Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

VMware Carbon Black menyebabkan BSOD crash di Windows

by

Server dan workstation Windows di lusinan organisasi mulai mogok lebih awal hari ini karena masalah yang disebabkan oleh versi tertentu dari solusi keamanan titik akhir Carbon Black VMware.

Menurut beberapa laporan, sistem di lebih dari 50 organisasi mulai menampilkan layar biru kematian yang menakutkan (BSOD) sedikit setelah pukul 15:00 (GMT+1) hari ini.

Akar masalahnya adalah seperangkat aturan yang diterapkan hari ini ke Carbon Black Cloud Sensor 3.6.0.1979 – 3.8.0.398 yang menyebabkan perangkat mogok dan menampilkan layar biru saat startup, menolak akses ke perangkat tersebut.

Sistem operasi Microsoft Windows yang terpengaruh oleh masalah ini adalah Windows 10 x64, Server 2012 R2 x64, Server 2016 x64, dan Server 2019 x64.

Pada sistem yang terpengaruh oleh masalah ini, kode berhenti mungkin mengidentifikasi kesalahan sebagai “PFN_LIST_CORRUPT.”

BSOD disebabkan oleh aturan yang salah
sumber: BleepingComputer

Tim Geschwindt, seorang penanggap insiden untuk S-RM Cyber, mengatakan bahwa mulai pukul 15:30 (GMT+1), klien mulai mengeluh bahwa server dan workstation mereka mogok dan mencurigai Carbon Black sebagai penyebabnya.

Setelah menyelidiki, peneliti menentukan bahwa semua klien yang menjalankan sensor Carbon Black 3.7.0.1253 terpengaruh. “Mereka tidak bisa boot ke perangkat mereka sama sekali. Selesai, jangan pergi, ”kata Geschwindt.

Seorang admin mengatakan bahwa mereka memiliki sekitar “500 titik akhir BSOD di seluruh perkebunan kami dari sekitar pukul 15:15 waktu Inggris.”

Tampaknya ada konflik antara Carbon Black dan AV signature pack 8.19.22.224.

VMware menjelaskan dalam basis pengetahuan hari ini bahwa “set aturan Penelitian Ancaman yang diperbarui diluncurkan ke Prod01, Prod02, ProdEU, ProdSYD, dan ProdNRT setelah pengujian internal tidak menunjukkan tanda-tanda masalah.”

Investigasi sedang berlangsung sekarang dan aturan yang merepotkan sedang digulirkan kembali, yang diharapkan dapat menghilangkan masalah.

Sebagai solusi sementara, VMware merekomendasikan untuk menempatkan sensor ke mode Bypass melalui Carbon Black Cloud Console. Ini memungkinkan perangkat yang terpengaruh untuk melakukan booting dengan sukses sehingga kumpulan aturan yang salah dapat dihapus.

VMware menyarankan klien yang mengalami masalah ini untuk membuka kasus dukungan dan menyertakan info berikut: Org_Key, Nama Perangkat, ID Perangkat, dan Sistem Operasi.

Pembaruan [23 Agustus, 17:50]:

“VMware Carbon Black menyadari masalah yang memengaruhi sejumlah titik akhir pelanggan, di mana versi sensor lama tertentu dipengaruhi oleh pembaruan kemampuan pencegahan perilaku kami. Masalah telah diidentifikasi dan diperbaiki, dan VMware Carbon Black bekerja dengan pelanggan yang terkena dampak. .”

Sumber: Bleeping Computer

Peretas Iran menggunakan alat baru untuk mencuri email dari korban

by

Aktor yang didukung pemerintah Iran yang dikenal sebagai Charming Kitten telah menambahkan alat baru ke gudang malware-nya yang memungkinkannya mengambil data pengguna dari akun Gmail, Yahoo!, dan Microsoft Outlook.

Dijuluki HYPERSCRAPE oleh Google Threat Analysis Group (TAG), perangkat lunak berbahaya yang sedang dikembangkan secara aktif dikatakan telah digunakan terhadap kurang dari dua lusin akun di Iran, dengan sampel tertua yang diketahui berasal dari tahun 2020. Alat ini pertama kali ditemukan pada bulan Desember. 2021.

Charming Kitten, sebuah ancaman gigih maju yang produktif (APT), diyakini terkait dengan Korps Pengawal Revolusi Islam (IRGC) Iran dan memiliki sejarah melakukan spionase yang selaras dengan kepentingan pemerintah.

Dilacak sebagai APT35, Cobalt Illusion, ITG18, Fosfor, TA453, dan Garuda Kuning, elemen kelompok juga telah melakukan serangan ransomware, menunjukkan bahwa motif pelaku ancaman adalah spionase dan didorong secara finansial.

