Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

BlackByte ransomware menggunakan alat pencurian data baru untuk pemerasan ganda

by

Afiliasi ransomware BlackByte menggunakan alat pencurian data khusus baru yang disebut ‘ExByte’ untuk mencuri data dari perangkat Windows yang disusupi dengan cepat.

Eksfiltrasi data diyakini sebagai salah satu fungsi terpenting dalam serangan pemerasan ganda, dengan BleepingComputer mengatakan bahwa perusahaan lebih sering membayar permintaan tebusan untuk mencegah kebocoran data daripada menerima decryptor.

Karena itu, operasi ransomware, termasuk ALPHV dan LockBit, terus berupaya meningkatkan alat pencurian data mereka.

Pada saat yang sama, pelaku ancaman lainnya, seperti Karakurt, bahkan tidak repot-repot mengenkripsi salinan lokal, hanya berfokus pada eksfiltrasi data.

Exbyte ditemukan oleh peneliti keamanan di Symantec, yang mengatakan bahwa pelaku ancaman menggunakan alat eksfiltrasi berbasis Go untuk mengunggah file curian langsung ke layanan penyimpanan cloud Mega.

Setelah dieksekusi, alat ini melakukan pemeriksaan anti-analisis untuk menentukan apakah itu berjalan di lingkungan kotak pasir dan memeriksa proses debugger dan anti-virus.

Biner ransomware BlackByte juga menerapkan pengujian yang sama ini, tetapi alat eksfiltrasi perlu menjalankannya secara independen karena eksfiltrasi data dilakukan sebelum enkripsi file.

Jika tesnya bersih, Exbyte menghitung semua file dokumen pada sistem yang dilanggar dan mengunggahnya ke folder yang baru dibuat di Mega menggunakan kredensial akun yang di-hardcode.

“Selanjutnya, Exbyte menghitung semua file dokumen di komputer yang terinfeksi, seperti file .txt, .doc, dan .pdf, dan menyimpan path lengkap dan nama file ke %APPDATA%\dummy,” jelas laporan Symantec.

Selengkapnya: Bleeping Computer

Peretas menggunakan pintu belakang PowerShell tersembunyi baru untuk menargetkan 60+ korban

by

Backdoor PowerShell yang sebelumnya tidak terdokumentasi dan sepenuhnya tidak terdeteksi sedang digunakan secara aktif oleh aktor ancaman yang menargetkan setidaknya 69 entitas.

Berdasarkan fitur-fiturnya, malware ini dirancang untuk spionase siber, terutama terlibat dalam pemusnahan data dari sistem yang disusupi.

Saat pertama kali terdeteksi, backdoor PowerShell tidak dianggap berbahaya oleh vendor mana pun di layanan pemindaian VirusTotal.

Namun, penyamarannya terbongkar karena kesalahan operasional oleh peretas, memungkinkan analis SafeBreach untuk mengakses dan mendekripsi perintah yang dikirim oleh penyerang untuk dieksekusi pada perangkat yang terinfeksi.

Serangan dimulai dengan kedatangan email phishing dengan lampiran dokumen berbahaya bernama “Terapkan Form.docm.” Berdasarkan konten file dan metadata, kemungkinan bertema aplikasi pekerjaan berbasis LinkedIn.

Umpan dokumen yang berisi makro (SafeBreach)

Dokumen tersebut berisi makro berbahaya yang menjatuhkan dan menjalankan skrip ‘updater.vbs’ yang membuat tugas terjadwal untuk meniru pembaruan Windows rutin.

Skrip VBS kemudian mengeksekusi dua skrip PowerShell, “Script.ps1” dan “Temp.ps1,” yang keduanya disimpan di dalam dokumen berbahaya dalam bentuk yang dikaburkan.

Saat SafeBreach pertama kali menemukan skrip, tidak ada vendor antivirus di VirusTotal yang mendeteksi skrip PowerShell sebagai berbahaya.

VirusTotal mengembalikan pemindaian bersih pada kedua skrip (SafeBreach)

“Script.ps1” terhubung ke server perintah dan kontrol penyerang (C2), mengirimkan ID korban ke operator, dan kemudian menunggu perintah yang diterima dalam bentuk terenkripsi AES-256 CBC.

Berdasarkan jumlah ID, analis SafeBreach menyimpulkan bahwa C2 pelaku ancaman telah mencatat 69 ID sebelumnya, yang kemungkinan merupakan perkiraan jumlah komputer yang dilanggar.

Skrip “Temp.ps1” mendekode perintah dalam respons, mengeksekusinya, lalu mengenkripsi dan mengunggah hasilnya melalui permintaan POST ke C2.

SafeBreach memanfaatkan ID korban yang dapat diprediksi dan membuat skrip yang dapat mendekripsi perintah yang dikirim ke masing-masing dari mereka.

Analis menemukan bahwa dua pertiga dari perintah adalah untuk mengekstrak data, dengan yang lain digunakan untuk enumerasi pengguna, daftar file, penghapusan file dan akun, dan enumerasi klien RDP.

Backdoor PowerShell ini adalah contoh karakteristik dari ancaman tersembunyi yang tidak diketahui yang digunakan dalam serangan terhadap sistem pengguna pemerintah, perusahaan, dan pribadi.

Pembela tidak hanya perlu diberi tahu tentang ancaman yang diketahui atau yang muncul, tetapi juga untuk memperhitungkan vektor yang tidak diketahui yang mungkin mampu melewati langkah-langkah keamanan dan pemindaian AV.

Sementara beberapa mesin AV dapat mendeteksi perilaku berbahaya secara heuristik dalam skrip PowerShell, pelaku ancaman terus mengembangkan kode mereka untuk melewati deteksi ini.

Cara terbaik untuk mencapai ini adalah dengan menerapkan pembaruan keamanan secepat mungkin, membatasi akses jarak jauh ke titik akhir, mengikuti prinsip hak istimewa paling rendah, dan memantau lalu lintas jaringan secara teratur.

Sumber: Bleeping Computer

Peretas mengkompromikan jaringan agen pemerintah Hong Kong selama setahun

by

Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.

Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.

Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.

Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.

Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.

Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:

  • menggunakan perpustakaan CryptoPP C++
  • penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
  • dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)

Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”

Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.

Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”

Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.

Sumber: Bleeping Computer

Pelanggaran data Microsoft mengekspos data pelanggan

by

Microsoft telah mengatakan bahwa beberapa informasi sensitif pelanggannya diekspos oleh server Microsoft yang salah konfigurasi yang dapat diakses melalui Internet.

Perusahaan mengamankan server setelah diberitahu tentang kebocoran pada 24 September 2022 oleh peneliti keamanan di perusahaan intelijen ancaman SOCRadar.

“Konfigurasi yang salah ini mengakibatkan potensi akses yang tidak diautentikasi ke beberapa data transaksi bisnis yang terkait dengan interaksi antara Microsoft dan calon pelanggan, seperti perencanaan atau implementasi potensial dan penyediaan layanan Microsoft,” ungkap perusahaan tersebut.

Menurut Microsoft, informasi yang terbuka mencakup nama, alamat email, konten email, nama perusahaan, dan nomor telepon, serta file yang ditautkan ke bisnis antara pelanggan yang terpengaruh dan Microsoft atau mitra resmi Microsoft.

Redmond menambahkan bahwa kebocoran itu disebabkan oleh “kesalahan konfigurasi yang tidak disengaja pada titik akhir yang tidak digunakan di seluruh ekosistem Microsoft” dan bukan karena kerentanan keamanan.

SOCRadar mengungkapkan bahwa data disimpan di Azure Blob Storage yang salah konfigurasi. Secara total, SOCRadar mengklaim dapat menautkan informasi sensitif ini ke lebih dari 65.000 entitas dari 111 negara yang disimpan dalam file tertanggal 2017 hingga Agustus 2022.

Perusahaan intel ancaman menambahkan bahwa, dari analisisnya, data yang bocor “termasuk dokumen Proof-of-Execution (PoE) dan Pernyataan Kerja (SoW), informasi pengguna, pesanan/penawaran produk, detail proyek, PII (Informasi Identifikasi Pribadi)) data, dan dokumen yang dapat mengungkapkan kekayaan intelektual.”

Microsoft menambahkan hari ini bahwa mereka percaya SOCRadar “sangat melebih-lebihkan ruang lingkup masalah ini” dan “angkanya.”

Lebih lanjut, Redmond mengatakan bahwa keputusan SOCRadar untuk mengumpulkan data dan membuatnya dapat dicari menggunakan portal pencarian khusus “bukan demi memastikan privasi atau keamanan pelanggan dan berpotensi mengekspos mereka pada risiko yang tidak perlu.”

Portal pencarian kebocoran data SOCRadar bernama BlueBleed yang memungkinkan perusahaan untuk menemukan apakah info sensitif mereka juga terpapar dengan data yang bocor.

Selain apa yang ditemukan di dalam server Microsoft yang salah konfigurasi, BlueBleed juga memungkinkan pencarian data yang dikumpulkan dari lima ember penyimpanan publik lainnya.

