Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas Ransomware Black Basta Menyusup ke Jaringan melalui Qakbot untuk Menyebarkan Brute Rate C4

by

Pelaku ancaman di balik keluarga ransomware Black Basta telah diamati menggunakan trojan Qakbot untuk menyebarkan kerangka kerja Brute Ratel C4 sebagai payload tahap kedua dalam serangan baru-baru ini.

Perkembangan tersebut menandai pertama kalinya perangkat lunak simulasi musuh yang baru lahir dikirimkan melalui infeksi Qakbot.

Penyusupan, dicapai dengan menggunakan email phishing yang berisi tautan senjata yang menunjuk ke arsip ZIP, selanjutnya memerlukan penggunaan Cobalt Strike untuk gerakan lateral.

Sementara utilitas yang sah ini dirancang untuk melakukan aktivitas pengujian penetrasi, kemampuan mereka untuk menawarkan akses jarak jauh telah menjadikannya alat yang menguntungkan di tangan penyerang yang ingin menyelidiki secara diam-diam lingkungan yang disusupi tanpa menarik perhatian untuk waktu yang lama.

Ini telah diperparah oleh fakta bahwa versi Brute Ratel C4 yang telah di-crack mulai beredar bulan lalu di seluruh kejahatan dunia maya bawah tanah, mendorong pengembangnya untuk memperbarui algoritme lisensi agar lebih sulit untuk diretas.

Qakbot, juga disebut QBot dan QuackBot, adalah pencuri informasi dan trojan perbankan yang diketahui aktif sejak 2007. Namun desain modularnya dan kemampuannya untuk bertindak sebagai pengunduh telah mengubahnya menjadi kandidat yang menarik untuk menjatuhkan malware tambahan.

Menurut Trend Micro, file ZIP dalam email berisi file ISO, yang, pada gilirannya, mencakup file LNK yang mengambil muatan Qakbot, yang menggambarkan upaya sebagian pelaku ancaman untuk beradaptasi dengan taktik lain setelah keputusan Microsoft untuk blokir makro secara default untuk dokumen yang diunduh dari web.

Infeksi Qakbot digantikan oleh pengambilan Brute Ratel dan Cobalt Strike, tetapi tidak sebelum melakukan pengintaian otomatis melalui alat baris perintah bawaan seperti arp, ipconfig, nslookup, netstat, dan whoami.

Dalam rantai eksekusi Qakbot lain yang ditemukan oleh perusahaan keamanan siber, file ZIP dikirimkan melalui metode yang semakin populer yang disebut penyelundupan HTML, yang mengakibatkan eksekusi Brute Rate C4 sebagai tahap kedua.

Temuan ini bertepatan dengan kebangkitan serangan Qakbot dalam beberapa bulan terakhir melalui berbagai teknik seperti lampiran file HTML, pemuatan samping DLL, dan pembajakan utas email, yang terakhir melibatkan pengumpulan email secara massal dari serangan ProxyLogon yang sukses yang ditujukan untuk Microsoft. Server pertukaran.

Qakbot jauh dari satu-satunya malware access-as-a-service yang semakin didistribusikan melalui ISO dan format file lain untuk mengatasi pembatasan makro, karena kampanye Emotet, IcedID, dan Bumblebee semuanya mengikuti lintasan yang sama.

Palo Alto Networks Unit 42, pada akhir September 2022, mengatakan telah menemukan file polyglot berbahaya Microsoft Compiled HTML Help (CHM) yang digunakan untuk mengirimkan malware IcedID (alias BokBot).

Metode pengiriman dan jalur infeksi terkemuka lainnya telah melibatkan penggunaan file ZIP yang dilindungi kata sandi yang berisi file ISO, yang mencerminkan file Qakbot, dengan muatan yang disebarkan melalui layanan bayar per penginstal yang dikenal sebagai PrivateLoader, menurut Tim Cymru.

Dan, di atas semua itu, Emotet tampaknya bersiap untuk serangkaian serangan baru setelah jeda singkat selama tiga bulan untuk mengerjakan ulang modul “systeminfo” untuk “meningkatkan penargetan korban tertentu dan membedakan bot pelacak dari pengguna nyata,” ungkap ESET dalam serangkaian tweet.

