Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

Pembeli Berhati-hatilah: Aplikasi Cryptocurrency Palsu Berfungsi sebagai Front untuk Malware AppleJeus

by

Selama beberapa bulan terakhir, Volexity telah mengamati aktivitas baru yang terkait dengan aktor ancaman Korea Utara yang dilacaknya yang secara luas disebut sebagai Grup Lazarus. Aktivitas ini terutama melibatkan kampanye yang kemungkinan besar menargetkan pengguna dan organisasi cryptocurrency dengan varian malware AppleJeus melalui dokumen Microsoft Office yang berbahaya.

Analisis Volexity terhadap kampanye ini mengungkap situs web bertema cryptocurrency langsung dengan konten yang dicuri dari situs web sah lainnya. Analisis teknis lebih lanjut dari malware AppleJeus yang disebarkan menemukan variasi baru dari pemuatan samping DLL yang belum pernah dilihat Volexity sebelumnya didokumentasikan seperti di alam liar.

Blog ini menguraikan teknik baru yang digunakan oleh Grup Lazarus, menganalisis varian malware AppleJeus terbaru, membagikan indikator dari versi lain malware ini, serta menguraikan tautan antara aktivitas ini dan kampanye bersejarah.

Bagian akhir postingan mencakup peluang deteksi dan mitigasi untuk individu atau organisasi yang mungkin menjadi sasaran aktivitas ini. Seperti semua blog Volexity, indikator terkait dapat ditemukan di sini di Github.

Volexity menemukan situs web BloxHolder palsu setelah mengidentifikasi sampel malware AppleJeus baru yang dibundel sebagai bagian dari file Instalasi Microsoft (MSI). File yang ditemukan ini, “aplikasi BloxHolder”, sebenarnya adalah kasus lain dari AppleJeus yang diinstal bersama aplikasi perdagangan mata uang kripto sumber terbuka QTBitcoinTrader yang tersedia di GitHub.

Aplikasi sah yang sama ini sebelumnya telah digunakan oleh Grup Lazarus, sebagaimana didokumentasikan dalam laporan ini dari CISA. File MSI digunakan untuk menginstal aplikasi jahat dan sah secara bersamaan.

Selengkapnya: Volexity

Serangan peretasan terkait Korea Utara berpura-pura menjadi topik diskusi di konferensi diplomatik dan keamanan Waspadalah!

by

Serangan peretasan terkait Korea Utara yang disamarkan sebagai topik diskusi dan permintaan untuk presentasi di konferensi keamanan dan diplomasi antar-Korea telah muncul, yang mengharuskan pengguna untuk memberikan perhatian khusus.

Serangan ini tampaknya ditujukan kepada pekerja di bidang diplomasi domestik, keamanan, dan unifikasi, dan telah dipastikan bahwa target menghadiri konferensi akademik atau acara akhir tahun yang akan datang didekati melalui email dengan menipu mereka seperti jadwal. pertanyaan atau permintaan data.

Awalnya, penyerang mengirim email dengan konten umum, seperti pertanyaan umum, tetapi saat ini, lampiran terpisah atau tautan URL tidak sengaja disertakan. Setelah itu, apa yang disebut serangan phishing tombak dua jalur dilakukan di mana hanya mereka yang menunjukkan minat dengan membalas email yang dipilih dan serangan lebih lanjut dilakukan.

Jenis serangan ini dimaksudkan untuk menghindari kecurigaan dari pihak penyerang. Pada umumnya, dalam kasus orang yang telah mendapatkan pelatihan pencegahan insiden keamanan siber atau telah mengikuti pelatihan simulasi peretasan, jika sebuah file dilampirkan atau tautan disertakan dalam email, mereka seringkali tidak membukanya atau meneruskannya ke tim keamanan internal, mencurigai bahwa itu berbahaya. Namun, jika tidak ada konten tertentu, mereka dapat dengan mudah mempercayai dan membalas email tanpa pertanyaan, jadi mereka menggunakan strategi yang dengan cerdik menggali psikologi keamanan dan kesadaran akan masalah ini.

Penyerang mengirimkan file berbahaya dengan menyamar sebagai target tambahan untuk serangan yang dipilih sebagai permintaan presentasi di konferensi akademik tahunan tertentu. File jahat adalah file ‘pintasan (LNK)’, tetapi serangan menggunakan ekstensi ganda yang terlihat seperti dokumen PDF biasa. Itu mendorong eksekusi target.

