebagai “ancaman dunia maya utama”.

Rantai serangan dimulai dengan email spear-phishing yang membawa arsip RAR yang, ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara – file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell.

Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh software yang mengklaim dapat mendeteksi komputer yang terinfeksi.

Namun, setelah meluncurkan file – skrip batch Windows bernama “Protector.bat” – itu mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.

CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern – sebuah cluster aktivitas yang di masa lalu memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.

Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi.

sumber : thehackernews

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

by

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Laporan Baru Mengungkap Malware NikoWiper yang Menargetkan Sektor Energi Ukraina

by

Sandworm yang berafiliasi dengan Rusia menggunakan strain malware penghapus lain yang dijuluki NikoWiper sebagai bagian dari serangan yang terjadi pada Oktober 2022 yang menargetkan perusahaan sektor energi di Ukraina.

Perusahaan cybersecurity Slovakia mengatakan serangan itu bertepatan dengan serangan rudal yang diatur oleh angkatan bersenjata Rusia yang ditujukan pada infrastruktur energi Ukraina, menunjukkan tujuan yang tumpang tindih.

Pengungkapan itu terjadi hanya beberapa hari setelah ESET mengaitkan Sandworm dengan penghapus data berbasis Golang yang dikenal sebagai SwiftSlicer yang digunakan melawan entitas Ukraina yang tidak disebutkan namanya pada 25 Januari 2023.

Kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan badan intelijen militer asing Rusia GRU juga terlibat dalam serangan yang sebagian berhasil menargetkan kantor berita nasional Ukrinform, mengerahkan sebanyak lima wiper berbeda pada mesin yang disusupi.

Selain mempersenjatai SDelete, kampanye Sandworm baru-baru ini juga memanfaatkan keluarga ransomware pesanan, termasuk Prestige dan RansomBoggs, untuk mengunci data korban di balik penghalang enkripsi tanpa opsi apa pun untuk memulihkannya.

Menurut Recorded Future, yang melacak APT29 (alias Nobelium) di bawah moniker BlueBravo, APT telah terhubung ke infrastruktur baru yang dikompromikan yang kemungkinan digunakan sebagai umpan untuk mengirimkan pemuat malware dengan nama kode GraphicalNeutrino.

Saat perang Rusia-Ukraina secara resmi memasuki bulan kedua belas, masih harus dilihat bagaimana konflik berkembang ke depan di dunia maya.

“Selama setahun terakhir kami telah melihat gelombang peningkatan aktivitas – seperti pada musim semi setelah invasi, pada musim gugur dan bulan-bulan yang lebih tenang selama musim panas – tetapi secara keseluruhan ada aliran serangan yang hampir konstan,” kata Lipovsky. “Jadi satu hal yang bisa kita yakini adalah kita akan melihat lebih banyak serangan dunia maya.”

selengkapnya : thehackernews

Melindungi Terhadap Penggunaan Malicious Remote Monitoring dan Management Software

by

Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Multi-State Information Sharing and Analysis Center (MS-ISAC) (selanjutnya disebut sebgai “organisasi penulis”) merilis bersama Cybersecurity Advirsoty (CSA) untuk memperingatkan pembela jaringan tentang penggunaan berbahaya perankat lunak RMM yang sah. Secara khusus, pelaku kejahatan dunia maya mengirimkan email phishing yang mengarah ke pengunduhan eprangkat lunka RMM ayng sah – ScreenConnect (sekarang ConnectWise Control) dan AnyDesk – yang digunakan pelaku dalam penipuan pengembalian uang tuntuk mencuri uang dari rekening bank korban.

Menggunakan executable portabel perangkat lunak RMM menyediakan cara bagi pelaku untuk membuat akses pengguna lokal tanpa memerlukan hak istimewa administratif dan instalasi perangkat lunak lengkap—secara efektif melewati kontrol perangkat lunak umum dan asumsi manajemen risiko.

Organisasi penulis sangat menganjurkan pembela jaringan untuk meninjau bagian Indikator Kompromi (IOC) dan Mitigasi dalam CSA ini dan menerapkan rekomendasi untuk melindungi perangkat lunak RMM yang sah dari penggunaan berbahaya.

Berita ini dikembangkan oleh CISA, NSA, dan MS-ISAC sebagai kelanjutan dari misi kemanan siber masing-masing, termasuk tanggungjawab mereka untuk mengembangkan dan mengeluarkan spesisfikasi dan mitigasi kemanan siber

selengkapnya : cisa.gov