Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technique

Technique

‘Tropic Trooper’ Muncul Kembali untuk Menargetkan Sektor Transportasi

by

Analis memperingatkan bahwa kelompok penyerang, yang sekarang dikenal sebagai ‘Earth Centaur,’ sedang mengasah serangannya untuk mengejar transportasi dan lembaga pemerintah.

Mereka telah menjadi kelompok ancaman aktif sejak 2011, tetapi peningkatan aktivitas baru-baru ini dari Earth Centaur – sebelumnya dikenal sebagai Tropic Trooper – yang ditujukan khusus untuk transportasi dan lembaga pemerintah memicu lonceng alarm di antara para ahli.

Peneliti Trend Micro telah melacak kebangkitan Tropic Trooper, yang dimulai pada Juli 2020 dan baru-baru ini termasuk upaya mengganggu untuk melanggar data sensitif terkait transportasi seperti jadwal penerbangan dan dokumen perencanaan keuangan.

Para analis dapat menghubungkan aktivitas Earth Centaur yang baru dengan Tropic Trooper setelah menemukan kode serupa dalam decoding konfigurasi, mereka melaporkan.

“Saat ini, kami belum menemukan kerusakan substansial pada para korban ini yang disebabkan oleh kelompok ancaman,” jelas analis Trend Micro. “Namun, kami percaya bahwa itu akan terus mengumpulkan informasi internal dari para korban yang dikompromikan dan hanya menunggu kesempatan untuk menggunakan data ini.”

Taktik, teknik, dan prosedur (TTPs) ciri khas kelompok itu termasuk kerja tim merah yang cerdas, catat para peneliti. Earth Centaur mahir melewati keamanan dan bertahan tanpa terdeteksi, tambah laporan itu.

“Tergantung pada targetnya, ia menggunakan pintu belakang dengan protokol yang berbeda, dan juga dapat menggunakan proxy terbalik untuk melewati pemantauan sistem keamanan jaringan. Penggunaan kerangka kerja sumber terbuka juga memungkinkan grup untuk mengembangkan varian pintu belakang baru secara efisien. ”

Biasanya, kelompok ancaman melanggar sistem target melalui server Exchange atau Internet Information Services (IIS) yang rentan, diikuti dengan menjatuhkan backdoor seperti ChiserClient dan SmileSvr, kata laporan itu.

Selengkapnya: Threat Post

Kampanye Spyware Massal ‘PseudoManuscrypt’ Menargetkan 35K Sistem

by

Para peneliti telah melacak spyware baru – dijuluki “PseudoManuscrypt” karena mirip dengan malware “Manuscrypt” dari kelompok ancaman persisten lanjutan (APT) Lazarus – yang mencoba mencoret-coret dirinya sendiri di lebih dari 35.000 komputer yang ditargetkan di 195 negara.

Peneliti Kaspersky mengatakan dalam laporan Kamis bahwa dari 20 Januari hingga 10 November, aktor di balik kampanye besar-besaran menargetkan organisasi pemerintah dan sistem kontrol industri (ICS) di berbagai industri, termasuk teknik, otomatisasi bangunan, energi, manufaktur, konstruksi, utilitas dan pengelolaan air.

Manuscrypt, alias NukeSped, adalah keluarga alat malware yang telah digunakan dalam kampanye spionase di masa lalu. Salah satunya adalah kampanye spear-phishing Februari yang terkait dengan Lazarus – APT Korea Utara yang produktif – yang menggunakan kluster alat ‘ThreatNeedle’ keluarga malware Manuscrypt untuk menyerang perusahaan pertahanan.

Tim ICS-CERT Kasperskiy pertama kali mendeteksi rangkaian serangan PseudoManuscrypt pada bulan Juni, ketika malware memicu deteksi antivirus yang dirancang untuk mendeteksi aktivitas Lazarus. Namun, gambaran lengkapnya tidak mengarah ke Lazarus, mengingat cipratan puluhan ribu serangan yang tidak biasa dan tidak bertarget.

Namun, Kaspersky kemudian menemukan kesamaan antara PseudoManuscrypt baru dan malware Manuscrypt Lazarus.

Malware PseudoManuscrypt memuat muatannya dari registri sistem dan mendekripsinya, para peneliti menjelaskan, dengan muatan menggunakan lokasi registri yang unik untuk setiap sistem yang terinfeksi.

“Kedua program jahat memuat muatan dari registri sistem dan mendekripsinya; dalam kedua kasus, nilai khusus dalam format CLSID digunakan untuk menentukan lokasi muatan di registri,” kata mereka. “File yang dapat dieksekusi dari kedua program jahat memiliki tabel ekspor yang hampir identik.”

Selengkapnya: Threat Post

Phishing TrickBot Memeriksa Resolusi Layar untuk Menghindari Peneliti

by

Operator malware TrickBot telah menggunakan metode baru untuk memeriksa resolusi layar sistem korban untuk menghindari deteksi perangkat lunak keamanan dan analisis oleh para peneliti.

Baru-baru ini, TheAnalyst – seorang pemburu ancaman dan anggota kelompok riset keamanan Cryptolaemus, menemukan bahwa lampiran HTML dari kampanye malspam TrickBot berperilaku berbeda di mesin nyata daripada di mesin virtual.

Peneliti mengatakan kepada BleepingComputer bahwa dia melihat taktik yang digunakan beberapa kali dalam berbagai kampanye phishing sebagai sarana untuk menghindari penyelidik.

