Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Penyelidik DHS mengatakan mereka menggagalkan serangan siber pada kabel internet bawah laut di Hawaii

by

Agen federal di Honolulu pekan lalu “mengganggu” serangan siber yang nyata pada server perusahaan telekomunikasi yang tidak disebutkan namanya yang terkait dengan kabel bawah air yang bertanggung jawab untuk internet, layanan kabel, dan koneksi seluler di Hawaii dan kawasan itu, kata badan tersebut dalam sebuah pernyataan Selasa.

Agen yang berbasis di Hawaii dengan Investigasi Keamanan Dalam Negeri, sebuah cabang dari Departemen Keamanan Dalam Negeri, menerima tip dari rekan-rekan HSI daratan mereka yang menyebabkan gangguan “pelanggaran signifikan yang melibatkan server perusahaan swasta yang terkait dengan kabel bawah laut.”

Penyelidikan mengungkapkan bahwa “kelompok peretas internasional” berada di balik serangan itu, dan “agen HSI dan mitra penegak hukum internasional di beberapa negara dapat melakukan penangkapan.”

Pernyataan itu tidak mengidentifikasi jenis serangan siber yang diduga telah terjadi, kelompok peretas yang bertanggung jawab, lembaga penegak hukum lainnya, atau di mana penangkapan terjadi. Tidak ada kerusakan atau gangguan yang terjadi, dan tidak ada ancaman langsung, kata pernyataan itu.

John Tobon, agen khusus HSI yang bertanggung jawab di Hawaii, mengatakan kepada stasiun berita lokal bahwa penyelidik menemukan bahwa penyerang telah memperoleh kredensial yang memungkinkan akses ke sistem perusahaan yang tidak disebutkan namanya.

“Itu bisa menjadi sesuatu yang hanya membuat kekacauan, dengan kata lain, mematikan komunikasi, atau bisa digunakan untuk menargetkan individu dalam skema jenis ransomware,” katanya.

Selengkapnya: Cyber Scoop

Penyerang melepaskan ransomware LockBit di komputer pemerintah AS

by

Temuan baru dari perusahaan keamanan siber Sophos menunjukkan beberapa metode yang digunakan oleh peretas dalam hal mengeksploitasi celah di perangkat federal. Satu serangan yang disorot dalam laporan tersebut menemukan bahwa kelompok ransomware menghabiskan setidaknya lima bulan untuk menyisir file dan sistem badan pemerintah regional AS sebelum menyebarkan serangan LockBit ke komputer yang terpengaruh.

“Ini adalah serangan yang sangat kacau,” kata Andrew Brandt, peneliti keamanan utama di Sophos. “Bekerja sama dengan target, peneliti Sophos mampu membangun gambaran yang dimulai dengan apa yang tampak seperti penyerang pemula yang membobol server, mengaduk-aduk jaringan dan menggunakan server yang dikompromikan ke Google, kombinasi versi bajakan dan gratis dari peretas dan alat admin yang sah untuk digunakan dalam serangan mereka.”

Serangan yang tidak terampil tetapi efektif kemudian mencoba menggunakan perangkat lunak manajemen TI untuk menghindari deteksi, melalui penggunaan alat seperti ScreenConnect dan AnyDesk, yang biasanya digunakan untuk tujuan akses jarak jauh. Kemudian ditemukan oleh Sophos bahwa dalam pengaturan sistem itu sendiri, tim TI membiarkan port RDP terbuka di firewall untuk akses publik ke server, memungkinkan penyusupan oleh kelompok peretasan yang bersangkutan.

Setelah akses jarak jauh diaktifkan, ransomware LockBit kemudian disebarkan pada sistem dengan memanfaatkan kerentanan sistem. Pihak-pihak jahat berusaha untuk menutupi jejak mereka setelah selesai dengan menghapus file log, tetapi Sophos dapat merekonstruksi langkah-langkah yang diambil agar peretasan terjadi, karena diduga telah dilakukan oleh penyerang cyber yang tidak canggih.

Selengkapnya; Tech Republic

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

by

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

by

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki penggunaan zero-day dalam serangan

by

Google telah merilis Chrome 100.0.4896.127 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang secara aktif digunakan oleh pelaku ancaman dalam serangan.

Sementara Google menyatakan bahwa pembaruan Chrome ini akan diluncurkan dalam beberapa minggu ke depan, pengguna dapat langsung menerimanya dengan masuk ke menu Chrome > Help > About Google Chrome.

Karena bug ini dieksploitasi secara aktif dalam serangan, sangat disarankan agar Anda melakukan pemeriksaan manual untuk pembaruan baru dan meluncurkan kembali browser untuk menerapkannya.

Bug zero-day yang diperbaiki dilacak sebagai CVE-2022-1364 dan merupakan tipe kelemahan kebingungan tingkat keparahan tinggi di mesin JavaScript Chrome V8.

Sementara tipe kelemahan kebingungan umumnya menyebabkan browser crash setelah eksploitasi yang berhasil dengan membaca atau menulis memori di luar batas buffer, penyerang juga dapat mengeksploitasinya untuk mengeksekusi kode arbitrer.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, namun tidak memberikan rincian lebih lanjut mengenai bagaimana serangan ini dilakukan.

Segera perbarui browser Google Chrome Anda.

Selengkapnya: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

by

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Infostealer ZingoStealer baru menjatuhkan lebih banyak malware, cryptominers

by

Malware pencuri informasi baru yang disebut ZingoStealer telah ditemukan dengan fitur pencurian data yang kuat dan kemampuan untuk memuat payload tambahan atau menambang Monero.

Malware baru ini dibuat dan dirilis secara gratis oleh sekelompok pelaku ancaman bernama “Haskers Gang,” yang baru-baru ini berusaha menjual kode sumbernya seharga $500.

Segera setelah para peneliti di Cisco Talos melihat penawaran itu, ZingoStealer berpindah tangan dan dipindahkan ke aktor ancaman baru yang akan melakukan upaya pengembangan.

ZingoStealer pertama kali muncul di komunitas kejahatan dunia maya pada Maret 2022, dipromosikan di saluran berbahasa Rusia sebagai pencuri info yang “siap pakai,” yang kuat dalam bentuk .NET yang dapat dieksekusi.

Hanya dengan 300 rubel, bernilai sekitar $3,64, pengguna juga dapat membeli opsi bawaan yang menampilkan crypter obfuscation (melalui ExoCrypt) untuk meningkatkan ketahanan terhadap deteksi AV.

Sejauh ini, ZingoStealer telah terlihat menginfeksi komputer melalui celah perangkat lunak, dan cheat video game yang dipromosikan di YouTube, tetapi vektor infeksi dapat bervariasi setiap saat.

Semua info yang dicuri disimpan di folder “C:\Users\AppData\Local\GinzoFolder”, di-zip, dan dieksfiltrasi ke server operator.

ZingoStealer juga memiliki malware penambangan cryptocurrency XMRig untuk menggunakan komputer korban untuk keuntungan finansial langsung.

Fitur ini ditambahkan dalam rilis terbaru, dan menggunakan PowerShell untuk menambahkan pengecualian yang diperlukan pada Windows Defender dan menjalankan penambang.

Selengkapnya: Bleeping Computer

Geng ransomware OldGremlin menargetkan Rusia dengan malware baru

by

OldGremlin telah membuat comeback bulan lalu setelah diam lebih dari satu tahun.

Grup ini membedakan dirinya dari operasi ransomware lainnya melalui sejumlah kecil kampanye – kurang dari lima sejak awal 2021 – yang hanya menargetkan bisnis di Rusia dan penggunaan pintu belakang khusus yang dibuat sendiri.

Meskipun kurang aktif, yang mungkin menunjukkan bahwa bisnis ransomware lebih dekat ke bisnis sampingan, OldGremlin telah menuntut uang tebusan setinggi $3 juta dari salah satu korbannya.

Peneliti keamanan di perusahaan keamanan siber Group-IB yang berbasis di Singapura mengatakan bahwa kali ini OldGremlin menyamar sebagai akuntan senior di organisasi keuangan Rusia yang memperingatkan bahwa sanksi baru-baru ini yang dijatuhkan pada Rusia akan menangguhkan operasi sistem pemrosesan pembayaran Visa dan Mastercard.

Email tersebut mengarahkan penerima ke dokumen berbahaya yang disimpan di Dropbox yang mengunduh pintu belakang bernama TinyFluff, yang meluncurkan interpreter Node.js dan memberi penyerang akses jarak jauh ke sistem target.

TinyFluff adalah varian baru dari backdoor lama, TinyNode, yang digunakan dalam serangan sebelumnya.

Kedua varian backdoor tersebut saat ini terdeteksi oleh lebih dari 20 mesin antivirus di platform pemindaian Virus Total.

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB memberikan indicators of compromise (IoC) dan analisis teknis terperinci dari alat yang digunakan OldGremlin dalam dua kampanye phishing yang digunakan bulan lalu.

Selengkapnya: Bleeping Computer