Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Grup APT Baru Earth Berberoka Menargetkan Situs Web Perjudian Dengan Malware Lama dan Baru

by

Peneliti baru-baru ini menemukan grup ancaman persisten tingkat lanjut (APT) baru yang kami beri nama Bumi Berberoka (alias Boneka Perjudian). Berdasarkan analisis kami, grup ini menargetkan situs web perjudian.

Investigasi kami juga menemukan bahwa Earth Berberoka menargetkan platform Windows, Linux, dan macOS, dan menggunakan kelompok malware yang secara historis dikaitkan dengan individu berbahasa China.

Dalam entri blog ini, kami memberikan gambaran umum tentang keluarga malware Windows yang digunakan oleh Earth Berberoka dalam kampanyenya.

Jajaran malware ini mencakup keluarga malware yang telah dicoba dan diuji yang telah ditingkatkan, seperti PlugX dan Gh0st RAT, dan keluarga malware multi-tahap baru yang kami beri nama PuppetLoader.

Kami membahas detail teknis lengkap dari keluarga malware Earth Berberoka yang ditujukan untuk Linux dan macOS serta Windows, vektor infeksi, target, dan kemungkinan koneksi dengan grup APT lain dalam makalah penelitian kami “Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Kampanye Penargetan Situs Perjudian Online.”

Selengkapnya: Trend Micro

Ransomware: Bagaimana Penyerang Melanggar Jaringan Perusahaan

by

Symantec, sebuah divisi dari Broadcom Software, melacak berbagai ancaman ransomware; namun, tiga kelompok ransomware berikut diamati di sebagian besar serangan baru-baru ini yaitu: Hive, Conti, dan Avoslocker.

Mirip dengan banyak keluarga ransomware lainnya, Hive, Conti, dan Avoslocker mengikuti model bisnis ransomware-as-a-service (RaaS). Dalam model RaaS, operator ransomware mempekerjakan afiliasi yang bertanggung jawab meluncurkan serangan ransomware atas nama mereka. Dalam kebanyakan kasus, afiliasi tetap berpegang pada buku pedoman yang berisi langkah-langkah serangan terperinci yang ditetapkan oleh operator ransomware.

Afiliasi untuk operator ransomware Hive, Conti, dan Avoslocker menggunakan berbagai teknik untuk mendapatkan pijakan awal di jaringan korban. Beberapa teknik tersebut antara lain: spear phishing, kredensial RDP yang lemah, dan eksploitasi kelemahan.

Setelah mendapatkan akses awal, Symantec telah mengamati afiliasi untuk ketiga keluarga ransomware menggunakan perangkat lunak pihak ketiga seperti AnyDesk dan ConnectWise Control (sebelumnya dikenal sebagai ScreenConnect) untuk mempertahankan akses ke jaringan korban.

Selama fase penemuan, pelaku ransomware mencoba menyapu jaringan korban untuk mengidentifikasi target potensial.

Mimikatz adalah alat masuk untuk sebagian besar grup ransomware dan Hive, Conti, dan Avoslocker tidak terkecuali. Peneliti telah mengamati mereka menggunakan versi PowerShell dari Mimikatz serta versi PE dari alat tersebut. Ada juga contoh di mana aktor ancaman secara langsung memuat versi PowerShell dari Mimikatz dari repositori GitHub.

Penyerang menggunakan alat seperti PsExec, WMI, dan BITSAdmin untuk menyebarkan dan mengeksekusi ransomware secara lateral di jaringan korban. Kami juga telah mengamati penyerang menggunakan beberapa teknik lain untuk bergerak secara lateral melintasi jaringan.

Untuk menghindar deteksi keamanan campur tangan dengan layanan keamanan menggunakan perintah net, taskkill, dan sc untuk menonaktifkan atau menghentikannya.

