Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Fake Installers yang Menargetkan Asia Tenggara dan Timur

by

Peneliti ESET mengidentifikasi kampanye malware yang menargetkan orang-orang berbahasa Mandarin di Asia Tenggara dan Timur dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan. Penyerang tak dikenal membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram, tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan kendali penyerang atas komputer korban.

Figure 1 menunjukkan peta panas dengan negara tempat kami mendeteksi serangan antara Agustus 2022 dan Januari 2023. Sebagian besar serangan memengaruhi pengguna di Taiwan, China, dan Hong Kong.

Penyerang mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan. Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya. Situs web lain, yang mungkin diterjemahkan oleh penyerang, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram, seperti yang ditunjukkan pada Gambar 3.

Penyerang telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah. Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, kami melihat betapa pentingnya untuk rajin memeriksa URL yang kami kunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.

Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh. Ada kemungkinan bahwa penyerang hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis kampanye crimeware lainnya, tetapi untuk saat ini atribusi khusus dari kampanye ini ke aktor ancaman yang dikenal atau baru adalah tidak memungkinkan.

selengkapnya : welivesecurity

APT Rusia “Gamaredon” Mengeksploitasi Hoaxshell untuk Menargetkan Organisasi Ukraina

by

Gamaredon adalah grup peretasan yang disponsori negara Rusia yang telah aktif setidaknya sejak 2013. Grup tersebut diyakini bertanggung jawab atas sejumlah serangan dunia maya terhadap target Ukraina, termasuk militer, pemerintah, dan organisasi infrastruktur penting.

Layanan Keamanan Ukraina mengklasifikasikan grup tersebut sebagai APT (Advanced Persistent Threat), dan secara jelas mengidentifikasinya sebagai unit struktural yang dibuat khusus dari Layanan Keamanan Federal (FSB) Federasi Rusia, yang tugasnya adalah kegiatan intelijen dan subversif terhadap Ukraina di dunia maya.

Gamaredon juga dikenal sebagai Primitive Bear (CrowdStrike), Winterflouder (iDefence), BlueAlpha (Recorded Future), BlueOtso (PWC), IronTiden (SecureWorks), SectorC08 (Red Alert), Callisto (Asosiasi NATO Kanada), Shuckworm dan Armageddon ( CERT-UA).

Taktik, teknik, dan prosedur (TTP) grup telah didokumentasikan dengan baik dan sering melibatkan penggunaan rekayasa sosial, spear-phishing, dan malware, termasuk pintu belakang dan pencuri informasi. Tujuan akhir dari kelompok tersebut diperkirakan untuk mengumpulkan intelijen dan mengganggu operasi Ukraina.

Pada Januari 2023, grup yang terkait dengan Rusia terus melakukan serangan ofensif terhadap target di Ukraina, seperti yang didokumentasikan oleh Symantec, BlackBerry Research, dan Trellix.

Selama beberapa minggu terakhir, saya telah menemukan bukti kampanye yang sebelumnya tidak diketahui oleh Gamaredon yang menargetkan sejumlah organisasi di negara tersebut.

Kampanye tersebut, bagian dari operasi spionase yang sedang berlangsung yang diamati baru-baru ini pada Februari 2023, bertujuan untuk mengirimkan malware ke mesin korban Ukraina dan memanfaatkan skrip PowerShell dan VBScript (VBS) yang disamarkan sebagai bagian dari rantai infeksi.

Malware tersebut adalah WebShell yang mencakup kemampuan untuk mengeksekusi perintah jarak jauh dari penyerang dan menerapkan muatan berbasis skrip dan biner tambahan pada mesin yang terinfeksi.

Selengkapnya: Medium

Atlassian mengatakan karyawan, info perusahaan dicuri dari aplikasi pihak ketiga

by

Data yang terkait dengan $44 miliar perusahaan perangkat lunak Atlassian dicuri dari aplikasi pihak ketiga, perusahaan mengkonfirmasi pada hari Kamis, setelah peretas menerbitkan banyak informasi di Telegram.

Seorang juru bicara Atlassian mengatakan kepada The Record bahwa Envoy, sebuah aplikasi yang membantu perusahaan mengatur ruang kantor, telah disusupi dan Atlassian baru mengetahui pelanggaran tersebut pada hari Rabu.

Juru bicara itu mengatakan data pelanggan dan produk tidak dapat diakses melalui aplikasi, tetapi informasi yang dicuri tampaknya mencakup catatan karyawan, denah bangunan, dan lainnya.

Dalam sebuah pernyataan kepada The Record, juru bicara Utusan membantah bahwa pelanggaran tersebut melibatkan kompromi sistem mereka.

“Penelitian awal kami menunjukkan bahwa seorang peretas memperoleh akses ke kredensial valid karyawan Atlassian untuk melakukan pivot dan mengakses direktori karyawan Atlassian dan denah lantai kantor yang disimpan dalam aplikasi Envoy,” kata juru bicara itu.

Envoy memiliki lusinan pelanggan terkenal termasuk Slack, Pinterest, Golden State Warriors, Salvation Army, Hulu, dan Lululemon.

Peretasan terungkap pada 15 Februari ketika sebuah kelompok yang menamakan dirinya SiegedSec memposting di Telegram mengklaim telah meretas raksasa teknologi itu bersama foto-foto catatan.

SiegedSec mengejek Atlassian dengan beberapa pesan bertema Hari Valentine yang terkait dengan dokumen yang dicuri.

“Keselamatan Atlassians adalah prioritas kami, dan kami bekerja dengan cepat untuk meningkatkan keamanan fisik di seluruh kantor kami secara global. Kami secara aktif menyelidiki insiden ini dan akan terus memberikan pembaruan kepada karyawan saat kami mempelajari lebih lanjut, ”kata juru bicara Atlassian.

Selengkapnya: The Record

Peretas membuka pintu belakang server Microsoft IIS dengan malware Frebniis baru

by

Peretas menyebarkan malware baru bernama ‘Frebniss’ di Layanan Informasi Internet (IIS) Microsoft yang diam-diam mengeksekusi perintah yang dikirim melalui permintaan web.

Frebniis ditemukan oleh Tim Pemburu Ancaman Symantec, yang melaporkan bahwa aktor ancaman tak dikenal saat ini menggunakannya untuk melawan target yang berbasis di Taiwan.

Microsoft IIS adalah perangkat lunak server web yang berfungsi sebagai server web dan platform hosting aplikasi web untuk layanan seperti Outlook di Web untuk Microsoft Exchange.

Dalam serangan yang dilihat oleh Symantec, peretas menyalahgunakan fitur IIS yang disebut ‘Failed Request Event Buffering’ (FREB), yang bertanggung jawab untuk mengumpulkan metadata permintaan (alamat IP, header HTTP, cookie). Tujuannya adalah untuk membantu admin server memecahkan masalah kode status HTTP yang tidak terduga atau meminta masalah pemrosesan.

Malware menyuntikkan kode berbahaya ke dalam fungsi tertentu dari file DLL yang mengontrol FREB (“iisfreb.dll”) untuk memungkinkan penyerang mencegat dan memantau semua permintaan HTTP POST yang dikirim ke server ISS. Saat malware mendeteksi permintaan HTTP tertentu yang dikirim penyerang, ia mem-parsing permintaan untuk menentukan perintah apa yang akan dijalankan di server.

Symantec mengatakan bahwa pelaku ancaman pertama-tama harus menembus server IIS untuk mengkompromikan modul FREB, tetapi mereka tidak dapat menentukan metode yang digunakan untuk mendapatkan akses pada awalnya.

Kode yang disuntikkan adalah pintu belakang .NET yang mendukung proksi dan eksekusi kode C# tanpa pernah menyentuh disk, membuatnya benar-benar tersembunyi. Itu mencari permintaan yang dibuat ke halaman logon.aspx atau default.aspx dengan parameter kata sandi tertentu.