Sumber: The Hackernews

Bagaimana kesalahan Microsoft membuka jutaan PC untuk serangan malware yang kuat

by

Selama hampir dua tahun, Microsoft merusak pertahanan utama Windows yang membuat pelanggan terbuka terhadap teknik infeksi malware yang sangat efektif dalam beberapa bulan terakhir.

Microsoft dengan tegas menegaskan bahwa Pembaruan Windows akan secara otomatis menambahkan driver perangkat lunak baru ke daftar blokir yang dirancang untuk menggagalkan trik terkenal di buku pedoman infeksi malware.

Teknik malware dikenal sebagai BYOVD, kependekan dari “bawa driver Anda sendiri yang rentan” memudahkan penyerang dengan kontrol administratif untuk melewati perlindungan kernel Windows. Penyerang hanya menginstal salah satu dari lusinan driver pihak ketiga dengan kerentanan yang diketahui. Kemudian penyerang mengeksploitasi kerentanan tersebut untuk mendapatkan akses instan ke beberapa wilayah Windows yang paling dibentengi.

Namun, ternyata Windows tidak mengunduh dan menerapkan pembaruan dengan benar ke daftar blokir driver, yang membuat pengguna rentan terhadap serangan BYOVD baru.

Driver biasanya memungkinkan komputer untuk bekerja dengan printer, kamera, atau perangkat periferal lainnya—atau untuk melakukan hal lain seperti menyediakan analisis tentang fungsi perangkat keras komputer. Agar banyak driver dapat bekerja, mereka memerlukan saluran langsung ke kernel, inti dari sistem operasi tempat kode paling sensitif berada. Untuk alasan ini, Microsoft sangat membentengi kernel dan mengharuskan semua driver ditandatangani secara digital dengan sertifikat yang memverifikasi bahwa mereka telah diperiksa dan berasal dari sumber tepercaya.

Meski begitu, bagaimanapun, driver yang sah terkadang mengandung kerentanan kerusakan memori atau kelemahan serius lainnya yang, ketika dieksploitasi, memungkinkan peretas untuk menyalurkan kode berbahaya mereka langsung ke kernel. Bahkan setelah pengembang menambal kerentanan, driver lama dan buggy tetap menjadi kandidat yang sangat baik untuk serangan BYOVD karena sudah ditandatangani. Dengan menambahkan driver semacam ini ke alur eksekusi serangan malware, peretas dapat menghemat waktu pengembangan dan pengujian selama bermingguminggu.

YOVD telah menjadi fakta kehidupan setidaknya selama satu dekade. Malware yang dijuluki “Slingshot” menggunakan BYOVD setidaknya sejak 2012, dan pendatang awal lainnya ke adegan BYOVD termasuk LoJax, InvisiMole, dan RobbinHood.

Salah satu serangan semacam itu akhir tahun lalu dilakukan oleh kelompok Lazarus yang didukung pemerintah Korea Utara. Itu menggunakan driver Dell yang dinonaktifkan dengan kerentanan tingkat tinggi untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Dalam serangan BYOVD terpisah beberapa bulan lalu, penjahat dunia maya memasang ransomware BlackByte dengan menginstal dan kemudian mengeksploitasi driver buggy untuk MSI AfterBurner 4.6.2.15658 MicroStar, sebuah utilitas overclocking kartu grafis yang banyak digunakan.

Microsoft sangat menyadari ancaman BYOVD dan telah bekerja pada pertahanan untuk menghentikan serangan ini, terutama dengan membuat mekanisme untuk menghentikan Windows memuat driver yang ditandatangani tetapi rentan.

Mekanisme paling umum untuk pemblokiran driver menggunakan kombinasi dari apa yang disebut integritas memori dan HVCI, kependekan dari HypervisorProtected Code Integrity. Mekanisme terpisah untuk mencegah driver buruk ditulis ke disk dikenal sebagai ASR, atau Attack Surface Reduction.

Sumber: Arstechnica

Android dan Chrome mengambil langkah pertama menuju masa depan yang bebas sandi

by

Google membagikan kabar bahwa masa depan tanpa kata sandi baru yang berani sedang dalam perjalanan ke Android dan Chrome. Berkat kunci sandi yang ditandatangani secara kriptografis yang tersimpan di ponsel Anda, Anda akan dapat mengakses layanan favorit dengan aman dan mudah dan semuanya dimulai hari ini.