Script menentukan apakah pengguna yang mendarat di halaman phishing menggunakan mesin virtual atau fisik dengan memeriksa apakah browser web menggunakan perender perangkat lunak seperti SwiftShader, LLVMpipe, atau VirtualBox, yang biasanya berarti lingkungan virtual.

Skrip juga memeriksa apakah kedalaman warna layar pengunjung kurang dari 24-bit, atau jika tinggi dan lebar layar kurang dari 100 piksel.

TrickBot tidak menggunakan skrip yang sama seperti di atas tetapi mengandalkan taktik yang sama untuk mendeteksi kotak pasir peneliti. Namun, ini adalah pemutaran perdana bagi geng untuk menggunakan skrip seperti itu dalam lampiran HTML.

Ini mungkin juga pertama kalinya malware menggunakan lampiran untuk menjalankan pemeriksaan resolusi layar daripada melakukannya di halaman arahan yang menyajikan malware yang dapat dieksekusi.

Selengkapnya: Bleeping Computer

Trik Baru Berbahaya Ransomware Mengenkripsi Ganda Data Anda

by

KELOMPOK RANSOMWARE selalu mengambil pendekatan lebih. Jika korban membayar tebusan dan kemudian kembali ke bisnis seperti biasa — serang mereka lagi. Eskalasi terbaru? Peretas ransomware yang mengenkripsi data korban dua kali pada waktu yang bersamaan.

Serangan enkripsi ganda pernah terjadi sebelumnya, biasanya berasal dari dua geng ransomware terpisah yang membahayakan korban yang sama pada waktu yang sama. Tetapi perusahaan antivirus Emsisoft mengatakan mereka mengetahui lusinan insiden di mana aktor atau grup yang sama secara sengaja melapisi dua jenis ransomware di atas satu sama lain.

“Kelompok-kelompok itu terus-menerus mencoba mencari strategi mana yang terbaik, yang memberi mereka uang paling banyak untuk usaha yang paling sedikit,” kata analis ancaman Emsisoft, Brett Callow.

Beberapa korban mendapatkan dua catatan tebusan sekaligus, kata Callow, yang berarti bahwa peretas ingin korbannya mengetahui tentang serangan enkripsi ganda. Namun, dalam kasus lain, korban hanya melihat satu catatan tebusan dan hanya mengetahui tentang enkripsi lapis kedua setelah mereka membayar untuk menghilangkan yang pertama.

Emsisoft telah mengidentifikasi dua taktik berbeda. Yang pertama, peretas mengenkripsi data dengan ransomware A dan kemudian mengenkripsi ulang data tersebut dengan ransomware B. Jalur lain melibatkan apa yang disebut Emsisoft sebagai serangan “side-by-side encryption”, di mana serangan mengenkripsi beberapa sistem organisasi dengan ransomware A dan lainnya dengan ransomware B.

Para peneliti juga mencatat bahwa dalam skenario side-by-side ini, penyerang mengambil langkah untuk membuat dua jenis ransomware yang berbeda terlihat semirip mungkin, jadi lebih sulit bagi incident responders untuk memilah apa yang terjadi.

Selengkapnya: Wired

Penjahat siber telah menemukan cara baru yang licik untuk mengelabui Anda dengan penipuan phishing

by

Penjahat siber terus-menerus mengubah taktik mereka agar serangan mereka terhindar dari deteksi dan peneliti keamanan dari GreatHorn telah menemukan kampanye phishing baru yang mampu melewati pertahanan URL tradisional.

Meskipun banyak penipuan phishing melibatkan pengubahan huruf dari URL situs populer untuk mengelabui pengguna agar menavigasi ke halaman arahan palsu, kampanye baru ini mengubah simbol yang digunakan di awalan sebelum URL.

URL yang digunakan dalam kampanye baru ini memiliki format yang salah dan tidak menggunakan protokol URL biasa seperti http:// atau https://. Sebaliknya, mereka menggunakan http:/\ di awalan URL mereka. Karena titik dua dan dua garis miring selalu digunakan dalam format URL standar, sebagian besar browser secara otomatis mengabaikan faktor ini.

Menurut tulisan blog baru dari Tim Intelijen Ancaman GreatHorn, serangan awalan yang salah format ini pertama kali muncul pada Oktober tahun lalu dan mendapatkan momentum hingga akhir tahun.

Untuk mencegah menjadi korban serangan awalan yang salah format, GreatHorn merekomendasikan agar organisasi memberikan pelatihan kepada karyawannya tentang cara mengenali awalan URL yang mencurigakan. Namun pada saat yang sama, tim keamanan harus mencari email organisasi mereka untuk setiap pesan yang berisi URL yang cocok dengan pola ancaman ini dan menghapusnya.

Selengkapnya: Tech Radar

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

by

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Sumber: BleepingComputer

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Sumber: BleepingComputer

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Sumber: BleepingComputer

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Ransomware ini telah mengadaptasi trik licik untuk mengirimkan malware ke korbannya

by

Salah satu operasi ransomware kriminal siber paling berbahaya saat ini telah menerapkan taktik baru untuk membantu serangannya tetap tidak terdeteksi, yang kemungkinan besar dipinjam dari grup ransomware lain.

Taktik serupa sebelumnya telah digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana tambahan untuk mengirimkan ransomware.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.

Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat ini – tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu menjaga serangan di bawah radar sampai enkripsi dipicu dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak dilindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos kepada ZDNet.

Berita selengkapnya;
Source: ZDNet