Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Malware Android Firestarter Menyalahgunakan Google Firebase Cloud Messaging

by

Grup APT memulai serangan dengan loader malware Android baru, yang menggunakan layanan perpesanan Google yang sah untuk melewati deteksi.

Malware, yang dijuluki “Firestarter”, digunakan oleh grup ancaman APT yang disebut “DoNot”. DoNot menggunakan Firebase Cloud Messaging (FCM), yang merupakan solusi cloud lintas platform untuk pesan dan notifikasi untuk aplikasi Android, iOS, dan web. Layanan ini disediakan oleh Firebase, anak perusahaan Google, dan sebelumnya juga telah dimanfaatkan oleh penjahat siber.

Dalam hal ini, loader menggunakannya sebagai mekanisme komunikasi untuk terhubung dengan server perintah-dan-kontrol (C2) DoNot, membantu aktivitas grup menghindari deteksi.

“Penelitian kami mengungkapkan bahwa DoNot telah bereksperimen dengan teknik baru untuk menjaga pijakan pada mesin korban mereka,” menurut peneliti dengan Cisco Talos dalam analisis hari Kamis. “Eksperimen ini, yang dibuktikan dengan loader Firestarter, adalah tanda betapa bertekadnya mereka untuk tetap menjalankan operasi meskipun terekspos, yang menjadikan mereka aktor yang sangat berbahaya yang beroperasi di area spionase.”

Tim DoNot terus berfokus pada India dan Pakistan, dan dikenal karena menargetkan pejabat pemerintah Pakistan dan organisasi nirlaba Kashmir (Kashmir adalah kelompok etnis Dardik yang berasal dari Lembah Kashmir yang disengketakan).

Pengguna dibujuk untuk memasang aplikasi berbahaya di perangkat seluler mereka, kemungkinan dilakukan melalui pesan langsung yang memanfaatkan rekayasa sosial, kata peneliti. Nama file aplikasi Android ini (kashmir_sample.apk atau Kashmir_Voice_v4.8.apk) menunjukkan minat yang berkelanjutan di India, Pakistan, dan krisis Kashmir.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

US Cyber Command mengungkap malware Rusia baru

by

US Cyber Command telah mengungkap delapan sampel malware baru yang dikembangkan dan digunakan oleh peretas Rusia dalam serangan baru-baru ini.

Enam dari delapan sampel adalah untuk malware ComRAT (digunakan oleh grup peretasan Turla), sedangkan dua lainnya adalah sampel untuk malware Zebrocy (digunakan oleh grup peretasan APT28).

Baik ComRAT dan Zebrocy adalah keluarga malware yang telah digunakan oleh kelompok peretas Rusia selama bertahun-tahun, dengan ComRAT digunakan dalam serangan selama lebih dari satu dekade, yang telah berevolusi dari malware Agent.BTZ yang lama.

Baik Turla dan APT28 secara konsisten memperbarui kedua alat untuk menambahkan teknik penghindaran dan menjaga malware mereka tidak terdeteksi.

Tujuan dari pengungkapan pemerintah AS baru-baru ini adalah untuk membagikan versi terbaru dari alat peretasan ini dengan masyarakat umum sehingga administrator sistem dan defender lainnya dapat menambahkan aturan deteksi dan memperbarui tindakan perlindungan.

Pada hari Kamis, Pasukan Misi Nasional Siber Komando Siber AS (CNMF) mengunggah sampel versi ComRAT dan Zebrocy baru di akun VirusTotal-nya, sementara Cybersecurity and Infrastructure Security Agency (CISA), bekerja sama dengan CyWatch Biro Investigasi Federal, menerbitkan dua advisory keamanan yang menjelaskan cara kerja ComRAT dan Zebrocy.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Hacker menjual 34 juta data rpibadi pengguna yang dicuri dari 17 perusahaan

by

Seorang pelaku ancaman menjual database akun yang berisi total keseluruhan 34 juta catatan pengguna yang mereka klaim dicuri dari tujuh belas perusahaan selama pembobolan data.
Pada 28 Oktober, seorang broker data breach membuat topik baru di forum peretas untuk menjual database pengguna yang dicuri untuk tujuh belas perusahaan.