Inti dari konsep ini adalah gagasan tentang “kunci sandi” catatan digital yang menghubungkan informasi pribadi Anda dengan layanan tertentu, ditandatangani dengan aman melalui rantai kepercayaan, dan disimpan di perangkat seperti telepon Anda.

Dan seperti data lain yang Anda simpan dengan aman di ponsel, Anda dapat mengaksesnya dengan biometrik yang nyaman seperti sidik jari yang jauh lebih mudah dan lebih aman daripada mengetikkan kata sandi.

Android mendapatkan dukungan untuk kunci sandi melalui Pengelola Kata Sandi Google, yang akan membantunya tetap disinkronkan di seluruh perangkat keras Anda ini semua dienkripsi ujung ke ujung, dengan Google yang mengoordinasikan distribusi kunci sandi Anda, Android tidak dapat mengaksesnya dan menggunakannya untuk masuk ke akun Anda.

Dukungan awal sebagian besar dibangun untuk mengakses layanan web, dan selain menggunakan kunci sandi di ponsel Anda untuk merampingkan akses di seluler, Anda juga dapat menggunakannya untuk terhubung di desktop: Chrome di PC Anda dapat menampilkan kode QR untuk layanan, yang kemudian Anda pindai dengan telepon Anda, dan otorisasi kunci sandi. Selanjutnya, Google sedang berupaya memberikan akses pengembang ke API Android untuk dukungan kunci sandi asli, yang akan tiba sekitar akhir tahun ini.

Ada banyak pekerjaan yang harus dilakukan sebelum semua ini terasa mainstream: aplikasi dan situs web perlu diperbarui, pengelola kata sandi pihak ketiga harus bersiap untuk perubahan besar ini, dan pengguna harus dididik tentang interaksi baru ini.

Sumber: Android Police

Perusahaan asuransi Australia membuat sistem offline karena kemungkinan peretasan

by

Salah satu perusahaan asuransi kesehatan swasta terbesar di Australia telah membuat sistem offline menyusul kemungkinan serangan siber, hanya beberapa minggu setelah sebuah perusahaan telekomunikasi besar terjebak dalam salah satu pelanggaran data terburuk di negara itu.

Medibank Group mengatakan pada hari Kamis bahwa pihaknya telah melibatkan pakar keamanan siber dan mengambil langkah-langkah untuk melindungi sistemnya setelah mendeteksi “aktivitas yang tidak biasa di jaringannya”.

Perusahaan asuransi, yang memiliki hampir empat juta pelanggan di Australia, mengatakan belum menemukan bukti bahwa data sensitif telah diakses dalam insiden tersebut.

“Sebagai bagian dari tanggapan kami terhadap insiden ini, Medibank akan mengisolasi dan menghapus akses ke beberapa sistem yang dihadapi pelanggan untuk mengurangi kemungkinan kerusakan sistem atau kehilangan data,” kata perusahaan itu dalam sebuah pernyataan.

CEO Medibank David Koczkar menawarkan permintaan maaf dan mengatakan perusahaan itu “bekerja sepanjang waktu” untuk memahami sifat insiden dan bagaimana pelanggan mungkin terpengaruh.

Insiden itu terjadi kurang dari sebulan setelah Optus, operator telekomunikasi terbesar kedua di Australia, mengumumkan bahwa mereka telah menjadi sasaran serangan siber yang berpotensi membahayakan data pribadi hingga 10 juta pelanggan.

Optus, yang dimiliki oleh Singtel Singapura, dapat menghadapi denda jutaan dolar oleh regulator Australia atas pelanggaran data, yang mencakup nama pelanggan, tanggal lahir, nomor telepon, dan nomor paspor.

Pekan lalu, Singtel mengumumkan bahwa unit Australia lainnya, perusahaan layanan konsultasi TI Dialog, telah mengalami serangan siber yang berpotensi memengaruhi data milik 1.000 karyawan dan mantan karyawan dan kurang dari dua lusin klien.

Sumber: Aljazeera

Spyware ‘Zero-Click’ Muncul sebagai Ancaman Seluler yang Mengancam

by

Pada Juli 2020, iPhone seorang jurnalis Azerbaijan diam-diam menerima perintah untuk membuka aplikasi Apple Music. Tanpa sepengetahuan atau interaksi jurnalis, aplikasi tersebut terhubung ke server jahat dan mengunduh spyware ke ponsel yang tetap berada di sana selama 17 bulan, menguping panggilan telepon dan pesan teks.

Peretasan itu adalah contoh serangan “zero-click” metode menempatkan spyware di ponsel tanpa menipu pengguna untuk melakukan apa pun, seperti mengklik tautan jahat yang dikirim dalam email atau pesan teks. Teknik tersebut digunakan pemerintah untuk menargetkan lawan mereka dalam skala yang lebih besar dan untuk durasi yang lebih lama daripada yang diketahui sebelumnya, menurut penelitian terbaru dari Amnesty International dan Citizen Lab.

Beberapa pemerintah telah menyalahgunakan spyware NSO dikenal sebagai Pegasus untuk menargetkan kritik di lebih dari selusin negara, kata kelompok hak asasi.

NSO telah membantu pemerintah meretas ponsel dengan malware zero-click setidaknya sejak Juli 2017 dan telah menggunakan setidaknya enam eksploitasi zero-click berbeda yang digunakan untuk meretas Apple iOS versi 10 hingga 14 secara diam-diam, menurut penelitian Amnesty dan Citizen Lab, yang dipresentasikan pada konferensi Virus Bulletin di Praha pada 28 September.

Serangan zero-click bekerja dengan memanfaatkan kerentanan keamanan di perangkat Apple, dalam beberapa kasus mengirimkan iMessage yang akan memaksa ponsel untuk terhubung ke situs web berbahaya tanpa keterlibatan pengguna, menurut penelitian. Cacat dieksploitasi di iMessage, podcast Apple dan aplikasi musik, foto Apple dan fitur panggilan Wi-Fi, para peneliti menemukan.

NSO Group juga merancang serangan tanpa klik yang dapat membahayakan ponsel Android dengan mengeksploitasi kelemahan di WhatsApp yang digunakan untuk mengirimkan kode berbahaya ke perangkat. Pada April 2019, WhatsApp memperbaiki kerentanan dengan mengatakan telah digunakan untuk menargetkan lebih dari 1.400 orang selama periode dua bulan dan mengajukan gugatan terhadap NSO Group.

Amnesty dan Citizen Lab mengatakan mereka menemukan bukti yang menunjukkan bahwa NSO telah menggunakan eksploitasi zero-click WhatsApp pada awal Juli 2018, hampir sembilan bulan sebelum diperbaiki, menunjukkan bahwa itu digunakan untuk menargetkan lebih banyak orang daripada 1.400 orang.

Ada indikasi bahwa peneliti keamanan dapat mengganggu operasi NSO Group dan segelintir perusahaan lain yang menjual alat peretasan tanpa klik kepada pemerintah. Pada Juli 2019, sebuah tim di Project Zero Google menemukan kerentanan di iMessage yang dapat digunakan untuk peretasan tanpa klik, yang kemudian diperbaiki oleh Apple.

Penemuan itu tampaknya berdampak pada NSO Group, untuk sementara mengganggu kemampuan pelanggannya untuk menyusup ke beberapa ponsel.

Sumber: Bloomberg

Microsoft menambahkan umpan RSS baru untuk pemberitahuan pembaruan keamanan

by

Microsoft kini telah menambahkan pembaruan yang memungkinkan untuk menerima pemberitahuan tentang pembaruan keamanan baru melalui umpan RSS baru untuk Panduan Pembaruan Keamanan.

Saat Microsoft memperbaiki kerentanan keamanan di salah satu produknya, mereka mengungkapkan detailnya di Panduan Pembaruan Keamanan (SUG).

Biasanya, Microsoft mengungkapkan kerentanan baru dua kali sebulan, sebagian besar adalah Patch Selasa bulanan dan ketika Microsoft memperbaiki kerentanan di Microsoft Edge.

