RAT

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

October 22, 2021 by Winnie the Pooh

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Spyware Cina Baru Digunakan dalam Serangan Spionase Siber yang Meluas

August 5, 2021 by Winnie the Pooh

Seorang aktor ancaman yang diduga berasal dari China telah dikaitkan dengan serangkaian 10 serangan yang menargetkan Mongolia, Rusia, Belarusia, Kanada, dan AS dari Januari hingga Juli 2021 yang melibatkan penyebaran trojan akses jarak jauh (RAT) pada sistem yang terinfeksi, menurut penelitian baru.

Intrusi telah dikaitkan dengan ancaman persisten canggih bernama APT31 (FireEye), yang dilacak oleh komunitas keamanan siber sebagai moniker Zirkonium (Microsoft), Judgment Panda (CrowdStrike), dan Bronze Vinewood (Secureworks).

Kelompok tersebut adalah “aktor spionase cyber China-nexus yang berfokus pada perolehan informasi yang dapat memberikan keuntungan politik, ekonomi, dan militer kepada pemerintah China dan perusahaan milik negara,” menurut FireEye.

Positive Technologies, dalam sebuah tulisan yang diterbitkan Selasa, mengungkapkan dropper malware baru yang digunakan untuk memfasilitasi serangan, termasuk pengambilan muatan terenkripsi tahap berikutnya dari server perintah-dan-kontrol jarak jauh, yang kemudian didekodekan untuk mengeksekusi pintu belakang.

Kode berbahaya hadir dengan kapasitas untuk mengunduh malware lain, yang berpotensi menempatkan korban yang terkena dampak pada risiko lebih lanjut, serta melakukan operasi file, mengekstrak data sensitif, dan bahkan menghapus dirinya sendiri dari mesin yang disusupi.

Juga patut dicatat bahwa kesamaan malware dengan trojan bernama DropboxAES RAT yang digunakan oleh kelompok ancaman yang sama tahun lalu dan mengandalkan Dropbox untuk komunikasi command-and-control (C2), dengan banyak tumpang tindih yang ditemukan di teknik dan mekanisme yang digunakan untuk menyuntikkan kode serangan, mendaptkan persistence, dan mekanisme yang digunakan untuk menghapus alat spionase.

Selengkapnya: The Hacker News

Crimea “manifesto” menyebarkan VBA Rat menggunakan vektor serangan ganda

July 31, 2021 by Winnie the Pooh

Pada 21 Juli 2021, kami mengidentifikasi dokumen mencurigakan bernama “Манифест.docx” (“Manifest.docx”) yang mengunduh dan menjalankan dua template: satu berkemampuan makro dan yang lainnya adalah objek html yang berisi eksploitasi Internet Explorer.

Sementara kedua teknik mengandalkan injeksi template untuk menjatuhkan Trojan Akses Jarak Jauh berfitur lengkap, eksploitasi IE (CVE-2021-26411) yang sebelumnya digunakan oleh Lazarus APT adalah penemuan yang tidak biasa. Penyerang mungkin ingin menggabungkan teknik rekayasa sosial dengan eksploitasi yang diketahui untuk memaksimalkan peluang mereka menginfeksi target.

Kami juga menemukan panel yang digunakan oleh aktor ancaman yang dijuluki “Ekipa” yang dapat diterjemahkan menjadi “tim.” Korban dilacak dan statistik mencakup apakah eksploitasi IE berhasil atau tidak.

Kami tidak dapat menentukan siapa yang mungkin berada di balik serangan ini berdasarkan teknik saja, tetapi dokumen umpan yang ditampilkan kepada para korban mungkin memberikan beberapa petunjuk. Ini berisi pernyataan dari kelompok yang berhubungan dengan Andrey Sergeevich Portyko dan menentang kebijakan Putin di semenanjung Krimea.

selengkapnya : blog.malwarebytes.com

Pakar Mengungkap Serangan Malware yang Menargetkan Jaringan Perusahaan di Amerika Latin

July 10, 2021 by Winnie the Pooh

Peneliti keamanan siber pada hari Kamis mengumumkan kampanye spionase baru yang sedang berlangsung yang menargetkan jaringan perusahaan di negara-negara berbahasa Spanyol, khususnya Venezuela, untuk memata-matai para korbannya.

