Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technique

Technique

3 Cara Penyerang Lewati Keamanan Cloud

by

Kampanye serangan dunia maya ini adalah salah satu ancaman paling produktif saat ini yang menargetkan sistem cloud — dan kemampuan mereka untuk menghindari deteksi harus berfungsi sebagai peringatan tentang potensi ancaman yang akan datang, seorang peneliti keamanan merinci di sini hari ini.

“Kampanye malware yang berfokus pada cloud baru-baru ini telah menunjukkan bahwa kelompok musuh memiliki pengetahuan mendalam tentang teknologi cloud dan mekanisme keamanan mereka. Dan tidak hanya itu, mereka menggunakannya untuk keuntungan mereka,” kata Matt Muir, insinyur intelijen ancaman untuk Cado Security, yang membagikan detail tentang ketiga kampanye yang telah dipelajari timnya.

Sementara tiga kampanye serangan semuanya tentang cryptomining pada saat ini, beberapa teknik mereka dapat digunakan untuk tujuan yang lebih jahat. Dan sebagian besar, ini dan serangan lain yang dilihat tim Muir mengeksploitasi pengaturan cloud yang salah konfigurasi dan kesalahan lainnya. Itu sebagian besar berarti bertahan melawan mereka mendarat di kamp pelanggan cloud, menurut Muir.

“Secara realistis untuk jenis serangan ini, ini lebih berkaitan dengan pengguna daripada penyedia layanan [cloud],” kata Muir kepada Dark Reading. “Mereka sangat oportunistik. Sebagian besar serangan yang kami lihat lebih berkaitan dengan kesalahan” oleh pelanggan cloud, katanya.

Mungkin perkembangan yang paling menarik dari serangan ini adalah bahwa mereka sekarang menargetkan komputasi dan wadah tanpa server, katanya. “Kemudahan sumber daya cloud dapat dikompromikan telah menjadikan cloud sebagai sasaran empuk,” katanya dalam presentasinya, “Teknik Evasion Deteksi Dunia Nyata di Cloud.”

Selengkapnya: DARKReading

Microsoft: Peretas menggunakan taktik ‘mengkhawatirkan’ ini untuk menghindari otentikasi multi-faktor

by

Microsoft telah menguraikan beberapa mitigasi untuk melindungi dari serangan pada otentikasi multi-faktor yang sayangnya akan membuat hidup lebih sulit bagi pekerja jarak jauh Anda.

Tiga tahun lalu, serangan terhadap otentikasi multi-faktor (MFA) sangat jarang sehingga Microsoft tidak memiliki statistik yang layak tentang mereka, terutama karena beberapa organisasi telah mengaktifkan MFA.

Tetapi dengan meningkatnya penggunaan MFA karena serangan terhadap kata sandi menjadi lebih umum, Microsoft telah melihat peningkatan penyerang yang menggunakan pencurian token dalam upaya mereka untuk menghindari MFA.

Dalam serangan ini, penyerang mengkompromikan token yang dikeluarkan untuk seseorang yang telah menyelesaikan MFA dan memutar ulang token tersebut untuk mendapatkan akses dari perangkat yang berbeda. Token merupakan inti dari platform identitas OAuth 2.0, termasuk Azure Active Directory (AD), yang bertujuan untuk membuat autentikasi lebih sederhana dan lebih cepat bagi pengguna, tetapi dengan cara yang masih tahan terhadap serangan kata sandi.

Juga: Pekerjaan keamanan siber: Lima cara untuk membantu Anda membangun karier

Selain itu, Microsoft memperingatkan bahwa pencurian token berbahaya karena tidak memerlukan keterampilan teknis yang tinggi, sulit untuk mendeteksi dan, karena teknik ini baru saja mengalami peningkatan, beberapa organisasi memiliki mitigasi.

“Baru-baru ini, Tim Deteksi dan Respons Microsoft (DART) telah melihat peningkatan penyerang yang menggunakan pencurian token untuk tujuan ini,” kata Microsoft dalam sebuah blogpost.

Selengkapnya: ZDNet

BlackByte ransomware menggunakan alat pencurian data baru untuk pemerasan ganda

by

Afiliasi ransomware BlackByte menggunakan alat pencurian data khusus baru yang disebut ‘ExByte’ untuk mencuri data dari perangkat Windows yang disusupi dengan cepat.

Eksfiltrasi data diyakini sebagai salah satu fungsi terpenting dalam serangan pemerasan ganda, dengan BleepingComputer mengatakan bahwa perusahaan lebih sering membayar permintaan tebusan untuk mencegah kebocoran data daripada menerima decryptor.

Karena itu, operasi ransomware, termasuk ALPHV dan LockBit, terus berupaya meningkatkan alat pencurian data mereka.

Pada saat yang sama, pelaku ancaman lainnya, seperti Karakurt, bahkan tidak repot-repot mengenkripsi salinan lokal, hanya berfokus pada eksfiltrasi data.

