Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Obfuscation

Obfuscation

Raspberry Robin Worm Menyerang Lagi, Menargetkan Sistem Telekomunikasi dan Pemerintahan

by

Worm Raspberry Robin telah digunakan dalam serangan terhadap telekomunikasi dan sistem kantor pemerintah di seluruh Amerika Latin, Australia, dan Eropa setidaknya sejak September 2022.

Microsoft melacak Raspberry Robin terkait dengan kluster aktivitas sebagai DEV-0856 yang banyak dimanfaatkan oleh penyerang sebagai mekanisme akses awal untuk mengirimkan muatan seperti LockBit dan Clop ransomware.

Malware tersebut mengandalkan drive USB yang terinfeksi sebagai sarana untuk mengunduh file pemasang MSI jahat yang menyebarkan muatan utama, yang bertanggung jawab untuk memfasilitasi pasca-eksploitasi.

Analisis Raspberry Robbin lebih lanjut mengungkapkan bahwa penggunaan teknik obfuscation untuk mencegah analisis dengan malware terdiri dari dua muatan yang disemuatkan pada sebuah pemuat muatan yang dikemas enam kali.

Tanpa sandboxing dan analisis yang diamati, muatan yang sah akan dipasang dan terhubung ke alamat .onion yang dikodekan menggunakan klien TOR khusus yang disematkan di dalamnya untuk menunggu perintah lebih lanjut.

Klien TOR menyamar sebagai proses Windows yang sah seperti dllhost.exe, regsvr32.exe, dan rundll32.exe,. Hal ini sebagai upaya besar yang dilakukan oleh aktor ancaman untuk terbang di bawah radar.

Trend Micro menemukan persamaan dalam eskalasi hak istimewa dan teknik anti-debugging yang digunakan oleh ransomware Raspberry Robin dan LockBit, yang mengisyaratkan adanya hubungan potensial antara dua aktor kriminal tersebut.

Teori perusahaan mengatakan bahwa grup di belakang Raspberry Robin adalah pembuat beberapa alat yang juga digunakan Lockbit sebagai alternatif memanfaatkan layanan afiliasi yang bertanggung jawab atas teknik yang digunakan oleh LockBit.

Selengkapnya: The Hacker News

Worm Raspberry Robin Menjatuhkan Malware Palsu Untuk Membingungkan Peneliti

by

Malware Raspberry Robin sekarang mencoba melakukan beberapa tipu daya dengan menjatuhkan muatan palsu untuk membingungkan peneliti dan menghindari deteksi ketika proses deteksi sedang dijalankan di dalam sandbox dan alat debugging.

Raspberry Robin adalah dropper malware mirip cacing yang menjual akses awal ke jaringan yang disusupi ke geng ransomware dan operator malware.

Taktik malware palsu ini ditemukan oleh para peneliti Trend Micro yang mengamati Raspberry Robin dalam serangan baru-baru ini terhadap penyedia layanan telekomunikasi dan sistem pemerintahan.

Malware mencapai sistem yang ditargetkan melalui drive USB berbahaya yang menginfeksi perangkat dengan malware saat dimasukkan dan disertakan.

Rantai infeksi khas Raspberry Robin (Trend Micro)

Masalah Ganda
Malware ini disamarkan untuk menyembunyikan kodenya dari pemeriksaan keamanan, menampilkan banyak lapisan yang berisi nilai hard-coded untuk mendekripsi yang berikutnya.

Namun, untuk mempersulit peneliti keamanan untuk menganalisis malware, Raspberry Robin mulai menjatuhkan dua muatan yang berbeda tergantung pada bagaimana perangkat dijalankan.

Jika malware mendeteksi itu berjalan di dalam sandbox, menunjukkan kemungkinan sedang dianalisis, pemuat menjatuhkan muatan palsu. Jika tidak, itu akan meluncurkan malware Raspberry Robin yang sebenarnya.

Diagram lapisan packing (Trend Micro)

Muatan palsu ini menampilkan dua lapisan tambahan, kode shell dengan file PE tersemat dan file PE dengan header MZ dan tanda tangan PE dihapus. Setelah dijalankan, ia mencoba membaca registri Windows untuk menemukan penanda infeksi dan kemudian mulai mengumpulkan informasi sistem dasar.

Setelah siap, malware mencoba terhubung ke alamat Tor yang dikodekan dan membuat saluran pertukaran informasi dengan operatornya.

LockBit Ransomware Memiliki Kesamaan
Menurut analis Trend Micro, penambahan baru-baru ini dalam TTP Raspberry Robin (taktik, teknik, dan prosedur) memiliki kesamaan dengan LockBit.Dua kesamaan utama yaitu menggunakan teknik kalibrasi ICM untuk eskalasi hak istimewa dan alat ‘TreadHideFromDebugger’ untuk anti-debugging.

Meskipun temuan ini penting, namun bukan merupakan bukti hubungan antara keduanya. Temuan ini dapat berfungsi sebagai tolok ukur dalam penelitian di masa mendatang.

Kampanye Raspberry Robin saat ini lebih merupakan upaya pengintaian untuk mengevaluasi keefektifan mekanisme baru daripada langkah awal dalam serangan yang sebenarnya.

Selengkapnya: BLEEPINGCOMPUTER

Sekitar 26% dari semua ancaman JavaScript berbahaya dikaburkan

by

Sebuah penelitian yang menganalisis lebih dari 10.000 sampel beragam malware yang ditulis dalam JavaScript menyimpulkan bahwa sekitar 26% di antaranya dikaburkan (Obfuscated) untuk menghindari deteksi dan analisis.

Obfuscation adalah ketika kode sumber yang mudah dipahami diubah menjadi kode yang sulit dipahami dan membingungkan yang masih beroperasi sebagaimana dimaksud.

Pelaku ancaman biasanya menggunakan obfuscation untuk mempersulit analisis skrip berbahaya dan untuk melewati perangkat lunak keamanan.

Peneliti Akamai telah menganalisis 10.000 sampel JavaScript termasuk malware dropper, halaman phishing, alat scamming, snippet Magecart, cryptominers, dll.

Setidaknya 26% dari mereka menggunakan beberapa bentuk obfuscation untuk menghindari deteksi, menunjukkan peningkatan dalam adopsi teknik dasar namun efektif ini.

Sebagian besar sampel yang dikaburkan ini tampaknya memiliki kode yang serupa karena dibundel oleh packers yang sama, sehingga struktur kodenya terlihat serupa meskipun fungsinya berbeda.

Akamai berencana untuk mempresentasikan detail lebih lanjut tentang bagaimana mereka memfokuskan upaya deteksi mereka pada teknik pengemasan daripada kode file itu sendiri dalam konferensi SecTor yang akan datang.

Tetapi tidak semua obfuscation itu berbahaya atau rumit. Seperti yang dijelaskan dalam laporan, sekitar 0,5% dari 20.000 situs web peringkat teratas di web (menurut Alexa), juga menggunakan teknik obfuscation.

Dengan demikian, mendeteksi kode berbahaya berdasarkan fakta bahwa kode tersebut dikaburkan tidaklah cukup, dan korelasi lebih lanjut dengan fungsi berbahaya perlu dilakukan.

Selengkapnya: Bleeping Computer

Alat Spyware Terkenal Ditemukan Bersembunyi Di Bawah Empat Lapisan Obfuscation

by

FinFisher/FinSpy, spyware komersial yang terkenal dan sangat kontroversial yang dijual oleh perusahaan Jerman FinFisher ke negara-bangsa dan penegak hukum untuk tujuan pengawasan, sekarang membungkus dirinya dalam empat lapisan obfuscation dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Para peneliti di perusahaan keamanan Kaspersky yang berbasis di Moskow membutuhkan waktu delapan bulan untuk melakukan reverse engineering dan analisis penuh untuk mengungkap versi baru spyware yang sangat tersembunyi ini untuk Windows, Mac OS, dan Linux.

Selain metode obfuscation empat lapis, spyware juga sekarang menggunakan bootkit UEFI (Unified Extensible Firmware Interface) untuk menginfeksi targetnya, dan juga mengenkripsi malware dalam memori, menurut para peneliti. Penelitian tim Kaspersky dimulai pada 2019, dan mereka akhirnya membagikan temuan mereka di KTT Analis Keamanan online Kaspersky.

Para peneliti sebelumnya telah menemukan installer berbahaya untuk TeamViewer, VLC Media Player, dan WinRAR yang tidak memiliki tautan ke malware yang diketahui. Tetapi ketika mereka menemukan situs web berbahasa Burma dengan installer yang sama, serta sampel FinFisher untuk Android, mereka berputar kembali ke installer sebelumnya dan menghubungkan titik-titik ke FinFisher/FinSpy.

Bagaimana FinSpy masuk ke mesin korban yang diteliti oleh para peneliti tidak diketahui, tetapi mungkin saja penyerang memiliki akses fisik atau mencuri kredensial administratif.

Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global (GReAT) Kaspersky mengatakan para korban entah bagaimana mengunduh dan secara tidak sengaja menginstal malware tahap pertama.

Selengkapnya: Dark Reading

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

by

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Sumber: Bleeping Computer

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

File jQuery palsu menginfeksi situs WordPress dengan malware

by

Peneliti keamanan telah menemukan versi palsu dari plugin jQuery Migrate yang disuntikkan ke lusinan situs web yang berisi kode yang dikaburkan (obfuscated) untuk memuat malware.

File-file ini diberi nama jquery-migrate.js dan jquery-migrate.min.js dan ada di lokasi yang tepat di mana file JavaScript biasanya ada di situs WordPress tetapi sebenarnya berbahaya.

Saat ini, lebih dari 7,2 juta situs web menggunakan plugin jQuery Migrate, yang menjelaskan mengapa penyerang menyamarkan malware mereka dengan nama plugin populer ini.

Peneliti keamanan Denis Sinegubko dan Adrian Stoian melihat file jQuery palsu yang meniru plugin jQuery Migrate di puluhan situs web minggu ini.

Meskipun skala penuh serangan ini belum ditentukan, Sinegubko membagikan kueri penelusuran yang menunjukkan lebih dari tiga lusin halaman yang saat ini terinfeksi skrip analitik berbahaya.

Bertentangan dengan namanya, bagaimanapun, file analitik tidak ada hubungannya dengan pengumpulan metrik situs web:

Sumber: BleepingComputer

BleepingComputer menganalisis beberapa kode yang dikaburkan yang ada di file.

Kode tersebut memiliki referensi ke “/wp-admin/user-new.php” yang merupakan halaman administrasi WordPress untuk membuat pengguna baru. Selain itu, kode mengakses variabel _wpnonce_create-user yang digunakan WordPress untuk menerapkan perlindungan Cross-Site Request Forgery (CSRF).

Secara umum, dapat memperoleh atau menyetel token CSRF akan memberi penyerang kemampuan untuk membuat permintaan palsu atas nama pengguna.

Menyuntikkan skrip seperti ini di situs WordPress memungkinkan penyerang melakukan berbagai aktivitas berbahaya termasuk apa pun dari penipuan Magecart untuk skimming kartu kredit hingga mengarahkan pengguna ke situs scam.

Namun, dalam kasus ini, fungsi checkme() mencoba mengalihkan jendela browser pengguna ke URL berbahaya yang diidentifikasi oleh BleepingComputer.

Selengkapnya: Bleeping Computer

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

by

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Sumber: BleepingComputer

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Sumber: BleepingComputer

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Sumber: BleepingComputer

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer