Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Edward Snowden mendesak pengguna untuk berhenti menggunakan ExpressVPN

by

Pekan lalu, Hackread.com melaporkan kesepakatan miliaran dolar di mana ExpressVPN dibeli oleh Kape, sebuah perusahaan keamanan siber Israel yang meningkatkan masalah privasi di antara penggunanya. Kemudian, dalam tweet baru-baru ini, mantan whistleblower NSA Edward Snowden telah memperingatkan pengguna untuk berhenti menggunakan ExpressVPN.

Peringatan ini tampaknya sebagai reaksi terhadap berita bahwa CIP ExpressVPN, Daniel Gericke, adalah salah satu dari tiga mantan agen intelijen AS yang mengaku secara ilegal membantu pemerintah UEA melakukan peretasan terhadap orang-orang yang menjadi sasaran mereka.

Agak lucu bahwa ExpressVPN, salah satu penyedia layanan VPN terkemuka di dunia, tidak menyangkal klaim bahwa CIO-nya telah terlibat dalam Project Raven. Perusahaan merilis pernyataan yang menjelaskan bahwa fakta yang diceritakan dalam laporan itu sebelum perusahaan mempekerjakan Daniel, dan mereka telah mengetahui hal ini sejak awal.

Meskipun perusahaan menganggap Project Raven dan pengawasan secara umum sebagai antitesis, perusahaan ingin mempertahankan Gericke sebagai karyawannya karena Daniel memiliki pengalaman 20 tahun di industri keamanan siber dan telah bekerja di militer AS.

Sekadar informasi, Daniel Gericke dipekerjakan oleh ExpressVPN pada tahun 2019 dan sebelum bekerja, Daniel menghentikan kontraknya dengan UEA. Selain itu, ExpressVPN menyatakan bahwa perusahaan telah menerapkan beberapa langkah keamanan untuk menjaga privasi penggunanya.

Selengkapnya: Hackread

Alamt IP Pengguna VPN terekspos oleh kerentanan zero-day di router Virgin Media

by

Kerentanan zero-day di router Virgin Media Super Hub 3 memungkinkan penyerang membuka kedok alamat IP pengguna VPN yang sebenarnya, ungkap peneliti keamanan.

Fidus Information Security, konsultan penetration testing Inggris, telah menerbitkan rincian kerentanan keamanan hampir dua tahun setelah pertama kali memperingatkan Virgin Media, sebuah perusahaan telekomunikasi Inggris, yang merujuk Fidus ke Liberty Global, perusahaan induknya.

Tim R&D Fidus mengatakan awalnya menunda pengungkapan selama 12 bulan atas permintaan vendor, tetapi upaya selanjutnya untuk menghubungi Virgin Media dan Liberty Global kemudian gagal mendapatkan tanggapan.

Namun, Virgin Media telah mengatakan kepada The Daily Swig bahwa saat ini sedang mengerjakan “perbaikan teknis” untuk “masalah edge-case, yang berpotensi berdampak hanya pada sebagian kecil pelanggan” yang menggunakan VPN.

Para peneliti dapat memasang serangan rebinding DNS yang mengungkapkan alamat IP pengguna VPN “dengan hanya [pengguna] mengunjungi halaman web [berbahaya] selama beberapa detik”, tulis posting blog yang dirancang oleh Fidus pada bulan Maret tetapi akhirnya diterbitkan minggu lalu.

Serangan rebinding DNS menyalahgunakan browser korban dengan menjadikannya sebagai proxy untuk menyerang jaringan pribadi.

Para peneliti berhasil menghilangkan anonimitas perangkat yang alamat IP-nya ditutupi oleh sebagian besar “VPN terkemuka di pasar”, kata tim R&D Fidus kepada The Daily Swig.

Namun, beberapa penyedia VPN menangkis serangan tersebut dengan memblokir akses ke alamat IP lokal secara default.

Selengkapnya: Portswigger

Numando: Trojan Perbankan yang Dapat Mengatur Secara Jarak Jauh

by

Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.

Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.

Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .

Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.

Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.

File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.

Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.

Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.

Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.

“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”

Google sudah diberitahu dan video yang terdeteksi telah dihapus.

Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.

“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”

sumber: ZDNET

Departemen Keuangan akan mengeluarkan sanksi cryptocurrency baru setelah serangan ransomware

by

Pemerintahan Biden sedang bersiap untuk mengeluarkan serangkaian tindakan, termasuk sanksi, untuk mempersulit peretas mendapatkan keuntungan dari serangan ransomware melalui penggunaan mata uang digital, seperti yang pertama kali dilaporkan oleh Wall Street Journal pada hari Jumat.