Dalam percakapan dengan BleepingComputer, penjual memberi tahu kami bahwa mereka tidak bertanggung jawab untuk meretas ke tujuh belas perusahaan dan bertindak sebagai perantara untuk basis data.
Ketika ditanya bagaimana peretas memperoleh akses ke berbagai situs, penjual menyatakan, “Tidak yakin apakah dia ingin mengungkapkannya.”

Basis data yang dicuri biasanya dijual pertama kali dalam penjualan pribadi, seperti yang tercantum di atas, dengan kisaran sebelumnya dari $ 500, seperti yang terlihat dalam pelanggaran data Zoosk, hingga $ 100.000 untuk basis data Wattpad.
Setelah beberapa waktu, biasanya database yang dicuri dirilis secara gratis di forum peretas untuk meningkatkan ‘kredibilitas jalanan’ aktor ancaman.

Perusahaan diduga melanggar pada tahun 2020
Menurut pelanggaran data yang pecah, semua dari tujuh belas database yang dijual diperoleh pada tahun 2020, dengan pelanggaran terbesar adalah Geekie.com.br dengan 8,1 juta catatan. Perusahaan yang terkena dampak paling terkenal adalah RedMart Singapura yang mengekspos 1,1 juta rek

Penjual memberi tahu BleepingComputer bahwa mereka menjual database RedMart seharga $ 1.500.
Tak satu pun dari perusahaan ini sebelumnya melaporkan pelanggaran data terbaru sebelum minggu ini.

Setelah BleepingComputer menghubungi semua perusahaan yang terpengaruh, hanya RedMart yang mengungkapkan pelanggaran data kemarin, dan Wongnai.com mengatakan kepada BleepingComputer bahwa mereka sedang menyelidiki insiden tersebut.

“Terima kasih atas pertanyaan Anda, kami mengetahui insiden ini tadi malam (waktu Bangkok) dan tim teknis kami telah menyelidiki masalah ini,” Wongnai mengirim email kepada BleepingComputer.com.

Tujuh belas database yang dijual ditampilkan di bawah ini:

Redmart.lazada.sg: emails, SHA1 hashed passwords, mailing and billing addresses, full name, phone numbers, partial credit cards numbers and exp dates
Everything5pounds.com: emails, hashed passwords, name, gender, phone number
Geekie.com.br: emails, bcrypt-sha256/sha512 hashed passwords, usernames, names, DoB, gender, mobile phone number, Brazilian CPF numbers
Cermati.com: emails, password bcrypt, name, address, phone, revenue, bank, tax number, id number, gender, job, company, mothers maiden name
Clip.mx: email, phone
Katapult.com: email, password pbkdf2-sha256/unknown, name
Eatigo.com: email, password md5, name, phone, gender, facebook id & token
Wongnai.com: email, password md5, ip, facebook & twitter id, names, birthdate, phone, zip
Toddycafe.com: email, password unknown, name, phone, address
Game24h.vn: email, password md5, username, birthdate, name
Wedmegood.com: email, password sha512, phone, facebook id
W3layouts.com: – email, password bcrypt, ip, country, city, state, phone, name
Apps-builder.com: email, password md5crypt, ip, name, country
Invideo.io: email, password bcrypt, name, phone
Coupontools.com: email, password bcrypt, name, phone, gender, birthdate
Athletico.com.br: email, password md5, name, cpf, birthdate
Fantasycruncher.com: email, password bcrypt/sha1, username, ip

Amankan Akun Anda
Jika Anda adalah pengguna salah satu situs ini, Anda harus menganggap bahwa situs tersebut telah dilanggar dan segera ubah sandi Anda.\
Jika Anda menggunakan sandi yang sama di situs lain, Anda juga harus mengubah sandi di situs tersebut menjadi sandi yang unik dan kuat yang hanya Anda gunakan untuk situs tersebut.

