Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Spyware Cina Baru Digunakan dalam Serangan Spionase Siber yang Meluas

by

Seorang aktor ancaman yang diduga berasal dari China telah dikaitkan dengan serangkaian 10 serangan yang menargetkan Mongolia, Rusia, Belarusia, Kanada, dan AS dari Januari hingga Juli 2021 yang melibatkan penyebaran trojan akses jarak jauh (RAT) pada sistem yang terinfeksi, menurut penelitian baru.

Intrusi telah dikaitkan dengan ancaman persisten canggih bernama APT31 (FireEye), yang dilacak oleh komunitas keamanan siber sebagai moniker Zirkonium (Microsoft), Judgment Panda (CrowdStrike), dan Bronze Vinewood (Secureworks).

Kelompok tersebut adalah “aktor spionase cyber China-nexus yang berfokus pada perolehan informasi yang dapat memberikan keuntungan politik, ekonomi, dan militer kepada pemerintah China dan perusahaan milik negara,” menurut FireEye.

Positive Technologies, dalam sebuah tulisan yang diterbitkan Selasa, mengungkapkan dropper malware baru yang digunakan untuk memfasilitasi serangan, termasuk pengambilan muatan terenkripsi tahap berikutnya dari server perintah-dan-kontrol jarak jauh, yang kemudian didekodekan untuk mengeksekusi pintu belakang.

Kode berbahaya hadir dengan kapasitas untuk mengunduh malware lain, yang berpotensi menempatkan korban yang terkena dampak pada risiko lebih lanjut, serta melakukan operasi file, mengekstrak data sensitif, dan bahkan menghapus dirinya sendiri dari mesin yang disusupi.

Juga patut dicatat bahwa kesamaan malware dengan trojan bernama DropboxAES RAT yang digunakan oleh kelompok ancaman yang sama tahun lalu dan mengandalkan Dropbox untuk komunikasi command-and-control (C2), dengan banyak tumpang tindih yang ditemukan di teknik dan mekanisme yang digunakan untuk menyuntikkan kode serangan, mendaptkan persistence, dan mekanisme yang digunakan untuk menghapus alat spionase.

Selengkapnya: The Hacker News

Serangan phishing WeTransfer baru memalsukan berbagi file untuk mencuri kredensial

by

Menurut laporan dari Armorblox, penjahat dunia maya memalsukan sistem hosting file WeTransfer untuk melakukan serangan phishing kredensial di mana email palsu mengarah ke halaman phishing yang menampilkan branding Microsoft Excel.

Tujuan utama serangan ini adalah untuk mengambil kredensial email Office 365 korban. Perlu dicatat bahwa WeTransfer digunakan untuk berbagi file yang terlalu besar untuk dikirim melalui email.

Email phishing tampaknya dikirim oleh WeTransfer karena menggunakan nama pengirim Wetransfer dan memiliki judul Lihat File yang Dikirim Melalui WeTransfer.

Kesamaannya cukup untuk tampil sebagai email WeTransfer asli dan dapat dengan mudah menipu pengguna yang tidak menaruh curiga. Badan email juga membuat beberapa referensi ke organisasi target agar tampak sah.

Berbagai teknik telah digunakan untuk menghindari filter keamanan email konvensional dan memikat pengguna yang tidak curiga. Ini termasuk rekayasa sosial, karena judul email, konten, dan nama pengirim telah dirancang untuk menciptakan rasa “kepercayaan dan urgensi pada para korban,” tulis Mark Royall dari Armorblox dalam sebuah posting blog.

Teknik lain yang digunakan dalam kampanye ini adalah peniruan identitas brand. Gaya HTML email sangat mirip dengan WeTransfer, dan halaman phishing telah dirancang untuk muncul sebagai halaman login Microsoft Excel yang sah. Satu-satunya hal yang membuatnya tampak mencurigakan adalah Microsoft dieja sebagai MicroSoft.

Selengkapnya: Hackread

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer

Rekayasa sosial berjalan otomatis: bot robocall baru di Telegram dapat menipu Anda untuk memberikan kata sandi Anda

by

Saat ini, scammers tampaknya memiliki pekerjaan yang cocok untuk mereka karena jenis bot-for-hire baru mengambil alih dunia rekayasa sosial.

OTP Bot adalah jenis baru Telegram bot jahat yang dirancang untuk merobohkan korban yang tidak menaruh curiga dan menipu mereka agar memberikan kata sandi satu kali (OTP), yang kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank mereka. Lebih buruk lagi, basis pengguna bot model baru yang berkembang ini telah tumbuh ribuan dalam beberapa minggu terakhir.

Menurut peneliti CyberNews Martynas Vareikis, OTP Bot adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanan jahat kepada siapa pun yang bersedia membayar.

Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil kata sandi satu kali dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap, langsung ke jendela obrolan Telegram bot. “Bergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman, informasi tambahan ini dapat mencakup sesedikit alamat email korban,” kata Vareikis.

Bot itu sendiri dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada penjahat. Sementara itu, para penggunanya secara terbuka memamerkan keuntungan lima digit mereka dari menggeledah rekening bank target mereka.

Teknik penipuan paling populer yang digunakan oleh pelanggan Bot OTP disebut ‘penautan kartu’. Ini termasuk menghubungkan kartu kredit korban ke akun aplikasi pembayaran seluler mereka, dan kemudian menggunakannya untuk membeli kartu hadiah di toko fisik.

Selengkapnya: Cyber News

DeadRinger: APT China menyerang perusahaan telekomunikasi besar

by

Para peneliti telah mengungkapkan tiga kampanye spionase siber yang berfokus pada kompromi jaringan milik perusahaan telekomunikasi besar.

Pada hari Selasa, Cybereason Nocturnus menerbitkan laporan baru tentang penyerang cyber, diyakini bekerja untuk “kepentingan negara China” dan dikelompokkan dengan nama “DeadRinger.”

Menurut perusahaan keamanan siber tersebut, kampanye “yang sebelumnya tidak teridentifikasi” berpusat di Asia Tenggara — dan dengan cara yang mirip dengan bagaimana penyerang mengamankan akses ke korban mereka melalui vendor terpusat dalam kasus SolarWinds dan Kaseya, grup ini menargetkan perusahaan telekomunikasi.

Cybereason percaya serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan sponsor negara Tiongkok karena tumpang tindih dalam taktik dan teknik dengan APT Tiongkok lainnya yang diketahui.

Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan Microsoft Exchange Server — jauh sebelum dipublikasikan — penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial, pembuatan suar Cobalt Strike, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.

Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok pusat lain.

Selengkapnya: ZDNet

Google akan memblokir login di perangkat Android lama mulai September

by

Google mengirim email kepada pengguna Android untuk memberi tahu mereka bahwa, mulai akhir September, mereka tidak lagi dapat masuk ke akun Google mereka di perangkat yang menjalankan Android 2.3.7 (Gingerbread) dan yang lebih rendah.

“Sebagai bagian dari upaya berkelanjutan kami untuk menjaga keamanan pengguna kami, Google tidak akan lagi mengizinkan login di perangkat Android yang menjalankan Android 2.3.7 atau lebih rendah mulai 27 September 2021,” jelas Zak Pollack, Manajer Komunitas Bantuan Android.

“Jika Anda masuk ke perangkat setelah 27 September, Anda mungkin mendapatkan kesalahan nama pengguna atau sandi saat mencoba menggunakan produk dan layanan Google seperti Gmail, YouTube, dan Maps.”

Pengguna disarankan untuk memperbarui perangkat mereka ke versi Android yang lebih baru (3.0 atau lebih baru) sesegera mungkin sehingga mereka tidak akan kehilangan akses ke aplikasi dan layanan Google.

Mereka yang tidak dapat memperbarui ke versi Android yang lebih baru dapat mencoba masuk ke akun Google mereka menggunakan browser web yang akan memberi mereka cara alternatif untuk menggunakan layanan Google pada perangkat Android yang tidak didukung.

Selengkapnya: Bleeping Computer

Sysadmin: Mengapa tidak memverifikasi bahwa tidak ada pintu belakang di setiap program yang Anda instal, dan dengan demikian menghindari drama dunia maya?

by

Setengah dari serangan rantai pasokan yang dilaporkan secara publik dilakukan oleh “kelompok APT terkenal”, menurut analisis oleh badan infosec UE ENISA, yang memperingatkan serangan digital semacam itu perlu mendorong “metode perlindungan baru.”

Juhan Lepassaar, direktur eksekutif ENISA, mengatakan dalam sebuah pernyataan: “Karena efek berjenjang dari serangan rantai pasokan, pelaku ancaman dapat menyebabkan kerusakan luas yang mempengaruhi bisnis dan pelanggan mereka sekaligus. Dengan praktik yang baik dan tindakan terkoordinasi di tingkat UE, Negara-negara Anggota akan dapat mencapai tingkat kemampuan yang sama untuk meningkatkan tingkat keamanan siber yang sama di UE.”

Studi open-source dimaksudkan sebagai primer pada serangan rantai pasokan, yang biasanya terdiri dari penargetan pemasok perangkat lunak B2B yang memiliki daftar pelanggan yang luas. Setelah pemasok dikompromikan, penyerang kemudian bergerak secara lateral ke jaringan pelanggan mereka, biasanya untuk mencuri data dan memeras para korban.

“Karakteristik tambahan dari serangan rantai pasokan melibatkan kompleksitas dalam menanganinya dan upaya yang diperlukan untuk mengurangi dan mengatasi serangan tersebut,” kata ENISA dalam laporannya.

ENISA mengkritik pemasok karena tidak mengetahui atau tidak mengakui di depan umum bagaimana mereka dikompromikan.

Laporan tersebut mencantumkan insiden rantai pasokan yang dipelajari oleh ENISA. Selain yang terkenal yang melibatkan Accellion, SolarWinds, dan Kaseya, itu juga mencantumkan ProjectWeb Fujitsu, emulator Android Bignox Noxplayer, dan banyak lagi.

Selengkapnya: The Register

HACKERS BERBAHASA RUSIA DITANGKAP DI POLANDIA ATAS SERANGAN JACKPOTTING ATM

by

Dengan dukungan Europol, pihak berwenang Polandia telah menangkap dua orang yang melakukan apa yang disebut serangan ‘Kotak Hitam’ terhadap ATM, di mana para penjahat menghubungkan perangkat elektronik ke mesin ATM dan memaksanya dari jarak jauh untuk mengeluarkan semua uangnya.

Kedua tersangka – keduanya warga negara Belarusia, ditangkap di Warsawa pada 17 Juli.

Penyelidikan menemukan bahwa para penjahat ini melakukan lusinan serangan ATM di setidaknya tujuh negara Eropa, mencuri uang tunai sekitar €230.000. Para penjahat selalu mengincar merek dan model ATM yang sama.

Para penjahat akan mendapatkan akses ke kabel ATM dengan mengebor lubang atau melelehkan bagian-bagiannya untuk menghubungkan mesin secara fisik ke laptop yang kemudian digunakan untuk mengirim perintah relai yang menyebabkan mesin mengeluarkan semua uangnya.

selengkapnya : www.europol.europa.eu

Tagged With: