Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Google Menangkap Peretas Yang Menggunakan Mac Zero-Day Terhadap Pengguna Hong Kong

by

Peneliti Google menangkap peretas yang menargetkan pengguna di Hong Kong yang mengeksploitasi apa yang pada saat itu tidak diketahui kerentanannya di sistem operasi Apple Mac. Menurut para peneliti, serangan tersebut memiliki ciri khas peretas yang didukung pemerintah.

Pada hari Kamis, Grup Analisis Ancaman Google (TAG), tim elit pemburu peretas perusahaan, menerbitkan laporan yang merinci kampanye peretasan.

Para peneliti tidak melangkah sejauh menunjuk pada kelompok atau negara peretasan tertentu, tetapi mereka mengatakan itu adalah “kelompok yang memiliki sumber daya yang baik, kemungkinan didukung oleh negara.”

“Kami tidak memiliki cukup bukti teknis untuk memberikan atribusi dan kami tidak berspekulasi tentang atribusi,” kata kepala TAG Shane Huntley kepada Motherboard melalui email. “Namun, sifat kegiatan dan penargetan konsisten dengan aktor yang didukung pemerintah.”

Erye Hernandez, peneliti Google yang menemukan kampanye peretasan dan menulis laporan tersebut, menulis bahwa TAG menemukan kampanye tersebut pada akhir Agustus tahun ini.

Para peretas telah membuat serangan lubang air, yang berarti mereka menyembunyikan malware di dalam situs web sah “outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka” di Hong Kong.

Pengguna yang mengunjungi situs web tersebut akan diretas dengan kerentanan yang tidak diketahui—dengan kata lain, zero-day—dan eksploitasi lain yang memanfaatkan kerentanan yang sebelumnya ditambal untuk MacOS yang digunakan untuk memasang pintu belakang di komputer mereka, menurut Hernandez.

Selengkapnya: VICE

AT&T Alien Labs menemukan malware Golang (BotenaGo) baru yang menargetkan jutaan router dan perangkat IoT dengan lebih dari 30 eksploitasi

by

AT&T Alien Labs™ telah menemukan malware baru yang ditulis dalam bahasa pemrograman sumber terbuka Golang.

Dikerahkan dengan lebih dari 30 eksploitasi, ia berpotensi menargetkan jutaan router dan perangkat IoT.

BotenaGo memiliki lebih dari 30 fungsi exploit yang berbeda untuk menyerang target.

Malware membuat pintu belakang dan menunggu untuk menerima target untuk diserang dari operator jarak jauh melalui port 19412 atau dari modul terkait lainnya yang berjalan di mesin yang sama.

Belum jelas aktor ancaman mana yang berada di balik malware dan jumlah perangkat yang terinfeksi.

Saat ini, BotenaGo memiliki tingkat deteksi antivirus (AV) yang masih rendah dengan hanya 6/62 AV yang diketahui terlihat di VirusTotal.

Selengkapnya: AT&T Cybersecurity

TrickBot bekerja sama dengan phisher Shatak untuk serangan ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.

Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.

Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.

Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.

Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.

Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.

Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.

Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Selengkapnya: Bleeping Computer

Peretas Menargetkan Perangkat Apple di Hong Kong untuk Menyebarluaskan Serangan

by

Setidaknya sejak akhir Agustus, para peretas canggih menggunakan kelemahan di macOS dan iOS untuk memasang malware di perangkat Apple yang mengunjungi situs web media dan pro-demokrasi yang berbasis di Hong Kong.

Serangan watering hole membuat jaring semakin lebar, tanpa pandang bulu menempatkan backdoor pada iPhone atau Mac apa pun yang mengunjungi salah satu halaman yang terpengaruh.

Apple telah menambal berbagai bug yang memungkinkan kampanye terungkap. Namun sebuah laporan hari Kamis dari Grup Analisis Ancaman Google (TAG) menunjukkan betapa agresifnya para peretas dan seberapa luas jangkauan mereka.

Ini adalah kasus lain dari kerentanan yang sebelumnya tidak diungkapkan, atau zero-days, yang dieksploitasi di alam liar oleh penyerang.

Serangan iOS dan macOS memiliki pendekatan yang berbeda, tetapi keduanya menyatukan beberapa kerentanan sehingga penyerang dapat mengambil kendali perangkat korban untuk menginstal malware mereka.