“HYPERSCRAPE membutuhkan kredensial akun korban untuk dijalankan menggunakan sesi pengguna yang valid dan terotentikasi yang telah dibajak penyerang, atau kredensial yang telah diperoleh penyerang,” kata peneliti Google TAG, Ajax Bash.

Ditulis dalam .NET dan dirancang untuk dijalankan pada mesin Windows penyerang, alat ini dilengkapi dengan fungsi untuk mengunduh dan mengekstrak isi kotak masuk email korban, selain menghapus email keamanan yang dikirim dari Google untuk memperingatkan target dari setiap login yang mencurigakan.

Jika pesan awalnya belum dibaca, alat akan menandainya sebagai belum dibaca setelah membuka dan mengunduh email sebagai file “.eml”. Terlebih lagi, versi HYPERSCRAPE sebelumnya dikatakan telah menyertakan opsi untuk meminta data dari Google Takeout, fitur yang memungkinkan pengguna untuk mengekspor data mereka ke file arsip yang dapat diunduh.

Temuan ini mengikuti penemuan terbaru alat “grabber” Telegram berbasis C++ oleh PwC yang digunakan terhadap target domestik untuk mendapatkan akses ke pesan dan kontak Telegram dari akun tertentu.

Sebelumnya, grup tersebut terlihat menggunakan perangkat pengawasan Android khusus yang disebut LittleLooter, implan kaya fitur yang mampu mengumpulkan informasi sensitif yang tersimpan di perangkat yang disusupi serta merekam audio, video, dan panggilan.

“Seperti kebanyakan alat mereka, HYPERSCRAPE tidak terkenal karena kecanggihan teknisnya, melainkan efektivitasnya dalam mencapai tujuan Charming Kitten,” kata Bash. Akun yang terpengaruh sejak itu telah diamankan kembali dan para korban diberitahu.

Sumber: The Hackernews

Peraturan OJK baru menginstruksikan bank untuk memastikan keamanan siber

by

Bank umum wajib memastikan ketahanan dan keamanan sistem teknologi informasi (TI) perbankan sesuai dengan aturan baru yang ditetapkan oleh Otoritas Jasa Keuangan (OJK)

Deputi Komisioner Pengawas Perbankan I OJK Teguh Supangkat menyatakan kewajiban menjaga ketahanan dan keamanan siber di perbankan diatur dalam Peraturan OJK No. 11/POJK.03/2022 tentang Teknologi Informasi Pada Bank Umum.

Percepatan perkembangan digitalisasi di sektor perbankan harus diatur dengan peraturan OJK untuk menjawab kebutuhan dan harapan industri perbankan serta mengatasi potensi risiko di sektor TI, tegasnya.

Berdasarkan peraturan tersebut, bank umum wajib menjaga ketahanan siber melalui identifikasi aset, ancaman, dan kerentanan; perlindungan aset dan deteksi insiden siber; serta penanganan dan pemulihan insiden siber, jelasnya.

Sistem ketahanan siber yang memadai terdiri dari sistem uji keamanan, penilaian maturitas keamanan siber, dan satuan kerja khusus keamanan siber yang juga dianggap penting, jelas pejabat OJK.

Supangkat menyatakan selain mengatur keamanan dan ketahanan siber, POJK juga mengatur aspek-aspek penting lainnya untuk meningkatkan transformasi digital melalui keamanan siber di sektor perbankan, antara lain manajemen dan arsitektur TI, manajemen risiko, perlindungan data pribadi, penyediaan layanan, serta audit dan pengendalian internal. .

Ia kemudian mencontohkan data Bank Indonesia yang mengindikasikan adanya peningkatan jumlah dan volume transaksi keuangan melalui jalur elektronik di Indonesia pada tahun 2022.

Pejabat itu menyatakan optimisme bahwa peraturan baru, yang akan berlaku tiga bulan setelah diundangkan pada 7 Juli 2022, akan mendorong transformasi digital di sektor perbankan.

Sumber: ANTARA NEWS

Kampanye malware baru menarik semua pemberhentian untuk menghindari deteksi Play Store

by

Malware merupakan ancaman yang berkembang dan ada di mana-mana, dan terlepas dari upaya terbaik mereka, toko aplikasi seperti Google rentan untuk digunakan secara tidak sadar untuk distribusi.

Play Store secara teratur menghapus aplikasi dan melarang pengembang yang melanggar aturan yang dimaksudkan untuk menghentikan adware, spyware, malware, dan aplikasi mengganggu lainnya yang lebih baik bagi Anda tanpanya.

