Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Spammer Menggunakan Malware Squirrelwaffle untuk Menjatuhkan Cobalt Strike

by

Ancaman malware baru bernama Squirrelwaffle telah muncul di alam liar, mendukung aktor dengan pijakan awal dan cara untuk menjatuhkan malware ke sistem dan jaringan yang disusupi.

Alat malware baru menyebar melalui kampanye spam yang menjatuhkan Qakbot dan Cobalt Strike di kampanye terbaru. Ditemukan oleh para peneliti di Cisco Talos, Squirrelwaffle adalah salah satu alat yang muncul sebagai pengganti Emotet tak lama setelah gangguan penegakan hukum pada botnet yang banyak digunakan.

Ancaman baru ini pertama kali muncul pada September 2021, dengan volume distribusi memuncak pada akhir bulan itu. Sementara kampanye spam terutama menggunakan kampanye email rantai balasan curian dalam bahasa Inggris, pelaku ancaman juga menggunakan email Prancis, Jerman, Belanda, dan Polandia.

Email ini berisi hyperlink ke arsip ZIP berbahaya yang dihosting di server web yang dikendalikan penyerang dan biasanya menyertakan lampiran .doc atau .xls berbahaya yang menjalankan kode penghapus malware jika dibuka.

Pada beberapa dokumen yang diambil sampelnya dan dianalisis oleh peneliti Talos, para aktor menggunakan platform penandatanganan DocuSign sebagai umpan untuk mengelabui penerima agar mengaktifkan makro di suite MS Office mereka.

Kode yang terkandung memanfaatkan pembalikan string untuk kebingungan, menulis skrip VBS ke %PROGRAMDATA%, dan menjalankannya.

Tindakan ini mengambil Squirrelwaffle dari salah satu dari lima URL hardcode, mengirimkannya dalam bentuk file DLL ke sistem yang disusupi.

Squirrelwaffle loader kemudian menyebarkan malware seperti Qakbot atau alat pengujian penetrasi Cobalt Strike yang banyak disalahgunakan.

Cobalt Strike adalah alat pengujian penetrasi yang sah yang dirancang sebagai kerangka kerja serangan untuk menguji infrastruktur organisasi untuk menemukan celah keamanan dan kerentanan.

Namun, versi Cobalt Strike yang retak juga digunakan oleh pelaku ancaman (biasanya terlihat digunakan selama serangan ransomware) untuk tugas pasca-eksploitasi setelah menggunakan beacon, yang memberi mereka akses jarak jauh yang terus-menerus ke perangkat yang disusupi.

Squirrelwaffle juga menampilkan daftar blokir IP yang diisi dengan perusahaan riset keamanan terkemuka sebagai cara untuk menghindari deteksi dan analisis.

Semua komunikasi antara Squirrelwaffle dan infrastruktur C2 dienkripsi (XOR+Base64) dan dikirim melalui permintaan HTTP POST.

Pelaku ancaman memanfaatkan server web yang sebelumnya disusupi untuk mendukung aspek distribusi file dari operasi mereka, dengan sebagian besar situs ini menjalankan WordPress 5.8.1.

Di server ini, musuh menyebarkan skrip “antibot” yang membantu mencegah deteksi dan analisis topi putih.

Aktor mapan lainnya telah menerapkan beberapa metode yang tercakup dalam laporan Cisco Talos di masa lalu.

Dengan demikian, Squirrelwaffle mungkin merupakan reboot Emotet oleh anggota yang menghindari penegakan hukum atau pelaku ancaman lain yang mencoba mengisi kekosongan yang ditinggalkan oleh malware terkenal.

Karena pemanfaatannya yang meningkat, Cisco Talos menyarankan semua organisasi dan profesional keamanan untuk mengetahui TTP yang digunakan dalam kampanye malware ini.

Source: Bleeping Computer

WordPress Terancam Dapat Dihapus Pelanggan akibat Bug Plugin

by

Telah ditemukan kelemahan keamanan tingkat tinggi di plugin WordPress yang melibatkan 8.000 pengguna. Hal ini memungkinkan attackers untuk mengatur ulang dan menghapus situs web yang rentan.