Exbyte ditemukan oleh peneliti keamanan di Symantec, yang mengatakan bahwa pelaku ancaman menggunakan alat eksfiltrasi berbasis Go untuk mengunggah file curian langsung ke layanan penyimpanan cloud Mega.

Setelah dieksekusi, alat ini melakukan pemeriksaan anti-analisis untuk menentukan apakah itu berjalan di lingkungan kotak pasir dan memeriksa proses debugger dan anti-virus.

Biner ransomware BlackByte juga menerapkan pengujian yang sama ini, tetapi alat eksfiltrasi perlu menjalankannya secara independen karena eksfiltrasi data dilakukan sebelum enkripsi file.

Jika tesnya bersih, Exbyte menghitung semua file dokumen pada sistem yang dilanggar dan mengunggahnya ke folder yang baru dibuat di Mega menggunakan kredensial akun yang di-hardcode.

“Selanjutnya, Exbyte menghitung semua file dokumen di komputer yang terinfeksi, seperti file .txt, .doc, dan .pdf, dan menyimpan path lengkap dan nama file ke %APPDATA%\dummy,” jelas laporan Symantec.

Selengkapnya: Bleeping Computer

Situs Web Hosting Perangkat Lunak Palsu Menyebarkan Malware CopperStealer yang Diperbarui

by

Baru-baru ini, peniliti dari Trend Micro menemukan sampel terbaru dari malware CopperStealer yang menginfeksi sistem melalui situs web yang menghosting perangkat lunak palsu.

Komunikasi CopperStealer sebelumnya memanfaatkan Domain Generation Algorithms (DGA) untuk mengacak domain C&C dan menyalahgunakan proxy jaringan pengiriman konten (CDN) untuk menyembunyikan alamat IP asli dari server C&C.

Proxy DGA dan CDN membantu pencuri meningkatkan stabilitas komunikasi jaringannya dan membantu menghindari deteksi dari solusi perlindungan jaringan domain C&C dan alamat IP-nya. Namun, operasi lubang pembuangan kolaboratif dari peneliti ancaman dan penyedia layanan mengganggu infrastruktur CopperStealer sebelumnya.

Kemungkinan karena gangguan tersebut, infrastruktur CopperStealer sekarang dibangun secara berbeda. C&C tidak lagi dibuat dengan DGA; alih-alih, ini ditentukan dengan konfigurasi terenkripsi yang dihosting di halaman web pihak ketiga (dalam contoh ini, Pastebin disalahgunakan). Alih-alih menggunakan proksi CDN, kami menemukan bahwa domain C&C-nya mengadopsi layanan DNS fluks cepat yang disediakan di forum bawah tanah.

Layanan DNS fluks cepat dapat mengalihkan domain C&C CopperStealer antara alamat IP yang berbeda setiap beberapa jam dan menambahkan lapisan proxy untuk melindungi server C&C-nya. Meskipun teknik ini bukan hal baru, kami mengamati pergantian terjadi hingga dua kali sehari setiap hari.

Organisasi dan pengguna sangat tidak disarankan untuk mengunduh crack dari situs web pihak ketiga. Beberapa situs tidak resmi menghosting perangkat lunak yang berfungsi tetapi dapat dilampirkan dengan komponen terlarang yang tersembunyi dan tambahan yang tidak terkait dengan fungsi yang diiklankan.

Selain itu, perangkat lunak palsu berpotensi dapat disalahgunakan untuk berbagai serangan dan infeksi, dan pencuri data seperti CopperStealer dapat digunakan oleh penyerang untuk mengambil informasi sensitif untuk kegiatan yang lebih terlarang.

Selengkapnya: Trend Micro

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

“Pada 6 Juni, Proofpoint mengamati modul Emotet baru dijatuhkan oleh botnet E4,” kata tim Proofpoint Threat Insights.

“Yang mengejutkan kami, itu adalah pencuri kartu kredit yang hanya menargetkan browser Chrome. Setelah detail kartu dikumpulkan, mereka dipindahkan ke server C2 yang berbeda dari pemuat modul.”

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Selengkapnya: Bleeping Computer

Peretas China, “LuoYu”, Menggunakan Serangan Man-on-the-Side untuk Menyebarkan Backdoor WinDealer

by

Seorang aktor ancaman persisten (APT) canggih berbahasa China yang “sangat canggih” yang dijuluki LuoYu telah diamati menggunakan alat Windows berbahaya yang disebut WinDealer yang dikirimkan melalui serangan man-on-the-side.

“Pengembangan terobosan ini memungkinkan aktor untuk memodifikasi lalu lintas jaringan dalam perjalanan untuk memasukkan muatan berbahaya,” kata perusahaan keamanan siber Rusia Kaspersky dalam sebuah laporan baru. “Serangan seperti itu sangat berbahaya dan menghancurkan karena tidak memerlukan interaksi apa pun dengan target untuk mengarah pada infeksi yang berhasil.”

Dikenal aktif sejak 2008, organisasi yang ditargetkan oleh LuoYu sebagian besar adalah organisasi diplomatik asing yang didirikan di Tiongkok dan anggota komunitas akademik serta perusahaan keuangan, pertahanan, logistik, dan telekomunikasi.

Penggunaan WinDealer oleh LuoYu pertama kali didokumentasikan oleh perusahaan keamanan siber Taiwan TeamT5 pada Konferensi Analis Keamanan Jepang (JSAC) pada Januari 2021. Kampanye serangan berikutnya telah menggunakan malware untuk menargetkan entitas Jepang, dengan infeksi terisolasi dilaporkan di Austria, Jerman, India, Rusia, dan AS

Alat lain yang menonjol di gudang malware musuh yang kurang dikenal termasuk PlugX dan penerusnya ShadowPad, keduanya telah digunakan oleh berbagai pelaku ancaman China untuk mengaktifkan tujuan strategis mereka. Selain itu, aktor tersebut diketahui menargetkan perangkat Linux, macOS, dan Android.

WinDealer, pada bagiannya, telah dikirimkan di masa lalu melalui situs web yang bertindak sebagai lubang berair dan dalam bentuk aplikasi trojan yang menyamar sebagai pesan instan dan layanan hosting video seperti Tencent QQ dan Youku.

Selengkapnya: The Hacker News

Paket Repositori Python Berbahaya Mendistribusikan Cobalt Strike pada Sistem Windows, macOS & Linux

by

Repositori publik open-source adalah bagian penting dari suply chain perangkat lunak yang digunakan banyak organisasi untuk membangun aplikasi. Oleh karena itu, mereka menjadi target yang menarik bagi musuh yang ingin mendistribusikan malware ke audiens massal.

Contoh kasus terbaru adalah paket berbahaya untuk mendistribusikan Cobalt Strike pada sistem Windows, macOS, dan Linux, yang diunggah ke registri Python Package Index (PyPI) yang banyak digunakan untuk pengembang aplikasi Python. Paket “pymafka” memiliki nama yang sangat mirip dengan “PyKafka,” klien Apache Kafka populer untuk Python yang telah diunduh lebih dari 4,2 juta kali sejauh ini.

Lebih dari 300 pengguna tertipu untuk mengunduh paket berbahaya, mengira itu adalah kode yang sah, sebelum peneliti di Sonatype menemukan masalah tersebut dan melaporkannya ke registri PyPI. Sejak itu telah dihapus, tetapi aplikasi yang memasukkan skrip berbahaya tetap menjadi ancaman.

“Jumlah unduhan untuk paket berbahaya termasuk unduhan otomatis yang diprakarsai oleh mirror dan bot selain unduhan yang dimulai oleh pengguna,” kata Ax Sharma, peneliti keamanan di Sonatype.

Menurutnya, unduhan yang melibatkan pengguna yang salah mengetik “pymafka” dan bukan “pykafka” kemungkinan jumlahnya kurang dari 100. “Secara intuitif, tampaknya dampak dari serangan typosquatting terbatas pada satu pengguna yang membuat kesalahan ejaan,” katanya.

“Tetapi segalanya menjadi rumit ketika pengembang salah mengeja nama dependensi di perpustakaan mereka, dan perpustakaan mereka selanjutnya digunakan sebagai dependensi dalam proyek perangkat lunak pihak ketiga lainnya,” katanya. Pengguna aplikasi lain ini kemudian secara otomatis terinfeksi dengan proyek yang salah ketik, tanpa mengambil tindakan atau membuat kesalahan.

Selengkapnya: Dark Reading

Malware sekarang menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri

by

Pelaku ancaman menggunakan sertifikat penandatanganan kode NVIDIA yang dicuri untuk menandatangani malware agar tampak tepercaya dan memungkinkan driver jahat dimuat di Windows.

Minggu ini, NVIDIA mengonfirmasi bahwa mereka mengalami serangan siber yang memungkinkan pelaku ancaman mencuri kredensial karyawan dan data kepemilikan.

Kelompok pemerasan, yang dikenal sebagai Lapsus$, menyatakan bahwa mereka mencuri 1TB data selama serangan dan mulai membocorkan data secara online setelah NVIDIA menolak untuk bernegosiasi dengan mereka.

Setelah Lapsus$ membocorkan sertifikat penandatanganan kode NVIDIA, peneliti keamanan dengan cepat menemukan bahwa sertifikat tersebut digunakan untuk menandatangani malware dan alat lain yang digunakan oleh pelaku ancaman.

Menurut sampel yang diunggah ke layanan pemindaian malware VirusTotal, sertifikat yang dicuri digunakan untuk menandatangani berbagai malware dan alat peretasan, seperti suar Cobalt Strike, Mimikatz, pintu belakang, dan trojan akses jarak jauh.

Misalnya, satu aktor ancaman menggunakan sertifikat untuk menandatangani trojan akses jarak jauh Quasar [VirusTotal], sementara orang lain menggunakan sertifikat untuk menandatangani driver Windows [VirusTotal].

Selengkapnya: Bleeping Computer