Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Spyware

Spyware

Spyware ‘anomali’ mencuri kredensial di perusahaan industri

by

Para peneliti telah menemukan beberapa kampanye spyware yang menargetkan perusahaan industri, yang bertujuan untuk mencuri kredensial akun email dan melakukan penipuan keuangan atau menjualnya kembali kepada aktor lain.

Para aktor menggunakan alat spyware yang tersedia tetapi hanya menggunakan setiap varian untuk waktu yang sangat terbatas untuk menghindari deteksi.

Contoh malware yang digunakan dalam serangan termasuk AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult, dan Lokibot.

Serangan spyware ini disebut ‘anomali’ karena sifatnya yang berumur sangat pendek yaitu sekitar 25 hari, sedangkan sebagian besar kampanye spyware berlangsung selama beberapa bulan atau bahkan bertahun-tahun.

Durasi serangan dibandingkan dengan statistik dari semua deteksi
Sumber: Kaspersky

Jumlah sistem yang diserang dalam kampanye ini selalu di bawah seratus, setengahnya adalah mesin ICS (sistem komputer terintegrasi) yang digunakan di lingkungan industri.

Elemen lain yang tidak biasa adalah menggunakan protokol komunikasi berbasis SMTP untuk mengekstrak data ke server C2 yang dikendalikan aktor.

SMTP adalah saluran satu arah yang hanya melayani pencurian data, SMTP berkembang melalui kesederhanaan dan kemampuannya untuk berbaur dengan lalu lintas jaringan biasa.

Mencuri kredensial untuk melanjutkan infiltrasi
Para aktor menggunakan kredensial karyawan curian yang mereka peroleh melalui spear-phishing untuk menyusup lebih dalam dan bergerak secara lateral di jaringan perusahaan.

Selain itu, mereka menggunakan kotak surat perusahaan yang dikompromikan dalam serangan sebelumnya sebagai server C2 untuk serangan baru, membuat deteksi dan penandaan korespondensi internal berbahaya menjadi sangat menantang.

diagram operasional
Sumber: Kaspersky

Dalam hal jumlah, para analis mengidentifikasi setidaknya 2.000 akun email perusahaan yang disalahgunakan sebagai server C2 sementara dan 7.000 akun email lainnya disalahgunakan dengan cara lain.

Menjual di pasar Darkweb
Banyak kredensial akun RDP, SMTP, SSH, cPanel, dan VPN email yang dicuri dalam kampanye ini diposting di pasar web gelap dan akhirnya dijual ke pelaku ancaman lainnya.

Menurut analisis statistik Kaspersky, sekitar 3,9% dari semua akun RDP yang dijual di pasar ilegal ini adalah milik perusahaan industri.

Akun RDP (protokol desktop jarak jauh) sangat berharga bagi penjahat dunia maya karena memungkinkan mereka mengakses mesin yang disusupi dari jarak jauh dan berinteraksi langsung dengan perangkat tanpa menimbulkan tanda bahaya.

Sumber : Bleeping Computer

Kampanye Spyware Massal ‘PseudoManuscrypt’ Menargetkan 35K Sistem

by

Para peneliti telah melacak spyware baru – dijuluki “PseudoManuscrypt” karena mirip dengan malware “Manuscrypt” dari kelompok ancaman persisten lanjutan (APT) Lazarus – yang mencoba mencoret-coret dirinya sendiri di lebih dari 35.000 komputer yang ditargetkan di 195 negara.

Peneliti Kaspersky mengatakan dalam laporan Kamis bahwa dari 20 Januari hingga 10 November, aktor di balik kampanye besar-besaran menargetkan organisasi pemerintah dan sistem kontrol industri (ICS) di berbagai industri, termasuk teknik, otomatisasi bangunan, energi, manufaktur, konstruksi, utilitas dan pengelolaan air.

Manuscrypt, alias NukeSped, adalah keluarga alat malware yang telah digunakan dalam kampanye spionase di masa lalu. Salah satunya adalah kampanye spear-phishing Februari yang terkait dengan Lazarus – APT Korea Utara yang produktif – yang menggunakan kluster alat ‘ThreatNeedle’ keluarga malware Manuscrypt untuk menyerang perusahaan pertahanan.

