Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bagaimana FBI membuktikan bahwa alat admin jarak jauh sebenarnya adalah malware

by

Pada hari Kamis, pemerintah AS mengumumkan telah menyita situs web yang digunakan untuk menjual malware yang dirancang untuk memata-matai komputer dan ponsel.

Malware tersebut disebut NetWire, dan selama bertahun-tahun beberapa perusahaan keamanan siber, dan setidaknya satu lembaga pemerintah, telah menulis laporan yang merinci bagaimana peretas menggunakan malware tersebut. Sementara NetWire juga dilaporkan diiklankan di forum peretasan, pemilik malware memasarkannya di situs web yang membuatnya terlihat seperti alat administrasi jarak jauh yang sah.

“NetWire dirancang khusus untuk membantu bisnis menyelesaikan berbagai tugas yang berhubungan dengan pemeliharaan infrastruktur komputer. Ini adalah ‘pusat komando’ tunggal di mana Anda dapat menyimpan daftar semua komputer jarak jauh Anda, memantau status dan inventarisnya, dan menghubungkannya ke salah satu dari mereka untuk tujuan pemeliharaan, ”baca versi situs yang diarsipkan.

Dalam siaran pers yang mengumumkan penyitaan situs web tersebut, yang dihosting di worldwiredlabs.com, Kantor Kejaksaan AS di Distrik Tengah California mengatakan bahwa FBI memulai penyelidikan terhadap situs tersebut pada tahun 2020. FBI menuduh situs tersebut digunakan untuk melakukan pencucian uang internasional, penipuan dan kejahatan komputer.

Seorang juru bicara Kantor Kejaksaan AS memberi TechCrunch salinan surat perintah yang digunakan untuk merebut situs web, yang merinci bagaimana FBI menentukan bahwa NetWire sebenarnya adalah Trojan Akses Jarak Jauh — atau RAT — malware dan bukan aplikasi yang sah untuk dikelola komputer jarak jauh.

Surat perintah tersebut berisi pernyataan tertulis yang ditulis oleh petugas Satuan Tugas FBI yang tidak disebutkan namanya, yang menjelaskan bahwa anggota atau agen Tim Investigasi FBI membeli lisensi NetWire, mengunduh malware, dan memberikannya kepada ilmuwan komputer FBI-LA, yang menganalisisnya pada bulan Oktober. 5 Januari 2020 dan 12 Januari 2021.

Selengkapnya: TechCrunch

Vulnerability dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya

by

Makalah ini menggambarkan vulnerability dalam beberapa implementasi algoritma hash aman 3 (SHA-3) yang telah dirilis oleh desainernya. vulnerability telah hadir sejak pembaruan putaran akhir Keccak diserahkan ke Kompetisi Fungsi Hash Institute of Standards and Technology (NIST) SHA-3 pada Januari 2011, dan hadir dalam Paket Kode Keccak (XKCP) yang diperluas dari Tim Keccak. Ini mempengaruhi semua proyek perangkat lunak yang telah mengintegrasikan kode ini, seperti bahasa skrip Python dan php hypertext preprocessor (PHP).

vulnerability adalah overflow buffer yang memungkinkan nilai yang dikendalikan penyerang menjadi eksklusif (XORED) ke dalam memori (tanpa batasan nilai yang harus disedot dan bahkan jauh di luar lokasi buffer asli), dengan demikian membuat banyak langkah perlindungan standar terhadap Buffer overflows (mis., Nilai kenari) sama sekali tidak efektif.

Pertama, kami menyediakan skrip Python dan PHP yang menyebabkan kesalahan segmentasi ketika versi rentan penafsir digunakan. Kemudian, kami menunjukkan bagaimana vulnerability ini dapat digunakan untuk membangun preimage dan preimage kedua untuk implementasi, dan kami menyediakan file yang dibangun secara khusus yang, ketika hash, memungkinkan penyerang untuk menjalankan kode sewenang -wenang pada perangkat korban. vulnerability berlaku untuk semua ukuran nilai hash, dan semua sistem operasi Windows, Linux, dan MacOS 64-bit, dan juga dapat memengaruhi algoritma kriptografi yang memerlukan SHA-3 atau variannya, seperti algoritma tanda tangan digital Edwards-Curve (EDDSA) Edward Ketika kurva Edwards448 digunakan. Kami memperkenalkan uji init-update-final (IUFT) untuk mendeteksi vulnerability ini dalam implementasi.