Parameter HTTP kedua, yang merupakan string yang disandikan base64, menginstruksikan Frebniis untuk berkomunikasi dan menjalankan perintah pada sistem lain melalui IIS yang disusupi, yang berpotensi menjangkau sistem internal yang dilindungi yang tidak terpapar ke internet.

Selengkapnya: Bleeping Computer

Dragos: Serangan Ransomware pada Infrastruktur Industri Meningkat 2x Lipat pada Tahun 2022

by

Dragos melacak lebih dari 600 serangan ransomware tahun lalu yang mempengaruhi infrastruktur industri dengan hampir tiga perempatnya menargetkan sektor manufaktur.

Berbagai macam sektor yang terkena Serangan Ransomware
Berbagai macam sektor yang terkena Serangan Ransomware

Terdapat peningkatan 35% dalam upaya ransomware melawan teknologi operasional (OT) dan sistem kontrol industri (ICS) dalam serangan tersebut.

Sejumlah 437 entitas manufaktur terkena ransomware, termasuk 42 serangan terhadap perusahaan produk logam, 37 pada bisnis otomotif dan lebih dari 20 pada plastik, peralatan industri, bahan bangunan dan perusahaan elektronik atau semikonduktor.

Daftar lainnya mencakup serangan terhadap perusahaan yang bergerak di bidang kedirgantaraan, furnitur, kosmetik, bahan kimia, pakaian, peralatan medis, kertas, dan lainnya.
gambar-Serangan Ransomware?

Dominasi LockBit
LockBit menjadi dominan karena merupakan grup RaaS terkemuka yang menyediakan software kepada operator yang meluncurkan serangan sebenarnya dengan imbalan sebagian dari uang tebusan.
gambar

Dragos menilai dengan keyakinan moderat bahwa LockBit 3.0 akan terus menargetkan organisasi industri dan akan menimbulkan ancaman bagi operasi industri hingga tahun 2023.
Grup insiden Ransomware

Terdapat peningkatan tajam dalam jumlah kerentanan dan masalah teknis yang ditemukan oleh perusahaan keamanan seperti Dragos bersamaan dengan evolusinya beberapa grup ransomware.

Menurut Dragos, kemungkinan ransomware akan terus mengganggu operasi industri, baik melalui lingkungan OT yang salah kelola yang memungkinkan ransomware menyebar atau melalui penghentian pencegahan lingkungan tersebut untuk mencegah ransomware mencapai sistem tersebut.

Selengkapnya: The Record

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

by

Serangan itu, kata perusahaan itu, adalah serangan HTTP DDoS terbesar yang pernah tercatat, tetapi bukan satu-satunya yang diamati akhir pekan lalu.

Faktanya, Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Gelombang serangan jauh lebih tinggi daripada serangan HTTP DDoS yang tercatat sebelumnya. Yang terbesar adalah 35% lebih tinggi dari serangan DDoS 46 juta RPS yang dilihat oleh Google pada Juni 2022.

“Serangan itu berbasis HTTP/2 dan menargetkan situs web yang dilindungi oleh Cloudflare. Mereka berasal dari lebih dari 30.000 alamat IP,” kata Cloudflare.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan. Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Berasal dari beberapa penyedia cloud, serangan DDoS menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Menurut Cloudflare, serangan tersebut tampaknya tidak terkait dengan kampanye Killnet DDoS yang menargetkan penyedia layanan kesehatan dua minggu lalu, atau acara game Super Bowl AS yang berlangsung akhir pekan ini.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Minggu lalu, Proyek Tor mengungkapkan bahwa jaringan Tor berada di bawah tekanan DDoS konstan selama tujuh bulan, dengan beberapa serangan mencegah pengguna mengakses situs web.

selengkapnya : securityweek

Peretas Menargetkan Perusahaan AS dan Jerman, Memantau Desktop Korban dengan Screenshotter

by

Pelaku ancaman yang sebelumnya tidak dikenal telah menargetkan perusahaan di AS dan Jerman dengan malware pesanan khusus yang dirancang untuk mencuri informasi rahasia.

Proofpoint, perusahaan keamanan perusahaan, yang melacak klaster aktivitas dengan nama Screentime, mengatakan grup tersebut, yang dijuluki TA866, kemungkinan besar termotivasi secara finansial.

“TA866 adalah aktor terorganisir yang mampu melakukan serangan yang dipikirkan dengan baik dalam skala besar berdasarkan ketersediaan alat khusus mereka; kemampuan dan koneksi untuk membeli alat dan layanan dari vendor lain; dan meningkatkan volume aktivitas,” penilaian perusahaan.

Kampanye yang dipasang oleh musuh dikatakan telah dimulai sekitar 3 Oktober 2022, dengan serangan diluncurkan melalui email yang berisi lampiran atau URL jebakan yang mengarah ke malware. Lampiran berkisar dari file Microsoft Publisher bertali makro hingga PDF dengan URL yang mengarah ke file JavaScript.

Gangguan juga telah memanfaatkan pembajakan percakapan untuk memikat penerima agar mengklik URL yang tampaknya tidak berbahaya yang memulai rantai serangan multi-langkah.

Terlepas dari metode yang digunakan, menjalankan file JavaScript yang diunduh mengarah ke penginstal MSI yang membongkar VBScript yang diberi nama WasabiSeed, yang berfungsi sebagai alat untuk mengambil malware tahap berikutnya dari server jarak jauh.

Salah satu payload yang diunduh oleh WasabiSeed adalah Screenshotter, sebuah utilitas yang bertugas mengambil screenshot desktop korban secara berkala dan mengirimkan informasi tersebut kembali ke server command-and-control (C2).

“Ini sangat membantu pelaku ancaman selama tahap pengintaian dan pembuatan profil korban,” kata peneliti Proofpoint Axel F.

Selengkapnya: The Hacker News

Upaya Kedua Peretas Tim Tonto Tiongkok untuk Menargetkan Grup Perusahaan Keamanan Siber-IB Gagal

by

Pelaku ancaman persisten tingkat lanjut (APT) yang dikenal sebagai Tim Tonto melakukan serangan yang gagal terhadap perusahaan keamanan siber Group-IB pada Juni 2022.

Perusahaan yang berkantor pusat di Singapura itu mengatakan bahwa mereka mendeteksi dan memblokir email phishing berbahaya yang berasal dari grup yang menargetkan karyawannya. Itu juga merupakan serangan kedua yang ditujukan ke Grup-IB, yang pertama terjadi pada Maret 2021.

Tim Tonto, juga disebut Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda, dan UAC-0018, adalah kelompok peretas Cina yang diduga telah dikaitkan dengan serangan yang menargetkan berbagai organisasi di Asia dan Eropa Timur.

Aktor ini diketahui aktif setidaknya sejak tahun 2009 dan dikatakan memiliki hubungan dengan Departemen Ketiga (3PLA) Shenyang TRB Tentara Pembebasan Rakyat (Unit 65016).

Rantai serangan melibatkan umpan spear-phishing yang berisi lampiran berbahaya yang dibuat menggunakan perangkat eksploitasi Royal Road Rich Text Format (RTF) untuk menjatuhkan pintu belakang seperti Bisonal, Dexbia, dan ShadowPad (alias PoisonPlug).

“Metode yang sedikit berbeda […] yang digunakan oleh pelaku ancaman ini di alam liar adalah penggunaan alamat email perusahaan yang sah, kemungkinan besar diperoleh dengan phishing, untuk mengirim email ke pengguna lain,” ungkap Trend Micro pada tahun 2020. “Penggunaannya dari email yang sah ini meningkatkan kemungkinan korban mengklik lampiran, menginfeksi mesin mereka dengan malware.”

Selengkapnya: The Hacker News