Tim ICS-CERT Kasperskiy pertama kali mendeteksi rangkaian serangan PseudoManuscrypt pada bulan Juni, ketika malware memicu deteksi antivirus yang dirancang untuk mendeteksi aktivitas Lazarus. Namun, gambaran lengkapnya tidak mengarah ke Lazarus, mengingat cipratan puluhan ribu serangan yang tidak biasa dan tidak bertarget.

Namun, Kaspersky kemudian menemukan kesamaan antara PseudoManuscrypt baru dan malware Manuscrypt Lazarus.

Malware PseudoManuscrypt memuat muatannya dari registri sistem dan mendekripsinya, para peneliti menjelaskan, dengan muatan menggunakan lokasi registri yang unik untuk setiap sistem yang terinfeksi.

“Kedua program jahat memuat muatan dari registri sistem dan mendekripsinya; dalam kedua kasus, nilai khusus dalam format CLSID digunakan untuk menentukan lokasi muatan di registri,” kata mereka. “File yang dapat dieksekusi dari kedua program jahat memiliki tabel ekspor yang hampir identik.”

Selengkapnya: Threat Post

Apple mengajukan gugatan terhadap NSO Group, mengatakan warga AS menjadi target

by

23 November (Reuters) – Apple Inc (AAPL.O) mengatakan pada Selasa bahwa pihaknya telah mengajukan gugatan terhadap perusahaan siber Israel NSO Group dan perusahaan induknya OSY Technologies atas dugaan pengawasan dan penargetan pengguna Apple AS dengan spyware Pegasus-nya.

Dalam pengaduannya yang diajukan di Pengadilan Distrik AS untuk Distrik Utara California, Apple mengatakan alat NSO digunakan dalam “upaya bersama pada tahun 2021 untuk menargetkan dan menyerang pelanggan Apple” dan bahwa “warga AS telah diawasi oleh spyware NSO pada perangkat seluler yang dapat dan melakukan lintas batas internasional.”

Apple menuduh bahwa NSO Group membuat lebih dari 100 kredensial pengguna ID Apple palsu untuk melakukan serangannya. Apple mengatakan bahwa servernya tidak diretas, tetapi NSO menyalahgunakan dan memanipulasi server untuk mengirimkan serangan ke pengguna Apple.

Apple juga menuduh bahwa NSO Group terlibat langsung dalam menyediakan layanan konsultasi untuk serangan tersebut, yang patut diperhatikan karena NSO telah menyatakan bahwa mereka menjual alatnya kepada klien.

“Terdakwa memaksa Apple untuk terlibat dalam perlombaan senjata terus-menerus: Bahkan saat Apple mengembangkan solusi dan meningkatkan keamanan perangkatnya, Tergugat terus memperbarui malware dan eksploitasi mereka untuk mengatasi peningkatan keamanan Apple sendiri,” kata Apple.

Apple mengatakan sejauh ini tidak melihat bukti alat NSO digunakan terhadap perangkat Apple yang menggunakan iOS 15, versi terbaru dari sistem operasi selulernya.

Pembuat iPhone mengatakan bahwa mereka akan mendonasikan $10 juta, serta semua ganti rugi yang dipulihkan dalam gugatan, kepada kelompok penelitian pengawasan siber termasuk Citizen Lab, kelompok Universitas Toronto yang pertama kali menemukan serangan NSO.

Selengkapnya: Reuters

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

by

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

PhoneSpy: Kampanye spyware Android yang menargetkan pengguna Korea Selatan

by

Kampanye spyware yang dijuluki ‘PhoneSpy’ menargetkan pengguna Korea Selatan melalui berbagai aplikasi gaya hidup yang bersarang di perangkat dan mengekstrak data secara diam-diam. Kampanye ini menyebarkan malware Android yang kuat yang mampu mencuri informasi sensitif dari pengguna dan mengambil alih mikrofon dan kamera perangkat.

Zimperium mengidentifikasi 23 aplikasi bertali yang muncul sebagai aplikasi gaya hidup yang tidak berbahaya, tetapi di latar belakang, aplikasi tersebut berjalan sepanjang waktu, diam-diam memata-matai pengguna.