Plugin yang dimaksud dikenal sebagai Hashthemes Demo Importer, dirancang untuk membantu admin mengimpor demo untuk tema WordPress, tanpa harus menginstal dependensi apa pun.

Bug keamanan akan memungkinkan penyerang yang diautentikasi untuk mengatur ulang situs WordPress dan menghapus hampir semua konten basis data dan media yang diunggah.

Insinyur QA Wordfence dan analis ancaman Ram Gall, menjelaskan bahwa plugin gagal melakukan pemeriksaan nonce dengan benar, membocorkan nonce AJAX di dasbor admin situs yang rentan untuk semua pengguna, “termasuk pengguna dengan hak istimewa rendah seperti pelanggan.”

Sebagai konsekuensi langsung dari bug ini, pengguna tingkat pelanggan yang masuk dapat menyalahgunakannya untuk menghapus semua konten di situs yang menjalankan versi Pengimpor Demo Hashthemes yang belum ditambal.

“Sementara sebagian besar kerentanan dapat memiliki efek merusak, tidak mungkin memulihkan situs di mana kerentanan ini dieksploitasi kecuali telah dicadangkan,” tambah Gall.

Setiap pengguna yang masuk dapat memicu fungsi hdi_install_demo AJAX dan memberikan parameter reset yang disetel ke true, sehingga plugin menjalankan fungsi database_reset. Fungsi ini menghapus database dengan memotong setiap tabel database di situs kecuali untuk wp_options, wp_users, dan wp_usermeta. Setelah database dihapus, plugin kemudian akan menjalankan fungsi clear_uploads, yang menghapus setiap file dan folder di wp-content/uploads. — Ram Gall

Sementara Wordfence melaporkan kerentanan bug ke tim pengembangan plugin pada 25 Agustus 2021, para pengembang tidak membalas pesan pengungkapan selama hampir sebulan.

Ini mendorong Wordfence untuk menghubungi tim plugin WordPress pada 20 September, yang menyebabkan penghapusan plugin pada hari yang sama dan rilis tambalan yang mengatasi bug empat hari kemudian, pada 24 September.

Namun, pengembang Hashthemes Demo Importer tidak menyebutkan rilis 1.1.2 atau pembaruan pada halaman changelog plugin meskipun merilis pembaruan keamanan.

sumber: BLEEPING COMPUTER

Penyerang Lazarus Beralih ke Rantai Pasokan TI

by

Lazarus – kelompok ancaman persisten tingkat lanjut (APT) Korea Utara – sedang berupaya meluncurkan serangan yang berfokus pada spionase siber pada rantai pasokan dengan framework MATA multi-platformnya.

Kerangka kerja malware MATA dapat menargetkan tiga sistem operasi: Windows, Linux, dan macOS. MATA secara historis telah digunakan untuk mencuri database pelanggan dan menyebarkan ransomware di berbagai industri, tetapi pada bulan Juni, peneliti Kaspersky melacak Lazarus menggunakan MATA untuk spionase cyber.

Para peneliti juga telah melihat Lazarus membangun kemampuan serangan rantai pasokan dengan kluster malware DeathNote (alias Operation Dream Job) yang diperbarui yang terdiri dari varian yang sedikit diperbarui dari trojan akses jarak jauh (RAT) Korea Utara yang dikenal sebagai BlindingCan.

Para peneliti menganggap Lazarus, yang telah aktif setidaknya sejak 2009, sebagai salah satu aktor ancaman paling aktif di dunia.

“Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar cryptocurrency,” catat para peneliti Kaspersky. “Dengan berbagai alat canggih yang mereka miliki, mereka tampaknya menerapkannya pada tujuan baru.”

Serangan Lazarus terhadap militer termasuk kampanye yang ditemukan pada bulan Juli, di mana APT menyebarkan dokumen jahat kepada para insinyur yang mencari pekerjaan dengan menyamar sebagai kontraktor pertahanan yang mencari kandidat pekerja.

Sebagai bagian dari rantai infeksi terhadap vendor alat pemantau aset Latvia, Lazarus menggunakan pengunduh bernama Racket yang ditandatangani oleh pelaku ancaman dengan sertifikat curian.

Ariel Jungheit, peneliti keamanan senior untuk Tim Penelitian dan Analisis Global (GReAT) Kaspersky, mengatakan dalam ringkasan bahwa penemuan baru-baru ini menunjukkan bahwa Lazarus masih tertarik untuk menyusup ke industri pertahanan, tetapi juga ingin memperluas ke serangan rantai pasokan.

Selengkapnya: Threat Post

Ancaman Siber Teratas Pada Sektor Kesehatan, Kerentanan yang Harus Diwaspadai

by

Buletin bulanan Health Sector Cybersecurity Coordination Center (HC3) HHS memperingatkan sektor perawatan kesehatan akan ancaman dan kerentanan sier teratas pada perawatan kesehatan saat ini yang harus diwaspadai.

Kerentanan BrakTooth, grup Conti Ransomware, dan malware Medusa/TangleBot terus menjadi ancaman signifikan bagi organisasi layanan kesehatan, kata grup tersebut.

Kelompok kerentanan BrakTooth berdampak pada perangkat berkemampuan Bluetooth dan pertama kali ditemukan oleh ASSET Research Group pada bulan Agustus. Kerentanan memungkinkan pelaku jahat untuk memulai serangan Denial-of-Service (DoS) pada laptop, smartphone, dan perangkat Bluetooth lainnya.

Temuan awal menunjukkan bahwa kerentanan BrakTooth dapat memengaruhi lebih dari 1.400 daftar produk. Kerentanan menimbulkan ancaman signifikan bagi sektor perawatan kesehatan karena sifat serangan DoS, yang dapat merusak firmware perangkat dan menonaktifkan koneksi Bluetooth.

Malware Medusa/TangleBot terus menjadi ancaman bagi organisasi perawatan kesehatan juga. Peretas menyebarkan malware melalui SMS dan diketahui menargetkan pengguna Android dengan mengirimkan pesan terkait COVID-19 dengan tautan berbahaya. Saat diklik, tautan menyebarkan malware dan mulai mengumpulkan data. Malware dapat mengakses internet, GPS, dan log panggilan korbannya.

HC3 juga mendesak industri kesehatan untuk memperkuat layanan jaringan pribadi virtual (VPN), karena VPN sering digunakan sebagai titik masuk ke jaringan yang dilindungi. Sektor kesehatan bergantung pada teknologi VPN untuk telemedicine dan akses pasien ke catatan kesehatan. NSA dan CISA merilis lembar informasi bersama untuk membantu organisasi mengelola risiko VPN.

Sumber: Health IT Security

Google meluncurkan alat untuk membantu anak di bawah umur menghapus foto dari pencarian

by

Google sekarang mempermudah anak di bawah umur atau orang tua mereka untuk menghapus foto mereka dari hasil pencarian.

Dalam posting blog yang diterbitkan hari Rabu, perusahaan mengatakan sedang meluncurkan alat yang memungkinkan orang tua dan anak-anak di bawah usia 18 tahun meminta foto dihapus dari tab gambarnya atau tidak lagi muncul sebagai thumbnail dalam penyelidikan pencarian.

Meskipun Google (GOOG) sebelumnya menawarkan cara bagi orang-orang untuk meminta penghapusan informasi pribadi dan foto yang sesuai dengan kategori seperti “eksplisit non-konsensual” atau “identitas keuangan, medis, dan nasional”, sekarang memperluasnya ke gambar anak di bawah umur.

Sistem baru ini memungkinkan pengguna untuk menandai URL gambar atau hasil pencarian apa pun yang berisi gambar yang ingin mereka hapus. Google mengatakan timnya akan meninjau setiap pengiriman dan menghubungi jika mereka memerlukan informasi tambahan untuk memverifikasi persyaratan penghapusan.

