Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for .NET

.NET

Peretas Iran Menggunakan Backdoor PowerShell Baru dalam Serangan Espionage Cyber

by

Kelompok ancaman Iran telah memperbarui perangkat malwarenya untuk memasukkan implan berbasis PowerShell baru yang disebut PowerLess Backdoor.

Perusahaan keamanan siber di Boston mengaitkan malware tersebut dengan kelompok peretasan yang dikenal sebagai Charming Kitten (alias Fosfor, APT35, atau TA453), sementara juga menyerukan eksekusi PowerShell yang mengelak dari pintu belakang.

“Kode PowerShell berjalan dalam konteks aplikasi .NET, sehingga tidak meluncurkan ‘powershell.exe’ yang memungkinkannya untuk menghindari produk keamanan,” Daniel Frank, peneliti malware senior di Cybereason, mengatakan. “Toolset yang dianalisis mencakup malware multi-tahap yang sangat modular yang mendekripsi dan menyebarkan muatan tambahan dalam beberapa tahap demi siluman dan kemanjuran.”

Awal bulan ini, Check Point Research mengungkapkan rincian operasi spionase yang melibatkan kelompok peretas yang mengeksploitasi kerentanan Log4Shell untuk menyebarkan pintu belakang modular yang dijuluki CharmPower untuk serangan lanjutan.

Penyempurnaan terbaru pada arsenalnya, merupakan perangkat yang sepenuhnya baru yang mencakup PowerLess Backdoor, yang mampu mengunduh dan menjalankan modul tambahan seperti browser info-stealer dan keylogger.

Juga berpotensi terkait dengan pengembang pintu belakang yang sama adalah sejumlah artefak malware lainnya, termasuk perekam audio, varian pencuri informasi sebelumnya, dan apa yang para peneliti duga sebagai varian ransomware yang belum selesai dikodekan dalam .NET.

Selain itu, infrastruktur tumpang tindih telah diidentifikasi antara kelompok Fosfor dan jenis ransomware baru yang disebut Memento, yang pertama kali muncul pada November 2021 dan mengambil langkah yang tidak biasa dengan mengunci file dalam arsip yang dilindungi kata sandi, diikuti dengan mengenkripsi kata sandi dan menghapus file asli, setelah upaya mereka untuk mengenkripsi file secara langsung diblokir oleh perlindungan titik akhir.

Sumber : The Hacker News

Peretas menyalahgunakan layanan Windows error dalam serangan malware tanpa file

by

Grup peretasan tak dikenal menyuntikkan kode berbahaya dalam layanan Windows Error Reporting (WER) yang sah untuk menghindari deteksi sebagai bagian dari serangan malware fileless seperti yang ditemukan oleh peneliti Malwarebytes bulan lalu.

Memanfaatkan layanan WER dalam serangan untuk menghindari pertahanan bukanlah taktik baru tetapi, seperti yang dikatakan oleh peneliti Malwarebytes Threat Intelligence Team Hossein Jazi dan Jérôme Segura, kampanye ini kemungkinan besar adalah hasil kerja dari kelompok spionase siber yang belum diketahui.

“Pelaku ancaman menyusupi situs web untuk menampung muatannya dan menggunakan kerangka CactusTorch untuk melakukan serangan fileless yang diikuti oleh beberapa teknik anti-analisis,” jelas laporan tersebut, yang dibagikan sebelumnya dengan BleepingComputer.

Muatan awal yang berbahaya masuk ke komputer target melalui spear-phishing email menggunakan klaim kompensasi pekerja sebagai umpan.

Setelah dibuka, dokumen akan mengeksekusi kode shell melalui makro berbahaya yang diidentifikasi sebagai modul CactusTorch VBA yang memuat muatan .NET langsung ke memori perangkat Windows yang sekarang terinfeksi.

Pada langkah berikutnya, binary ini dijalankan dari memori komputer tanpa meninggalkan jejak pada hard drive, memasukkan kode shell yang tertanam ke dalam WerFault.exe, proses Windows layanan WER.

Jika semua pemeriksaan dilewati dan malware yang dimuat terasa cukup aman untuk melanjutkan ke langkah berikutnya, malware akan mendekripsi dan memuat kode shell terakhir di thread WER yang baru dibuat, yang akan dieksekusi di thread baru.

Muatan malware terakhir yang dihosting di asia-kotoba[.]Net dalam bentuk favicon palsu kemudian akan diunduh dan dimasukkan ke dalam proses baru.

Sementara para peneliti Malwarebytes tidak dapat mengaitkan serangan itu dengan kelompok peretas mana pun dengan cukup percaya diri, beberapa indikator kompromi dan taktik yang digunakan mengarah ke kelompok spionase cyber APT32 yang didukung Vietnam (juga dilacak sebagai OceanLotus dan SeaLotus).

Sayangnya, Malwarebytes tidak berhasil mendapatkan salinan muatan terakhir setelah menyelidiki serangan ini untuk membuat koneksi langsung.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Geng malware menggunakan library .NET untuk menghasilkan dokumen Excel yang melewati pemeriksaan keamanan

by

Geng malware yang baru ditemukan menggunakan trik cerdas untuk membuat file Excel berbahaya yang memiliki tingkat deteksi rendah dan peluang lebih tinggi untuk menghindari sistem keamanan.

Ditemukan oleh peneliti keamanan dari NVISO Labs, geng malware ini – yang mereka beri nama Epic Manchego – telah aktif sejak Juni, menargetkan perusahaan di seluruh dunia dengan email phishing yang membawa dokumen Excel berbahaya. File Excel yang berbahaya ini melewati pemindai keamanan dan memiliki tingkat deteksi yang rendah.

Menurut NVISO, ini karena dokumen tidak dikompilasi dalam perangkat lunak Microsoft Office standar, tetapi dengan library .NET yang disebut EPPlus.

Pengembang biasanya menggunakan bagian library ini dari aplikasi mereka untuk menambahkan fungsi “Ekspor sebagai Excel” atau “Simpan sebagai spreadsheet”. Library dapat digunakan untuk menghasilkan file dalam berbagai format spreadsheet, dan bahkan mendukung Excel 2019.

NVISO mengatakan bahwa geng Epic Manchego tampaknya telah menggunakan EPPlus untuk menghasilkan file spreadsheet dalam format Office Open XML (OOXML).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet