TrickBot

Kampanye Emotet Dimulai Kembali Setelah Hiatus Tujuh Minggu

December 23, 2020 by Winnie the Pooh

Pada bulan Oktober, tiga gelombang spam yang sarat dengan Emotet downloader bekerja untuk menyebarkan malware ke sistem pengguna yang rentan, memulai rangkaian yang sering mengakibatkan infeksi ransomware Ryuk atau upaya untuk mencuri kredensial rekening bank melalui Trojan perbankan Trickbot.

Tujuh minggu setelah kampanye besar Emotet terakhir, para penjahat siber di belakang kampanye tersebut telah memulai upaya mereka untuk menyusupi lebih banyak sistem, menurut beberapa organisasi keamanan siber.

Tim anti-spam Abuse.ch mencatat pada 22 Desember bahwa aktivitas kelompok kejahatan siber telah meningkatkan tepat sebelum Natal. Sehari sebelumnya, penyedia keamanan perpesanan Proofpoint mencatat bahwa sistemnya melihat lebih dari 100.000 pesan dalam berbagai bahasa dan dengan berbagai lampiran atau tautan.

Kampanye terbaru dapat menyebabkan sistem yang dikompromikan dan ancaman terhadap jaringan bisnis, karena sebagian besar karyawan terus bekerja dari rumah.

“Apa yang membuat Emotet sangat berbahaya bagi organisasi adalah bahwa itu telah menjadi pijakan utama untuk penyebaran Trojan perbankan lainnya di masa depan,” kata Sherrod DeGrippo, direktur senior penelitian dan deteksi ancaman di Proofpoint. “Pada titik ini, Trojan perbankan arus utama dapat menyebabkan serangan ransomware yang menghancurkan”.

Sementara kampanye Emotet terbaru dimulai sekitar pertengahan Desember, aktivitas tersebut menjadi paling jelas dalam beberapa hari terakhir. Proofpoint mengeluarkan pernyataan singkat di Twitter pada 21 Desember yang juga menampilkan tangkapan layar dari manipulasi psikologis yang digunakan untuk mencoba membuat korban mematikan fitur Microsoft 365 yang memblokir dokumen berbahaya.

Sumber: Dark Reading

Sistem pemasaran Subway diretas untuk mengirim email malware TrickBot

December 16, 2020 by Winnie the Pooh

Subway UK telah mengungkapkan bahwa sistem yang digunakan untuk pemasaran perusahaan telah diretas dan bertanggung jawab atas email phishing yang berisi malware yang dikirim ke pelanggan kemarin.

Pelanggan Subway UK menerima email aneh dari ‘Subcard’ tentang pesanan Subway yang dilakukan. Di dalam email tersebut terdapat tautan ke dokumen yang diduga berisi konfirmasi pesanan.

Setelah menganalisis email phishing ini, ditemukan bahwa mereka menyebarkan dokumen Excel berbahaya yang akan menginstal versi terbaru malware TrickBot.

TrickBot adalah infeksi malware jahat yang memungkinkan penyerang, menyebar ke seluruh jaringan, data browser, data RDP, VNC, dan PuTTY Credentials, dan banyak lagi. Lebih buruk lagi, TrickBot pada akhirnya dapat menyediakan akses ke operasi ransomware Ryuk atau Conti.

Subway juga telah mengirim email pemberitahuan ke pelanggan yang terkena dampak yang menyatakan bahwa nama depan dan nama belakang pelanggan terungkap dalam serangan itu.

Jika Anda menerima email ini dan keliru membuka dokumen Excel yang berbahaya, Anda dapat memeriksa versi TrickBot saat ini dengan membuka Task Manager dan mencari proses bernama ‘Windows Problem Reporting’. Jika proses itu ditemukan, klik tombol ‘End Task’ untuk menghentikannya.

Sekarang lakukan pemindaian menyeluruh pada komputer Anda menggunakan perangkat lunak antivirus dan bersihkan apa pun yang ditemukan.

Sumber: Bleeping Computer

Versi TrickBot baru dapat merusak firmware UEFI / BIOS

December 4, 2020 by Winnie the Pooh

Operator botnet malware TrickBot telah menambahkan kemampuan baru yang memungkinkan mereka berinteraksi dengan firmware BIOS atau UEFI komputer yang terinfeksi.

Kemampuan baru ini terlihat di dalam bagian dari modul TrickBot baru, pertama kali terlihat pada akhir Oktober, perusahaan keamanan Advanced Intelligence dan Eclypsium mengatakan dalam joint report yang diterbitkan pada 3 Desember 2020.

Modul baru ini membuat para peneliti keamanan khawatir karena fitur-fiturnya akan memungkinkan malware TrickBot untuk membangun pijakan yang lebih gigih pada sistem yang terinfeksi, pijakan yang memungkinkan malware bertahan dari penginstalan ulang OS.

Selain itu, AdvIntel dan Eclypsium mengatakan fitur modul baru dapat digunakan lebih dari sekadar persistence yang lebih baik, seperti:

Melakukan bricking perangkat dari jarak jauh pada tingkat firmware melalui koneksi jarak jauh malware yang khas.
Melewati kontrol keamanan seperti BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, kontrol perlindungan endpoint seperti A/V, EDR, dll.
Menyiapkan serangan lanjutan yang menargetkan kerentanan Intel CSME, beberapa di antaranya memerlukan akses flash SPI.
Membalikkan ACM atau pembaruan kode mikro yang menambal kerentanan CPU seperti Spectre, MDS, dll.

Kabar baiknya adalah bahwa “sejauh ini, modul TrickBot hanya memeriksa pengontrol SPI untuk memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak, dan belum terlihat memodifikasi firmware itu sendiri,” menurut AdvIntel dan Eclypsium.

Namun, Modul ini juga dapat digunakan dalam serangan ransomware, di mana geng TrickBot sering terlibat dengan menyewakan akses ke jaringan botnya kepada kru ransomware.

Selama beberapa minggu terakhir, operasi TrickBot telah memperlihatkan banyak pembaruan, dari teknik obfuscation baru, infrastruktur perintah dan kontrol baru, dan kampanye spam baru.

Sumber: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

October 21, 2020 by Winnie the Pooh

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Winnie the Pooh

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Botnet TrickBot bertahan dari upaya penghapusan, tetapi Microsoft menetapkan preseden hukum baru

October 14, 2020 by Winnie the Pooh

Botnet TrickBot telah selamat dari upaya penghapusan yang diatur oleh koalisi perusahaan teknologi pada hari Senin.

Server dan domain command and control (C&C) TrickBot yang disita kemarin telah diganti dengan infrastruktur baru hari ini, beberapa sumber di komunitas infosec mengatakan kepada ZDNet.

Sumber dari perusahaan yang memantau aktivitas TrickBot menggambarkan efek penghapusan sebagai “sementara” dan “terbatas,” tetapi memuji Microsoft dan mitranya atas upaya tersebut, terlepas dari hasil saat ini.

Dalam wawancara pribadi, bahkan peneliti keamanan di ESET, Microsoft, dan Symantec mengatakan kepada ZDNet bahwa mereka tidak pernah berharap untuk menghapus TrickBot selamanya dalam satu pukulan cepat.

“Seperti yang telah kita lihat dengan operasi [penghapusan] sebelumnya, hasil dari gangguan global yang melibatkan banyak mitra muncul secara bertahap,” Tom Burt, CVP dari Keamanan dan Kepercayaan Pelanggan di Microsoft, mengatakan kepada ZDNet melalui email pada hari Senin.

“Kami mengantisipasi operator Trickbot akan berusaha untuk menghidupkan kembali operasi mereka, dan kami akan mengambil langkah hukum dan teknis tambahan untuk menghentikan mereka jika perlu,” tambah Burt.

Dalam buletin intelijen ancaman dengan distribusi terbatas yang dibagikan dengan ZDNet pada Senin malam, perusahaan keamanan Intel471 mencatat bahwa TrickBot mulai memindahkan server C&C ke sistem nama domain terdesentralisasi EmerDNS sebagai cara untuk melawan upaya penghapusan yang sedang berlangsung.

Pada Selasa pagi, infrastruktur botnet telah pulih, meskipun tidak seaktif hari-hari sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Penghapusan TrickBot Mengganggu Perangkat Kriminal Utama

October 14, 2020 by Winnie the Pooh

TrickBot dikenal karena menyebarkan malware lain, terutama ransomware. Microsoft mengatakan minggu ini bahwa Pengadilan Distrik Amerika Serikat untuk Distrik Timur Virginia mengabulkan permintaan pengadilan untuk menghentikan operasi TrickBot, yang dilakukan bersama dengan perusahaan lain, termasuk ESET, Lumen’s Black Lotus Labs, NTT Ltd., Symantec dan lainnya.

“Kami mengganggu TrickBot melalui perintah pengadilan yang kami peroleh, serta tindakan teknis yang kami lakukan dalam kemitraan dengan penyedia telekomunikasi di seluruh dunia,” tulis Tom Burt, wakil presiden perusahaan, Keamanan & Kepercayaan Pelanggan, di Microsoft, dalam posting hari Senin.

Menurut ESET, salah satu kunci penyelidikan adalah kenyataan bahwa arsitektur modular TrickBot menggunakan berbagai plugin untuk melakukan berbagai tindakan berbahaya.

Menariknya, permintaan Microsoft untuk persetujuan hukum bergantung pada klaim hak cipta terhadap TrickBot yang menggunakan kode perangkat lunaknya untuk tujuan berbahaya.

Ini adalah pertama kalinya raksasa komputasi menggunakan pendekatan ini, kata Burt, menambahkan bahwa taktik tersebut “memungkinkan kami mengambil tindakan sipil untuk melindungi pelanggan di sejumlah besar negara di seluruh dunia yang menerapkan undang-undang ini”.

TrickBot mungkin terganggu untuk saat ini, tetapi para peneliti menunjukkan bahwa operator memiliki proyek lain yang sedang berlangsung.

“Salah satu dari proyek ini adalah apa yang disebut proyek Anchor, sebuah platform yang sebagian besar ditujukan untuk spionase daripada crimeware,” menurut ESET.

Berita selengkapnya:
Source: The Threat Post

BazarLoader digunakan untuk menyebarkan ransomware Ryuk pada target bernilai tinggi

October 13, 2020 by Winnie the Pooh

Operator geng TrickBot semakin menargetkan target bernilai tinggi dengan trojan BazarLoader siluman baru sebelum menyebarkan ransomware Ryuk.

Selama bertahun-tahun, geng TrickBot telah menggunakan trojan mereka untuk menyusupi jaringan perusahaan dengan mengunduh modul perangkat lunak berbeda yang digunakan untuk perilaku tertentu seperti mencuri kata sandi, menyebarkan ke komputer lain, atau bahkan mencuri domain database Active Directory.

Karena modul-modul ini telah banyak dianalisis dari waktu ke waktu, solusi keamanan menjadi lebih baik dalam mendeteksi modul-modul ini sebelum digunakan.

Dalam laporan baru, peneliti keamanan Advanced Intel menjelaskan bahwa alih-alih menyerang korban dengan trojan TrickBot yang sangat tinggi potensinya untuk terdeteksi, pelaku ancaman sekarang lebih memilih BazarBackdoor sebagai alat pilihan mereka untuk target perusahaan bernilai tinggi.

Penyusupan BazarLoader dimulai dengan serangan phishing yang ditargetkan, seperti yang ditunjukkan oleh email phishing yang diterima oleh BleepingComputer pada bulan April.

Setelah menginfeksi komputer, BazarLoader akan menggunakan proses hollowing untuk menyuntikkan komponen BazarBackdoor ke dalam proses Windows yang sah seperti cmd.exe, explorer.exe, dan svchost.exe. Sebuah scheduled task dibuat untuk memuat BazarLoader setiap kali pengguna masuk ke sistem.

Akhirnya, BazarBackdoor akan menyebarkan suar Cobalt Strike, yang menyediakan akses jarak jauh ke pelaku ancaman yang memasang alat pasca-eksploitasi seperti BloodHound dan Lasagne untuk memetakan domain Windows dan mengekstrak kredensial.

Pada akhirnya, serangan tersebut mengarah pada pelaku ancaman yang menyebarkan ransomware Ryuk di seluruh jaringan dan menuntut tebusan besar-besaran.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

TrickBot

Cookies Settings