Worm

Raspberry Robin Worm Berevolusi Menyerang Sektor Keuangan dan Asuransi di Eropa

January 4, 2023 by Coffee Bean

Sektor keuangan dan asuransi di Eropa telah menjadi sasaran worm Raspberry Robin, karena malware terus mengembangkan kemampuan pasca-eksploitasi sambil tetap berada di bawah radar.

Raspberry Robin, juga disebut worm QNAP, digunakan oleh beberapa pelaku ancaman sebagai sarana untuk mendapatkan pijakan ke dalam jaringan target. Menyebar melalui drive USB yang terinfeksi dan metode lainnya, kerangka tersebut baru-baru ini digunakan dalam serangan yang ditujukan pada sektor telekomunikasi dan pemerintah.

Microsoft melacak operator Raspberry Robin di bawah moniker DEV-0856.

Investigasi forensik Security Joes terhadap salah satu serangan tersebut telah mengungkapkan penggunaan file 7-Zip, yang diunduh dari browser korban melalui rekayasa sosial dan berisi file penginstal MSI yang dirancang untuk menghapus beberapa modul.

Dalam contoh lain, file ZIP dikatakan telah diunduh oleh korban melalui iklan penipuan yang dihosting di domain yang diketahui mendistribusikan adware.

File arsip, disimpan di server Discord, berisi kode JavaScript yang disandikan yang, setelah dieksekusi, menjatuhkan pengunduh yang dilindungi dengan banyak lapisan penyamaran dan enkripsi untuk menghindari deteksi.

Pengunduh kode shell terutama direkayasa untuk mengambil executable tambahan, Ini melibatkan pengumpulan Pengidentifikasi Unik Universal (UUID) host, dalam beberapa kasus bahkan beralih ke bentuk tipu daya dengan menyajikan malware palsu.

Data pengintaian kemudian dienkripsi menggunakan kunci berkode keras dan dikirim ke server perintah-dan-kontrol (C2), yang merespons kembali dengan biner Windows yang kemudian dijalankan di mesin.

sumber : the hacker news

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

July 3, 2022 by Eevee

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
msiexec (command line Windows Installer component),
dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer

Kit malware keabadian menawarkan alat pencuri, penambang, worm, ransomware

May 13, 2022 by Eevee

Pelaku ancaman telah meluncurkan ‘Proyek Keabadian,’ malware-as-a-service baru di mana pelaku ancaman dapat membeli perangkat malware yang dapat disesuaikan dengan modul yang berbeda tergantung pada serangan yang dilakukan.

Perangkat malware bersifat modular dan dapat mencakup pencuri info, penambang koin, pemotong, program ransomware, penyebar worm, dan segera, juga bot DDoS (penolakan layanan terdistribusi), masing-masing dibeli secara terpisah.

Semua hal di atas dipromosikan di saluran Telegram khusus yang memiliki lebih dari 500 anggota, tempat penulis memposting catatan rilis untuk pembaruan, petunjuk penggunaan, dan mendiskusikan saran fitur.

Mereka yang telah membeli perangkat malware dapat memanfaatkan Bot Telegram untuk membangun biner secara otomatis setelah memilih fitur mana yang ingin mereka aktifkan dan membayarnya dengan kripto.

Membeli modul malware untuk pembuatan otomatis (Cyble)

Dimulai dengan pencuri info, yang dijual seharga $260/tahun, alat ini mengambil kata sandi, kartu kredit, bookmark, token, cookie, dan data pengisian otomatis yang disimpan di lebih dari dua puluh browser web.

Selain itu, ia dapat mencuri informasi dari ekstensi cryptocurrency atau bahkan dompet dingin, dan juga menargetkan sepuluh pengelola kata sandi, klien VPN, messenger, dan klien game.

Modul penambang berharga $90/tahun dan menampilkan penyembunyian pengelola tugas, restart otomatis saat dimatikan, dan ketekunan peluncuran startup.

Clipper dijual seharga $ 110 dan merupakan utilitas yang memantau clipboard untuk alamat dompet cryptocurrency untuk menggantikannya dengan dompet di bawah kendali operator.

Pengembang menjual Eternity Worm seharga $ 390, memberikan malware kemampuan untuk menyebar sendiri melalui driver USB, berbagi jaringan lokal, file lokal, drive cloud, proyek Python (melalui juru bahasa), akun Discord, dan akun Telegram.

Contoh malware menyebar melalui akun Discord (Cyble)

Terakhir, Eternity ransomware, modul paling mahal, adalah $490. Ini mendukung enkripsi offline menggunakan kombinasi AES dan RSA dan menargetkan dokumen, foto, dan database.

Penulis mengklaim itu FUD (sepenuhnya tidak terdeteksi), klaim yang diduga didukung oleh Virus Total hasil di mana strain mengembalikan deteksi nol.

Menariknya, modul ransomware menawarkan opsi untuk menyetel timer yang membuat file benar-benar tidak dapat dipulihkan saat kedaluwarsa. Ini memberi tekanan tambahan pada korban untuk membayar uang tebusan dengan cepat.

Pengatur waktu ransomware mengancam file yang rusak (Cyble)

Analis di Cyble yang menemukan Proyek Keabadian mengatakan bahwa meskipun mereka belum memiliki kesempatan untuk memeriksa semua modul, mereka telah melihat sampel malware yang beredar dan digunakan di alam liar, dan semua komentar pengguna di Telegram mengarah ke ini menjadi ancaman nyata.

Dengan melihat ke dalam modul stealer, analis Cyble menemukan beberapa kesamaan dengan Jester Stealer, keduanya mungkin berasal dari proyek GitHub bernama DynamicStealer.

Dengan demikian, “Eternity Stealer” kemungkinan besar adalah salinan kode itu, diikuti dengan modifikasi dan rebranding untuk menjualnya di Telegram demi keuntungan.

Bahkan jika ini adalah “skidware”, modul tambahan, dukungan pelanggan, pembuatan otomatis, dan instruksi terperinci tentang cara menggunakan malware, menjadikannya senjata ampuh di tangan peretas yang tidak terampil dan ancaman parah bagi pengguna internet.

Sumber: Bleeping Computer

Malware Purple Fox masuk ke sistem Windows yang terekspos

March 24, 2021 by Winnie the Pooh

Purple Fox, malware yang sebelumnya didistribusikan melalui exploit kits dan email phishing, kini telah menambahkan modul worm yang memungkinkannya memindai dan menginfeksi sistem Windows yang dapat dijangkau melalui Internet dalam serangan yang sedang berlangsung.

Malware ini hadir dengan kemampuan rootkit dan backdoor, pertama kali terlihat pada tahun 2018 setelah menginfeksi setidaknya 30.000 perangkat, dan digunakan sebagai pengunduh untuk menyebarkan jenis malware lainnya.

Mulai Mei 2020, serangan Purple Fox telah meningkat secara signifikan, mencapai total 90.000 serangan dan 600% lebih banyak infeksi, menurut peneliti keamanan Guardicore Labs Amit Serper dan Ophir Harpaz.

Upaya pemindaian dan eksploitasi port aktif malware dimulai pada akhir tahun lalu berdasarkan telemetri yang dikumpulkan menggunakan Guardicore Global Sensors Network (GGSN).

Setelah menemukan sistem Windows yang terbuka saat memindai perangkat yang dapat dijangkau melalui Internet, modul worm yang baru ditambahkan ke Purple Fox menggunakan SMB password brute force untuk menginfeksinya. Sejauh ini, Purple Fox telah menyebarkan malware dropper dan modul tambahan pada jaringan bot yang luas.

Perangkat yang terjerat dalam botnet ini termasuk mesin Windows Server yang menjalankan IIS versi 7.5 dan Microsoft FTP, dan server yang menjalankan Microsoft RPC, Microsoft Server SQL Server 2008 R2, dan Microsoft HTTPAPI httpd 2.0, dan Layanan Terminal Microsoft.

Setelah menerapkan rootkit dan me-reboot perangkat, malware akan mengganti nama muatan DLL-nya agar sesuai dengan DLL sistem Windows dan akan mengkonfigurasinya untuk diluncurkan saat sistem dimulai.

Setelah malware dijalankan pada peluncuran sistem, setiap sistem yang terinfeksi kemudian akan menunjukkan perilaku mirip worm yang sama, terus-menerus memindai Internet untuk mencari target lain dan mencoba menyusupinya dan menambahkannya ke botnet.

Indicators of compromise (IOC) tersedia di repositori GitHub ini.

Selengkapnya: Bleeping Computer

Worm Lama Tapi Teknik Obfuscation Baru

November 19, 2020 by Winnie the Pooh

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU

Kampanye worm phishing ini mengubah permainan dalam pencurian kata sandi dan pengambilalihan akun

October 1, 2020 by Winnie the Pooh

Pada tanggal 29 September, arsitek keamanan siber dan pemburu bug bounty Craig Hays menguraikan upaya phishing baru-baru ini yang jauh melampaui taktik spray-dan-pray biasa dan upaya dasar untuk menyusupi jaringan, untuk menjadi “pencuri sandi terbesar yang pernah dilihatnya”.

“Kami dapat melihat bahwa semua akun sedang diakses dari lokasi asing di seluruh dunia dan mengirimkan sejumlah besar email,” kata Hays. “Untuk begitu banyak akun yang terkena serangan sekaligus, itu adalah serangan phishing yang benar-benar efektif, atau seseorang telah menunggu waktu mereka setelah mencuri kredensial dalam waktu yang lama.”

“Email phishing dikirim sebagai balasan ke email asli,” jelas peneliti. “Email dipertukarkan antar karyawan dan pemasok kami, pelanggan kami, dan bahkan secara internal antar rekan kerja.”

Beginilah cara kerjanya: setelah satu akun email disusupi, kredensial untuk akun tersebut dikirim ke bot jarak jauh. Bot kemudian akan masuk ke akun dan menganalisis email yang dikirim dalam beberapa hari terakhir.

“Untuk setiap rantai email unik yang ditemukan, mereka membalas email terbaru dengan link ke halaman phishing untuk mendapatkan kredensial,” kata Hays. “Kata-katanya cukup umum untuk menyusaikan hampir semua skenario dan tautan ke ‘dokumen’ tidak terlihat aneh.”

Dikirim sebagai balasan ke semua, menggunakan akun email yang sah, dan mengingat riwayat percakapan, sulit untuk mencoba membedakan bot dan pemilik akun asli.

Teknik tersebut, yang menghasilkan pengambilalihan masal seperti worm, membuat Hays “kagum” dengan “jumlah akun fenomenal [yang] disusupi dalam beberapa jam.”

Email phishing juga dikirim ke orang lain di luar organisasi.

Otentikasi multi-faktor lalu dengan cepat diimplementasikan untuk akun email yang tidak mengaktifkan lapisan keamanan tambahan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Worm

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Cookies Settings