Namun, jika kerentanan baru diungkapkan kepada publik sebelum Microsoft dapat memperbaikinya dan Microsoft percaya bahwa penting bagi pelanggan untuk menyadarinya, mereka akan menambahkan entri baru ke SUG saat merilis saran out-of-band.

Misalnya, bulan lalu, Microsoft menambahkan dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082 ke SUG.

Meskipun bug ini belum menerima pembaruan keamanan apa pun, Microsoft merilis mitigasi yang dapat membantu melindungi server yang terpapar Internet, yang menggambarkan perlunya tetap waspada terhadap masalah keamanan baru.

Sementara pemberitahuan email untuk penambahan Panduan Pembaruan Keamanan, mereka mengharuskan pengguna untuk membuat akun Microsoft untuk menerimanya dan tidak segera dikirim.

Karena itu, banyak pelanggan telah meminta Microsoft untuk menambahkan umpan RSS ke Panduan Pembaruan Keamanan sehingga mereka bisa mendapatkan pemberitahuan segera ketika CVE baru ditambahkan.

URL untuk umpan RSS baru sekarang aktif di https://api.msrc.microsoft.com/update-guide/rss dan juga dibagikan di SUG menggunakan ikon RSS, seperti yang ditunjukkan di bawah ini.

Ikon RSS baru di Panduan Pembaruan Keamanan

Untuk menggunakan fitur RSS feed baru, Anda perlu menginstal pembaca RSS Feed, baik aplikasi desktop, aplikasi seluler, atau ekstensi browser.

Setelah Anda berlangganan umpan, Anda akan secara otomatis menerima pemberitahuan saat Microsoft menambahkan CVE baru ke Panduan Pembaruan Keamanan, membantu Anda tetap waspada terhadap risiko keamanan terbaru.

Setelah Anda berlangganan feed, Anda akan mulai menerima pemberitahuan saat Microsoft menambahkan CVE baru ke Panduan Pembaruan Keamanan, membantu Anda tetap waspada terhadap risiko keamanan terbaru.

Sumber: Bleeping Computer

Bug Kritis di PLC SIMATIC Siemens Dapat Membiarkan Penyerang Mencuri Kunci Kriptografis

by

Kerentanan di Siemens Simatic Programmable Logic Controller (PLC) dapat dieksploitasi untuk mengambil kunci kriptografi pribadi global yang dikodekan secara keras dan mengambil kendali perangkat.

Kerentanan kritis, diberi pengenal CVE-2022-38465, diberi peringkat 9,3 pada skala penilaian CVSS dan telah ditangani oleh Siemens sebagai bagian dari pembaruan keamanan yang dikeluarkan pada 11 Oktober 2022.

Daftar produk dan versi yang terpengaruh ada di bawah –

  • Keluarga Pengendali Drive SIMATIC (semua versi sebelum 2.9.2)
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2, termasuk varian SIPLUS (semua versi sebelum 21.9)
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC, termasuk varian SIPLUS (semua versi)
  • Keluarga CPU SIMATIC S7-1200, termasuk varian SIPLUS (semua versi sebelum 4.5.0)
  • Keluarga CPU SIMATIC S7-1500, termasuk CPU ET200 terkait dan varian SIPLUS (semua versi sebelum V2.9.2)
  • Pengontrol Perangkat Lunak SIMATIC S7-1500 (semua versi sebelum 21.9), dan SIMATIC S7-PLCSIM Lanjutan (semua versi sebelum 4.0)

Claroty mengatakan bahwa ia bisa mendapatkan hak baca dan tulis ke pengontrol dengan mengeksploitasi kelemahan yang diungkapkan sebelumnya di PLC Siemens (CVE-2020-15782), yang memungkinkan pemulihan kunci pribadi.

Melakukan hal itu tidak hanya akan mengizinkan penyerang untuk menghindari kontrol akses dan mengesampingkan kode asli, tetapi juga mendapatkan kontrol penuh atas setiap PLC per lini produk Siemens yang terpengaruh.

CVE-2022-38465 mencerminkan kelemahan parah lainnya yang diidentifikasi dalam Rockwell Automation PLCs (CVE-2021-22681) tahun lalu dan yang dapat memungkinkan musuh untuk terhubung dari jarak jauh ke pengontrol, dan mengunggah kode berbahaya, mengunduh informasi dari PLC, atau instal firmware baru.

Sebagai solusi dan mitigasi, Siemens merekomendasikan pelanggan untuk menggunakan komunikasi PG/PC dan HMI lama hanya di lingkungan jaringan tepercaya dan akses aman ke Portal TIA dan CPU untuk mencegah koneksi yang tidak sah.

Perusahaan manufaktur industri Jerman juga telah mengambil langkah untuk mengenkripsi komunikasi antara stasiun teknik, PLC, dan panel HMI dengan Transport Layer Security (TLS) di TIA Portal versi 17, sambil memperingatkan bahwa “kemungkinan pelaku jahat menyalahgunakan kunci pribadi global sebagai meningkat.”

Temuan ini merupakan yang terbaru dari serangkaian kelemahan utama yang ditemukan pada perangkat lunak yang digunakan dalam jaringan industri. Awal Juni ini, Claroty merinci lebih dari selusin masalah dalam sistem manajemen jaringan (NMS) Siemens SINEC yang dapat disalahgunakan untuk mendapatkan kemampuan eksekusi kode jarak jauh.

Kemudian pada April 2022, perusahaan membuka dua kerentanan di Rockwell Automation PLCs (CVE-2022-1159 dan CVE-2022-1161) yang dapat dieksploitasi untuk memodifikasi program pengguna dan mengunduh kode berbahaya ke pengontrol.

Sumber: The Hackernews

Signal akan menghapus dukungan untuk SMS dan MMS di Android

by

Aplikasi pesan pihak ketiga Signal diatur untuk menghapus kemampuan mengirim pesan SMS dan MMS dari aplikasi Android untuk meningkatkan privasi dan keamanan.

Dalam sebuah posting blog, perusahaan perpesanan telah mengkonfirmasi bahwa Signal akan segera menghapus kemampuan untuk mengirim pesan SMS dan MMS dari aplikasi Android. Pernyataan itu menunjukkan bahwa “dukungan SMS tidak lagi masuk akal,” tetapi alasan keputusan ini telah sepenuhnya dirinci di seluruh posting ekstensif.

Untuk mengaktifkan pengalaman Signal yang lebih efisien, kami mulai menghentikan dukungan SMS dari aplikasi Android. Anda akan memiliki beberapa bulan untuk beralih dari SMS di Signal, mengekspor pesan SMS Anda ke aplikasi lain, dan memberi tahu orang yang Anda ajak bicara bahwa mereka mungkin ingin beralih ke Signal, atau mencari saluran lain jika tidak.

Alasan utama penghapusan dukungan SMS adalah sifat protokol yang tidak aman. Signal menyatakan bahwa SMS “tidak konsisten” dengan “nilai” dan apa yang diharapkan pengguna dari platform. Pelanggaran data telekomunikasi juga disebut sebagai alasan lain bahwa perubahan ini akan datang, meskipun ada kemungkinan komplikasi bagi pengguna.

Komplikasi penyatuan SMS dan pesan Sinyal asli tampaknya menjadi alasan lain untuk penghapusan tersebut. Di wilayah tertentu, pengguna kebingungan dalam mengirim pesan dan mengakibatkan salah mengirim pesan SMS berbiaya tinggi daripada komunikasi asli ke kontak.

Dengan menghapus dukungan tersebut, pengguna tidak lagi bingung ketika mengirim pesan. Ini berlaku untuk banyak sistem perpesanan lain seperti Telegram dan WhatsApp, yang tidak memiliki fungsi SMS atau MMS, sebaliknya, konten multimedia dan teks dikirim menggunakan protokol aplikasi asli.

Jika Anda ingin menonaktifkan fungsi itu sekarang, Anda dapat memeriksanya dengan menuju ke Sinyal > Akun > Pilih Obrolan > SMS/MMS. Jika SMS diaktifkan, Anda mungkin perlu mengekspor ke aplikasi lain.

Untungnya, Signal akan mulai mengirim pemberitahuan dan petunjuk untuk beralih bagi siapa saja yang menggunakan messenger selama beberapa minggu mendatang.

Sumber: 9to5google