Musuh cenderung menonaktifkan atau mengutak-atik pengaturan sistem operasi untuk mempersulit administrator memulihkan data. Menghapus salinan bayangan adalah taktik umum yang dilakukan aktor ancaman sebelum memulai proses enkripsi. Mereka melakukan tugas ini dengan menggunakan alat seperti Vssadmin atau WMIC

Penyerang biasanya mengekstrak data penting dari lingkungan korban sebelum mengenkripsinya.

TTP yang diuraikan dalam blog ini adalah cuplikan lanskap ancaman ransomware saat ini. TTP yang digunakan oleh pelaku ancaman ini terus berkembang, dengan kelompok yang terus-menerus mengubah metode mereka dalam upaya untuk mengungguli pertahanan keamanan target mereka. Dengan demikian, organisasi perlu waspada dan menggunakan pendekatan keamanan berlapis-lapis.

Selengkapnya: Symantec

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

by

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry

Kode Open-Source Melakukan Sabotase untuk Menghapus Komputer Rusia dan Belarusia

by

Seorang teknolog dan pengelola perangkat lunak open source yang populer telah dengan sengaja menyabotase kode mereka sendiri untuk menghapus data pada komputer yang menggunakan program tersebut di Rusia dan Belarusia, dan telah menghadapi reaksi balasan besar-besaran karena melakukannya, menurut pesan yang diposting di repositori pengkodean Github .

Berita tersebut menandakan potensi kerugian dari hacktivisme digital, dengan langkah tersebut kemungkinan berdampak pada orang-orang biasa yang menggunakan kode tersebut.

RIAEvangelist adalah pengelola perangkat lunak yang disebut “node-ipc,” alat jaringan yang terkadang diunduh lebih dari satu juta kali seminggu. RIAEvangelist merilis dua modul yang disebut “peacenotwar” dan “oneday-test” baru-baru ini, Bleeping Computer melaporkan pada hari Kamis. Peacenotwar, yang oleh RIAEvangelist digambarkan sebagai “protestware”, kemudian dimasukkan sebagai dependensi dalam kode node-ipc, yang berarti beberapa versi node-ipc mungkin dibundel dengan peacenotwar.

“Kode ini berfungsi sebagai contoh non-destruktif mengapa mengontrol modul pada node penting. Ini juga berfungsi sebagai protes tanpa kekerasan terhadap agresi Rusia yang mengancam dunia saat ini. Modul ini akan menambahkan pesan perdamaian di desktop pengguna Anda, dan hanya akan melakukannya jika belum ada hanya untuk bersikap sopan,” tulis RIAEvangelist dalam deskripsi untuk kode peacenotwar. Deskripsi RIAEvangelist juga menjelaskan bagaimana orang lain dapat menambahkan modul ke kode mereka untuk mengambil bagian dalam protes digital.

Selengkapnya: VICE

Malware Cyclops Blink menginfeksi router ASUS

by

Malware Cyclops Blink telah menginfeksi router ASUS dalam apa yang dikatakan Trend Micro sebagai upaya untuk mengubah perangkat yang disusupi ini menjadi server perintah dan kontrol untuk serangan di masa mendatang.

ASUS mengatakan sedang mengerjakan perbaikan untuk Cyclops Blink dan akan memposting pembaruan perangkat lunak jika perlu. Pembuat perangkat keras merekomendasikan pengguna untuk mengatur ulang gateway mereka ke pengaturan pabrik untuk menghapus konfigurasi apa pun yang ditambahkan oleh penyusup, mengubah kata sandi login, memastikan akses manajemen jarak jauh dari WAN dinonaktifkan, dan memastikan firmware terbaru diinstal agar aman.

Peringatan Trend Micro tentang pembajakan router mengikuti nasihat bersama bulan lalu dari FBI, CISA, Departemen Kehakiman AS, dan Pusat Keamanan Siber Nasional Inggris tentang Cyclops Blink, yang menurut agensi tampaknya merupakan pengganti Sandworm untuk VPNFilter. Pada saat itu, botnet mengincar peralatan firewall WatchGuard.

“Data kami juga menunjukkan bahwa meskipun Cyclops Blink adalah botnet yang disponsori negara, server C&C dan botnya memengaruhi perangkat WatchGuard Firebox dan Asus yang bukan milik organisasi penting, atau yang memiliki nilai nyata dalam spionase ekonomi, politik, atau militer. ,” kata Trend Micro. “Oleh karena itu, kami percaya bahwa ada kemungkinan bahwa tujuan utama botnet Cyclops Blink adalah untuk membangun infrastruktur untuk serangan lebih lanjut terhadap target bernilai tinggi.”

Selengkapnya: The Register

IOTW: Badan-badan AS memperingatkan tentang ancaman dunia maya terhadap komunikasi satelit

by

Badan Keamanan Siber dan Infrastruktur (CISA) AS dan Biro Investigasi Federal (FBI) mengeluarkan peringatan terkait ancaman terhadap jaringan komunikasi satelit AS dan internasional (SATCOM) pada 17 Maret 2022.

Ini menyusul serangan terhadap operator satelit komersial Viasat, yang menyebabkan pemadaman sebagian jaringan KA-SAT di Eropa. SATCOM sangat penting selama masa peperangan.

KA-SAT menyediakan internet broadband ke pasar Eropa dan Mediterania. Layanan ini diluncurkan pada Mei 2011.

Menurut NetBlocks, sebuah kelompok pemantau internet, jaringan KA-SAT operator satelit tetap terkena dampak parah pada 15 Maret 2022, 18 hari setelah menjadi sasaran serangan siber.

Ini adalah salah satu dari “beberapa insiden” yang diamati kelompok itu ketika Rusia meluncurkan invasi ke Ukraina pada 24 Februari 2022.

Pada 11 Maret 2022, Reuters melaporkan bahwa Badan Keamanan Nasional AS, organisasi keamanan siber pemerintah Prancis, dan intelijen Ukraina sedang menyelidiki sabotase jarak jauh dari “layanan penyedia internet satelit” yang mereka katakan adalah “pekerjaan peretas yang didukung negara Rusia untuk mempersiapkan medan perang dengan mencoba memutuskan komunikasi”.

Sebuah pernyataan dari ViaSat menyatakan bahwa gangguan itu disebabkan oleh peristiwa siber yang disengaja, terisolasi dan eksternal – tidak ada rincian lain yang diungkapkan.

Selengkapnya: CSHub

IBM Security X-Force Research Advisory: Malware Destruktif Baru yang Digunakan Dalam Serangan Cyber di Ukraina

by

Pada 23 Februari 2022, sumber intelijen open-source mulai melaporkan deteksi malware penghapus — keluarga malware perusak yang dirancang untuk menghancurkan data target secara permanen — yang dijalankan pada sistem milik organisasi Ukraina.

IBM Security X-Force memperoleh sampel penghapus bernama HermeticWiper. Ini menggunakan driver manajer partisi jinak (salinan empntdrv.sys) untuk melakukan kemampuan menghapusnya merusak semua drive fisik yang tersedia Master Boot Record (MBR), partisi, dan sistem file (FAT atau NTFS).

Ini bukan malware penghapus pertama yang menargetkan organisasi Ukraina yang dianalisis X-Force. Pada Januari 2022, X-Force menganalisis malware WhisperGate dan tidak mengidentifikasi kode yang tumpang tindih antara WhisperGate dan HermeticWiper.

Pada Januari 2022, X-Force menganalisis malware WhisperGate. HermeticWIper adalah keluarga malware destruktif kedua yang baru terlihat yang diamati dalam dua bulan terakhir yang menargetkan organisasi di Ukraina, dan dilaporkan negara-negara lain di Eropa Timur. Tidak ada kode yang tumpang tindih yang diidentifikasi antara WhisperGate dan HermeticWiper.

