Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Clop Ransomware Menggunakan Malware TrueBot Untuk Akses ke Jaringan

by

Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.

Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.

Infeksi truebot

silence hackers telah menanam malware mereka di lebih dari 1500 sistem di seluruh dunia untuk mengambil shellcode, cobalt strike beacon the grace malwaare

Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022. para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022- 31199.

Laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan FIN11 dan TA505 (dikenal menggunakan Clop).

Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.

Diagram Fungsi Truebot (Cisco Talos)

Alat eksfiltrasi data teleport baru

Pada fase pasca-kompromi, peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang dikaitkan dengan kelompok penjahat dunia maya TA505.

Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.

Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.

Teleportasi juga menampilkan opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.

Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.

Aktivitas pasca-infeksi yang mengarah ke penerapan Clop (Cisco Talos)

Aktivitas silence gang
Silence melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank-bank di bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,

Pada dasarnya, mereka hanya menyerang organisasi di Russia namun Silence memperluas kemampuan mereka hingga titik global.

sumber : bleeping computer

Vendor Teknologi Besar Menolak Mandat SBOM Pemerintah AS

by

Mandat pemerintah AS seputar pembuatan dan pengiriman SBOM (Software Bill of Materials) untuk membantu mengurangi serangan rantai pasokan telah mendapat penolakan keras dari vendor teknologi ternama.

Grup perdagangan, yang disebut ITI (Dewan Industri Teknologi Informasi), dalam suratnya kepada OMB menyatakan bahwa SBOM saat ini tidak dapat diskalakan atau dikonsumsi, dan masih dirasa terlalu dini dan utilitas terbatas bagi produsen perangkat lunak untuk menyediakan SBOM.

Selain menyatakan keberatan yang disertai bukti dalam serangkaian tantangan praktis terkait implementasi, vendor teknologi juga menandai kekhawatiran seputar keamanan informasi hak milik sensitif yang dapat dikumpulkan melalui SBOM dan dipegang oleh agen federal dan meminta klarifikasi seputar definisi artefak dan perlindungan yang akan diberikan untuk melindungi informasi sensitif.

NTIA Departemen Perdagangan A.S. telah mengadvokasi SBOM dengan berbagai dokumentasi baru termasuk sekilas SBOM, dokumen FAQ mendetail, tinjauan dua halaman informasi tingkat tinggi tentang SBOM, dan serangkaian Video Penjelasan SBOM di YouTube.

Secara terpisah, Linux Foundation open-source pun telah merilis sejumlah penelitian, pelatihan, dan alat industri baru yang ditujukan untuk mempercepat penggunaan SBOM dalam pengembangan perangkat lunak yang aman.

Mandat SBOM yang dimasukkan dalam perintah eksekutif keamanan siber dan dikeluarkan Mei lalu, membuat para pemimpin keamanan berebut untuk memahami konsekuensinya dan bersiap untuk efek samping. Pada intinya, SBOM dimaksudkan untuk menjadi catatan definitif dari hubungan rantai pasokan antara komponen yang digunakan saat membangun produk perangkat lunak.

Selengkapnya: securityweek

3 Cara Penyerang Lewati Keamanan Cloud

by

Kampanye serangan dunia maya ini adalah salah satu ancaman paling produktif saat ini yang menargetkan sistem cloud — dan kemampuan mereka untuk menghindari deteksi harus berfungsi sebagai peringatan tentang potensi ancaman yang akan datang, seorang peneliti keamanan merinci di sini hari ini.

“Kampanye malware yang berfokus pada cloud baru-baru ini telah menunjukkan bahwa kelompok musuh memiliki pengetahuan mendalam tentang teknologi cloud dan mekanisme keamanan mereka. Dan tidak hanya itu, mereka menggunakannya untuk keuntungan mereka,” kata Matt Muir, insinyur intelijen ancaman untuk Cado Security, yang membagikan detail tentang ketiga kampanye yang telah dipelajari timnya.

Sementara tiga kampanye serangan semuanya tentang cryptomining pada saat ini, beberapa teknik mereka dapat digunakan untuk tujuan yang lebih jahat. Dan sebagian besar, ini dan serangan lain yang dilihat tim Muir mengeksploitasi pengaturan cloud yang salah konfigurasi dan kesalahan lainnya. Itu sebagian besar berarti bertahan melawan mereka mendarat di kamp pelanggan cloud, menurut Muir.