Menggunakan kata sandi unik di setiap situs Anda memiliki akun mencegah pelanggaran data di satu situs agar tidak memengaruhi Anda di situs web lain yang Anda gunakan.
Disarankan agar Anda menggunakan pengelola kata sandi untuk membantu Anda melacak kata sandi yang unik dan kuat di setiap situs.

Source : Bleepingcomputer

Google merisilis zero-day baru yang sedang dieksploitasi hacker

by

Google telah menjatuhkan rincian kerentanan yang sebelumnya tidak diungkapkan di Windows, yang dikatakan oleh peretas secara aktif mengeksploitasi. Akibatnya, Google memberi Microsoft waktu seminggu untuk memperbaiki kerentanan tersebut. Tenggat waktu itu datang dan pergi, dan Google menerbitkan detail kerentanan siang ini.

Kerentanan tersebut tidak memiliki nama tetapi diberi label CVE-2020-17087, dan memengaruhi setidaknya Windows 7 dan Windows 10.

Project Zero Google, kelompok elit pemburu bug keamanan yang membuat penemuan tersebut, mengatakan bahwa bug tersebut memungkinkan penyerang untuk meningkatkan tingkat akses pengguna mereka di Windows. Penyerang menggunakan kerentanan Windows sehubungan dengan bug terpisah di Chrome, yang diungkapkan dan diperbaiki Google minggu lalu. Bug baru ini memungkinkan penyerang untuk keluar dari kotak pasir Chrome, biasanya diisolasi dari aplikasi lain, dan menjalankan malware di sistem operasi.

Namun tidak jelas siapa penyerang atau motif mereka. Direktur Threat Intelligence Google Shane Huntley mengatakan bahwa serangan itu “ditargetkan” dan tidak terkait dengan pemilihan AS.

Seorang juru bicara Microsoft juga menambahkan bahwa serangan yang dilaporkan “sangat terbatas dan bertarget di internet, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas.”

Ini adalah yang terbaru dari daftar kelemahan utama yang memengaruhi Windows tahun ini. Microsoft mengatakan pada bulan Januari bahwa Badan Keamanan Nasional membantu menemukan bug kriptografi di Windows 10, meskipun tidak ada bukti eksploitasi. Namun pada bulan Juni dan September, Homeland Security mengeluarkan peringatan atas dua bug Windows “kritis” – satu yang memiliki kemampuan untuk menyebar ke seluruh internet, dan yang lainnya dapat memperoleh akses penuh ke seluruh jaringan Windows.

Source : Techcrunch

RAT Windows baru dapat dikendalikan melalui saluran Telegram

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru yang diiklankan di forum peretasan bawah tanah berbahasa Rusia.

Dinamakan T-RAT, malware ini tersedia hanya dengan $45, dan nilai jual utamanya adalah kemampuan untuk mengontrol sistem yang terinfeksi melalui saluran Telegram, daripada panel administrasi berbasis web.

Penulisnya mengklaim ini memberi pembeli akses yang lebih cepat dan lebih mudah ke komputer yang terinfeksi dari lokasi mana pun, memungkinkan pelaku ancaman untuk mengaktifkan fitur pencurian data segera setelah korban terinfeksi, sebelum kehadiran RAT ditemukan.

Untuk ini, saluran Telegram RAT mendukung 98 perintah yang, ketika diketik di dalam jendela obrolan utama, memungkinkan pemilik RAT untuk mengambil kata sandi dan cookie browser, menavigasi sistem file korban dan mencari data sensitif, menggunakan keylogger, merekam audio melalui mikrofon, mengambil tangkapan layar dari desktop korban, mengambil gambar melalui webcam, dan mengambil konten clipboard.

Sistem perintah dan kontrol sekunder tersedia melalui RDP atau VNC, tetapi fitur Telegram adalah yang diiklankan kepada pembeli, terutama karena kemudahan pemasangan dan penggunaan.

Penggunaan Telegram sebagai sistem komando dan kontrol telah menjadi tren dalam beberapa tahun terakhir, dan T-RAT bahkan bukan RAT pertama yang menerapkan model seperti itu.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

by

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

by

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

Sumber: SANS ISC InfoSec Forums

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Sumber: SANS ISC InfoSec Forums

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums

Peretas China Menargetkan Kampanye Biden Meniru McAfee Antivirus, Kata Google

by

Peretas menggunakan berbagai metode untuk menargetkan korbannya. mereka kerap memikat pengguna melalui email phishing. Sekarang, mereka telah menemukan cara unik lain meniru antivirus McAfee untuk mengelabui pengguna agar mengunduh malware.

Menurut tim keamanan Google, trik baru telah dikembangkan oleh kelompok peretas China APT31, juga dikenal sebagai Zirkonium, dan target utama mereka adalah orang-orang terkenal, termasuk kampanye pemilihan Presiden calon Demokrat AS Joe Biden. Google mengatakan targetnya adalah akun email pribadi stafnya.
Dalam sebuah posting blog pada hari Jumat, tim keamanan Google mengungkapkan bahwa mereka telah mengidentifikasi tautan email phishing yang dirancang untuk memikat korban agar mengunduh malware yang dikembangkan menggunakan kode Python. Melalui itu, peretas dapat mengubah kode berbahaya menggunakan Dropbox, layanan penyimpanan cloud gratis.

“Malware memungkinkan penyerang untuk mengunggah dan mengunduh file serta menjalankan perintah sewenang-wenang. Setiap bagian berbahaya dari serangan ini dihosting pada layanan yang sah, sehingga mempersulit pembela untuk mengandalkan sinyal jaringan untuk mendeteksi,” kata Shane Huntley, seorang peneliti keamanan dari Google di posting blog.

Menyamar sebagai McAfee Antivirus

Aspek paling menarik dari upaya peretasan ini adalah bahwa mereka mengembangkan teknik canggih untuk menyamarkan upaya phishing dalam versi perangkat lunak antivirus McAfee yang sah. “Target akan diminta untuk menginstal versi sah dari perangkat lunak antivirus McAfee dari GitHub, sementara malware itu secara bersamaan diinstal ke sistem secara diam-diam,” kata Huntley.

Namun, serangan malware tidak hanya menargetkan staf kampanye Biden. Sebelumnya, Microsoft juga mencatat bahwa anggota terkemuka dari komunitas hubungan internasional, akademisi dari lebih dari 15 universitas menjadi sasaran. Penggunaan perangkat lunak antivirus populer McAfee mungkin mengejutkan, tetapi Google mengatakan peretas yang didukung negara sebelumnya telah menggunakan perangkat lunak resmi untuk menyamarkan perangkat lunak jahat.

Google mengatakan serangan itu dari kelompok peretas China bernama APT31 yang diduga terkait dengan pemerintah negara itu. Raksasa teknologi itu telah mengembangkan sistem peringatan dan memfilter sebagian besar serangan berbahaya di masa lalu. Jika sistem Google mendeteksi upaya peretasan atau phishing yang didukung negara, ia akan mengirimkan peringatan, menjelaskan bahwa pemerintah asing mungkin bertanggung jawab. Huntley mengatakan bahwa Google telah membagikan temuan tersebut dengan FBI.

Microsoft dalam blognya bulan lalu juga mencatat bahwa setidaknya seorang staf kampanye pemilihan kembali Presiden AS Donald Trump juga menjadi sasaran APT31. Selain grup China, grup hacker Iran yang dikenal dengan APT35 juga sempat mengincar kampanye Trump dengan email phishing.

Source : ibtimes