Kecepatan penyebaran dan penemuan keluarga malware baru yang merusak ini belum pernah terjadi sebelumnya, dan selanjutnya menyoroti kebutuhan organisasi untuk memiliki strategi pertahanan yang aktif dan terinformasi yang melampaui pertahanan berbasis tanda tangan.

Karena konflik di kawasan terus berkembang dan mengingat kemampuan destruktif dari WhisperGate dan HermeticWiper, IBM Security X-Force merekomendasikan organisasi infrastruktur penting dalam kawasan yang ditargetkan untuk membentengi pertahanan. Organisasi tersebut harus fokus pada persiapan untuk serangan potensial yang dapat menghancurkan atau mengenkripsi data atau berdampak signifikan pada operasi.

Selengkapnya: Security Intelligence

Dugaan Peretasan Rusia dari Penyedia Layanan Microsoft Menyoroti Cacat Keamanan Siber

by

Pakar keamanan siber mengatakan pengungkapan Microsoft baru-baru ini bahwa peretas Rusia yang diduga berhasil menyerang beberapa penyedia layanan TI tahun ini adalah tanda bahwa banyak perusahaan TI A.S. kurang berinvestasi dalam langkah-langkah keamanan yang diperlukan untuk melindungi diri dan pelanggan mereka dari gangguan.

Tetapi asosiasi profesional TI yang berbasis di AS mengatakan upaya industri untuk memerangi serangan peretasan asing terhambat oleh pelanggan mereka yang tidak mempraktikkan kebiasaan dunia maya yang baik dan oleh pemerintah federal yang tidak cukup bertindak untuk menghukum dan menghalangi para peretas.

Dalam posting blog 24 Oktober, Microsoft mengatakan kelompok peretas negara-bangsa Rusia yang disebut Nobelium menghabiskan tiga bulan menyerang perusahaan yang menjual kembali, menyesuaikan dan mengelola layanan cloud Microsoft dan teknologi digital lainnya untuk pelanggan publik dan pribadi.

Microsoft mengatakan telah memberi tahu 609 perusahaan tersebut, yang dikenal sebagai penyedia layanan terkelola, atau MSP, bahwa mereka telah diserang 22.868 kali oleh Nobelium dari 1 Juli hingga 19 Oktober tahun ini.

Nobelium adalah kelompok yang sama yang dikatakan Microsoft bertanggung jawab atas serangan siber tahun lalu terhadap perusahaan perangkat lunak AS, SolarWinds. Serangan itu melibatkan penyisipan kode berbahaya ke dalam sistem pemantauan kinerja TI SolarWinds, Orion, dan memberi para peretas akses ke jaringan ribuan organisasi publik dan swasta AS yang menggunakan Orion untuk mengelola sumber daya TI mereka.

Salah satu praktik keamanan siber yang harus diadopsi lebih banyak oleh MSP adalah berbagi informasi dengan pihak berwenang AS tentang insiden peretasan, kata James Curtis, direktur program keamanan siber di Webster University di Missouri, dalam percakapan dengan Layanan Rusia VOA.

Curtis, pensiunan perwira cyber Angkatan Udara AS dan mantan eksekutif industri TI, mengatakan MSP tidak suka mengakui bahwa mereka telah diretas.

Namun Charles Weaver, kepala eksekutif Asosiasi Penyedia Layanan Cloud dan Terkelola Internasional yang berbasis di AS, juga dikenal sebagai MSPAlliance, mengatakan bahwa kritik terhadap MSP karena tidak memberikan perhatian yang cukup pada keamanan siber adalah salah tempat.

“MSP telah mendesak pelanggan mereka untuk melakukan perbaikan yang mudah dan murah seperti mengadopsi otentikasi multifaktor untuk mencadangkan data mereka ke cloud,” kata Weaver. “Tapi saya pribadi telah menyaksikan banyak ketidaksesuaian di antara pelanggan. Merekalah yang pada akhirnya harus membayar dan mengizinkan MSP untuk menerapkan perbaikan tersebut.”

Selengkapnya: VOA