Menurut Journal, Departemen Keuangan berencana untuk menjatuhkan sanksi baru ini paling cepat minggu depan. Sanksi tersebut dilaporkan akan menargetkan pedagang tertentu dan pertukaran mata uang kripto, dengan harapan mencegah pertukaran untuk memproses transaksi ini saat dibuat. Departemen juga akan mengeluarkan panduan baru untuk bisnis mengenai risiko yang mereka ambil dengan mematuhi permintaan pembayaran ransomware. Departemen Keuangan menolak berkomentar.

Langkah-langkah yang diusulkan ini akan menjadi langkah paling signifikan pemerintahan Biden untuk mengatasi gelombang serangan ransomware yang hanya tumbuh dalam skala dan frekuensi selama setahun terakhir.

Pada bulan Mei, salah satu saluran pipa terbesar AS, Colonial Pipeline, dimatikan setelah terkena serangan ransomware. Perusahaan membayar lebih dari $ 4 juta uang tebusan kepada para penyerang untuk membawa pipa kembali online. Awal bulan ini, Universitas Howard ditutup setelah serangan ransomware mengganggu layanan komputer dan teknologi sekolah.

Pada bulan Mei, Presiden Biden menandatangani perintah eksekutif yang memudahkan bisnis pemerintah dan sektor swasta untuk berbagi informasi setelah serangan siber. Perintah itu juga mengharuskan lembaga pemerintah untuk menyebarkan layanan otentikasi multi-faktor dalam sistem mereka.

Selengkapnya: The Verge

Penglihatan komputer dapat membantu menemukan ancaman dunia maya dengan akurasi yang mengejutkan

by

Pada tahun 2019, sekelompok peneliti keamanan siber bertanya-tanya apakah mereka dapat memperlakukan deteksi ancaman keamanan sebagai masalah klasifikasi gambar. Intuisi mereka terbukti ditempatkan dengan baik, dan mereka mampu membuat model pembelajaran mesin yang dapat mendeteksi malware berdasarkan gambar yang dibuat dari konten file aplikasi. Setahun kemudian, teknik yang sama digunakan untuk mengembangkan sistem pembelajaran mesin yang mendeteksi situs web phishing.

Kombinasi visualisasi binary dan pembelajaran mesin adalah teknik yang kuat yang dapat memberikan solusi baru untuk masalah lama. Ini menunjukkan janji dalam keamanan siber, tetapi juga bisa diterapkan ke domain lain.

Cara tradisional untuk mendeteksi malware adalah dengan mencari file untuk signature yang diketahui dari muatan berbahaya. Detektor malware memelihara database definisi virus yang mencakup urutan opcode atau potongan kode, dan mereka mencari file baru untuk keberadaan signature ini. Sayangnya, pengembang malware dapat dengan mudah menghindari metode deteksi tersebut menggunakan teknik yang berbeda seperti mengaburkan kode mereka atau menggunakan teknik polimorfisme untuk mengubah kode mereka saat runtime.

Dynamic analysis tools mencoba mendeteksi perilaku berbahaya selama waktu proses, tetapi alat ini lambat dan memerlukan penyiapan lingkungan sandbox untuk menguji program yang mencurigakan.

Dalam beberapa tahun terakhir, para peneliti juga telah mencoba berbagai teknik pembelajaran mesin untuk mendeteksi malware. Model ML ini telah berhasil membuat kemajuan dalam beberapa tantangan deteksi malware, termasuk code obfuscation.

Visualisasi binary dapat mendefinisikan kembali deteksi malware dengan mengubahnya menjadi masalah penglihatan komputer. Dalam metodologi ini, file dijalankan melalui algoritma yang mengubah nilai binary dan ASCII menjadi kode warna.

Dalam sebuah makalah yang diterbitkan pada tahun 2019, para peneliti di University of Plymouth dan University of Peloponnese menunjukkan bahwa ketika file jinak dan berbahaya divisualisasikan menggunakan metode ini, pola baru muncul yang memisahkan file berbahaya dan aman. Perbedaan ini akan luput dari perhatian menggunakan metode deteksi malware klasik.

Menurut makalah itu, “File berbahaya memiliki kecenderungan untuk sering memasukkan karakter ASCII dari berbagai kategori, menghadirkan gambar berwarna, sementara file jinak memiliki gambar dan distribusi nilai yang lebih bersih.”

Selengkanya: The Next Web

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

by

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Telegram muncul sebagai Dark Web baru untuk penjahat siber

by

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer