Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Hacker Menggunakan Trik Baru Untuk Serangan Phishing

by

Penjahat dunia maya menggunakan email phishing yang dibuat secara unik untuk menginfeksi korban dengan malware — dan mereka melakukannya dengan bereksperimen dengan metode baru untuk mengirimkan muatan berbahaya.

Menurut analisis oleh Proofpoint, telah terjadi peningkatan penyerang dunia maya yang mencoba mengirimkan malware menggunakan dokumen OneNote, buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi perkantoran Microsoft 365.

Email phishing, yang pertama kali dikirim selama Desember 2022, dengan jumlah yang meningkat secara signifikan pada Januari 2023, berusaha mengirimkan salah satu dari beberapa muatan malware yang berbeda, termasuk AsyncRAT, Redline, AgentTesla, dan Doubleback, yang semuanya dirancang untuk mencuri informasi sensitif dari korban, termasuk username dan password.

Peneliti Proofpoint juga mencatat bahwa kelompok penjahat dunia maya yang mereka lacak sebagai TA577 juga mulai memanfaatkan OneNote dalam kampanye untuk menghadirkan Qbot.

Para peneliti memperingatkan bahwa kemungkinan kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir — dan lebih banyak kelompok ancaman dunia maya cenderung mengadopsi teknik ini untuk berhasil mengirimkan kampanye phishing dan malware.

“Proofpoint semakin mengamati lampiran OneNote digunakan untuk mengirimkan malware. Berdasarkan penelitian kami, kami yakin banyak pelaku ancaman menggunakan lampiran OneNote dalam upaya untuk melewati deteksi ancaman,” kata peneliti.

walaupun serangan phishing adalah alat yang efektif untuk penjahat dunia maya, jatuhnya korban tidak bisa dihindari. Proofpoint menyarankan bahwa organisasi harus menggunakan filter spam yang kuat yang mencegah pesan ini masuk ke kotak masuk orang, dan bahwa organisasi harus mendidik pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.

Sumber : zdnet.com

Serangan Ransomware EsxiaArgs Besar-besaran Menargetkan Server VMware ESXi di Seluruh Dunia

by

Admin, penyedia hosting, dan Tim Tanggap Darurat Komputer Prancis (CERT-FR) memperingatkan bahwa penyerang secara aktif menargetkan server VMware ESXi yang belum ditambal terhadap kerentanan eksekusi kode jarak jauh berusia dua tahun untuk menyebarkan ransomware.

Dilacak sebagai CVE-2021-21974, kelemahan keamanan disebabkan oleh masalah limpahan tumpukan di layanan OpenSLP yang dapat dimanfaatkan oleh pelaku ancaman yang tidak diautentikasi dalam serangan dengan kompleksitas rendah.

“Seperti penyelidikan saat ini, kampanye serangan ini tampaknya mengeksploitasi kerentanan CVE-2021-21974, yang tambalannya telah tersedia sejak 23 Februari 2021,” kata CERT-FR.

“Sistem yang saat ini ditargetkan adalah hypervisor ESXi dalam versi 6.x dan sebelum 6.7.”

Untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui.

CERT-FR sangat menyarankan untuk menerapkan tambalan sesegera mungkin tetapi menambahkan bahwa sistem yang tidak ditambal juga harus dipindai untuk mencari tanda-tanda kompromi.

CVE-2021-21974 memengaruhi sistem berikut:

  • ESXi versions 7.x prior to ESXi70U1c-17325551
  • ESXi versions 6.7.x prior to ESXi670-202102401-SG
  • ESXi versions 6.5.x prior to ESXi650-202102101-SG

Ransomware ESXiArgs baru
Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).

Sementara pelaku ancaman di balik serangan ini mengklaim telah mencuri data, satu korban melaporkan di forum BleepingComputer bahwa itu tidak terjadi dalam insiden mereka.

“Penyelidikan kami telah menentukan bahwa data belum disusupi. Dalam kasus kami, mesin yang diserang memiliki lebih dari 500 GB data tetapi penggunaan harian biasa hanya 2 Mbps. Kami meninjau statistik lalu lintas selama 90 hari terakhir dan tidak menemukan bukti data keluar transfer,” kata admin.

Korban juga menemukan catatan tebusan bernama “ransom.html” dan “How to Restore Your Files.html” pada sistem yang terkunci. Yang lain mengatakan bahwa catatan mereka adalah file teks biasa.

ESXiArgs ransom note (BleepingComputer)

Michael Gillespie dari ID Ransomware saat ini sedang melacak ransomware dengan nama ‘ESXiArgs,’ tetapi mengatakan kepada BleepingComputer bahwa hingga kami dapat menemukan sampel, tidak ada cara untuk menentukan apakah ia memiliki kelemahan dalam enkripsi.

BleepingComputer memiliki topik dukungan khusus di mana orang melaporkan pengalaman mereka dengan serangan ini.

Jika Anda memiliki informasi baru atau salinan malware, beri tahu kami agar peneliti dapat menganalisis kelemahannya.

Ini adalah cerita yang berkembang dan akan diperbarui dengan info baru saat tersedia …

sumber : bleepingcomputer

Varian Spyware Gamaredon Baru yang Didukung Rusia Menargetkan Pihak Berwenang Ukraina

by

Pusat Perlindungan Siber Negara (SCPC) Ukraina telah memanggil aktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon atas serangan siber yang ditargetkan pada otoritas publik dan infrastruktur informasi penting di negara tersebut.

Ancaman gigih tingkat lanjut, juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.

Tujuan serangan lebih diarahkan pada spionase dan pencurian informasi daripada sabotase, catat agensi tersebut. SCPC juga menekankan evolusi taktik grup yang “terus-menerus” dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar, menyebut Gamaredon sebagai “ancaman dunia maya utama”.

Rantai serangan dimulai dengan email spear-phishing yang membawa arsip RAR yang, ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara – file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell.

Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh software yang mengklaim dapat mendeteksi komputer yang terinfeksi.

Namun, setelah meluncurkan file – skrip batch Windows bernama “Protector.bat” – itu mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.

CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern – sebuah cluster aktivitas yang di masa lalu memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.

Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi.

sumber : thehackernews

Cisco Memperbaiki Bug yang Memugkinkan Persistensi Backdoor di Antara Reboot

by

Cisco telah merilis pembaruan keamanan minggu ini untuk mengatasi vulnerability tingkat tinggi di lingkungan hosting aplikasi Cisco IOx yang dapat dieksploitasi dalam serangan injeksi perintah.

Security flaw (CVE-2023-20076) disebabkan oleh sanitasi parameter yang tidak lengkap yang diteruskan selama proses aktivasi aplikasi. Itu ditemukan dan dilaporkan oleh peneliti keamanan Sam Quinn dan Kasimir Schulz dengan Trellix Advanced Research Center.

Eksploitasi yang berhasil dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna memungkinkan pelaku ancaman terautentikasi dari jarak jauh untuk menjalankan perintah dengan izin root pada sistem operasi yang mendasarinya.

“Seorang penyerang dapat mengeksploitasi vulnerability ini dengan menyebarkan dan mengaktifkan aplikasi di lingkungan hosting aplikasi Cisco IOx dengan file payload aktivasi buatan,” Cisco menjelaskan dalam penasihat keamanan yang diterbitkan pada hari Rabu.

Perusahaan mengatakan vulnerability mempengaruhi perangkat Cisco yang menjalankan software IOS XE, tetapi hanya jika mereka tidak mendukung buruh pelabuhan asli.

Selain perangkat berbasis IOS XE yang dikonfigurasi dengan IOx, daftar perangkat yang terpengaruh juga mencakup router ISR Industri Seri 800, modul komputasi CGR1000, gateway komputasi industri IC3000, router industri WPAN IR510, dan titik akses Cisco Catalyst (COS-AP).

Perusahaan juga mengonfirmasi bahwa flaw CVE-2023-20076 tidak memengaruhi sakelar Seri Catalyst 9000, perangkat lunak iOS XR dan NX-OS, atau produk Meraki.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan tidak menemukan bukti bahwa kerentanan ini dieksploitasi secara liar.

Pada bulan Januari, Cisco memperingatkan pelanggan tentang kerentanan bypass otentikasi kritis (CVE-2023-20025) dengan kode eksploit publik yang memengaruhi beberapa model router VPN akhir masa pakainya.

Satu minggu kemudian, Censys menemukan lebih dari 20.000 router Cisco RV016, RV042, RV042G, dan RV082 yang belum ditambal terhadap CVE-2023-20025 dan terkena serangan.

sumber : bleepingcomputer

Anggaran Cybersecurity Naik. Jadi Mengapa Pelanggaran Tidak Turun?

by

Selama beberapa tahun terakhir, keamanan siber telah menjadi perhatian utama bagi bisnis di seluruh dunia. Dengan total biaya kejahatan dunia maya pada tahun 2023 diperkirakan mencapai $8 Triliun – dengan nilai T, bukan B – tidak heran jika keamanan dunia maya menjadi perhatian utama para pemimpin di semua industri dan wilayah.

Namun, meskipun perhatian dan anggaran untuk keamanan siber semakin meningkat dalam beberapa tahun terakhir, serangan hanya menjadi lebih umum dan lebih parah.

data dari beberapa tahun terakhir menunjukkan bahwa organisasi semakin banyak berinvestasi pada keamanan siber setiap tahun. Gartner memperkirakan bahwa pengeluaran global untuk keamanan dan manajemen risiko akan tumbuh lebih dari 11% pada tahun 2023, hingga $188 Miliar dari hanya $158 Miliar pada tahun 2021. Tren ini diperkirakan akan terus berlanjut, dengan pengeluaran keamanan siber di seluruh dunia diperkirakan akan naik 11% setiap tahun melalui 2026 mencapai total $267,3 miliar.

Terlepas dari peningkatan pengeluaran yang signifikan ini, dan banyak bisnis yang membeli sejumlah besar solusi keamanan siap jual komersial– satu survei menemukan bahwa rata-rata organisasi memiliki 76 teknologi keamanan yang diterapkan– pelanggaran jaringan, sistem, dan data perusahaan hanya terus menjadi lebih rutin.

selengkapnya : thehackernews

Direktur Perusahaan Inggris Meminta Maaf Setelah mengirim Surat ke Bisnis

by

Datawing Ltd mengirim sejumlah surat ke bisnis kecil bulan ini yang mengklaim memiliki satu paten Inggris dan satu AS di CSP dan penggunaan nonce. Setelah gelombang awal alarm dan kemarahan di Twitter ketika surat-surat itu muncul, The Register melacak penulisnya: William Coppock yang menyesal.

Saat ditanya apakah dia sedang menyiasati lengannya dengan mengirimkan surat, Coppock langsung berkata: “Mungkin, saya tidak tahu. Saya harap orang tidak melihat saya sebagai troll paten.”

Perhatian publik pertama kali tertuju pada surat-surat Datawing oleh peretas internet Scott Helme, yang mengatakan kepada El Reg: “Agak mengkhawatirkan jika mengaktifkan fitur keamanan yang disediakan oleh browser web dapat membuat Anda mendapat masalah.”

Yang lain berbicara dengan Helme, yang mendokumentasikan penyelidikannya sendiri atas perselingkuhan tersebut dan mengajukan pertanyaan di Twitter tentang klaim Datawing. Beberapa jawaban cukup instruktif.

Misalnya, tweet ini terkait dengan ide kunci skrip dari insinyur perangkat lunak Gervase Markham, yang dirancang – seperti CSP – untuk menggagalkan serangan XSS.

Markham, yang bekerja untuk pembuat Firefox Mozilla dan meninggal pada 2019, juga menjelaskan fitur pengacakan untuk memastikan mekanismenya tidak dapat dengan mudah dilewati oleh skrip jahat: dengan kata lain, nonce kriptografi seperti yang digunakan di CSP 2.0.

Posting blog era 2005-nya menjelaskan fitur-fitur penting dari paten UK Coppock 2.496.107, yang diajukan pada 2011 dan diberikan pada 2013. Coppock diberikan mitra AS-nya, 8.959.628, pada 2015. Dalam dokumennya, nonce digambarkan sebagai kata sandi .

Direktur perusahaan juga mengonfirmasi bahwa dia mengetahui Undang-Undang Kekayaan Intelektual (Ancaman yang Tidak Dapat Dibenarkan) 2017, yang menjadikannya pelanggaran sipil untuk mengirimkan ancaman tuntutan hukum paten yang tidak dapat dibenarkan. Sementara surat-surat Datawing tidak secara eksplisit mengancam tindakan hukum jika perusahaan mengabaikannya, sehingga tampaknya tidak termasuk dalam bagian 1 undang-undang tersebut, beberapa orang begitu khawatir karenanya sehingga mereka mencari nasihat hukum.

Trolling paten adalah praktik entitas non-perdagangan yang membeli paten dan kemudian mencoba menegakkannya melalui pengadilan untuk menjamin aliran pendapatan. Praktik tersebut melegitimasi bisnis yang menciptakan nilai sampai pada titik di mana jaringan global dibentuk untuk melawan trolling paten.

selengkapnya : theregister

Peneliti Menjatuhkan Lexmark RCE Zero-day Daripada Menjual Vuln ‘for peanuts’

by

Seorang peneliti keamanan menghentikan rantai kerentanan eksekusi kode jarak jauh (RCE) zero-day yang memengaruhi printer Lexmark setelah mengklaim bahwa hadiah pengungkapan yang ditawarkan kepadanya “menggelikan”.

Peneliti independen Peter Geissler (@bl4sty) mengatakan bahwa pengungkapan bug secara publik, cacat zero-day pada saat rilis tetapi sekarang ditambal, lebih disukai daripada laporan yang dijual “untuk kacang”.

Dalam penasihat keamanan yang dirilis pada 23 Januari, Lexmark mengatakan masalah tersebut, dilacak sebagai CVE-2023-23560 (CVSSv3 9.0) dan dirilis di bawah satu penugasan CVE, memengaruhi lebih dari 100 model tetapi kini telah ditambal.

Perusahaan mengatakan tidak ada bukti penggunaan berbahaya di alam liar. Ketika didekati untuk memberikan komentar, Lexmark berkata: “Lexmark mengetahui detail kerentanan ini ketika diungkapkan kepada publik. Kami telah menyediakan tambalan kepada pelanggan kami.

Menurut peneliti, Lexmark tidak diberi tahu sebelum rilis zero-day karena dua alasan.

Pertama, Geissler ingin menyoroti bagaimana kontes Pwn2Own “rusak” dalam beberapa hal, seperti yang ditunjukkan saat hadiah uang rendah ditawarkan untuk “sesuatu yang berpotensi berdampak besar” – seperti rantai eksploit yang dapat membahayakan lebih dari 100 model printer.

Lebih lanjut, dia mengatakan bahwa proses keterbukaan informasi seringkali bertele-tele dan berbelit-belit.

selengkapnya : portswigger.net

Iklan Pekerjaan Cybercrime di dark web membayar hingga $20rb per bulan

by

200.000 iklan pekerjaan diposting di 155 situs web gelap antara Maret 2020 dan Juni 2022, grup peretasan dan grup APT berusaha untuk mempekerjakan sebagian besar pengembang perangkat lunak (61% dari semua iklan), menawarkan paket yang sangat kompetitif untuk memikat mereka.

Pekerjaan bergaji tertinggi yang dilihat oleh analis Kaspersky termasuk gaji bulanan sebesar $20.000, sementara iklan untuk spesialis serangan yang cakap mencapai $15.000/per bulan.

Peran yang dalam iklan pekerjaan darknet (Kaspersky)

Dalam beberapa kasus, perekrut juga melihat CV atau portofolio yang disediakan, dan dalam satu dari empat posting, ada sesi wawancara yang dilakukan dengan pencari kerja.

Dalam contoh karakteristik yang ditemukan oleh Kaspersky, satu posting pekerjaan berjanji untuk membayar kandidat sekitar $300 dalam BTC untuk tugas tes.

Tawaran pekerjaan lain mengatur proses penyaringan multi-langkah di mana kandidat akan diminta untuk mengenkripsi DLL uji dalam 24 jam, membuatnya sepenuhnya tidak terdeteksi oleh AV (maksimal 3 pendeteksian runtime AV minor).

Saat perusahaan kejahatan dunia maya mengadopsi operasi seperti bisnis, kami akan terus melihat web gelap sebagai alat perekrutan bagi pelaku ancaman yang mencari penghasilan stabil.

Beberapa pengembang perangkat lunak mungkin melihat peluang ini sebagai penyelamat selama masa sulit kerusuhan politik, ekonomi yang buruk, atau kurangnya kesempatan kerja di wilayah mereka.

Namun, sangat penting untuk memahami potensi risiko bekerja untuk pemberi kerja web gelap, mulai dari penipuan hingga dijebak, ditangkap, dituntut, dan dipenjara.

selengkapnya : bleepingcomputer