Aplikasi meminta korban untuk memberikan banyak izin saat penginstalan, yang merupakan satu-satunya tahap di mana pengguna yang berhati-hati akan melihat tanda-tanda masalah.

Spyware yang bersembunyi tersebut dapat melakukan hal berikut :

  • Ambil daftar lengkap aplikasi yang diinstal
  • Copot pemasangan aplikasi apa pun di perangkat
  • Instal aplikasi dengan mengunduh APK dari tautan yang disediakan oleh C2
  • Curi kredensial menggunakan URL phishing yang dikirim oleh C2
  • Mencuri gambar (dari memori internal dan kartu SD)

    • untuk daftar selengkapnya klik sumber : Bleeping Computer

Spektrum data yang dicuri mendukung hampir semua aktivitas jahat, mulai dari memata-matai hingga melakukan spionase dunia maya perusahaan dan memeras orang.

Selain itu beberapa aplikasi juga secara aktif mencoba mencuri kredensial orang dengan menampilkan halaman login palsu untuk berbagai situs. Template phishing yang digunakan dalam kampanye PhoneSpy meniru portal masuk akun Facebook, Instagram, Kakao, dan akun Google.

Saluran distribusi awal untuk aplikasi yang dicampur tidak diketahui, dan pelaku ancaman tidak mengunggah aplikasi ke Google Play Store. Itu dapat didistribusikan melalui situs web, toko APK pihak yang tidak jelas, media sosial, forum, atau bahkan webhard dan torrent.

Menggunakan teks SMS meningkatkan kemungkinan penerima mengetuk tautan yang mengarah untuk mengunduh aplikasi yang dicampur karena berasal dari orang yang mereka kenal dan percayai.

Selengkpanya : Bleeping Computer

NSO Group: Perusahaan spyware Israel ditambahkan ke daftar hitam perdagangan AS

by Leave a Comment

Perusahaan Israel di balik spyware Pegasus yang kontroversial telah ditambahkan ke daftar hitam perdagangan AS.

Pegasus dilaporkan telah digunakan oleh negara-negara untuk menargetkan telepon para aktivis hak asasi dan jurnalis.

AS kini telah menempatkan pembuatnya, NSO Group, pada “daftar entitas”, yang melarang transaksi bisnis dengan mereka.

NSO Group mengatakan “kecewa” dengan keputusan itu, menambahkan bahwa teknologinya membantu menjaga keamanan nasional AS dengan “mencegah terorisme dan kejahatan”.

Telah lama dipertahankan bahwa perangkat lunaknya hanya dijual kepada militer, penegak hukum dan badan intelijen dari negara-negara dengan catatan hak asasi manusia yang baik.

Tetapi awal tahun ini, ia dituduh telah menjual teknologinya kepada pemerintah otoriter, yang kemudian menargetkan orang-orang yang tidak bersalah.

Departemen Perdagangan AS mengatakan keputusan itu “berdasarkan bukti bahwa entitas ini mengembangkan dan memasok spyware ke pemerintah asing yang menggunakan alat ini untuk secara jahat menargetkan pejabat pemerintah, jurnalis, pebisnis, aktivis, akademisi, dan pekerja kedutaan.

“Alat-alat ini juga memungkinkan pemerintah asing melakukan represi transnasional, yang merupakan praktik pemerintah otoriter yang menargetkan para pembangkang, jurnalis, dan aktivis di luar batas kedaulatan mereka untuk membungkam perbedaan pendapat. Praktik semacam itu mengancam tatanan internasional berbasis aturan,” katanya.

Ia juga mengatakan pengumuman itu adalah bagian dari upaya Presiden Biden untuk “membendung proliferasi alat digital yang digunakan untuk penindasan”.

Perusahaan Rusia dan Singapura – yang menciptakan alat peretasan – juga ditambahkan ke daftar hitam perdagangan AS.

Secara terpisah, Departemen Luar Negeri AS mengatakan tidak akan mengambil tindakan terhadap Israel, Rusia atau Singapura, berdasarkan tindakan masing-masing perusahaan.