Di server Microsoft saja, SOCRadar mengklaim telah menemukan 2,4 TB data yang berisi informasi sensitif, dengan lebih dari 335.000 email, 133.000 proyek, dan 548.000 pengguna yang terpapar ditemukan saat menganalisis file yang bocor hingga sekarang.

Berdasarkan analisis SOCRadar, file-file ini berisi email pelanggan, dokumen SOW, penawaran produk, karya POC (Proof of Concept), detail ekosistem mitra, faktur, detail proyek, daftar harga produk pelanggan, dokumen POE, pesanan produk, dokumen pelanggan yang ditandatangani, komentar internal untuk pelanggan, strategi penjualan, dan dokumen aset pelanggan.

Sumber: Bleeping Computer

Spyware ‘Zero-Click’ Muncul sebagai Ancaman Seluler yang Mengancam

by

Pada Juli 2020, iPhone seorang jurnalis Azerbaijan diam-diam menerima perintah untuk membuka aplikasi Apple Music. Tanpa sepengetahuan atau interaksi jurnalis, aplikasi tersebut terhubung ke server jahat dan mengunduh spyware ke ponsel yang tetap berada di sana selama 17 bulan, menguping panggilan telepon dan pesan teks.

Peretasan itu adalah contoh serangan “zero-click” metode menempatkan spyware di ponsel tanpa menipu pengguna untuk melakukan apa pun, seperti mengklik tautan jahat yang dikirim dalam email atau pesan teks. Teknik tersebut digunakan pemerintah untuk menargetkan lawan mereka dalam skala yang lebih besar dan untuk durasi yang lebih lama daripada yang diketahui sebelumnya, menurut penelitian terbaru dari Amnesty International dan Citizen Lab.

Beberapa pemerintah telah menyalahgunakan spyware NSO dikenal sebagai Pegasus untuk menargetkan kritik di lebih dari selusin negara, kata kelompok hak asasi.

NSO telah membantu pemerintah meretas ponsel dengan malware zero-click setidaknya sejak Juli 2017 dan telah menggunakan setidaknya enam eksploitasi zero-click berbeda yang digunakan untuk meretas Apple iOS versi 10 hingga 14 secara diam-diam, menurut penelitian Amnesty dan Citizen Lab, yang dipresentasikan pada konferensi Virus Bulletin di Praha pada 28 September.

Serangan zero-click bekerja dengan memanfaatkan kerentanan keamanan di perangkat Apple, dalam beberapa kasus mengirimkan iMessage yang akan memaksa ponsel untuk terhubung ke situs web berbahaya tanpa keterlibatan pengguna, menurut penelitian. Cacat dieksploitasi di iMessage, podcast Apple dan aplikasi musik, foto Apple dan fitur panggilan Wi-Fi, para peneliti menemukan.

NSO Group juga merancang serangan tanpa klik yang dapat membahayakan ponsel Android dengan mengeksploitasi kelemahan di WhatsApp yang digunakan untuk mengirimkan kode berbahaya ke perangkat. Pada April 2019, WhatsApp memperbaiki kerentanan dengan mengatakan telah digunakan untuk menargetkan lebih dari 1.400 orang selama periode dua bulan dan mengajukan gugatan terhadap NSO Group.

Amnesty dan Citizen Lab mengatakan mereka menemukan bukti yang menunjukkan bahwa NSO telah menggunakan eksploitasi zero-click WhatsApp pada awal Juli 2018, hampir sembilan bulan sebelum diperbaiki, menunjukkan bahwa itu digunakan untuk menargetkan lebih banyak orang daripada 1.400 orang.

Ada indikasi bahwa peneliti keamanan dapat mengganggu operasi NSO Group dan segelintir perusahaan lain yang menjual alat peretasan tanpa klik kepada pemerintah. Pada Juli 2019, sebuah tim di Project Zero Google menemukan kerentanan di iMessage yang dapat digunakan untuk peretasan tanpa klik, yang kemudian diperbaiki oleh Apple.

Penemuan itu tampaknya berdampak pada NSO Group, untuk sementara mengganggu kemampuan pelanggannya untuk menyusup ke beberapa ponsel.

Sumber: Bloomberg

Serangan siber menunda perawatan pasien di rantai rumah sakit utama AS

by

Pasien di rumah sakit di salah satu sistem perawatan kesehatan terbesar di Amerika Serikat menghadapi penundaan perawatan karena serangan siber. Gangguan ini meluas ke minggu kedua.