TAG tidak dapat menganalisis seluruh rantai eksploitasi iOS, tetapi mereka mampu mengidentifikasi kerentanan utama Safari yang digunakan peretas untuk meluncurkan serangan. Versi macOS melibatkan eksploitasi kerentanan WebKit dan bug kernel. Semua itu sudah ditambal oleh Apple sepanjang tahun 2021, dan eksploitasi macOS yang digunakan dalam serangan itu sebelumnya dipresentasikan dalam pembicaraan konferensi April dan Juli oleh Pangu Lab.

Para peneliti menekankan bahwa malware yang dikirim ke target melalui serangan watering hole dibuat dengan hati-hati dan “tampaknya merupakan produk rekayasa perangkat lunak yang ekstensif.” Itu memiliki desain modular, mungkin komponen yang berbeda dapat digunakan pada waktu yang berbeda dalam serangan multi-tahap.

Selengkapnya: Wired

Microsoft Memperbarui Excel Zero-day, Pengguna Mac Mohon Menunggu

by Leave a Comment

Patch Tuesday bulan ini, Microsoft telah menambal kerentanan Excel zero-day yang dieksploitasi pelaku ancaman.

Zero-day adalah bug yang ditemukan secara publik tanpa update keamanan resmi.

Kerentanan yang dilacak sebagai CVE-2021-42292, adalah bypass fitur keamanan tingkat keparahan tinggi yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi secara lokal dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Microsoft juga menambal kelemahan keamanan Excel kedua yang digunakan selama kontes peretasan Piala Tianfu bulan lalu, bug eksekusi kode jarak jauh yang dilacak sebagai CVE-2021-40442 dan dapat dieksploitasi oleh penyerang yang tidak diautistik.

Sementara Redmond merilis pembaruan keamanan untuk sistem yang menjalankan Aplikasi Microsoft 365 untuk Perusahaan dan versi Windows dari Microsoft Office dan Microsoft Excel, Redmond gagal menambal kerentanan di macOS.

Pelanggan Mac yang menjalankan versi MacOS dari Microsoft Office dan Microsoft diberitahu bahwa mereka harus menunggu sedikit lebih lama untuk patch CVE-2021-42292.

Sumber: Bleepingcomputer

Snapshot yang tidak dapat diubah bertujuan untuk menetralisir ransomware

by

Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.

Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.

Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.

Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.

Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.

Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.

Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.

Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.

Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.

Selengkapnya: Computer Weekly

Godzilla Webshell Penyebab Kecacatan Zoho Password Manager

by Leave a Comment

Untuk kedua kalinya, para peneliti menemukan gerakan eksploitasi Zoho zero-day di seluruh dunia: melanggar organisasi pertahanan, energi, dan perawatan kesehatan.

Selama akhir pekan, para peneliti mengingatkan bahwa telah ditemukan kerentanan keamanan di pengelola kata sandi (password manager) Zoho ManageEngine ADSelfService Plus. Para pelaku ancaman sejauh ini berhasil mengeksploitasi kelemahan Zoho dan mengekstrak datanya di setidaknya sembilan entitas global di seluruh sektor penting (teknologi, pertahanan, perawatan kesehatan, energi, dan pendidikan) menggunakan Godzilla Webshell.

Zoho menambal (patched) kerentanan pada bulan September, tetapi telah dieksploitasi secara aktif pada awal Agustus saat zero-day, membuka pintu perusahaan bagi penyerang untuk mengendalikan Direktori Aktif pengguna (AD) dan akun cloud secara bebas.

Zoho ManageEngine ADSelfService Plus adalah pengelola kata sandi layanan sendiri dan platform sign-on (SSO) untuk AD (Active Directory) dan cloud, yang berarti setiap oknum penyerang mampu mengambil kendali platform di beberapa titik penting. Dengan kata lain, ini adalah aplikasi istimewa yang dapat bertindak sebagai awal titik masuk ke area perusahaan yang lebih dalam, baik untuk pengguna maupun penyerang.

Cara Godzilla Webshell Bekerja

Unit 42 mengatakan bahwa setelah oknum mengeksploitasi CVE-2021-40539 untuk mendapatkan RCE, mereka bergerak cepat secara lateral untuk menyebarkan beberapa unit malware mengandalkan Godzilla publik yang tersedia di webshell.

Aktor mengupload beberapa variasi Godzilla untuk membahayakan server dan menanam beberapa alat malware baru juga, termasuk sebuah pintu belakang open-source Golang yang dikustom bernama NGLite dan pencuri-kredensial baru yang Unit 42 lacak bernama KdcSponge.

Godzilla dan NGLite ditulis dalam bahasa Cina dan bebas diambil dari GitHub.

Mangsa Siber-spionase: Lembaga Energi dan Kesehatan

Tidak mengejutkan kalau oknum di balik gerakan kedua Zoho ini ternyata menjadi APT (advanced persistent threats Cina. Dave Klein, pemuka siber dan direktur di Cymulate, menunjuk Republik Rakyat Cina (RRC) memiliki data yang terdokumentasi dengan baik.

Dia menunjuk pelanggaran 2015 kantor manajemen personil U.S. (OPM) sebagai contoh. Pelanggaran besar-besaran dikaitkan dengan RRC meliputi informasi yang sangat sensitif seperti jutaan sidik jari karyawan federal, nomor Jaminan Sosial, tanggal lahir, catatan kinerja karyawan, riwayat pekerjaan, resume, transkrip sekolah, dokumen layanan militer dan data psikologis dari wawancara yang diadakan penyelidik.

Dia mengatakan bahwa setelah pelanggaran OPM, beberapa lembaga kesehatan kemudian dilanggar, termasuk serangan yang mempengaruhi 78 juta orang. “Kepentingan dalam data kesehatan secara global tidak hanya terus untuk tujuan Spionase terhadap target – mengumpulkan titik lemah serta mencari data kesehatan untuk melayani industri lokal mereka yang lebih baik,” Klein menginformasikan. “Pada energi, keduanya mencuri informasi spionase industri serta untuk mengatur kompromi dalam infrastruktur kritis untuk potensi penggunaan dalam kasus permusuhan di masa depan.”

Selengkapnya di: Threatpost

PhoneSpy: Kampanye spyware Android yang menargetkan pengguna Korea Selatan

by

Kampanye spyware yang dijuluki ‘PhoneSpy’ menargetkan pengguna Korea Selatan melalui berbagai aplikasi gaya hidup yang bersarang di perangkat dan mengekstrak data secara diam-diam. Kampanye ini menyebarkan malware Android yang kuat yang mampu mencuri informasi sensitif dari pengguna dan mengambil alih mikrofon dan kamera perangkat.

Zimperium mengidentifikasi 23 aplikasi bertali yang muncul sebagai aplikasi gaya hidup yang tidak berbahaya, tetapi di latar belakang, aplikasi tersebut berjalan sepanjang waktu, diam-diam memata-matai pengguna.

Aplikasi meminta korban untuk memberikan banyak izin saat penginstalan, yang merupakan satu-satunya tahap di mana pengguna yang berhati-hati akan melihat tanda-tanda masalah.

Spyware yang bersembunyi tersebut dapat melakukan hal berikut :

  • Ambil daftar lengkap aplikasi yang diinstal
  • Copot pemasangan aplikasi apa pun di perangkat
  • Instal aplikasi dengan mengunduh APK dari tautan yang disediakan oleh C2
  • Curi kredensial menggunakan URL phishing yang dikirim oleh C2
  • Mencuri gambar (dari memori internal dan kartu SD)

    • untuk daftar selengkapnya klik sumber : Bleeping Computer

Spektrum data yang dicuri mendukung hampir semua aktivitas jahat, mulai dari memata-matai hingga melakukan spionase dunia maya perusahaan dan memeras orang.

Selain itu beberapa aplikasi juga secara aktif mencoba mencuri kredensial orang dengan menampilkan halaman login palsu untuk berbagai situs. Template phishing yang digunakan dalam kampanye PhoneSpy meniru portal masuk akun Facebook, Instagram, Kakao, dan akun Google.

Saluran distribusi awal untuk aplikasi yang dicampur tidak diketahui, dan pelaku ancaman tidak mengunggah aplikasi ke Google Play Store. Itu dapat didistribusikan melalui situs web, toko APK pihak yang tidak jelas, media sosial, forum, atau bahkan webhard dan torrent.

Menggunakan teks SMS meningkatkan kemungkinan penerima mengetuk tautan yang mengarah untuk mengunduh aplikasi yang dicampur karena berasal dari orang yang mereka kenal dan percayai.

Selengkpanya : Bleeping Computer