Pelajaran dari Pemburuan Malspam Domain Palsu untuk Menghindari Pengamanan Meskipun ada pengamanan, spam berbahaya tetap berhasil. Untuk melewati pengamanan, aktor ancaman memalsukan atau menyamarkan alamat pengirim email agar tampak lebih sah. Dalam penelitian terbaru, Infoblox Threat Intel menganalisis spam yang dikirim oleh aktor asal China bernama Muddling Meerkat, aktor misterius yang melakukan operasi DNS melalui Great Firewall China. Penelitian ini mengungkap beberapa kampanye spam berbahaya dan penggunaan domain palsu secara luas. Bahan pemburuan: Telemetri buatan sendiri dan umpan balik komunitas Meskipun masih ada pertanyaan setelah publikasi awal tentang Muddling Meerkat, kami berbagi apa yang kami ketahui dan meminta masukan dari komunitas yang lebih besar. Umpan balik yang diterima mencakup laporan pemberitahuan penyalahgunaan yang mendalam akibat distribusi spam berskala besar, yang mengarah ke IP sumber China, dan Infoblox memiliki beberapa domain yang disalahgunakan. Dengan pengetahuan ini, Infoblox Threat Intel memulai pemburuan dengan menghubungkan log server nama otoritatif DNS kami dengan data yang dikumpulkan dari perangkap spam. Dengan memutar balik data, kami bertujuan untuk mempelajari lebih lanjut tentang seberapa luas operasi malspam yang dilakukan oleh Muddling Meerkat. Hal ini menghasilkan wawasan tambahan tentang penggunaan malspam yang dilakukan oleh aktor yang terkait dengan China. Berikut adalah empat pengamatan utama yang diperoleh: Temuan #1: Kampanye Phishing dengan Kode QR Kelompok terbesar dari malspam berkembang di sekitar kampanye phishing yang menargetkan penduduk China Raya. Kampanye ini menyamarkan domain lama dan menyebarkan lampiran berisi kode QR yang mengarah ke situs phishing. Para penyerang menggunakan metode dua langkah di mana penerima pertama kali membuka lampiran email dan kemudian menggunakan WhatsApp untuk memindai kode QR. Metodologi ini menyulitkan langkah pengamanan dengan memindahkan interaksi ke aplikasi obrolan terenkripsi, yang tidak terdeteksi oleh sebagian besar alat pengamanan. Pada langkah kedua, aktor ancaman juga menggunakan algoritma pembuatan domain terdaftar (RDGA) untuk membuat domain acak yang hanya aktif untuk waktu singkat guna menghindari deteksi lebih lanjut. Temuan #2: Kampanye Phishing Jepang Persentase besar spam yang dikumpulkan berasal dari sumber dengan nama host tiga huruf. Dengan mengelompokkan ini, kami menemukan operasi malspam yang menargetkan pengguna Jepang. Kampanye ini melibatkan email yang merujuk pada merek terkenal seperti Electronic Toll Collection (ETC), Sumitomo Mitsui Banking Corporation (SMBC), Amazon, dan Mastercard. Email-email tersebut mendesak pengguna untuk melakukan autentikasi karena masalah keamanan, yang mengarah ke sistem distribusi lalu lintas (TDS) dan akhirnya ke halaman login palsu yang mencuri kredensial. Kampanye lain menargetkan pengguna Jepang dengan pesan spam terkait dengan MyEtherWallet, dompet crypto yang populer. Pesan-pesan ini menggunakan domain yang mirip dan terkadang menyertakan teks dalam bahasa Jepang, meminta pengguna untuk login ke akun mereka. Meskipun tautannya terlihat sah, mereka mengarah ke domain palsu yang dibuat oleh aktor ancaman. Penggunaan domain palsu, penyamaran domain, dan TDS menunjukkan bagaimana aktor-aktor China ini menerapkan berbagai taktik untuk tetap berada di luar sorotan penelitian ancaman dan menghindari deteksi. Temuan #3: Kampanye Pemerasan yang Familiar Kami juga menemukan kampanye yang menggunakan taktik spam yang sudah dikenal yang melibatkan penyamaran domain. Salah satu taktik umum melibatkan email pemerasan yang mengklaim bahwa peretas telah mengakses perangkat pengguna dan merekam aktivitas memalukan. Email-email ini menyamarkan alamat email pengguna, membuatnya tampak seperti pesan yang dikirim dari akun mereka sendiri. Email tersebut meminta pembayaran dalam Bitcoin untuk menghapus malware, dengan jumlah yang bervariasi dalam pesan-pesan tersebut. Meskipun sifat email ini mengejutkan, skema ini efektif, karena beberapa dompet Bitcoin yang terkait dengan kampanye ini berisi dana yang cukup besar. Kampanye-kampanye ini, dan lainnya yang menggunakan domain pengirim yang disamarkan, kemungkinan berasal dari bot spam yang masih beroperasi, bukan hasil kerja aktor yang canggih seperti Muddling Meerkat. Temuan #4: Malspam Misterius Penelitian ini mengungkapkan kampanye spam yang misterius dan aktif yang menggunakan domain pengirim palsu dan lampiran spreadsheet Excel yang tampak tidak berbahaya tanpa tujuan yang jelas. Email-email ini, yang menyamarkan domain seperti yang digunakan oleh Muddling Meerkat, berasal dari sebuah perusahaan pengiriman China. Alamat email bervariasi secara luas dan menyertakan nama pengguna sintetis seperti “Edward.Evelyn” dan “Heidi.Gracie.” Kampanye ini diamati setiap dua dari tiga hari pada tahun 2024, dengan baris subjek yang menunjukkan pembaruan tarif pengiriman baru, namun tidak ditemukan konten berbahaya dalam file-file ini. Menariknya, email-email ini juga tidak menyertakan ajakan untuk bertindak dan hanya merupakan serangkaian tarif pengiriman yang terus diperbarui untuk perusahaan pengiriman China. Penyamarannya membuatnya tidak jelas mengapa baik perusahaan pengiriman maupun aktor berbahaya akan mengirim email semacam itu. Teknik serupa terlihat pada spam pribadi, di mana email memberikan nilai dana investasi dari perusahaan investasi India. Pesan-pesan ini, yang ditandai oleh Google Mail sebagai spam mencurigakan, juga mengandung spreadsheet tidak berbahaya dan file PDF. Dalam kasus ini, nama pengguna pengirim adalah seorang kenalan lama, menunjukkan bahwa akun email mereka diretas untuk operasi spam. Namun, nilai dari pesan-pesan ini bagi aktor spam tetap tidak jelas. Pembelajaran: Penyamaratan Domain adalah Taktik yang Banyak Digunakan Saat pertama kali mempublikasikan Muddling Meerkat pada Maret 2024, kami mengidentifikasi sekitar 20 domain terkait, namun kini telah mengonfirmasi beberapa ratus lainnya yang ditemukan dalam perangkap spam. Sayangnya, kami tidak dapat menghubungkannya kembali ke log server nama otoritatif DNS kami, yang meninggalkan misteri tentang aktor ini. Meskipun kami tidak dapat menentukan apa yang sedang dilakukan Muddling Meerkat, penyelidikan kami berhasil mengungkapkan banyak tentang bagaimana aktor-aktor menggunakan domain palsu dalam malspam, yang dapat memberi informasi tentang cara menghentikan mereka. Bagi peneliti ancaman seperti kami, wawasan tersebut sering kali sama pentingnya dengan mengetahui semua niat di baliknya. Untuk mendapatkan keamanan di organisasi anda dari sisi luar, kita membutuhkan cyber threat intelligence produk, untuk itu percayakan produk Cyber Threat Intelligence anda kepada Infoblox Indonesia.
Month: January 2025
LANSKAP ANCAMAN DNS TAHUN 2024
Pengamatan Ahli dari Garis Depan Pada tahun 2024, ancaman berbasis DNS berkembang dengan teknik pengelakan dan penyamaran yang lebih canggih. Pelaku ancaman kini menyadari kontrol tingkat lanjut seperti EDR, Firewall Generasi Berikutnya, dan perlindungan cloud yang diterapkan oleh pelanggan. Akibatnya, medan perang mulai bergeser. Aset digital di luar organisasi, seperti domain, menjadi medan pertempuran penting dalam keamanan siber, memungkinkan pelaku ancaman mengakses kredensial, melaksanakan skema penipuan, dan menyebabkan kebocoran data tanpa terdeteksi. Di Infoblox, kami mengumpulkan miliaran peristiwa DNS dari ribuan organisasi di seluruh dunia. Tim intelijen kami menggabungkan data ini dengan informasi pendaftaran domain, DNS pasif, dan wawasan dari berbagai mitra teknologi untuk membangun gambaran unik tentang penggunaan domain secara berbahaya. Pada tahun 2024, kami menambahkan 20 juta indikator baru dan memberikan perlindungan rata-rata 63 hari sebelum domain berbahaya digunakan secara aktif. Kami juga mengidentifikasi beberapa aktor DNS baru, sehingga jumlah totalnya mencapai 94. Angka-angka ini menunjukkan bagaimana pelaku terus memanfaatkan DNS dan menyoroti peluang untuk meningkatkan strategi pertahanan mendalam dengan perlindungan berbasis domain. Berikut adalah beberapa pengamatan kunci dari seminar daring terbaru yang dibagikan oleh para ahli Infoblox: Proliferasi Algoritma Pembuatan Domain Terdaftar (RDGA) RDGA adalah mekanisme programatik yang digunakan pelaku ancaman untuk membuat banyak nama domain secara bersamaan atau bertahap. RDGA digunakan untuk berbagai serangan seperti phishing, spam, malvertising, dan eksfiltrasi data. Bahaya utama RDGA adalah sulitnya para peneliti menganalisis dan mengatasi ancaman ini dengan cepat, sementara pelaku ancaman dapat mendaftarkan ribuan domain baru dalam sehari. Pada tahun 2024, Infoblox menemukan rata-rata 11.000 RDGA baru setiap hari. Dengan pasokan domain baru yang tidak terbatas, pelaku ancaman memanfaatkan situasi ini tanpa hambatan, menjadikan internet tempat yang semakin berbahaya. Contoh kasus adalah aktor “Prolific Puma” yang mendaftarkan 75.000 nama domain unik untuk menyediakan layanan pemendekan tautan ilegal, menyerupai layanan seperti TinyURL, namun digunakan untuk mengarahkan korban ke situs berbahaya. Domain Mirip yang Menipu Pengguna Domain mirip adalah domain yang menyerupai domain asli untuk menipu pengguna agar mengungkapkan data sensitif seperti kredensial atau informasi pribadi. Teknik ini sering digunakan selama acara besar, seperti Olimpiade atau pemilu, untuk menarik perhatian dan melancarkan penipuan. Sebagian besar domain mirip ini tetap aktif dalam jangka panjang (lebih dari 1.000 hari), dan daftar pantauan industri hanya efektif memblokir sebagian kecil (20%). Oleh karena itu, diperlukan langkah proaktif untuk mengatasi ancaman ini guna melindungi keamanan online dan reputasi organisasi. Penyembunyian Konten Berbahaya dengan Sistem Distribusi Lalu Lintas (TDS) TDS adalah mekanisme canggih yang digunakan pelaku ancaman untuk mengarahkan korban melalui jaringan domain kompleks, membuat para peneliti sulit melacak aktivitas mereka. Sistem ini memungkinkan pelaku menargetkan audiens tertentu berdasarkan lokasi geografis, jenis perangkat, atau browser. Pada tahun 2024, Infoblox menemukan lebih dari 600.000 domain yang menggunakan TDS. Separuh dari jaringan pelanggan memiliki interaksi dengan TDS, menunjukkan ancaman yang meluas. Layanan TDS bahkan dijual di dark web kepada afiliasi, menjadikannya sumber pendapatan utama bagi pelaku ancaman. Kerentanan Domain yang Ada Pelaku ancaman sering menyerang domain yang sudah ada melalui serangan “sitting duck,” di mana mereka membajak domain dengan reputasi positif untuk melewati kontrol keamanan. Pada musim panas 2024, Infoblox menemukan 70.000 domain yang dibajak dari 800.000 domain yang dimonitor. Teknik ini sangat menarik bagi kelompok kejahatan siber karena mudah dilakukan dan sulit dideteksi oleh tim keamanan. DNS Tunneling yang Semakin Canggih DNS Tunneling digunakan untuk melewati firewall dan mengekstrak data. Teknik ini semakin sulit dideteksi karena pelaku sering mengganti domain dan menggunakan periode tenang untuk menghindari alat analisis dinamis. Pada tahun 2024, DNS Tunneling menjadi masalah global, digunakan baik oleh pelaku ancaman maupun tim pengujian penetrasi. Aktor seperti Alphv/Black Cat yang disebutkan oleh FBI dan CISA, menjadi contoh signifikan dalam eksploitasi ini. Misteri di Balik Great Chinese Firewall Infoblox juga melaporkan aktor canggih bernama “Muddling Meerkat,” yang diduga terkait dengan operasi negara tertentu. Mereka memanfaatkan resolver DNS terbuka dan memanipulasi catatan MX untuk tujuan seperti pemetaan internet. Perlindungan DNS untuk Pertahanan Mendalam Penggunaan DNS secara berbahaya tetap kurang dilaporkan dalam industri keamanan karena vendor sering menunggu ancaman muncul sebelum mengambil tindakan. Untuk melindungi data, identitas, dan reputasi organisasi, penting untuk mengintegrasikan perlindungan terhadap penggunaan domain secara berbahaya sebagai bagian dari strategi pertahanan mendalam. Infoblox memungkinkan tim keamanan memblokir lebih dari 75% domain berbahaya sebelum ada interaksi dengan korban, mengurangi beban pada alat dan proses keamanan sekaligus meningkatkan postur keamanan organisasi. gangguan operasional, misalnya, infrastruktur kritis organisasi diserang melalui serangan rantai pasokan. Selain itu, kerusakan reputasi adalah risiko umum yang dapat terjadi di semua industri. Untuk mendapatkan keamanan di organisasi anda dari sisi luar, kita membutuhkan cyber threat intelligence produk, untuk itu percayakan produk Cyber Threat Intelligence anda kepada Infoblox Indonesia.