“Secara realistis untuk jenis serangan ini, ini lebih berkaitan dengan pengguna daripada penyedia layanan [cloud],” kata Muir kepada Dark Reading. “Mereka sangat oportunistik. Sebagian besar serangan yang kami lihat lebih berkaitan dengan kesalahan” oleh pelanggan cloud, katanya.

Mungkin perkembangan yang paling menarik dari serangan ini adalah bahwa mereka sekarang menargetkan komputasi dan wadah tanpa server, katanya. “Kemudahan sumber daya cloud dapat dikompromikan telah menjadikan cloud sebagai sasaran empuk,” katanya dalam presentasinya, “Teknik Evasion Deteksi Dunia Nyata di Cloud.”

Selengkapnya: DARKReading

Yang perlu Anda ketahui tentang kebocoran sertifikat platform Android

by

Google mengungkapkan masalah serius yang sebagian besar memengaruhi ponsel Samsung menjelang akhir tahun 2022. Beberapa sertifikat platform dari Samsung jatuh ke tangan aktor jahat, yang memungkinkan mereka membuat malware dengan izin yang lebih tinggi, berpotensi memungkinkan peretas membajak ponsel dengan memuat perangkat lunak yang dirusak pada ponsel tersebut .

Hal ini tampaknya memengaruhi semua ponsel dari pabrikan tertentu, terlepas dari apakah Anda memiliki Android 13. Inilah semua yang kami ketahui tentang kerentanan dan apa yang dapat Anda lakukan untuk melindungi diri dan ponsel Anda.

Produsen menggunakan sertifikat platform atau vendor untuk menandatangani perangkat lunak dan versi Android serta memverifikasi bahwa keduanya sah. Aplikasi dengan tanda tangan ini dapat dipercaya dengan izin yang lebih tinggi untuk berinteraksi dengan sistem Android dan data pengguna yang mendasarinya.

Biasanya, ini hanya memungkinkan beberapa aplikasi sistem penting mengakses bagian-bagian ponsel Anda ini. Namun, ketika aktor jahat mendapatkan sertifikat ini, mereka dapat menandatangani malware dengannya dan memberikannya akses tinggi yang sama seperti aplikasi yang sah.

Malware ini kemudian dapat didistribusikan ke ponsel Android yang akan menginstalnya dan memberikan semua izin yang diminta tanpa pertanyaan lebih lanjut atau interaksi pengguna. Itu membuat vektor serangan ini sangat berbahaya. Malware Android biasanya harus meyakinkan pengguna untuk memberikannya izin yang lebih tinggi sebelum dapat mendatangkan malapetaka pada perangkat.

Selengkapnya: Android Police

Peneliti Mengungkap Layanan Darknet yang Mengizinkan Peretas Meng-Trojan Aplikasi Android Resmi

by

Para peneliti telah menjelaskan kampanye malware hybrid baru yang menargetkan sistem operasi Android dan Windows dalam upaya untuk memperluas kumpulan korbannya.

Serangan tersebut memerlukan penggunaan malware yang berbeda seperti ERMAC, Erbium, Aurora, dan Laplas, menurut laporan ThreatFabric yang dibagikan dengan The Hacker News.

“Kampanye ini mengakibatkan ribuan korban,” kata perusahaan cybersecurity Belanda, menambahkan, “pencuri Erbium berhasil mengekstraksi data dari lebih dari 1.300 korban.”

Infeksi ERMAC dimulai dengan situs web penipuan yang mengklaim menawarkan perangkat lunak otorisasi Wi-Fi untuk Android dan Windows yang, ketika dipasang, dilengkapi dengan fitur untuk mencuri seed phrase dari dompet kripto dan data sensitif lainnya.

ThreatFabric mengatakan juga menemukan sejumlah aplikasi berbahaya yang merupakan versi trojan dari aplikasi yang sah seperti Instagram, dengan operator menggunakannya sebagai dropper untuk mengirimkan muatan berbahaya yang disamarkan.

