Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Microsoft: Peretas menggunakan taktik ‘mengkhawatirkan’ ini untuk menghindari otentikasi multi-faktor

by

Microsoft telah menguraikan beberapa mitigasi untuk melindungi dari serangan pada otentikasi multi-faktor yang sayangnya akan membuat hidup lebih sulit bagi pekerja jarak jauh Anda.

Tiga tahun lalu, serangan terhadap otentikasi multi-faktor (MFA) sangat jarang sehingga Microsoft tidak memiliki statistik yang layak tentang mereka, terutama karena beberapa organisasi telah mengaktifkan MFA.

Tetapi dengan meningkatnya penggunaan MFA karena serangan terhadap kata sandi menjadi lebih umum, Microsoft telah melihat peningkatan penyerang yang menggunakan pencurian token dalam upaya mereka untuk menghindari MFA.

Dalam serangan ini, penyerang mengkompromikan token yang dikeluarkan untuk seseorang yang telah menyelesaikan MFA dan memutar ulang token tersebut untuk mendapatkan akses dari perangkat yang berbeda. Token merupakan inti dari platform identitas OAuth 2.0, termasuk Azure Active Directory (AD), yang bertujuan untuk membuat autentikasi lebih sederhana dan lebih cepat bagi pengguna, tetapi dengan cara yang masih tahan terhadap serangan kata sandi.

Juga: Pekerjaan keamanan siber: Lima cara untuk membantu Anda membangun karier

Selain itu, Microsoft memperingatkan bahwa pencurian token berbahaya karena tidak memerlukan keterampilan teknis yang tinggi, sulit untuk mendeteksi dan, karena teknik ini baru saja mengalami peningkatan, beberapa organisasi memiliki mitigasi.

“Baru-baru ini, Tim Deteksi dan Respons Microsoft (DART) telah melihat peningkatan penyerang yang menggunakan pencurian token untuk tujuan ini,” kata Microsoft dalam sebuah blogpost.

Selengkapnya: ZDNet

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

by

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

dekripsi rutin chunk (kapersky)

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Whoosh Mengonfirmasi Pelanggaran Data Setelah Peretas Menjual 7,2 Juta Catatan Pengguna

by Leave a Comment

Layanan berbagi skuter Rusia Whoosh telah mengonfirmasi pelanggaran data setelah peretas mulai menjual basis data yang berisi rincian 7,2 juta pelanggan di forum peretasan.

Perusahaan mengkonfirmasi serangan siber melalui pernyataan di media Rusia awal bulan ini tetapi mengklaim bahwa para ahli TI telah berhasil menggagalkannya dengan sukses.

Penjualan Hari Ini

Pada hari Jumat, seorang pengguna di forum peretasan ‘Breached’ memposting database yang berisi rincian tentang 7,2 juta pelanggan Whoosh, termasuk alamat email, nomor telepon, dan nama depan.

Penjualan data Woosh di forum Pelanggaran (BleepingComputer)

Penjual juga mengakui bahwa data yang dicuri termasuk 3.000.000 kode promo yang dapat digunakan orang untuk menyewa skuter Whoosh tanpa membayar.

Penjual mengatakan mereka menjual data hanya kepada lima pembeli masing-masing seharga $4.200, atau 0,21490980 bitcoin, dan menurut platform SatoshiDisk yang digunakan untuk transaksi, belum ada yang membeli database.

Kebocoran Database Rusia

Menurut laporan Agustus 2022 dari Roskomnadzor, pengawas internet Rusia, ada 40 pelanggaran data perusahaan Rusia yang dikonfirmasi sejak awal tahun.

Pada September 2022, Group-IB menerbitkan laporan yang mengklaim telah mengamati 140 penjualan database yang dicuri dari perusahaan Rusia musim panas ini saja, dengan jumlah total catatan yang terpapar mencapai 304 juta.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

by

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Penipuan pemerasan baru mengancam merusak reputasi situs, membocorkan data

by

Penipuan pemerasan aktif menargetkan pemilik situs web dan admin di seluruh dunia, mengklaim telah meretas server mereka dan menuntut $2.500 agar tidak membocorkan data.

