Cybersecurity

Ribuan Sistem Perusahaan Terinfeksi Oleh Malware Blue Mockingbird Baru

May 27, 2020 by Winnie the Pooh

Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama Blue Mockingbird.

Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019. Para peneliti mengatakan Blue Mockingbird menyerang public-facing server yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.

Peretas mengeksploitasi kerentanan CVE-2019-18935 untuk menanam web shell di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan mengubah pengaturan server untuk mendapatkan (re)boot persistence.

Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).

Analis Red Canary mengatakan bahwa jika server IIS yang menghadap publik terhubung ke jaringan internal perusahaan, grup tersebut juga berupaya menyebar secara internal melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang tidak diamankan dengan maksimal.

Dalam wawancara email awal bulan ini, Red Canary mengatakan kepada ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya bahwa botnet setidaknya telah membuat 1.000 infeksi sejauh ini, hanya dari jarak pandang terbatas yang mereka miliki. Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya bahwa mereka aman berisiko terkena serangan.

Baca berita selengkapnya pada link di bawah ini:
Source: ZDNet | Red Canary

NullSweep: Mengapa Port Situs Web Ini Memindai saya?

May 26, 2020 by Winnie the Pooh Leave a Comment

Seorang Peneliti Keamanan, menulis dalam blog nya mengenai mengapa sebuah situs web melakukan port scanning terhadap pengunjungnya.

Port scan dapat memberikan informasi kepada sebuah situs web tentang perangkat lunak apa yang Anda jalankan. Daftar port terbuka memberikan tampilan aplikasi apa saja yang sedang berjalan.

Charlie Belmer, seorang Peneliti Keamanan mengatakan bahwa ia menemukan tingkah laku mencurigakan saat ia mengunjungi situs web eBay. Ia menemukan bahwa eBay akan melakukan pemindaian port (port scanning) pada perangkat seseorang saat mengunjungi situsnya.

Tidak hanya eBay, telah dilaporkan beberapa kali bahwa beberapa situs bank juga melakukan port scanning ke pengunjung.

Melihat daftar port yang eBay pindai, salah satunya mencari layanan VNC yang dijalankan pada host, yang merupakan hal yang sama yang dilaporkan pada situs bank.

VNC terkadang dijalankan sebagai bagian dari bot net atau virus sebagai cara untuk login dari jarak jauh ke komputer pengguna. Ada beberapa layanan malware yang memanfaatkan VNC untuk tujuan ini. Namun itu juga merupakan alat yang valid yang digunakan oleh administrator untuk akses jarak jauh ke mesin, atau oleh beberapa perangkat lunak pendukung end user.

Jadi apakah pemindaian port digunakan sebagai bagian dari infeksi atau bagian dari e-commerce atau “pemeriksaan keamanan” bank, itu jelas merupakan perilaku berbahaya dan mungkin jatuh pada sisi hukum yang salah.

Belmer mendorong pengguna untuk melakukan komplain kepada lembaga yang melakukan pemindaian port jika melihat perilaku seperti ini. Ia juga menyarankan untuk memasang ekstensi yang dapat mencoba untuk memblokir fenomena semacam ini di browser Anda.

Selengkapnya:
Source: NullSweep

Istilah “Access for sale” Di DarkWeb

May 26, 2020 by Winnie the Pooh

Positive Technologies Security dalam blog nya menjelaskan apa yang dimaksud dengan “access for sale” dan “ransomware partner program”, betapa berbahayanya ancaman ini, dan risiko yang ditimbulkannya bagi bisnis.

Definisi
“Access for sale” di darkweb adalah istilah umum, merujuk pada perangkat lunak, eksploitasi, kredensial, atau apa pun yang memungkinkan pengontrolan secara ilegal satu atau lebih komputer dari jarak jauh. Berhasil meretas situs web, server web, database, atau workstation berarti penyerang memiliki akses. Akses ini dapat ditransfer atau dijual ke pihak ketiga, seperti kunci rumah.

