Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

AS menyita lebih banyak domain yang digunakan dalam serangan phishing vaksin COVID-19

by

Departemen Kehakiman AS telah menyita nama domain kelima yang digunakan untuk meniru situs resmi perusahaan bioteknologi yang terlibat dalam pengembangan vaksin COVID-19.

Domain yang disita mengklaim menjual koktail obat antibodi darurat REGEN-COV2 yang dikembangkan oleh Regeneron Pharmaceuticals dan disetujui oleh Food and Drug Administration AS untuk pengobatan darurat COVID-19 pada November 2020.

“Namun, situs web itu palsu dan tampaknya telah digunakan untuk mengumpulkan informasi pribadi individu yang mengunjungi situs, untuk menggunakan informasi tersebut untuk tujuan jahat, termasuk penipuan, serangan phishing, dan/atau penyebaran malware,” Kata Departemen Kehakiman.

Sejak Desember 2020, Departemen Kehakiman AS menyita empat domain lain yang digunakan oleh penipu untuk berbagai tujuan jahat, termasuk penipuan, serangan phishing, dan/atau menginfeksi komputer target dengan malware.

Tindakan serupa menyebabkan penyitaan domain:

    remdesivirmx[.]com: Disita pada 1 Maret 2021, karena mengumpulkan informasi pribadi individu yang ingin membeli obat antivirus Remdesivir.
    modernatx[.]shop: Disita pada 15 Januari 2021, karena mengklaim menjual vaksin COVID-19 yang diklaim (meniru situs resmi perusahaan bioteknologi Moderna)
    mordernatx[.]com dan regeneronmedicals[.]com: Disita pada tanggal 18 Desember 2020, karena mengumpulkan informasi pribadi setiap orang yang mengunjungi situs. (meniru situs perusahaan bioteknologi Moderna dan Regeneron)

Selengkapnya: Bleeping Computer

Afiliasi ransomware GandCrab ditangkap karena serangan phishing

by

Seorang tersangka anggota GandCrab Ransomware ditangkap di Korea Selatan karena menggunakan email phishing untuk menginfeksi korban.

Operasi ransomware GandCrab dimulai pada Januari 2018 ketika dengan cepat menjadi kerajaan malware yang mengancam bisnis di seluruh dunia.

Dioperasikan sebagai Ransomware-as-a-Service (RaaS), pengembang GandCrab bekerja sama dengan afiliasi dalam kemitraan bagi hasil, dengan afiliasi mendapatkan antara 70-80% dari pembayaran tebusan.

Operasi ditutup pada musim panas 2019, tetapi banyak peneliti keamanan percaya bahwa pengembang inti melanjutkan untuk memulai grup ransomware REvil.

Seperti yang pertama kali dilaporkan oleh TheRecord, seorang pria berusia 20 tahun ditangkap pada tanggal 25 Februari oleh polisi Korea Selatan setelah penyelidikan internasional melacak pembayaran tebusan GandCrab hingga penarikan yang dilakukan oleh tersangka.

Media Korea Selatan menyatakan tersangka menyebarkan 6.486 email phishing. Email ini berpura-pura berasal dari polisi Korea Selatan yang menyelidiki pencemaran nama baik penerima email secara online.

Termasuk dalam email adalah lampiran yang akan menginfeksi korban dengan ransomware GandCrab, mengenkripsi file, dan meminta tebusan bitcoin $1.300.

Sumber: Bleeping Computer

Polisi menyatakan bahwa tersangka lain, yang membagikan ransomware GandCrab dengan individu yang ditangkap, masih buron.

Sumber: Bleeping Computer

Engineer Google mendesak pengembang web untuk meningkatkan dan mengamankan kode mereka

by

Setelah pengungkapan keluarga kerentanan Spectre 2018 dalam chip mikroprosesor modern, vendor perangkat keras dan pembuat sistem operasi bergegas untuk mengurangi dampak serangan data-leaking side-channel yang dirancang untuk mengeksploitasi cara chip mencoba memprediksi instruksi di masa depan.

Sekarang para profesional keamanan web meminta pengembang untuk melakukan bagian mereka dengan mengenali bahwa Spectre melanggar model ancaman lama dan dengan menulis kode yang mencerminkan yang baru.

Bulan lalu, Mike West, seorang engineer keamanan Google, membuat draf catatan berjudul, “Pengembangan Web Pasca-Spectre,” dan Daniel Veditz dari Kelompok Kerja Keamanan Aplikasi Web W3C dari Mozilla meminta kelompok tersebut untuk mencapai konsensus untuk mendukung rekomendasi tersebut.

Meskipun kelompok tersebut belum secara resmi menerima proposal tersebut, tanggapan di milis kelompok menunjukkan bahwa saran tersebut akan diadopsi sebagai seperangkat praktik terbaik.

West berpendapat bahwa Spectre mendemonstrasikan asumsi model keamanan web yang perlu dipikirkan ulang, baik untuk vendor browser maupun pengembang web.

Untuk browser, ini berarti proyek seperti Site Isolation dan Project Fission, yang menempatkan situs web dan kode terkait ke dalam proses terpisah sehingga situs web tidak dapat ikut campur satu sama lain. Dan sekarang pengembang memiliki beberapa pekerjaan yang harus dilakukan.

Selengkapnya: The Register

Aplikasi berbahaya di Google Play menjatuhkan Trojan perbankan di perangkat pengguna

by

Google telah menghapus 10 aplikasi dari Play Store yang berisi dropper untuk Trojan keuangan.

Pada hari Selasa, Check Point Research (CPR) mengatakan dalam sebuah posting blog bahwa aplikasi Android tampaknya telah dikirimkan oleh pelaku ancaman yang sama yang membuat akun pengembang baru untuk setiap aplikasi.

Dropper dimuat ke dalam perangkat lunak yang tampak tidak bersalah dan masing-masing dari 10 aplikasi adalah utilitas, termasuk Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, dan QRecorder.

Fungsionalitas utilitas diambil dari aplikasi Android sumber terbuka resmi yang ada.

Untuk menghindari deteksi oleh perlindungan keamanan standar Google, Firebase digunakan sebagai platform untuk komunikasi perintah dan kontrol (C2) dan GitHub disalahgunakan untuk mengunduh payload.

Menurut para peneliti, infrastruktur C2 dropper tersembunyi berisi parameter – aktifkan atau nonaktifkan – untuk ‘memutuskan’ apakah akan memicu fungsi jahat aplikasi atau tidak. Parameter disetel ke “false” hingga Google telah memublikasikan aplikasi, dan kemudian perangkap muncul.

Dijuluki Clast82, CPR mengatakan dropper yang baru ditemukan telah dirancang untuk mengirimkan malware finansial. Setelah dipicu, muatan tahap kedua ditarik dari GitHub termasuk mRAT dan AlienBot.

MRAT digunakan untuk menyediakan akses jarak jauh ke perangkat seluler yang disusupi, sedangkan AlienBot memfasilitasi injeksi kode berbahaya ke dalam aplikasi keuangan yang sah dan ada. Penyerang dapat membajak aplikasi perbankan untuk mendapatkan akses ke akun pengguna dan mencuri data keuangan mereka, dan malware juga akan mencoba mencegat kode otentikasi dua faktor (2FA).

Selengkapnya: ZDNet

Adobe merilis batch perbaikan keamanan untuk Framemaker, Creative Cloud, Connect

by

Adobe telah merilis perbaikan untuk masalah keamanan kritis yang berdampak pada Framemaker, Creative Cloud, dan Connect.

Dalam pembaruan keamanan standar raksasa teknologi tersebut, yang diterbitkan setiap bulan, satu kerentanan telah diselesaikan di prosesor dokumen Framemaker.

Bug, yang dilacak sebagai CVE-2021-21056, adalah masalah pembacaan di luar batas yang kritis yang mengarah pada eksekusi kode arbitrer jika dieksploitasi.

Sebanyak tiga kerentanan kritis di Adobe Creative Cloud juga telah diatasi. Yang pertama, CVE-2021-21068, adalah masalah penimpaan file sewenang-wenang, sedangkan CVE-2021-21078 adalah cacat keamanan injeksi perintah OS. Meskipun bug-bug tersebut menyebabkan eksekusi kode arbitrer, yang ketiga – dilacak sebagai CVE-2021-21069 – adalah masalah validasi input yang tidak tepat yang dapat dieksploitasi untuk eskalasi hak istimewa.

Perangkat lunak Adobe Connect, alat konferensi jarak jauh, telah menerima perbaikan untuk satu bug kritis yang disebabkan oleh validasi input yang tidak tepat. Cacat keamanan, dilacak sebagai CVE-2021-21085, dapat menyebabkan eksekusi kode arbitrer.

Selain itu, Adobe telah menambal tiga kelemahan reflected cross-site scripting (XSS) di Connect. Dianggap penting, kerentanan – CVE-2021-21079, CVE-2021-21080, dan CVE-2021-21081 – dapat dipersenjatai untuk eksekusi JavaScript sewenang-wenang dalam sesi browser.

Sumber: ZDNet

Microsoft Patch Tuesday Maret: Cacat eksekusi kode jarak jauh yang kritis, IE zero-day diperbaiki

by

Microsoft telah merilis 89 perbaikan keamanan untuk perangkat lunak termasuk browser Edge, Office, dan Azure yang menambal masalah kritis termasuk vektor untuk eksekusi kode jarak jauh.

Selama putaran patch bulanan standar, Microsoft merilis banyak patch untuk memperbaiki kerentanan dalam perangkat lunak nya termasuk Azure, produk Microsoft Office – seperti PowerPoint, Excel, SharePoint, dan Visio – di samping browser Edge dan Internet Explorer.

Ini juga mencakup tujuh perbaikan out-of-band untuk Microsoft Exchange Server yang dirilis minggu lalu, empat di antaranya digolongkan sebagai zero-days.

Secara total, 14 dideskripsikan sebagai keretanan kritis dan mayoritas mengarah ke Remote Code Execution (RCE), sedangkan sisanya dianggap penting.

Di antara kerentanan yang diperbaiki adalah resolusi CVE-2021-26411, kerentanan kerusakan memori di Internet Explorer yang secara aktif dieksploitasi di alam liar.

Masalah penting lainnya yang perlu diperhatikan termasuk CVE-2021-27074 dan CVE-2021-27080, bug eksekusi kode tak bertanda tangan di Azure Sphere, dan CVE-2021-26897, cacat RCE kritis di Windows DNS Server.

Microsoft juga mengumumkan berakhirnya dukungan aplikasi desktop Microsoft Edge Legacy. Aplikasi akan dihapus dan diganti dengan Microsoft Edge baru selama pembaruan keamanan bulanan kumulatif Windows 10 bulan April.

Untuk melihat detail kerentanan, periksa di Release note pembaruan resmi Microsoft bulan Maret atau Portal Panduan Pembaruan Keamanan resmi Microsoft.

Sumber: ZDNet

Ransomware HelloKitty Tidak Memiliki Stealth

by

Studio game CD Projekt Red baru-baru ini mengungkapkan bahwa mereka menjadi korban ransomware yang ditargetkan dan sangat berdampak. Beberapa hari setelah pengungkapan, terungkap bahwa keluarga ransomware yang paling mungkin berada di balik serangan tersebut adalah “HelloKitty”.

Ransomware HelloKitty adalah keluarga ransomware yang muncul pada akhir tahun 2020. Meskipun tidak memiliki kecanggihan dari beberapa keluarga yang lebih terkenal seperti Ryuk, REvil, dan Conti, namun ia telah mencapai beberapa target penting, termasuk CEMIG0. Dalam sebuah blog, peneliti keamanan dari Sentinel One menganalisis sampel HelloKitty dan menguraikan perilaku dan sifat dasar yang terkait dengan keluarga ransomware ini.

Menurut analisis, ransomware HelloKitty mungkin lebih mudah dikenali daripada keluarga ransomware modern lainnya, tetapi setelah dieksekusi, ia tidak kalah berbahayanya. Saat ini tidak ada ‘kelemahan’ yang diketahui dalam rutinitas enkripsi, dan tidak ada dekripsi pihak ketiga yang tersedia untuk ransomware HelloKitty. Oleh karena itu, satu-satunya pertahanan yang benar adalah pencegahan.

Untuk melindungi diri Anda dari Ransomware HelloKitty, pastikan Anda menggunakan platform Keamanan Endpoint modern, yang dikonfigurasi dengan benar dan terbaru.

Detail teknis dari analisis sampel Ransomware HelloKitty dapat dibaca pada tautan ini.

AS dilaporkan mempersiapkan tindakan terhadap Rusia setelah serangan siber besar-besaran

by

Amerika Serikat sedang bersiap untuk mengambil tindakan terhadap Rusia setelah menyimpulkan kemungkinan terlibat dalam serangan siber besar yang memengaruhi sistem pemerintah dan perusahaan domestik, The New York Times melaporkan hari Minggu.

Langkah itu dilakukan ketika pemerintahan Biden mulai bergulat dengan pengungkapan serangan lain yang diduga disponsori negara yang tampaknya datang dari Cina.

Gedung Putih mengonfirmasi akan mengambil “berbagai tindakan” sebagai tanggapan atas serangan siber dari Rusia, meskipun tidak memberitahu secara spesifik kapan dan bagaimana akan melakukannya.

Tindakan pertama AS dapat terjadi dalam tiga minggu ke depan, kata pejabat yang tidak disebutkan namanya kepada Times, dan memulai serangkaian tindakan di Rusia yang dimaksudkan untuk diperhatikan oleh Presiden Vladimir Putin dan staf intelijennya, tetapi bukan publik. AS juga akan menerapkan sanksi ekonomi dan Presiden Joe Biden akan menandatangani perintah eksekutif untuk memperkuat jaringan pemerintah, kata para pejabat.

Sumber: CNBC