Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Penyelidik DHS mengatakan mereka menggagalkan serangan siber pada kabel internet bawah laut di Hawaii

by

Agen federal di Honolulu pekan lalu “mengganggu” serangan siber yang nyata pada server perusahaan telekomunikasi yang tidak disebutkan namanya yang terkait dengan kabel bawah air yang bertanggung jawab untuk internet, layanan kabel, dan koneksi seluler di Hawaii dan kawasan itu, kata badan tersebut dalam sebuah pernyataan Selasa.

Agen yang berbasis di Hawaii dengan Investigasi Keamanan Dalam Negeri, sebuah cabang dari Departemen Keamanan Dalam Negeri, menerima tip dari rekan-rekan HSI daratan mereka yang menyebabkan gangguan “pelanggaran signifikan yang melibatkan server perusahaan swasta yang terkait dengan kabel bawah laut.”

Penyelidikan mengungkapkan bahwa “kelompok peretas internasional” berada di balik serangan itu, dan “agen HSI dan mitra penegak hukum internasional di beberapa negara dapat melakukan penangkapan.”

Pernyataan itu tidak mengidentifikasi jenis serangan siber yang diduga telah terjadi, kelompok peretas yang bertanggung jawab, lembaga penegak hukum lainnya, atau di mana penangkapan terjadi. Tidak ada kerusakan atau gangguan yang terjadi, dan tidak ada ancaman langsung, kata pernyataan itu.

John Tobon, agen khusus HSI yang bertanggung jawab di Hawaii, mengatakan kepada stasiun berita lokal bahwa penyelidik menemukan bahwa penyerang telah memperoleh kredensial yang memungkinkan akses ke sistem perusahaan yang tidak disebutkan namanya.

“Itu bisa menjadi sesuatu yang hanya membuat kekacauan, dengan kata lain, mematikan komunikasi, atau bisa digunakan untuk menargetkan individu dalam skema jenis ransomware,” katanya.

Selengkapnya: Cyber Scoop

Penyerang melepaskan ransomware LockBit di komputer pemerintah AS

by

Temuan baru dari perusahaan keamanan siber Sophos menunjukkan beberapa metode yang digunakan oleh peretas dalam hal mengeksploitasi celah di perangkat federal. Satu serangan yang disorot dalam laporan tersebut menemukan bahwa kelompok ransomware menghabiskan setidaknya lima bulan untuk menyisir file dan sistem badan pemerintah regional AS sebelum menyebarkan serangan LockBit ke komputer yang terpengaruh.

“Ini adalah serangan yang sangat kacau,” kata Andrew Brandt, peneliti keamanan utama di Sophos. “Bekerja sama dengan target, peneliti Sophos mampu membangun gambaran yang dimulai dengan apa yang tampak seperti penyerang pemula yang membobol server, mengaduk-aduk jaringan dan menggunakan server yang dikompromikan ke Google, kombinasi versi bajakan dan gratis dari peretas dan alat admin yang sah untuk digunakan dalam serangan mereka.”

Serangan yang tidak terampil tetapi efektif kemudian mencoba menggunakan perangkat lunak manajemen TI untuk menghindari deteksi, melalui penggunaan alat seperti ScreenConnect dan AnyDesk, yang biasanya digunakan untuk tujuan akses jarak jauh. Kemudian ditemukan oleh Sophos bahwa dalam pengaturan sistem itu sendiri, tim TI membiarkan port RDP terbuka di firewall untuk akses publik ke server, memungkinkan penyusupan oleh kelompok peretasan yang bersangkutan.

Setelah akses jarak jauh diaktifkan, ransomware LockBit kemudian disebarkan pada sistem dengan memanfaatkan kerentanan sistem. Pihak-pihak jahat berusaha untuk menutupi jejak mereka setelah selesai dengan menghapus file log, tetapi Sophos dapat merekonstruksi langkah-langkah yang diambil agar peretasan terjadi, karena diduga telah dilakukan oleh penyerang cyber yang tidak canggih.

Selengkapnya; Tech Republic

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Peretas mengeksploitasi bug penting VMware CVE-2022-22954, tambal sekarang

by

Eksploitasi proof-of-concept telah dirilis secara online untuk kerentanan eksekusi kode jarak jauh VMware CVE-2022-22954, yang telah digunakan dalam serangan aktif yang menginfeksi server dengan penambang koin.

Kerentanan adalah kritis (CVSS: 9.8) eksekusi kode jarak jauh (RCE) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager, dua produk perangkat lunak yang banyak digunakan.

Vendor perangkat lunak merilis penasehat keamanan untuk kerentanan pada tanggal 6 April 2022, memperingatkan tentang kemungkinan aktor ancaman dengan akses jaringan memicu injeksi template sisi server yang menghasilkan RCE.