Namun, perusahaan menekankan ini tidak akan menghapus gambar dari internet sepenuhnya; orang perlu menghubungi webmaster situs web untuk meminta konten tersebut dihapus.

Perusahaan sebelumnya mengumumkan alat tersebut pada bulan Agustus sebagai bagian dari upaya yang lebih besar untuk melindungi anak di bawah umur di seluruh platformnya. Fitur lain yang diperkenalkan pada saat itu termasuk pengaturan default pribadi untuk semua video yang diunggah oleh seorang remaja dan alat yang disebut Family Link yang membantu orang tua memantau akun anak-anak mereka.

Selengkapnya: CNN

11 Pengaturan Keamanan di Windows 11 yang Harus Diketahui

by

Microsoft telah meluncurkan sistem operasinya yang paling aman. Inilah cara memanfaatkannya sebaik mungkin.

1. Tetap Perbarui Windows 11
Keamanan yang baik dimulai dengan memperbarui perangkat lunak Anda, dan jika Anda memilih Pembaruan Windows dari Pengaturan, Anda dapat memeriksa apakah semua tambalan dan perbaikan bug terbaru telah diterapkan ke sistem operasi. Klik Opsi lanjutan dan Jam aktif untuk memastikan Windows tidak akan memulai ulang dan menerapkan pembaruan di tengah hari kerja Anda.

2. Periksa Opsi Masuk Anda
Pilih nama Anda di kiri atas panel Pengaturan lalu opsi Masuk untuk melihat berbagai cara Anda dapat masuk ke komputer. Jika pengenalan wajah (menggunakan webcam Anda) atau pengenalan sidik jari (menggunakan sensor sidik jari) tersedia, ini lebih aman daripada kata sandi, dan sebagian besar komputer modern harus mendukungnya.

3. Sign Out Saat Anda Pergi
Dari layar opsi Masuk yang sama, manfaatkan opsi If you’ve been away, when should Windows require you to sign in again? untuk memastikan log in selalu diperlukan. Anda juga dapat menggunakan opsi kunci Dinamis untuk memberi tahu Windows untuk mengunci perangkat Anda saat Anda menjauh darinya (seperti yang ditunjukkan oleh lokasi ponsel cerdas yang terhubung)

4. Aktifkan Built-in Security Tools
Jika Anda memilih Privasi & keamanan dan kemudian Keamanan Windows dari Pengaturan, Anda dapat memastikan perangkat lunak keamanan yang disertakan dengan Windows diaktifkan. Ini adalah kebutuhan mutlak jika Anda tidak menginstal alternatif pihak ketiga. Masalah keamanan apa pun yang memerlukan perhatian Anda akan ditandai dengan tanda seru berwarna kuning—klik salah satu untuk detail selengkapnya.

5. Jalankan Pemindaian Malware
Dari layar Keamanan Windows yang sama, Anda dapat mengklik Buka Keamanan Windows untuk membuka pusat keamanan Windows 11 bawaan. Sebagian besar fitur di sini harus berjalan secara otomatis di latar belakang, termasuk memindai malware berbahaya, tetapi Anda dapat menjalankan pemindaian secara manual dengan mengeklik Perlindungan virus & ancaman dan memilih Pemindaian cepat.

6. Lihat Keamanan Perangkat
Masalah perangkat keras apa pun dengan komputer Windows 11 Anda—termasuk masalah dengan TPM dan proses boot aman—akan dicantumkan di halaman Keamanan perangkat setelah Anda membuka alat Keamanan Windows.

7. Tetap Aman Saat Anda Online
Jika Anda memilih Kontrol aplikasi & browser dari utilitas Keamanan Windows, Anda akan melihat ada dua pengaturan yang dapat Anda aktifkan: Perlindungan berbasis reputasi (yang berarti Windows 11 selalu mencari aplikasi yang mencurigakan atau berkinerja buruk) dan Perlindungan Eksploitasi ( yang membantu mengurangi dampak dari berbagai serangan peretasan jarak jauh).

8. Periksa Alat Keamanan yang Anda Miliki
Buka Pengaturan dari dalam Keamanan Windows untuk melihat perangkat lunak yang melindungi komputer Windows 11 Anda di bawah Penyedia keamanan—ini mungkin perangkat lunak keamanan yang disertakan dengan Windows atau alternatif pihak ketiga. Anda juga dapat mengatur pengaturan pemberitahuan keamanan dari sini untuk memastikan Anda selalu mendapat informasi.

9. Kelola Izin Aplikasi
Seperti pada ponsel cerdas Anda, Anda dapat memutuskan aplikasi izin mana yang diizinkan untuk digunakan di Windows 11. Buka halaman Privasi & keamanan dari layar Pengaturan utama, lalu gulir ke bawah untuk melihat izin. Klik izin apa pun, seperti Lokasi, Kamera, atau Mikrofon, untuk mengelola program mana yang saat ini memiliki akses ke sana.

10. Pastikan Perangkat Anda Dapat Ditemukan Jika Hilang
Dari Privasi & keamanan di bawah Pengaturan, pilih Temukan perangkat saya agar lokasinya direkam secara berkala. Ini memungkinkan Anda untuk masuk ke akun Microsoft Anda di perangkat lain dan mencari tahu di mana komputer Windows 11 Anda pergi—sangat berguna jika Anda meninggalkannya di kereta atau tidak ingat apakah itu di kantor atau di suatu tempat di rumah.

11. Enkripsi Data di Perangkat Anda
Mengenkripsi data pada hard drive Anda mempersulit orang lain untuk membaca informasi (jika mereka dapat mengekstrak drive dari komputer Anda, misalnya). Tidak semua komputer memberi Anda opsi, tetapi jika komputer Anda melakukannya, Anda dapat mengaktifkannya dengan memilih Privasi & keamanan lalu Enkripsi perangkat dari layar Pengaturan Windows 11.

source: WIRED

Peretas Menggunakan Perangkat Lunak Penagihan Zero-day untuk Menyebarkan Ransomware

by

Grup ransomware yang tidak dikenal mengeksploitasi bug injeksi SQL kritis yang ditemukan dalam solusi penagihan dan waktu BillQuick Web Suite untuk menyebarkan ransomware di jaringan target mereka.

BQE Software, perusahaan di belakang BillQuick, mengklaim memiliki 400.000 basis pengguna yang kuat di seluruh dunia.

Kerentanan, dilacak sebagai CVE-2021-42258, dapat dipicu dengan sangat mudah melalui permintaan login dengan karakter yang tidak valid (kutipan tunggal) di bidang nama pengguna, menurut peneliti keamanan dengan tim Huntress ThreatOps.

Kerentanan yang dieksploitasi secara aktif ini ditambal pada 7 Oktober setelah Huntress Labs memberi tahu BQE Software tentang bug tersebut.

Namun, para peneliti juga menemukan delapan kerentanan zero-day BillQuick lainnya (yaitu, CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021- 42573, CVE-2021-42741, CVE-2021-42742) juga dapat digunakan untuk akses awal/eksekusi kode dan siap untuk disalahgunakan karena masih menunggu patch.

Menurut para peneliti, sejak serangan dimulai, sebuah perusahaan teknik AS telah memiliki sistem yang dienkripsi setelah server BillQuick yang rentan diretas dan digunakan sebagai titik awal akses ke jaringannya.

“Aktor yang kami amati tidak selaras dengan aktor ancaman besar yang diketahui/yang kami ketahui. Menurut pendapat pribadi saya, ini adalah aktor dan/atau kelompok yang lebih kecil berdasarkan perilaku mereka selama eksploitasi dan pasca-eksploitasi,” peneliti keamanan Huntress Labs Caleb Stewart memberi tahu BleepingComputer.

“Namun, berdasarkan masalah yang telah kami identifikasi/ungkapkan, saya memperkirakan eksploitasi lebih lanjut oleh pihak lain mungkin terjadi. Kami mengamati aktivitas tersebut selama akhir pekan Hari Columbus (08-10 Oktober 2021).”

BleepingComputer menemukan bahwa ransomware yang disebarkan oleh grup ini telah digunakan setidaknya sejak Mei 2020 dan banyak meminjam kode dari keluarga ransomware berbasis AutoIT lainnya.

Setelah digunakan pada sistem target, itu akan menambahkan ekstensi pusheken91@bk.ru ke semua file terenkripsi tetapi, seperti yang disebutkan di atas, BleepingComputer belum melihatnya menjatuhkan catatan tebusan selama serangan yang diketahui.

Penyerang kemungkinan menggunakan pendekatan ini karena ekstensi yang ditambahkan itu sendiri mengisyaratkan email apa yang harus digunakan korban untuk menanyakan detail tentang cara memulihkan data mereka.

Pada bulan Agustus, FBI dan CISA memperingatkan organisasi untuk tidak menurunkan pertahanan mereka terhadap serangan ransomware selama akhir pekan atau hari libur dalam sebuah penasehat keamanan siber bersama.

Kedua lembaga pemerintah federal mengatakan mereka “mengamati peningkatan serangan ransomware yang sangat berdampak yang terjadi pada hari libur dan akhir pekan—ketika kantor biasanya tutup—di Amerika Serikat, baru-baru ini pada liburan Empat Juli tahun 2021.”

soucer: BLEEPING COMPUTER

Jangan Asal Unduh Aplikasi Bertema Squid Game!

by

Penjahat dunia maya memanfaatkan ketenaran “Squid Game” untuk menguangkan para penggemar serial hit Korea Netflix yang hiper-kekerasan.

Dalam penipuan terbaru, yang ditemukan oleh seorang peneliti keamanan siber, sebuah aplikasi untuk wallpaper bertema SG — tersedia di Google Play Store — telah memasang malware berbahaya ke ponsel orang, Sun melaporkan.

“Sepertinya peluang besar untuk menghasilkan uang dari iklan dalam aplikasi dari salah satu acara TV paling populer tanpa game resmi,” Lukas Stefanko, seorang peneliti malware di perusahaan keamanan ESET, yang dilaporkan menangkap aplikasi tersebut sedang beraksi.

Aplikasi yang diduga jahat, berjudul “Squid Game Wallpaper 4K HD,” tersedia bersama ratusan aplikasi berdasarkan seri sukses besar. Saat diunduh, Trojan akan menginfeksi perangkat Android dengan malware Joker, yang memungkinkan peretas untuk mendaftarkan Anda ke layanan premium yang dapat mereka manfaatkan.

Stefanko telah menge-Tweet bahwa penipu digital menggunakan aplikasi untuk melakukan “penipuan iklan berbahaya dan/atau tindakan berlangganan SMS yang tidak diinginkan,” yang berarti bahwa perangkat yang disusupi dapat dibanjiri dengan iklan yang tidak diinginkan melalui pesan teks.

Pejuang kejahatan dunia maya memberi tahu Google tentang skema tersebut – tetapi skema itu telah diunduh 5.000 kali pada saat mereka menghapusnya.

Sayangnya, penggemar “Game Squid” yang menginstal aplikasi sebelum dihapus dari Google Play terus berisiko terkena malware. Techsperts menyarankan orang untuk segera menghapus aplikasi untuk meniadakan ancaman.

Stefanko mencatat Google Play menawarkan 200 aplikasi berdasarkan “Squid Game” – yang sedang digembar-gemborkan sebagai acara Netflix yang paling banyak ditonton – dengan yang paling populer mengumpulkan 1 juta unduhan dalam 10 hari.

Sayangnya, dampak negatif acara ini bisa lebih dari sekadar digital. Psikolog mengatakan bahwa serial dystopian dapat menghambat “perkembangan sosial dan emosional” anak-anak muda, mendorong mereka untuk menutup mata – atau bahkan bergabung – ketika orang lain diserang.

Awal bulan ini, sebuah sekolah di Belgia mengeluarkan peringatan menyusul laporan siswa yang memainkan permainan meninju yang berbahaya terinspirasi dari “Squid Game”.

source: NYPOST