Aplikasi nakal, yang dijuluki Zombinder, dikatakan telah dikembangkan menggunakan layanan pengikatan APK yang diiklankan di web gelap oleh aktor ancaman terkenal sejak Maret 2022.

Aplikasi zombie semacam itu juga telah digunakan untuk mendistribusikan trojan perbankan Android seperti SOVA dan Xenomorph yang menargetkan pelanggan antara lain di Spanyol, Portugal, dan Kanada.

Menariknya, opsi pengunduhan untuk Windows di situs web jebakan yang mendistribusikan ERMAC dirancang untuk menyebarkan pencuri informasi Erbium dan Aurora pada sistem yang disusupi.

Erbium, yang merupakan malware-as-a-service (MaaS) berlisensi untuk $1.000 per tahun, tidak hanya mencuri kata sandi dan informasi kartu kredit, tetapi juga telah diamati bertindak sebagai saluran untuk menjatuhkan clipper Laplas yang digunakan untuk membajak transaksi crypto .

“Kehadiran trojan yang begitu beragam mungkin juga menunjukkan bahwa laman landas berbahaya digunakan oleh banyak pelaku dan diberikan kepada mereka sebagai bagian dari layanan distribusi pihak ketiga,” para peneliti berteori.

Selengkapnya: The Hacker News

Kata sandi telah mati? Dukungan passkey diluncurkan ke stabil Chrome

by

Kunci sandi ada di sini untuk (mencoba) mematikan kata sandi. Mengikuti peluncuran fitur beta Google pada bulan Oktober, kunci sandi sekarang tersedia di Chrome stable M108. “Passkey” dibuat berdasarkan standar industri dan didukung oleh semua vendor platform besar—Google, Apple, Microsoft—bersama dengan FIDO Alliance.

Blog terbaru Google mengatakan: “Dengan Chrome versi terbaru, kami mengaktifkan kunci sandi di Windows 11, macOS, dan Android.” Pengelola Kata Sandi Google di Android siap untuk menyinkronkan semua kunci sandi Anda ke cloud, dan jika Anda dapat memenuhi semua persyaratan perangkat keras dan menemukan layanan pendukung, Anda sekarang dapat masuk ke sesuatu dengan kunci sandi.

Kunci sandi adalah langkah selanjutnya dalam evolusi pengelola kata sandi. Saat ini pengelola kata sandi sedikit meretas — kotak teks kata sandi pada awalnya dimaksudkan untuk manusia untuk mengetik teks secara manual, dan Anda diharapkan untuk mengingat kata sandi Anda.

Kemudian, pengelola kata sandi mulai mengotomatiskan pengetikan dan penghafalan tersebut, membuatnya nyaman untuk menggunakan kata sandi yang lebih panjang dan lebih aman. Saat ini, cara yang tepat untuk menangani bidang kata sandi adalah meminta pengelola kata sandi Anda membuat serangkaian karakter sampah acak yang tidak dapat diingat untuk ditempelkan di bidang kata sandi.

Kunci sandi menghilangkan antarmuka kotak teks lawas itu dan sebagai gantinya menyimpan rahasia, meneruskan rahasia itu ke situs web, dan jika cocok, Anda masuk. Alih-alih meneruskan string teks yang dibuat secara acak, kunci sandi menggunakan “WebAuthn” standar untuk menghasilkan keypair publik-swasta, seperti SSH.

Selengkapnya: ars TECHNICA

Apple mengumumkan rencana untuk mengenkripsi cadangan iCloud

by

apel mengumumkan pada hari Rabu bahwa mereka berencana untuk mengizinkan pengguna mengenkripsi jenis data iCloud tambahan di servernya, termasuk cadangan lengkap, foto, dan catatan.

Fitur tersebut, yang disebut Perlindungan Data Lanjutan, akan mencegah Apple melihat konten dari beberapa data pengguna paling sensitif yang disimpan di servernya dan akan membuat Apple tidak mungkin menyediakan konten cadangan terenkripsi kepada penegak hukum.

Sementara Apple sebelumnya telah mengenkripsi banyak data yang disimpannya di server, seluruh cadangan perangkat yang mencakup pesan teks, kontak, dan data penting lainnya tidak dienkripsi ujung ke ujung, dan Apple sebelumnya memiliki akses ke konten cadangan.