VMware telah merilis pembaruan keamanan untuk produk yang terpengaruh dan petunjuk penyelesaian untuk membantu mengatasi risiko penerapan yang tidak dapat segera diperbarui oleh admin.

Pada saat yang sama, ini menggarisbawahi pentingnya mengatasi kerentanan tertentu: “Kerentanan kritis ini harus segera ditambal atau dikurangi sesuai instruksi di VMSA-2021-0011. Konsekuensi dari kerentanan ini serius.”

Meskipun merilis eksploitasi publik meningkatkan risiko bahwa aktor ancaman akan mengeksploitasi mereka dalam serangan, mereka juga dimaksudkan untuk membantu mengamankan sistem melalui pengujian dan berfungsi sebagai validator perbaikan/tambalan yang ada.

Saat ini, pelaku ancaman secara aktif memindai host yang rentan, dengan firma intelijen keamanan siber Bad Packets memberi tahu bahwa mereka mendeteksi upaya untuk mengeksploitasi kerentanan di alam liar.

Alamat IP, 106.246.224.219, yang digunakan dalam payload, baru-baru ini terlihat menjatuhkan pintu belakang Tsunami Linux dalam serangan lain. Namun, tidak jelas apa ‘satu’ yang dapat dieksekusi, karena tidak lagi dapat diakses.

Peneliti keamanan Daniel Card juga berbagi di Twitter bahwa kerentanan sedang dieksploitasi untuk menjatuhkan muatan coinminer, umumnya serangan pertama yang kita lihat ketika pelaku ancaman menargetkan kerentanan baru.

Beberapa pelaku ancaman ini kemudian menutup kerentanan setelah mereka menguasai server.

Karena eksploitasi aktifnya, jika Anda belum menerapkan pembaruan atau mitigasi keamanan VMware, sangat disarankan untuk melakukannya sesegera mungkin.

Untuk pengguna produk VMware, perlu diperhatikan bahwa saran vendor mencantumkan beberapa kelemahan tingkat tinggi selain dari RCE yang disebutkan di atas, yang memengaruhi produk tambahan selain Workspace One Access dan Identity Manager, jadi pastikan Anda menggunakan versi terbaru yang tersedia.

Sumber : Bleeping Computer

Botnet Fodcha DDoS baru menargetkan lebih dari 100 korban setiap hari

by

Botnet yang berkembang pesat menjerat router, DVR, dan server di seluruh Internet untuk menargetkan lebih dari 100 korban setiap hari dalam serangan penolakan layanan (DDoS) terdistribusi.

Malware yang baru ditemukan ini, dinamai Fodcha oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), telah menyebar ke lebih dari 62.000 perangkat antara 29 Maret dan 10 April.

Jumlah alamat IP unik yang ditautkan ke botnet juga berosilasi, dengan 360 Netlab mengatakan bahwa mereka melacak 10.000 pasukan bot Fodcha menggunakan alamat IP China setiap hari, kebanyakan dari mereka menggunakan layanan China Unicom (59,9%) dan China Telecom (39,4%).

Bot langsung harian dengan alamat IP Cina (Netlab)

Fodcha menginfeksi perangkat baru menggunakan eksploitasi yang dirancang untuk menyalahgunakan kerentanan n-hari di beberapa perangkat dan alat cracking brute force yang dijuluki Crazyfia.

Daftar perangkat dan layanan yang ditargetkan oleh botnet Fodcha termasuk tetapi tidak terbatas pada:

  • Android: Android ADB Debug Server RCE
  • GitLab: CVE-2021-22205
  • SDK Hutan Realtek: CVE-2021-35394
  • MVPower DVR: JAWS Webserver eksekusi perintah shell yang tidak diautentikasi
  • LILIN DVR: LILIN DVR RCE
  • Router TOTOLINK: Router TOTOLINK Pintu Belakang
  • Router ZHONE: Router Web RCE ZHONE

Operator Fodcha menggunakan hasil pemindaian Crazyfia untuk menyebarkan muatan malware setelah berhasil mendapatkan akses ke sampel perangkat yang rentan terkena Internet di perangkat yang rentan.

Saat 360 Netlab ditemukan lebih lanjut, sampel botnet menargetkan MIPS, MPSL, ARM, x86, dan arsitektur CPU lainnya.

Sejak Januari 2022, botnet telah menggunakan domain fold[.]in command-and-control (C2) hingga 19 Maret saat beralih ke refrigeratorxperts[.]cc setelah vendor cloud menghapus domain C2 awal.

Sakelar domain Fodcha C2 (Netlab)

“Pergeseran dari v1 ke v2 adalah karena fakta bahwa server C2 yang sesuai dengan versi v1 dimatikan oleh vendor cloud mereka, jadi operator Fodcha tidak punya pilihan selain meluncurkan kembali v2 dan memperbarui C2,” para peneliti menyimpulkan.