Dijuluki “Bandidos” oleh ESET karena penggunaan varian malware Bandook yang ditingkatkan, target utama pelaku ancaman adalah jaringan perusahaan di negara Amerika Selatan yang mencakup sektor manufaktur, konstruksi, perawatan kesehatan, layanan perangkat lunak, dan ritel.

Ditulis dalam Delphi dan C++, Bandook memiliki sejarah dijual sebagai trojan akses jarak jauh komersial (RAT) sejak tahun 2005. Sejak itu, banyak varian telah muncul di lanskap ancaman dan digunakan dalam kampanye pengawasan yang berbeda. pada tahun 2015 dan 2017, diduga oleh kelompok tentara bayaran cyber yang dikenal sebagai Dark Caracal atas nama kepentingan pemerintah di Kazakhstan dan Lebanon.

Dalam kebangkitan Trojan Bandook yang berkelanjutan, Check Point tahun lalu mengungkapkan tiga sampel baru — salah satunya mendukung 120 perintah — yang digunakan oleh musuh yang sama untuk menyerang pemerintah, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum yang berlokasi di Chili, Siprus, Jerman, Indonesia, Italia, Singapura, Swiss, Turki, dan AS

Rantai serangan terbaru dimulai dengan calon korban menerima email berbahaya dengan lampiran PDF, yang berisi URL singkat untuk mengunduh arsip terkompresi yang dihosting di Google Cloud, SpiderOak, atau pCloud dan kata sandi untuk mengekstraknya. Mengekstrak arsip mengungkapkan penetes malware yang memecahkan kode dan menyuntikkan Bandook ke dalam proses Internet Explorer.

selengkapnya : thehackernews.com

Microsoft: SEO poisoning digunakan untuk target backdoor dengan malware

June 16, 2021 by Winnie the Pooh

Microsoft melacak serangkaian serangan yang menggunakan SEO poisoning untuk menginfeksi target dengan trojan akses jarak jauh (RAT) yang mampu mencuri informasi sensitif korban dan melakukan backdoor pada sistem mereka.

Malware yang dikirim dalam kampanye ini adalah SolarMarker (alias Jupyter, Polazert, dan Yellow Cockatoo), RAT .NET yang berjalan di memori dan digunakan oleh penyerang untuk menjatuhkan muatan lain pada perangkat yang terinfeksi.

SolarMarker dirancang untuk memberi masternya pintu belakang ke sistem yang disusupi dan mencuri kredensial dari browser web.

Data yang berhasil dipanen dari sistem yang terinfeksi dieksfiltrasi ke server perintah-dan-kontrol. Malware juga akan mendapatkan ketekunan dengan menambahkan dirinya ke folder Startup dan memodifikasi pintasan di desktop korban.

Pada bulan April, peneliti eSentire mengamati aktor ancaman di balik SolarMaker membanjiri hasil pencarian dengan lebih dari 100.000 halaman web yang mengklaim menyediakan formulir kantor gratis (misalnya, faktur, kuesioner, tanda terima, dan resume).

Dalam serangan terbaru yang ditemukan oleh Microsoft, penyerang telah beralih ke dokumen berisi kata kunci yang dihosting di AWS dan Strikingly, dan sekarang menargetkan sektor lain, termasuk keuangan dan pendidikan.

Setelah korban menemukan salah satu PDF perusak dan membukanya, mereka akan diminta untuk mengunduh dokumen PDF atau DOC lain yang berisi informasi yang mereka cari.

Alih-alih mendapatkan akses ke info, mereka diarahkan melalui beberapa situs web menggunakan .site, .tk, dan .ga TLD ke halaman web Google Drive yang dikloning di mana mereka menyajikan muatan terakhir, malware SolarMaker.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan: Waspadai malware baru ini yang mencuri kata sandi, kamera web, dan data browser

May 16, 2021 by Winnie the Pooh

Microsoft telah mengeluarkan peringatan atas alat akses jarak jauh (RAT) yang dijuluki RevengeRAT yang dikatakan telah digunakan untuk menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing.

RevengeRAT, juga dikenal sebagai AsyncRAT, didistribusikan melalui pesan email yang dibuat dengan hati-hati yang meminta karyawan untuk membuka file yang menyamar sebagai lampiran file Adobe PDF yang sebenarnya mengunduh file berbahaya visual basic (VB).

Menurut Microsoft, email phishing mendistribusikan loader yang kemudian mengirimkan RevengeRAT atau AsyncRAT. Morphisec mengatakan itu juga memberikan RAT Agent Tesla.

“Kampanye menggunakan email yang menipu organisasi yang sah, dengan umpan yang relevan dengan penerbangan, perjalanan, atau kargo. Gambar yang menyamar sebagai file PDF berisi tautan yang disematkan (biasanya menyalahgunakan layanan web yang sah) yang mengunduh VBScript berbahaya, yang menjatuhkan muatan RAT , “Kata Microsoft.

Morphisec menamai layanan cryptor “Snip3” berdasarkan nama pengguna yang diambil dari malware yang ditemukan pada varian sebelumnya.

Snip3 telah dikonfigurasi untuk tidak memuat RAT jika mendeteksi itu dijalankan dalam Windows Sandbox – fitur keamanan mesin virtual yang diperkenalkan Microsoft pada 2018. Windows Sandbox dimaksudkan untuk memungkinkan pengguna tingkat lanjut untuk menjalankan file yang berpotensi berbahaya dalam sandbox aman yang dimenangkan. tidak mempengaruhi sistem operasi host.

“Jika dikonfigurasi oleh [penyerang], PowerShell mengimplementasikan fungsi yang mencoba mendeteksi apakah skrip dijalankan dalam lingkungan Microsoft Sandbox, VMWare, VirtualBox, atau Sandboxie,” kata Morphisec.

selengkapnya : www.zdnet.com

Malware tersembunyi di cheat dan mod game yang digunakan untuk menargetkan gamer

April 1, 2021 by Winnie the Pooh

Pelaku ancaman menargetkan pemain game dengan tweak, patch, dan cheat game backdoor yang menyembunyikan malware yang mampu mencuri informasi dari sistem yang terinfeksi.

Para penyerang kebanyakan menggunakan saluran media sosial dan video petunjuk YouTube untuk mengiklankan alat permainan terkait modding yang mengandung malware.

Peneliti Cisco Talos yang melihat beberapa kampanye menggunakan taktik ini mengatakan bahwa mereka “telah melihat beberapa alat kecil yang tampak seperti patch game, tweak, atau alat modding” ditanami dengan malware yang dikaburkan.

Salah satu jenis malware yang disebarkan pada komputer gamer yang terinfeksi adalah XtremeRAT (alias ExtRat), trojan akses jarak jauh (RAT) yang tersedia secara komersial yang digunakan dalam serangan yang ditargetkan dan kejahatan siber tradisional sejak setidaknya tahun 2010.

XtremeRAT memungkinkan operatornya untuk mengekstrak dokumen dari sistem yang dikompromikan, mencatat penekanan tombol, menangkap tangkapan layar, merekam audio menggunakan kamera web atau mikrofon, berinteraksi langsung dengan korban melalui remote shells, dan banyak lagi.

Game cheats adalah sumber infeksi malware yang diketahui dan telah digunakan untuk menginfeksi pemain dengan trojan akses jarak jauh, penambang cryptocurrency, dan jenis malware lainnya.

Tetapi para gamer juga menjadi sasaran serangan lain yang lebih kompleks. Misalnya, bulan lalu, para peneliti ESET menemukan bahwa aktor ancaman yang tidak dikenal membahayakan mekanisme pembaruan emulator Android untuk Windows dan macOS untuk menginfeksi gamer dengan malware.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi situs web untuk memberi mereka SEO yang sangat baik sebelum menyebarkan malware

March 2, 2021 by Winnie the Pooh

Penjahat siber telah beralih ke teknik pengoptimalan mesin telusur (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, apa yang disebut metode “deoptimization” mesin pencari mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke atas peringkat Google.

Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, alat eksploitasi, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik, yang dijuluki “Gootloader,” melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan di situs web yang diretas yang diamati oleh Sophos, di mana modifikasi “halus” dibuat untuk “menulis ulang bagaimana konten situs web ditampilkan ke situs tertentu.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Korban yang mengklik tautan unduhan langsung akan menerima file arsip .zip, dinamai sesuai dengan istilah pencarian, yang berisi file .js.

Menurut Sophos, teknik tersebut digunakan untuk menyebarkan Trojan perbankan Gootkit, Kronos, Cobalt Strike, dan REvil ransomware, di antara varian malware lainnya, di Korea Selatan, Jerman, Prancis, dan Amerika Serikat.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RAT

Cookies Settings