@misc{cryptoeprint:2023/331,
author = {Nicky Mouha and Christopher Celi},
title = {A Vulnerability in Implementations of SHA-3, SHAKE, EdDSA, and Other NIST-Approved Algorithm},
howpublished = {Cryptology ePrint Archive, Paper 2023/331},
year = {2023},
note = {\url{https://eprint.iacr.org/2023/331}},
url = {https://eprint.iacr.org/2023/331}
}

sumber : eprint.iacr.org

IceFire ransomware sekarang mengenkripsi sistem Linux dan Windows

by

Aktor ancaman yang terkait dengan operasi ransomware IceFire sekarang secara aktif menargetkan sistem Linux di seluruh dunia dengan enkripsi khusus yang baru.

Peneliti keamanan SentinelLabs menemukan bahwa geng tersebut telah menembus jaringan beberapa organisasi media dan hiburan di seluruh dunia dalam beberapa minggu terakhir, mulai pertengahan Februari, menurut sebuah laporan yang dibagikan sebelumnya dengan BleepingComputer.

Begitu berada di dalam jaringan mereka, penyerang menyebarkan varian malware baru mereka untuk mengenkripsi sistem Linux korban.

Ketika dijalankan, ransomware IceFire mengenkripsi file, menambahkan ekstensi ‘.ifire’ ke nama file, dan kemudian menutupi jejaknya dengan menghapus dirinya sendiri dan menghapus biner.

Penting juga untuk dicatat bahwa IceFire tidak mengenkripsi semua file di Linux. Ransomware secara strategis menghindari mengenkripsi jalur tertentu, memungkinkan bagian sistem penting tetap beroperasi.

Pendekatan yang diperhitungkan ini dimaksudkan untuk mencegah penghentian total sistem, yang dapat menyebabkan kerusakan yang tidak dapat diperbaiki dan bahkan gangguan yang lebih signifikan.

Meskipun aktif setidaknya sejak Maret 2022 dan sebagian besar tidak aktif sejak akhir November, ransomware IceFire kembali pada awal Januari dalam serangan baru, seperti yang ditunjukkan oleh pengiriman pada platform ID-Ransomware.

Operator IceFire mengeksploitasi kerentanan deserialisasi dalam perangkat lunak berbagi file IBM Aspera Faspex (dilacak sebagai CVE-2022-47986) untuk meretas sistem target yang rentan dan menyebarkan muatan ransomware mereka.

Kerentanan RCE pra-auth dengan tingkat keparahan tinggi ini ditambal oleh IBM pada bulan Januari dan telah dieksploitasi dalam serangan sejak awal Februari [1, 2] setelah perusahaan manajemen permukaan serangan Assetnote menerbitkan laporan teknis yang berisi kode eksploit.

CISA juga menambahkan kelemahan keamanan ke katalog kerentanannya yang dieksploitasi secara liar pada Februari 2021, memerintahkan agen federal untuk menambal sistem mereka hingga 14 Maret.

Selengkapnya: Bleeping Computer

Dugaan Kampanye Tiongkok untuk Bertahan di Perangkat SonicWall, Menyoroti Pentingnya Perangkat Tepi Pemantauan

by

Mandiant, bekerja dalam kemitraan dengan Tim Keamanan Produk dan Respons Insiden SonicWall (PSIRT), telah mengidentifikasi dugaan kampanye China yang melibatkan pemeliharaan persistensi jangka panjang dengan menjalankan malware pada alat SonicWall Secure Mobile Access (SMA) yang belum ditambal. Malware memiliki fungsi untuk mencuri kredensial pengguna, menyediakan akses shell, dan bertahan melalui peningkatan firmware. Mandiant saat ini melacak aktor ini sebagai UNC4540.

Analisis perangkat yang disusupi mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut. Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.

Penyerang berusaha keras untuk stabilitas dan kegigihan perkakas mereka. Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.

Mandiant tidak dapat menentukan asal infeksi, namun malware, atau pendahulunya, kemungkinan besar digunakan pada tahun 2021. Mandiant percaya bahwa akses penyerang tetap ada melalui beberapa pembaruan firmware.

Selengkapnya: Mandiant

Varian malware baru memiliki mode “keheningan radio” untuk menghindari deteksi

by

Grup peretas spionase siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka malware ‘Soul’.

Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.

Check Point mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.

Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.

Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.

DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.

infection chain

selengkapnya : bleepingcomputer

Acer Mengonfirmasi Pembobolsn di Salah Satu Servernya

by

Acer telah mengkonfirmasi seseorang membobol salah satu servernya setelah penjahat menjual database 160GB dari apa yang diklaim sebagai informasi rahasia pembuat PC Taiwan itu.

Kernelware mengklaim barang yang dicuri termasuk slide dan presentasi rahasia, manual teknis staf, file Format Pencitraan Windows, biner, data infrastruktur backend, dokumen produk rahasia, Kunci Produk Digital Pengganti, file ISO, file Gambar Penyebaran Sistem Windows, komponen BIOS, dan file ROM .