CommonSpirit Health, yang mengoperasikan lebih dari 700 situs perawatan kesehatan di lebih dari 20 negara bagian, mengatakan dalam sebuah pernyataan pada tanggal 4 Oktober bahwa pihaknya “sedang mengelola masalah keamanan TI” dan perlu membuat beberapa sistem offline — termasuk catatan medis elektronik. Masalah ini disebabkan oleh serangan ransomware, kata seorang sumber kepada NBC News.

Dokter mengandalkan sistem TI dan catatan medis elektronik untuk melihat pemindaian pasien, memeriksa obat, dan mengingat detail tentang rencana perawatan khusus mereka. Tanpa mereka, mereka dibiarkan membuat catatan di atas kertas dan membawa catatan melalui rumah sakit dengan tangan.

Penelitian mulai menunjukkan bahwa rumah sakit yang terkena serangan siber seperti yang ada di CommonSpirit Health memiliki tingkat kematian yang lebih tinggi daripada tempat yang tidak terkena serangan.

Pasien di rumah sakit CommonSpirit Health sudah terkena dampak nya. Seorang wanita di Texas mengatakan kepada NBC News bahwa dokter suaminya merekomendasikan untuk menunda operasi sampai sistem kembali online.

CommonSpirit Health tidak merilis rincian tentang rumah sakit mana yang terkena dampak serangan itu, tetapi lokasi di Nebraska, Iowa, Washington, Texas, dan Tennessee mengatakan mereka terpengaruh.

Selengkapnya: The Verge

Serangan siber dilaporkan telah terjadi di bandara AS

by

Beberapa bandara terbesar di AS telah menjadi sasaran serangan siber pada hari Senin oleh seorang penyerang di Federasi Rusia, seorang pejabat senior menjelaskan tentang situasi yang dikonfirmasi kepada ABC News.

Lebih dari selusin situs web bandara terkena dampak serangan “denial of service”, John Hultquist, kepala analisis intelijen di perusahaan keamanan siber Mandiant, mengatakan kepada ABC News. Jenis serangan itu pada dasarnya membebani situs dengan membuat mereka macet dengan pengguna buatan.

“Killnet,” kelompok peretas pro-Rusia, diyakini berada di balik serangan itu, menurut Hultquist. Sementara kelompok serupa telah ditemukan menjadi front bagi aktor yang didukung negara, Hultquist mengatakan tidak ada bukti bahwa pemerintah Rusia terlibat dalam mengarahkan serangan ini.

Serangan pertama kali dilaporkan sekitar pukul 3 pagi ET ketika Otoritas Pelabuhan memberi tahu Badan Keamanan Cybersecurity dan Infrastruktur bahwa sistem Bandara LaGuardia telah diserang. LaGuardia telah dipulihkan, tetapi bandara lain di seluruh negeri kemudian menjadi sasaran.

Kelompok “Killnet” telah aktif sejak awal perang di Ukraina, menargetkan sekutu Ukraina dan baru-baru ini mengklaim kredit karena menghapus situs web pemerintah di AS. Mereka beroperasi secara internasional dan diketahui melakukan serangan di seluruh Eropa, menurut pakar keamanan siber.

Selengkapnya: ABC News

Singtel mengkonfirmasi pencurian digital di anak perusahaan, Dialog

by

Singtel telah mengkonfirmasi bahwa bisnis Australia lainnya yang dimilikinya, unit konsultan Dialog, telah menjadi korban perampokan dunia maya hanya beberapa minggu setelah kebocoran data raksasa di telco Optus terungkap.

Dalam sebuah pernyataan kepada bursa saham Singapura, Singtel mengatakan penyusup mungkin telah mengakses data perusahaan “berpotensi mempengaruhi kurang dari 20 klien dan 1.000 karyawan Dialog saat ini serta mantan karyawan”.

Akses tidak sah ke servernya pertama kali terdeteksi pada 10 September. Sistem ini ditutup sebagai “tindakan pencegahan” tetapi dipulihkan dan beroperasi penuh kembali dua hari kemudian.

Singtel telah memberi tahu pihak berwenang terkait dan menawarkan dukungan kepada mereka yang terjebak dalam kekacauan ini. Saat ini “tidak ada bukti” bahwa “insiden keamanan siber” di Dialog memiliki kaitan dengan insiden di Optus.

Singtel telah menyewa Deloitte untuk membantunya menginvestigasi insiden itu, dan Polisi Federal Australia (AFP) telah meminta FBI untuk membantu mereka menyisir jaring untuk menemukan para pelaku.

Selengkapnya: The Register