Aparat penegak hukum di seluruh dunia umumnya menentang enkripsi karena memungkinkan tersangka untuk “menjadi gelap” dan menolak akses penegakan hukum ke bukti potensial yang sebelumnya dapat mereka akses di bawah tingkat keamanan yang lebih rendah.

Pada tahun 2018, CEO Apple Tim Cook mengatakan dalam sebuah wawancara bahwa salah satu faktor dalam pengambilan keputusan Apple seputar pencadangan iCloud terenkripsi ujung ke ujung adalah penggunanya mengharapkan Apple dapat membantu memulihkan data mereka. Jika pengguna lupa kata sandinya, dan mereka mengaktifkan Perlindungan Data Lanjutan, Apple tidak akan dapat memulihkan akun karena tidak memiliki kunci enkripsi yang diperlukan.

Apple juga mengumumkan dua fitur keamanan lainnya pada hari Rabu. Pengguna akan segera dapat menggunakan kunci fisik sebagai perlindungan faktor kedua untuk login ID Apple. Pembaruan lain memungkinkan pengguna menghadapi ancaman keamanan yang signifikan untuk mengonfirmasi bahwa pesan teks tidak dicegat.

sumber : cnbc

Telegram Menjual Nomor Telepon Palsu untuk Crypto

by

Telegram telah memfasilitasi penjualan nama pengguna senilai lebih dari $50 juta dalam lelang crypto, dan sekarang ingin melelang nomor telepon palsu untuk memungkinkan akses ke platform.

Telegram mengatakan itu memungkinkan untuk mengakses aplikasi dengan “menggunakan nomor anonim bertenaga blockchain” yang sekarang dilelang untuk crypto di platform crypto Fragment perusahaan sendiri. Meskipun pengguna dapat mengakses Telegram dengan nomor telepon terenkripsi, itu sekarang memberi pengguna aplikasi cara untuk melakukannya secara lebih anonim, selama mereka bersedia membuka dompet crypto mereka.

Perlu dicatat bahwa pasar Fragmen tidak tersedia di A.S. Setelah terhubung ke layanan dengan VPN, ini menunjukkan beberapa nomor hanya di bawah $40 dengan enam hari tersisa untuk menawar, sementara nomor lain, seperti 888-8 -888, terjual lebih dari $61.850 dengan dua minggu tersisa dalam proses penawaran. Masalahnya, Anda tidak dapat menggunakan nomor-nomor itu untuk apa pun selain mendaftar ke Telegram, yang membuat gagasan “lelang” menjadi lebih gila.

Telegram telah secara agresif memonetisasi platformnya selama setahun terakhir untuk menghasilkan lebih banyak uang dari 700 juta pengguna aktif globalnya. Pada hari Selasa, CEO Telegram Pavel Durov mengatakan di saluran resminya bahwa perusahaannya memiliki lebih dari 1 juta orang yang membayar Telegram Premium, yang dirilis hanya lima bulan lalu, meskipun pelanggan premium hanya mewakili “sebagian kecil” dari keseluruhan pendapatan mereka.

Fragmen juga merupakan tempat Telegram menjual nama pengguna populer untuk mendapatkan sedikit uang kripto tambahan. Tampaknya Telegram dan kecintaannya yang baru terhadap crypto tidak cocok dengan regulator AS, seperti yang telah terbukti di masa lalu.

Pada 30 November, CEO mengklaim di halamannya bahwa Fragment telah menjual nama pengguna senilai $50 juta dalam waktu kurang dari sebulan. Dia mengatakan dia memiliki tujuan untuk menambahkan dompet kripto dan pertukaran kripto yang “terdesentralisasi” ke dalam platform Fragmen, tampaknya mengabaikan apa yang terjadi terakhir kali ketika perusahaannya dipukul terbalik oleh SEC. Meskipun dunia crypto telah diguncang oleh korupsi yang dirinci oleh ledakan pertukaran crypto FTX, Durov secara terbuka menyerukan manfaat “desentralisasi” dalam crypto dan bagaimana teknologi blockchain “akhirnya harus dapat memenuhi misi intinya – memberikan kekuasaan kembali kepada rakyat.”

sumber : gizmodo