Selengkapnya: Alyac

Staf TI Albania dituduh lalai atas serangan siber

by

Kejaksaan Albania pada hari Rabu meminta penahanan rumah terhadap lima pegawai negeri yang mereka salahkan karena tidak melindungi negara dari serangan dunia maya yang diduga dilakukan oleh peretas Iran.

Jaksa mengatakan lima pejabat TI dari departemen administrasi publik telah gagal memeriksa keamanan sistem dan memperbaruinya dengan peranti lunak antivirus terbaru.

Mereka dituduh melakukan “penyalahgunaan jabatan”, yang dapat dikenai hukuman penjara hingga tujuh tahun.

Pada bulan September, Albania memutuskan hubungan diplomatik dengan Iran atas serangan siber 15 Juli yang menutup sementara banyak layanan digital dan situs web pemerintah Albania. Tirana menyebut gangguan itu sebagai tindakan “agresi negara.”

Sejak itu, ada beberapa serangan dunia maya yang lebih ringan dari sumber Iran yang sama.

Pemerintah Amerika Serikat memberlakukan sanksi terhadap badan intelijen Iran dan kepemimpinannya sebagai tanggapan atas serangan siber bulan Juli.

Albania, anggota NATO, telah dibantu oleh aliansi, AS, dan UE untuk menyelidiki dan memasang pertahanan dunia maya yang lebih baik.

Selengkapnya: AP News

Cybercrime Diperkirakan Akan Meroket di Tahun-Tahun Mendatang

by

Menurut perkiraan dari Statista’s Cybersecurity Outlook, biaya global kejahatan dunia maya diperkirakan akan melonjak dalam lima tahun ke depan, naik dari $8,44 triliun pada tahun 2022 menjadi $23,84 triliun pada tahun 2027.

Kejahatan dunia maya didefinisikan oleh Cyber Crime Magazine sebagai “kerusakan dan penghancuran data , uang yang dicuri, kehilangan produktivitas, pencurian kekayaan intelektual, pencurian data pribadi dan keuangan, penggelapan, penipuan, gangguan pasca-serangan terhadap kegiatan normal bisnis, penyelidikan forensik, pemulihan dan penghapusan data dan sistem yang diretas, dan kerusakan reputasi. ”

Karena semakin banyak orang yang beralih daring, baik untuk pekerjaan atau kehidupan pribadi mereka, ada lebih banyak peluang potensial untuk dieksploitasi oleh penjahat dunia maya.

Pada saat yang sama, teknik penyerang menjadi lebih maju, dengan lebih banyak alat yang tersedia untuk membantu penipu.

Pandemi virus korona menunjukkan pergeseran tertentu dalam serangan dunia maya, seperti yang dijelaskan oleh analis Outlook Statista: “Krisis COVID-19 menyebabkan banyak organisasi menghadapi lebih banyak serangan dunia maya karena kerentanan keamanan pekerjaan jarak jauh serta peralihan ke lingkungan TI virtual, seperti infrastruktur, data, dan jaringan komputasi awan.”

Selengkapnya: Statista

BEC Group Mengkompromi Akun Pribadi dan Menarik Hati untuk Meluncurkan Serangan Kartu Hadiah Massal

by

Ada satu kelompok kriminal yang sekarang menyempurnakan eksploitasi kesediaan orang untuk membantu orang lain ketika mereka sakit atau berduka. Penjahat ini memanfaatkan salah satu instrumen bantuan orang-ke-orang yang disukai di era pandemi untuk memberikan sentuhan baru yang berbahaya pada penipuan kartu hadiah, menggunakan taktik manipulasi dan kompromi email bisnis (BEC).

Lilac Wolverine adalah grup BEC yang menyusup ke akun email pribadi, lalu mengirimkan kampanye email yang sangat besar yang menargetkan semua orang di setiap daftar kontak akun yang disusupi untuk meminta bantuan membeli kartu hadiah untuk teman atau kerabat. Berdasarkan keterlibatan pertahanan aktif yang telah kami lakukan dengan para aktor Lilac Wolverine, grup ini sangat tersentralisasi di Nigeria, yang secara historis menjadi titik panas bagi para aktor BEC.

Untuk serangan BEC penipuan pembayaran, target scammer umumnya terbatas pada karyawan di tim keuangan perusahaan. Serangan pengalihan gaji biasanya hanya dapat dilakukan dengan menyerang karyawan di departemen sumber daya manusia. Serangan kartu hadiah, di sisi lain, dapat menargetkan karyawan mana pun di suatu organisasi, terlepas dari departemen apa yang mereka duduki.

Alih-alih memiliki jumlah target yang terbatas, scammer berpotensi memiliki ratusan karyawan yang dapat mereka kejar dalam satu kampanye. . Dan sementara tingkat keberhasilan keseluruhan mungkin jauh lebih rendah untuk setiap email serangan BEC kartu hadiah individu, peluang sukses keseluruhan scammer dalam kampanye email yang jauh lebih besar naik, karena mereka hanya perlu persentase kecil dari populasi target yang jauh lebih besar untuk jatuh. penipuan.

Selengkapnya: Abnormal Security

Pejabat Vanuatu beralih ke buku telepon dan mesin tik, satu bulan setelah serangan dunia maya

by

Satu bulan setelah serangan dunia maya meruntuhkan server dan situs web pemerintah di Vanuatu, para pejabat yang frustrasi masih menggunakan akun Gmail pribadi, laptop pribadi, pulpen dan kertas, dan mesin tik untuk menjalankan pemerintahan perdana menteri, Ismael Kalsakau, yang mulai menjabat. hanya beberapa hari setelah kecelakaan itu.

Serangan malware pada jaringan negara telah menyebabkan keterlambatan komunikasi dan koordinasi di negara kepulauan Pasifik berpenduduk 314.000 orang dan 80 pulau itu.

Orang-orang menggunakan Yellow Pages online atau direktori hard copy telepon untuk menemukan nomor telepon pemerintah. Beberapa kantor beroperasi dari halaman Facebook dan Twitter mereka.

Masalahnya dimulai sekitar sebulan yang lalu, ketika aktivitas phishing yang mencurigakan pertama kali diketahui melalui email ke Kementerian Keuangan, menurut seorang analis keuangan yang bekerja sama dengan tim keamanan siber kementerian.

Malware tersebut merusak hampir semua email pemerintah dan arsip situs web. Banyak departemen masih menggunakan drive komputer lokal untuk menyimpan data, berbeda dengan server web atau cloud. Tidak ada informasi resmi yang dirilis tentang apakah permintaan tebusan dibuat oleh para peretas.

“Butuh waktu lebih lama untuk pembayaran [dari Kementerian Keuangan] untuk keluar, tapi … toh kami selalu dalam waktu Vanuatu,” kata analis keuangan itu.

Departemen pemerintah telah berjuang untuk tetap terhubung, membuat frustrasi pejabat, dengan solusi dadakan yang diterapkan untuk komunikasi antara lembaga dan departemen. Banyak kantor pemerintah pulau terluar mengalami keterlambatan tajam dalam pelayanan.

Selengkapnya: The Guardian

Peneliti keamanan siber menghapus botnet DDoS secara tidak sengaja

by

Saat menganalisis kemampuannya, peneliti Akamai secara tidak sengaja menghapus botnet cryptomining yang juga digunakan untuk serangan denial-of-service (DDoS) terdistribusi.

Seperti terungkap dalam laporan yang diterbitkan awal bulan ini, malware KmsdBot di balik botnet ini ditemukan oleh anggota Akamai Security Intelligence Response Team (SIRT) setelah menginfeksi salah satu honeypots mereka.

KmsdBot menargetkan perangkat Windows dan Linux dengan beragam arsitektur, dan menginfeksi sistem baru melalui koneksi SSH yang menggunakan kredensial login yang lemah atau default.

Perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dan meluncurkan serangan DDoS, dengan beberapa target sebelumnya adalah perusahaan game dan teknologi, serta produsen mobil mewah.

Sayangnya untuk pengembangnya dan untungnya bagi pemilik perangkat, botnet belum memiliki kemampuan bertahan untuk menghindari deteksi.

Namun, ini berarti malware harus memulai dari awal jika terdeteksi dan dihapus atau malfungsi dengan cara apa pun dan kehilangan koneksi ke server perintah-dan-kontrol (C2).

Selengkapnya: Bleeping Computer