Para penyerang (dijuluki sendiri Tim Montesano) mengirim email dengan subjek “Situs web, basis data, dan email Anda telah diretas”.

Email tersebut tampaknya tidak ditargetkan, dengan penerima permintaan tebusan dari semua vertikal, termasuk blogger pribadi, lembaga pemerintah, dan perusahaan besar.

Penipuan ini begitu tersebar luas sehingga reporter kami sendiri Axe Sharma dan Apakah Saya Telah Dilanggar menciptakan Troy Hunt juga telah menerima upaya pemerasan ini.

Pesan spam memperingatkan bahwa peretas akan membocorkan data yang dicuri, merusak reputasi mereka, dan membuat situs tersebut masuk daftar hitam spam jika target tidak melakukan pembayaran sebesar $2.500.

Email pemerasan reputasi situs web (Ax Sharma)

untuk email yang lengkap dapat dilihat dari

email lengkap : bleeping computer

Dari email pemerasan yang dilihat oleh BleepingComputer, pelaku ancaman saat ini menggunakan dua alamat bitcoin.

  • 3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7
  • 3PmYSqtG5x5bGNrsYUy5DGtu93qNtsaPRH

Sayangnya, transaksi bitcoin ke dompet 3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7 menunjukkan bahwa seseorang mungkin telah membayar permintaan pemerasan tersebut.

Meskipun email ini bisa menakutkan bagi pemilik situs web yang menerimanya, penting untuk diingat bahwa itu hanyalah penipuan.

Sejak musim panas 2018, ketika BleepingComputer mulai melaporkan penipuan ini, pelaku ancaman berada di balik berbagai macam penipuan pemerasan email.

sumber : bleeping computer

Grup Peretasan Baru Menggunakan Pemuat Cobalt Strike ‘Symatic’ Khusus

by

A previously unknown Chinese APT (advanced persistent threat) hacking group dubbed ‘Earth Longzhi’ targets organizations in East Asia, Southeast Asia, and Ukraine.

Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Earth Baku,’ keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41.


Diagram sub-grup APT41 (Trend Micro)

Kampanye lama Earth Longzhi
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.

Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:

  • Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
  • Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
  • Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.

Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.


Timeline kampanye kedua (Trend Micro)

Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.

Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.

Khususnya, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.

ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:

– Windows 7 SP1
– Windows Server 2008 R2 SP1
– Windows 8.1
– Windows Server 2012 R2
– Windows 10 1607, 1809, 20H2, 21H1
– Windows Server 2018 1809
– Windows 11 21H2, 22449, 22523, 22557

Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.

sumber : bleeping computer

Afiliasi LockBit menggunakan malware Amadey Bot untuk menyebarkan ransomware

by

Afiliasi ransomware LockBit 3.0 menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.

Menurut laporan AhnLab baru, pelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura menjadi tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.

Aktivitas Amadey Bot

Malware Amadey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan.

Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi.

Rantai infeksi

Peneliti AhnLab melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word.

Dalam kasus pertama, pengguna harus mengklik tombol “Aktifkan Konten” untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke “C:\Users\Public\skem.lnk”. File ini adalah pengunduh untuk Amadey.


Dokumen berbahaya yang memulai rantai infeksi

Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama “Resume.exe” (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.

Amadey ke LockBit 3.0

Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem.

Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah.

Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell (‘cc.ps1’ atau ‘dd.ps1’), atau bentuk exe (‘LBB.exe’).

Payload sekali lagi dijatuhkan di TEMP sebagai salah satu dari tiga berikut:

%TEMP%\100018041\dd.ps1
%TEMP%\1000019041\cc.ps1
%TEMP%\1000020001\LBB.exe

Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup.


Contoh catatan tebusan yang dihasilkan (AhnLab)

sumber : bleeping computer