Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

by

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

Kebocoran Source Code Layanan Yandex

by

beberapa jam yang lalu disebutkan di Twitter bahwa kode sumber milik raksasa Rusia Yandex telah bocor di komunitas online bernama BreachForums. Dalam posting ini saya akan membagikan hasil penggalian teman saya ke arsip tersebut.

Detail penting tentang torrent:

  • Itu hanya konten repositori tanpa yang lain.
  • Semua file bertanggal kembali ke 24 Februari 2022.
  • Itu tidak mengandung riwayat git, kebanyakan hanya kode
  • Tidak ada binari pra-bangun untuk sebagian besar perangkat lunak dengan hanya sedikit pengecualian
  • Tidak ada model ML terlatih dengan beberapa pengecualian

Implikasi keamanan.

Karena bocoran ini hanya berisi konten repositori git, tidak ada data pribadi. Setidaknya ada beberapa kunci API, tetapi kemungkinan besar hanya digunakan untuk pengujian penerapan saja.

DOJ, FBI melumpuhkan ransomware Hive setelah menghabiskan waktu berbulan-bulan di dalam sistem geng

by

FBI dan Departemen Kehakiman membongkar infrastruktur grup ransomware Hive pada hari Kamis, mengumumkan bahwa agen mereka telah berada di dalam sistem grup tersebut sejak Juli 2022.

Direktur FBI Christopher Wray mengatakan agen memperoleh “akses rahasia dan terus-menerus” ke panel kontrol yang digunakan oleh operator Hive tujuh bulan lalu, memungkinkan mereka untuk mengidentifikasi korban dan menawarkan kunci dekripsi kepada lebih dari 1.300 dari mereka di seluruh dunia dan mencegah setidaknya $130 juta masuk. pembayaran tebusan.

Badan-badan itu mengatakan Hive telah menargetkan 1.500 korban di lebih dari 80 negara sejak muncul pada Juni 2021, dan Jaksa Agung Merrick Garland membuat daftar lusinan contoh spesifik di mana mereka dapat membantu korban menangani serangan ransomware, mencatat afinitas kelompok tersebut untuk menargetkan sekolah. dan rumah sakit selama pandemi COVID-19.

Grup ini menghasilkan setidaknya $100 juta pada tahun pertama operasinya.

Garland mengatakan mereka akhirnya memutuskan untuk mengganggu sistem grup setelah menemukan server komputer yang berlokasi di Los Angeles yang digunakan oleh aktor Hive untuk menyimpan informasi penting. Mereka menyita server pada Rabu malam dan menutup situs darknet Hive. Pemberitahuan penyitaan dari beberapa lembaga AS dan internasional kini muncul di situs kebocoran grup.

Dia mencatat bahwa selama berada di sistem Hive, mereka menemukan bahwa hanya sekitar 20% korban yang melaporkan insiden ransomware mereka ke penegak hukum, menyoroti masalah terus-menerus dari korban yang tidak melapor dan malah membayar uang tebusan.

Europol mengatakan bahwa kesuksesan Hive berakar pada model “ransomware-as-a-service”, di mana afiliasi menerima 80% uang tebusan dan pengembang ransomware menerima 20% lainnya.

Mereka mencatat bahwa pertemuan operasional diadakan di Portugal dan Belanda untuk mendukung operasi – menyediakan tautan ke “data yang tersedia untuk berbagai kasus kriminal di dalam dan di luar UE, dan mendukung penyelidikan melalui cryptocurrency, malware, dekripsi, dan analisis forensik.”

Wray mencatat bahwa pekerjaan FBI dalam kasus ini istimewa karena mereka tidak pernah memiliki akses semacam ini ke backend grup ransomware.

sumber : therecord

Lebih dari 4.500 Situs WordPress Diretas untuk Mengarahkan Pengunjung ke Halaman Iklan yang Samar

by

Menurut Sucuri milik GoDaddy, infeksi tersebut melibatkan injeksi JavaScript yang dikaburkan yang dihosting di domain jahat bernama “track[.]violetlovelines[.]com” yang dirancang untuk mengarahkan pengunjung ke situs yang tidak diinginkan.

Kode nakal dimasukkan ke dalam file WordPress index.php, dengan Sucuri mencatat bahwa itu telah menghapus perubahan tersebut dari lebih dari 33.000 file di situs yang disusupi dalam 60 hari terakhir.

Kampanye malware ini secara bertahap beralih dari halaman scam pemberitahuan push CAPTCHA palsu terkenal ke ‘jaringan iklan’ topi hitam yang berganti-ganti antara pengalihan ke situs web yang sah, samar, dan murni berbahaya.

Google sejak itu masuk untuk memblokir salah satu domain jahat yang terlibat dalam skema pengalihan, mengklasifikasikannya sebagai situs tidak aman yang memasang “perangkat lunak yang tidak diinginkan atau berbahaya di komputer pengunjung”.

Untuk mengurangi ancaman tersebut, pemilik situs WordPress disarankan untuk mengubah kata sandi dan memperbarui tema dan plugin yang diinstal serta menghapus yang tidak digunakan atau ditinggalkan oleh pengembangnya.

Selengkapnya : thehackernews

Peretas melelang dugaan kode sumber untuk League of Legends

by

Pelaku ancaman sedang melelang kode sumber yang diduga untuk League of Legends Riot Game dan perangkat lunak anti-cheat Packman, yang dipastikan telah dicuri dalam peretasan baru-baru ini di lingkungan pengembang perusahaan game tersebut.

Jumat lalu, Riot Games mengungkapkan bahwa lingkungan pengembangannya telah diretas, memungkinkan pelaku ancaman mencuri kode sumber untuk League of Legends (LoL), Teamfight Tactics (TFT), dan platform anti-cheat warisan Packman milik perusahaan.

riot games tweet

Threat actor mengklaim bahwa mereka memiliki akses ke jaringan pengembangan selama tiga puluh enam jam hingga terdeteksi oleh pusat operasi keamanan (SOC) perusahaan.

Mereka memberi tahu VX bahwa tujuan mereka adalah mencuri kode sumber Riot Vanguard, perangkat lunak anti-cheat perusahaan game.

Peretas mulai menjual kode sumber curian

Aktor ancaman mengatakan mereka menjual kode sumber League of Legends dan Packman minimal $1 juta. Namun, mereka memberi tahu BleepingComputer bahwa mereka bersedia menjual Packman sendiri seharga $500.000.

forum selling riot games source code
Forum post selling Riot Games source code

Apakah itu bernilai $ 1 juta?

“Sejujurnya, setiap paparan kode sumber dapat meningkatkan kemungkinan munculnya cheat baru. Sejak serangan itu, kami telah bekerja untuk menilai dampaknya terhadap anticheat dan bersiap untuk menerapkan perbaikan secepat mungkin jika diperlukan,” cuit Riot Games .

Sementara kode sumber memudahkan untuk menemukan bug dalam kode, juga memungkinkan untuk menemukannya menggunakan rekayasa balik dengan sedikit biaya selain waktu.

Oleh karena itu, hanya waktu yang akan memberi tahu apakah kode sumber yang diduga dicuri ini bernilai $1 juta untuk menipu pengembang dan pelaku ancaman lainnya.

selengkapnya : bleepingcomputer

Daftar Periksa Keamanan Browser Definitif

by

Pemangku kepentingan keamanan telah menyadari bahwa peran penting browser dalam lingkungan perusahaan modern memerlukan evaluasi ulang tentang cara pengelolaan dan perlindungannya.

Namun, karena kategori solusi keamanan ini masih relatif baru, belum ada seperangkat praktik terbaik keamanan browser, atau kriteria evaluasi umum. LayerX, Platform Keamanan Peramban yang Mengutamakan Pengguna, menangani kebutuhan tim keamanan dengan Daftar Periksa Keamanan Peramban yang dapat diunduh, yang memandu pembaca melalui hal-hal penting dalam memilih solusi terbaik dan memberi mereka daftar periksa yang dapat ditindaklanjuti untuk digunakan selama proses evaluasi.

Keamanan Peramban 101 – Apa yang Perlu Kita Lindungi?

Dari aspek perlindungan ancaman, platform semacam itu mendeteksi dan mencegah tiga jenis serangan:

  • Serangan yang menargetkan browser itu sendiri, dengan tujuan membahayakan perangkat host atau data yang berada di dalam aplikasi browser itu sendiri, seperti cookies, password, dan lain-lain.
  • Serangan yang memanfaatkan browser melalui kredensial yang disusupi untuk mengakses data perusahaan yang berada di aplikasi SaaS yang dikenai sanksi dan tidak.
  • Serangan yang memanfaatkan halaman web modern sebagai vektor serangan untuk menargetkan kata sandi pengguna, melalui berbagai metode phishing atau melalui modifikasi berbahaya pada fitur browser.

Cara Memilih Solusi yang Tepat
tidak seperti solusi keamanan lainnya, Anda tidak bisa hanya melakukan ping ke salah satu rekan Anda dan menanyakan apa yang dia lakukan. Keamanan browser masih baru, dan kebijaksanaan orang banyak belum terbentuk. Faktanya, ada kemungkinan besar rekan-rekan Anda sekarang bergumul dengan pertanyaan yang sama dengan Anda.

selengkapnya : thehackernews

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

by

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Microsoft Mengambil Makronya dan Pulang, Penjahat beralih ke File Windows LNK

by

Langkah Microsoft tahun lalu untuk memblokir makro secara default di aplikasi Office memaksa penjahat untuk menemukan alat lain yang dapat digunakan untuk meluncurkan serangan siber, termasuk file LNK vendor perangkat lunak yang digunakan Windows untuk menunjuk ke file lain.

Menurut Guilherme Venere, peneliti ancaman di Talos, dalam sebuah laporan dijelaskan bahwa file LNK umumnya digunakan oleh malware jenis worm seperti Raspberry Robin untuk menyebar ke disk yang dapat dilepas atau berbagi jaringan.

File-file tersebut membantu penjahat mendapatkan akses awal ke sistem korban sebelum menjalankan ancaman.

Pergeseran ke teknik dan alat lain setelah gerakan makro VBA Microsoft berlangsung cepat. Penjahat siber sedang mencari alternatif, termasuk lampiran ISO dan RAR, ditambah file LNK.

Pada bulan Desember, peneliti Talos mengatakan bahwa beberapa grup APT dan keluarga malware berpindah ke file XLL di Excel.

Mike Parkin, insinyur teknis senior di Vulcan Cyber menambahkan bahwa Makro Office telah menjadi vektor favorit, tidak heran jika aktor ancaman berevolusi cepat sebagai respons terhadap perubahan pertahanan target mereka atau perubahan permukaan serangan.

Format LNK menyimpan banyak informasi tentang objek target, perilaku aplikasi, dan metadata sistem tempat file LNK dibuat yang berisi data lain tentang atribut file target.

Ada juga alat yang tersedia untuk umum untuk mem-parsing dan menganalisis struktur LNK seperti Parser LNK gratis dari Google yang juga dapat digunakan oleh penjahat.

Penyerang sedang mengembangkan file LNK jahat mereka sendiri melalui alat pembangun yang tersedia untuk umum seperti MLNK Builder, Quantum Builder, dan RustLNKBuilder, yang membantu mereka menghindari deteksi.

Selengkapnya: The Register