Pasar yang terus berkembang
Hanya satu atau dua tahun yang lalu, penjahat tampaknya lebih tertarik pada server individu. Akses ke mereka dijual di darkweb hingga $20 per pop.
Namun, mulai paruh kedua tahun 2019, telah terlihat peningkatan jumlah postingan di pasar peretas yang mengiklankan akses ke jaringan perusahaan lokal. Lalu pada akhir 2019, lebih dari 50 akses ke jaringan perusahaan besar dari seluruh dunia tersedia untuk dijual.

Pembeli kemudian dapat mengembangkan serangan terhadap sistem bisnis atau menyewa tim peretas yang lebih terampil yang dapat dengan cepat mendapatkan hak administrator domain dan menginfeksi server penting dengan malware.

Yang pertama menggunakan skema ini adalah operator ransomware, yang membeli akses dengan harga tetap dari satu grup penjahat dan kemudian merekrut penjahat lain untuk menginfeksi jaringan lokal dengan malware dengan imbalan sebagian besar dari tebusan korban. Di forum darkweb, ini dikenal sebagai “ransomware affiliate program.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: Positives Technologies Security

Ransomware Ragnar Locker Menyebar Sebagai Mesin Virtual Untuk Menghindari Deteksi Keamanan

May 26, 2020 by Winnie the Pooh

Metode serangan ransomware baru membawa penghindaran pertahanan (defense evasion) ke tingkat baru — disebarkan sebagai mesin virtual penuh pada setiap perangkat yang ditargetkan untuk menyembunyikan ransomware dari pandangan.

Dalam serangan yang baru-baru ini terdeteksi, ransomware Ragnar Locker dikerahkan di dalam mesin virtual Oracle VirtualBox Windows XP. Payload serangan adalah sebuah installer 122 MB dengan 282 MB image virtual di dalamnya — semua untuk menyembunyikan ransomware 49 kB yang dapat dieksekusi.

Aktor di belakang Ragnar Locker diketahui mencuri data dari jaringan yang ditargetkan sebelum meluncurkan ransomware, untuk memberi ancaman agar korban membayar.

Pada bulan April, para aktor di belakang Ragnar Locker menyerang jaringan Energias de Portugal (EDP) dan mengklaim telah mencuri 10 terabyte data perusahaan yang sensitif, menuntut pembayaran 1.580 Bitcoin (sekitar $ 11 juta AS) dan mengancam akan merilis data jika tebusan tidak dibayarkan.

Baca berita selengkapnya pada tautan di bawah:
Source: Sophos News | Naked Security Sophos

Pengembang Video Game Terkena Serangan Cyber Yang Berupaya Menjarah Uang Tunai Dalam Game

May 26, 2020 by Winnie the Pooh

Sebuah Perusahaan Pengembang video game sedang diserang oleh Grup Winnti yang berpotensi menjarah uang tunai dan hadiah dalam game.

Pada hari Rabu, perusahaan cybersecurity ESET merilis laporan tentang kelompok advanced persistent threat (APT), yang telah tertangkap melakukan serangan serupa di masa lalu.

Menurut tim, Grup Winnti telah menggunakan malware modular baru pada sistem beberapa pengembang game massively multiplayer online (MMO) yang berlokasi di Korea Selatan dan Taiwan.

Perusahaan, yang tidak disebutkan namanya, telah merancang game yang dimainkan oleh ribuan orang di seluruh dunia.

ESET mengatakan bahwa dalam setidaknya satu kampanye, aktor ancaman dapat mengkompromikan server orkestra build pengembang, yang memberi mereka kunci untuk sistem build otomatis.

Ini mungkin dapat menyebabkan executable video game yang dapat diunduh dibajak atau di-Trojanized, meskipun tim tidak dapat menemukan bukti dari bentuk serangan ini.

Alih-alih, kelompok itu tampaknya berfokus pada kompromi server pengembang game untuk “memanipulasi mata uang dalam game demi keuntungan finansial,” kata ESET.

Malware yang digunakan disebut PipeMon, sebuah pintu belakang (backdoor) modular yang menyamar sebagai perangkat print processing software.

Selengkapnya baca berita di bawah ini:
Source: ZDNet

Ribuan Situs Israel Diretas Oleh Peretas Iran

May 22, 2020 by Winnie the Pooh

Perang cyber antara Israel dan Iran memanas. Puluhan ribu situs web yang sebagian besar adalah situs web Israel yang tidak aman dilaporkan diserang oleh peretas yang berbasis di Iran pada Kamis pagi, menonaktifkan situs-situs tersebut dan menggantikannya dengan sebuah pesan ancaman.

Lebih dari 2.000 situs web diyakini telah dikompromikan. Di semua situs web yang terkompromi, peretas memuat video YouTube bersama dengan pesan “Hitungan mundur kehancuran Israel telah dimulai sejak lama”. Sebagian besar situs web tersebut dihosting di uPress, layanan hosting WordPress lokal Israel.

Dalam sebuah pesan yang diposting di Facebook, perusahaan itu mengatakan para peretas mengeksploitasi kerentanan dalam plugin WordPress untuk menanam pesan defacement pada situs-situs Israel yang dihosting di platformnya.

Situs yang dikompromikan juga memuat skrip yang meminta akses ke webcam pengguna.

Lebih lengkapnya, baca berita di bawah ini:
Source: ZDNet

Kerentanan Baru DNS Yang Memungkinkan Penyerang Meluncurkan Serangan DDoS Skala Besar

May 20, 2020 by Winnie the Pooh

Peneliti keamanan cyber Israel telah mengungkapkan rincian tentang celah keamanan baru yang berdampak pada protokol DNS yang dapat dieksploitasi untuk meluncurkan serangan denial-of-service (DDoS) berskala besar untuk men-takedown situs-situs web yang ditargetkan.

Disebut NXNSAttack, celah bergantung pada mekanisme delegasi DNS untuk memaksa resolver DNS untuk menghasilkan lebih banyak permintaan DNS ke server authoritative pilihan penyerang, berpotensi menyebabkan gangguan skala botnet untuk layanan online.

Setelah pengungkapan NXNSAttack, beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn yang dimiliki Oracle , Verisign, dan IBM Quad9, telah menambal perangkat lunak mereka untuk mengatasi masalah tersebut.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Hacker News

Ponsel Pintar, Laptop, Perangkat IoT Rentan Terhadap Serangan Baru Bluetooth BIAS

May 20, 2020 by Winnie the Pooh

Para peneliti telah mengungkapkan kerentanan baru dalam protokol nirkabel Bluetooth, yang secara luas digunakan untuk menghubungkan perangkat modern, seperti smartphone, tablet, laptop, dan perangkat IoT.

Kerentanan, dengan nama kode BIAS (Bluetooth Impersonation AttackS), berdampak pada versi klasik dari protokol Bluetooth, juga dikenal sebagai Basic Rate / Enhanced Data Rate, Bluetooth BR / EDR, atau hanya Bluetooth Classic.

Celah keamanan BIAS terletak pada cara perangkat menangani kunci tautan, juga dikenal sebagai kunci jangka panjang.

Kunci ini dihasilkan ketika dua perangkat Bluetooth memasangkan (ikatan) untuk pertama kalinya. Mereka menyetujui kunci jangka panjang, yang mereka gunakan untuk mendapatkan kunci sesi untuk koneksi di masa depan tanpa harus memaksa pemilik perangkat untuk melalui proses pemasangan yang sama setiap kali perangkat Bluetooth perlu berkomunikasi.

Para peneliti mengatakan mereka menemukan bug dalam proses otentikasi pasca-ikatan ini. Celah ini dapat memungkinkan penyerang memalsukan identitas perangkat yang sebelumnya dipasangkan/terikat serta berhasil mengautentikasi dan terhubung ke perangkat lain tanpa mengetahui kunci pasangan jangka panjang yang sebelumnya dibuat di antara keduanya.

Setelah serangan BIAS berhasil, penyerang kemudian dapat mengakses atau mengambil kendali perangkat Bluetooth Classic lainnya.

Status dan ketersediaan pembaruan untuk memperbaiki kerentanan tersebut saat ini tidak jelas, bahkan untuk tim peneliti.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings