Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for WHO

WHO

Malware Nerbian RAT siluman baru terlihat dalam serangan yang sedang berlangsung

by

Sebuah trojan akses jarak jauh baru yang disebut Nerbian RAT telah ditemukan yang mencakup serangkaian fitur yang kaya, termasuk kemampuan untuk menghindari deteksi dan analisis oleh para peneliti.

Varian malware baru ditulis dalam Go, menjadikannya ancaman 64-bit lintas platform, dan saat ini didistribusikan melalui kampanye distribusi email skala kecil yang menggunakan lampiran dokumen yang dicampur dengan makro.

Kampanye malware yang mendistribusikan Nerbian RAT meniru Organisasi Kesehatan Dunia (WHO), yang diduga mengirimkan informasi COVID-19 ke target.

Lampiran RAR berisi dokumen Word yang dicampur dengan kode makro berbahaya, jadi jika dibuka di Microsoft Office dengan konten yang disetel ke “diaktifkan”, file bat melakukan langkah eksekusi PowerShell untuk mengunduh penetes 64-bit.

Dropper, bernama “UpdateUAV.exe,” juga ditulis dalam bahasa Golang dan dikemas dalam UPX agar ukurannya tetap dapat diatur.

UpdateUAV menggunakan kembali kode dari berbagai proyek GitHub untuk menggabungkan serangkaian mekanisme anti-analisis dan penghindaran deteksi yang kaya sebelum Nerbian RAT disebarkan.

Selain itu, penetes juga menetapkan ketekunan dengan membuat tugas terjadwal yang meluncurkan RAT itu setiap jam.

Proofpoint merangkum daftar alat anti-analisis sebagai berikut:

  • Periksa keberadaan program rekayasa balik atau debugging dalam daftar proses
  • Periksa alamat MAC yang mencurigakan
  • Periksa string WMI untuk melihat apakah nama disk sah
  • Periksa apakah ukuran hard disk di bawah 100GB, yang merupakan tipikal untuk mesin virtual
  • Periksa apakah ada analisis memori atau program deteksi gangguan yang ada dalam daftar proses
  • Periksa jumlah waktu yang telah berlalu sejak eksekusi dan bandingkan dengan ambang batas yang ditetapkan
  • Gunakan IsDebuggerPresent API untuk menentukan apakah executable sedang di-debug

Semua pemeriksaan ini secara praktis membuat RAT tidak mungkin berjalan di lingkungan tervirtualisasi kotak pasir, memastikan siluman jangka panjang untuk operator malware.

Trojan diunduh sebagai “MoUsoCore.exe” dan disimpan ke “C:\ProgramData\USOShared\”. Ini mendukung beberapa fungsi, sementara operatornya memiliki opsi untuk mengonfigurasinya dengan beberapa di antaranya.

Dua dari fungsi utamanya adalah keylogger yang menyimpan penekanan tombol dalam bentuk terenkripsi dan alat penangkap layar yang berfungsi di semua platform OS.

Komunikasi dengan server C2 ditangani melalui SSL (Secure Sockets Layer), sehingga semua pertukaran data dienkripsi dan dilindungi dari pemeriksaan dalam perjalanan dari alat pemindaian jaringan.

Proses infeksi lengkap (Proofpoint)

Tanpa ragu, Proofpoint telah menemukan malware baru yang menarik dan kompleks yang berfokus pada siluman melalui berbagai pemeriksaan, komunikasi terenkripsi, dan pengaburan kode.

Untuk saat ini, Nerbian RAT didistribusikan melalui kampanye email bervolume rendah, jadi ini belum menjadi ancaman besar, tetapi ini bisa berubah jika pembuatnya memutuskan untuk membuka bisnis mereka ke komunitas kejahatan dunia maya yang lebih luas.

Sumber: Bleeping Computer

Google Mendeteksi Lebih Dari 18 Juta Malware Harian Dan Email Phising Terkait Dengan COVID-19 Minggu Lalu

by

Google telah mendeteksi lebih dari 18 juta malware dan email phising terkait dengan penipuan bertemakan COVID-19 hanya dalam seminggu terakhir. Dan lebih dari 240 juta pesan spam harian yang dilihatnya terkait dengan novel coronavirus, kata perusahaan itu.

Serangan dan penipuan phishing “menggunakan ketakutan dan insentif keuangan untuk menciptakan urgensi untuk mencoba mendorong pengguna agar merespon,” kata Google. Dengan kata lain, penipuan email yang sama namun dengan baris subjek berbeda.

Google mengatakan perlindungan artificial intelligence nya menyaring ancaman dan memblokir “lebih dari 99,9 persen spam, phishing, dan malware sebelum sampai ke pengguna”. Perusahaan juga mengatakan pihaknya telah bekerja sama dengan WHO dalam mengimplementasikan DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC bertujuan untuk mempersulit para scammer yang mencoba menyamar dengan domain who.int dan mencegah email sah dari WHO masuk ke filter spam.

Agar terhindar dari serangan semacam itu, lakukan langkah berikut:
Jangan klik tautan dalam email yang tidak Anda harapkan, laporkan email phishing, dan pastikan URL yang anda tuju sah sebelum memberikan informasi apa pun. Karena sebagian besar scammer mencoba meniru URL dan membuatnya terlihat legit.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Verge

Peretas Elit Menargetkan Organisasi Kesehatan Dunia (WHO)

by

Peretas elit mencoba membobol Organisasi Kesehatan Dunia awal bulan ini, beberapa sumber melaporkan kepada Reuters, bagian dari apa yang dikatakan seorang pejabat agensi senior adalah peningkatan serangan cyber sebanyak dua kali lipat.

 

Kepala Keamanan Informasi WHO Flavio Aggio mengatakan identitas para peretas belum jelas dan upaya itu tidak berhasil. Tetapi dia memperingatkan bahwa upaya peretasan terhadap agensi dan mitranya telah meningkat ketika mereka berjuang untuk menahan virus corona, yang telah menewaskan lebih dari 15.000 di seluruh dunia.

 

Upaya pembobolan di WHO pertama kali dilaporkan kepada Reuters oleh Alexander Urbelis, seorang pakar keamanan siber dan ahli hukum di Blackstone Law Group yang berbasis di New York, yang melacak aktivitas pendaftaran domain internet yang mencurigakan.

Ketika ditanya oleh Reuters mengenai insiden itu, Aggio WHO mengonfirmasi bahwa situs yang ditemukan oleh Urbelis telah digunakan dalam upaya untuk mencuri kata sandi dari beberapa staf agen.

 

Para pejabat dan pakar keamanan dunia maya telah memperingatkan bahwa peretas dari semua penjuru dunia berusaha memanfaatkan kekhawatiran internasional atas penyebaran virus corona.

 

Baca berita selanjutnya pada tautan berikut;

Source: Reuters