“C2 baru dipetakan ke lebih dari selusin IP dan didistribusikan di beberapa negara termasuk AS, Korea, Jepang, dan India, melibatkan lebih banyak penyedia cloud seperti Amazon, DediPath, DigitalOcean, Linode, dan banyak lainnya.”

Selengkapnya : Bleeping Computer

Bank-bank Afrika sangat ditargetkan dalam kampanye malware RemcosRAT

by

Bank-bank Afrika semakin menjadi sasaran kampanye distribusi malware yang menggunakan trik penyelundupan HTML dan domain salah ketik untuk menjatuhkan trojan akses jarak jauh (RAT).

Penjahat dunia maya yang tertarik dengan keuntungan finansial yang cepat adalah sumber masalah yang konstan bagi bank-bank di Afrika, yang terpaksa menerapkan kontrol keamanan gerbang yang ketat.

Ini telah memaksa para pelaku ancaman untuk membuat serangan yang lebih pintar yang dapat melewati langkah-langkah perlindungan, dan pada tahun 2022, kampanye penargetan bank terlihat menggunakan kombinasi trik.

Serangan dimulai dengan email phishing yang dikirim ke karyawan bank dari domain salah ketik yang menyerupai URL perusahaan yang sah, biasanya bank pesaing.

Email tersebut memberi penerima tawaran pekerjaan yang menggiurkan dan tautan ke detail di situs tersebut. Mengikuti tautan itu membawa korban ke halaman web yang berisi instruksi aplikasi.

Domain yang salah ketik menghosting konten curian (HP)

Situs-situs ini tidak melakukan phishing atau menghosting malware, jadi satu-satunya tujuan mereka adalah mengarahkan korban ke jalur infeksi.

Payload tiba dalam bentuk lampiran HTML pada pesan email tersebut, yang merupakan file arsip ISO yang disandikan base64 yang didekodekan dengan cepat dan ditawarkan untuk diunduh melalui gumpalan JavaScript di browser.

File ISO yang disandikan base64 (HP)

Teknik menyelinap format file berisiko tanpa meningkatkan alarm dari produk keamanan email disebut penyelundupan HTML, dan ini adalah metode distribusi muatan yang mapan dan sedang tren.

File ISO berisi file Visual Basic Script (VBS), yang dijalankan setelah klik dua kali untuk membuat kunci Registry baru dan menjalankan perintah PowerShell yang memanggil berbagai fungsi Windows API.

Setelah serangkaian eksekusi kode berbahaya dan penyalahgunaan Windows API, GuLoader dipasang di sistem dan dieksekusi untuk mengunduh dan menjalankan malware RemcosRAT.

Menurut analis ancaman HP, GuLoader memiliki dua URL unduhan dalam konfigurasinya, satu mengarah ke Dropbox dan satu lagi ke OneDrive, jadi ada beberapa redundansi yang diterapkan pada tahap ini.

Penting juga untuk dicatat bahwa GuLoader dijalankan melalui PowerShell yang disimpan di registri, dan berjalan di memori sistem, sehingga sebagian besar alat anti-virus tidak akan mendeteksinya.

Seperti yang ditunjukkan HP, satu-satunya cara untuk memutus rantai infeksi adalah dengan mengatur aplikasi default untuk file skrip dari Windows Script Host ke Notepad, yang akan mengungkapkan sifat sebenarnya dari file VBS.

Isi file VBS seperti yang terlihat di Notepad (HP)

Remcos adalah alat akses jarak jauh komersial (RAT) yang sah yang telah digunakan oleh penjahat dunia maya untuk tujuan jahat selama beberapa tahun sekarang.

Ini adalah alat canggih yang mendukung eksekusi perintah jarak jauh, pengambilan tangkapan layar, pencatatan penekanan tombol, perekaman webcam dan mikrofon, dan banyak lagi.

Pelaku ancaman menggunakan Remcos untuk mengendus detail transaksi, mencuri kredensial berharga, bergerak secara lateral di jaringan bank, atau mencuri informasi yang diperlukan untuk serangan BEC.

Pemerasan finansial melalui eksfiltrasi data atau penyebaran ransomware juga mungkin terjadi, sementara pelaku ancaman selalu dapat memilih untuk menjual akses jaringan mereka ke peretas lain dan menghasilkan uang dengan cepat tanpa mempertaruhkan masalah penegakan hukum.

Sumber : Bleeping Computer

Geng ransomware LockBit mengintai di jaringan pemerintah AS selama berbulan-bulan

by

Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.

Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.

Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.

Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.

Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.

Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.

Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.

Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.

Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.

Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.

Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.

Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.

Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.

Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.

Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.

Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.

Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.

Sumber : Bleeping Computer