Selengkapnya: BBC News

Israel dan Prancis Mengadakan Pembicaraan Rahasia Untuk Mengakhiri Krisis Spyware Pegasus

by

Dugaan penyalahgunaan perangkat lunak NSO telah menjadi masalah diplomatik utama bagi pemerintahan Perdana Menteri Naftali Bennett.

Krisis tersebut menyebabkan pembekuan sebagian pada kerja sama diplomatik, keamanan dan intelijen antara Israel dan Prancis dan penangguhan kunjungan bilateral tingkat tinggi.

Penasihat keamanan nasional Israel Eyal Hulata diam-diam mengunjungi Paris beberapa hari yang lalu untuk melakukan pembicaraan dengan rekan-rekannya di lysée yang bertujuan untuk mengakhiri krisis seputar dugaan penggunaan spyware Pegasus yang dikembangkan oleh perusahaan Israel NSO untuk meretas ponsel Presiden Emmanuel Macron dan pemimpin Prancis lainnya.

Hulata bertemu di Paris dengan penasihat keamanan nasional Macron, Emmanuel Bonne, menjelaskan kepadanya tentang penyelidikan Israel yang sedang berlangsung ke Pegasus dan memberinya proposal untuk mengakhiri krisis.

Pada saat ini pembicaraan antara Israel dan Prancis sedang berlangsung tetapi para pejabat Israel mengatakan mereka berharap solusi untuk mengakhiri krisis dapat segera dicapai.

Selengkapnya: Yahoo News

Amnesty International menghubungkan perusahaan keamanan siber dengan operasi spyware

by

Sebuah laporan oleh Amnesty International menghubungkan perusahaan keamanan siber India dengan program spyware Android yang digunakan untuk menargetkan aktivis terkemuka.

Penyelidikan berasal dari tim Amnesty International, yang mengkonfirmasi kasus spionase terhadap seorang aktivis Togo dan juga mengamati tanda-tanda penyebaran spyware di beberapa wilayah utama Asia.

Menurut Amnesty International, spyware Android telah dikaitkan dengan perusahaan keamanan siber India Innefu Labs setelah alamat IP milik perusahaan itu berulang kali digunakan untuk distribusi muatan spyware.

Namun, deployment yang sebenarnya bisa menjadi pekerjaan ‘Tim Donot’ (APT-C-35), sekelompok peretas India yang telah menargetkan pemerintah di Asia Tenggara setidaknya sejak 2018.

Amnesty mencatat bahwa mungkin saja Innefu tidak mengetahui bagaimana pelanggannya atau pihak ketiga lainnya menggunakan alatnya. Namun, audit eksternal dapat mengungkapkan semuanya setelah detail teknis lengkap terungkap.

Serangan terhadap para aktivis dimulai dengan pesan yang tidak diminta melalui WhatsApp, menyarankan instalasi aplikasi obrolan yang seharusnya aman bernama ‘ChatLite’.

Dalam kasus ChatLite, ini adalah spyware aplikasi Android yang dikembangkan khusus yang memungkinkan penyerang mengumpulkan data sensitif dari perangkat dan mengunduh alat malware tambahan.

Untuk spyware yang didistribusikan melalui dokumen Word berbahaya, ia memiliki kemampuan berikut:

  • Merekam penekanan tombol
  • Mengambil tangkapan layar secara teratur
  • Mencuri file dari penyimpanan lokal dan yang dapat dilepas
  • Mengunduh modul spyware tambahan

Dengan menganalisis sampel spyware Android, penyelidik Amnesty menemukan beberapa kesamaan dengan “Kashmir_Voice_v4.8.apk” dan “SafeShareV67.apk”, dua alat malware yang terkait dengan operasi Tim Donot sebelumnya.

Kesalahan opsec aktor ancaman memungkinkan penyelidik untuk menemukan server “pengujian” di AS tempat aktor ancaman menyimpan tangkapan layar dan data keylogging dari ponsel Android yang disusupi.

Di sinilah Amnesty pertama kali melihat alamat IP Innefu Labs, karena jika tidak, sumber sebenarnya bersembunyi di balik VPN.

Selengkapnya: Bleeping Computer