Pencuri mengatakan bahwa mereka hanya akan menerima cryptocurrency Monero sebagai pembayaran untuk tangkapan tersebut, dan hanya akan menjual melalui perantara. Tidak ada harga yang diminta – meskipun ada catatan yang memberi tahu calon pembeli untuk mengirim pesan pribadi dengan penawaran.

Acer tidak menanggapi pertanyaan Daftar tentang sifat data yang dicuri, atau apakah telah memverifikasi informasi yang bocor.

Bahkan jika penjahat tidak mencuri informasi pelanggan, data dump masih bisa menyebabkan kerusakan pembuat komputer, menurut Erich Kron, advokat kesadaran keamanan di KnowBe4.

“Tidak semua pelanggaran data harus mengandung informasi pribadi tentang pelanggan atau karyawan, atau informasi keuangan seperti kartu kredit, untuk menjadi perhatian,” kata Kron kepada The Register. “Dalam hal ini Acer berpotensi merilis beberapa kekayaan intelektualnya dan dokumen perusahaan yang berpotensi sensitif.”

Jenis informasi kepemilikan dan teknis tentang prosedur dan produk perusahaan ini dapat menjadi keuntungan bagi pesaing dan penjahat, tambahnya. “Dalam dunia elektronik dan teknologi yang sangat kompetitif, informasi ini bisa sangat berharga bagi pesaing, dan informasi teknis mungkin sangat berharga bagi pelaku kejahatan yang ingin melakukan eksploitasi yang menargetkan produk korban.”

Pelanggaran terbaru mengikuti beberapa snafus keamanan pada tahun 2021. Pada bulan Maret, raksasa PC itu adalah salah satu korban REvil dan geng ransomware terkenal menuntut $50 juta.

selengkapnya : theregister

Cabang ‘Commonwealth Bank of Australia’ di Indonesia terkena Serangan Siber

by

Unit Commonwealth Bank of Australia (CBA.AX) di Indonesia pada hari Rabu, PT Bank Commonwealth (PTBC), terkena insiden siber.

Insiden melibatkan akses tidak sah dari aplikasi perangkat lunak berbasis web yang digunakan untuk manajemen proyek, dan sistem bank Australia dipisahkan dari sistem PTBC. CBA mengkonfirmasikan bahwa layanan unit tersebut akan beroperasi seperti biasa.

Baru-baru ini serangan siber terhadap Australia dari penjahat dan kelompok yang disponsori negara mengalami lonjakan, dengan satu serangan setiap tujuh menit.

Sejumlah delapan perusahaan telah melaporkan serangan siber beberapa bulan terakhir. Akibat ini, saham CBA mengalami penurunan sekitar 0,9% menjadi A$98,04, sejalan dengan pasar yang lebih luas (.AXJO) turun hampir 1% pada hari Rabu.

Selengkapnya: Reuters

Acer mengatakan server untuk teknisi perbaikan diakses oleh peretas

by

Pembuat komputer Taiwan Acer telah mengkonfirmasi bahwa mereka mengalami pelanggaran yang melibatkan kebocoran dokumen teknisi terkait dengan manual staf, dokumentasi model produk, dan lainnya.

Dalam sebuah pernyataan Selasa kepada The Record, perusahaan mengatakan “tidak ada indikasi bahwa data konsumen disimpan di server itu.”

“Kami baru-baru ini mendeteksi insiden akses tidak sah ke salah satu server dokumen kami untuk teknisi perbaikan,” kata perusahaan itu, mencatat bahwa penyelidikan sedang berlangsung.

Pernyataan tersebut muncul setelah seseorang menawarkan data 160GB untuk dijual di forum peretas yang mereka klaim berasal dari Acer.

Orang yang menjual database mengatakan memiliki “presentasi rahasia”, manual dan binari serta informasi tentang ponsel, tablet, dan laptop. Posting tersebut juga mengatakan kunci produk digital pengganti dan lainnya disertakan dalam database.

Acer telah menghadapi beberapa pelanggaran data dalam beberapa tahun terakhir, termasuk serangan ransomware yang menarik perhatian pada tahun 2021 yang melibatkan permintaan uang tebusan sebesar $50 juta dari grup kejahatan dunia maya REvil. Serangan itu menghantam jaringan back-office perusahaan.

Raksasa perangkat keras itu juga mengalami pelanggaran pada 2021 dan 2012 yang melibatkan detail pelanggan dan informasi masuk untuk pengecer dan distributor India serta 20.000 kredensial pengguna.

Acer adalah pembuat komputer pribadi terbesar keenam di dunia, dengan pangsa pasar sekitar 6% dari seluruh penjualan global. Perusahaan melaporkan total pendapatan sekitar $9 miliar pada tahun 2022.

sumber : therecord.media