Kru di Bitdefender baru-baru ini mengidentifikasi 35 aplikasi yang menyalahgunakan metode ini untuk mempersulit Anda menemukan pelakunya yang bertanggung jawab atas spam iklan dan iklan berbahaya. Aplikasi telah mengumpulkan lebih dari dua juta unduhan gabungan.

Setelah diinstal, aplikasi ini mengganti namanya sendiri agar sesuai dengan aplikasi sistem seperti Pengaturan untuk membantu tetap tersembunyi.

Ikon mereka juga berubah secara otomatis untuk mencocokkan, dan mengetuk mengarahkan pengguna yang tidak curiga ke aplikasi Pengaturan sebenarnya di ponsel mereka.

Beberapa di antaranya meminta Anda untuk menonaktifkan pengoptimalan baterai dan memberikan izin untuk ditampilkan di atas aplikasi lain yang diharapkan menjadi tanda bahaya. Aplikasi dapat menyalahgunakan izin ini untuk memulai pemberitahuan layanan latar depan dan menyimulasikan klik pengguna pada iklan untuk keuntungan finansial.

Bitdefender mengatakan menggunakan teknologi perilaku real-time baru untuk mengidentifikasi adware. Berdasarkan pola dalam gaya penamaan aplikasi, email pengembang, dan situs web yang terdaftar, ia percaya semua aplikasi bisa menjadi hasil karya satu individu atau grup.

Para pakar keamanan menyarankan saran agar menghapus aplikasi yang tidak digunakan, tidak menginstal yang tidak benar-benar Anda butuhkan, dan waspada terhadap permintaan izin yang tidak biasa.

Sumber: Android Police

LockBit ransomware menyalahkan Entrust atas serangan DDoS di situs kebocoran

by

Situs kebocoran data operasi ransomware LockBit telah ditutup selama akhir pekan karena serangan DDoS yang meminta mereka untuk menghapus data yang diduga dicuri Entrust.

Pada akhir Juli, raksasa keamanan digital Entrust mengkonfirmasi serangan siber yang mengungkapkan bahwa pelaku ancaman telah mencuri data dari jaringannya selama intrusi pada bulan Juni.

Pekan lalu, LockBit mengaku bertanggung jawab atas serangan itu dan mulai membocorkan data pada Jumat malam.

Kebocoran ini terdiri dari 30 tangkapan layar data yang diduga dicuri dari Entrust, termasuk dokumen hukum, spreadsheet pemasaran, dan data akuntansi.

Dugaan data Entrust bocor di situs kebocoran data LockBit
Sumber: Dominic Alvieri

Segera setelah mereka mulai membocorkan data, para peneliti mulai melaporkan bahwa situs kebocoran data Tor milik geng ransomware tidak tersedia karena serangan DDoS.

Kemarin, grup riset keamanan VX-Underground mengetahui dari LockBitSupp, perwakilan operasi ransomware LockBit yang menghadap publik, bahwa situs Tor mereka diserang oleh seseorang yang mereka yakini terhubung dengan Entrust.

Seperti yang Anda lihat dari permintaan HTTPS ini, penyerang menambahkan pesan ke LockBit di bidang agen pengguna browser yang memberi tahu mereka untuk menghapus data Entrust.

Permintaan HTTPS DDoS dengan pesan ke LockBit

Peneliti Cisco Talos Azim Shukuhi mentweet bahwa serangan DDoS pada server LockBit terdiri dari “400 permintaan per detik dari lebih dari 1000 server.”

Sebagai pembalasan atas serangan itu, situs kebocoran data LockBit sekarang menampilkan pesan peringatan bahwa geng ransomware berencana untuk mengunggah semua data Entrust sebagai torrent, yang membuatnya hampir mustahil untuk dihapus.

Selanjutnya, para pelaku ancaman telah berbagi dugaan negosiasi antara Entrust dan geng ransomware dengan peneliti keamanan Soufiane Tahiri. Obrolan ini menunjukkan bahwa permintaan tebusan awal adalah $8 juta dan kemudian turun menjadi $6,8 juta.

LockBitSupp mengatakan bahwa perusahaan keamanan siber lain, Accenture, juga melakukan serangan serupa terhadap situs kebocoran data mereka tetapi kurang berhasil.

Situs kebocoran data operasi ransomware ALPHV juga turun akhir pekan ini dalam apa yang diyakini sebagai serangan DDoS. Namun, tidak diketahui apakah kedua serangan itu terkait.

Tidak jelas apakah Entrust, sebuah perusahaan keamanan siber yang berafiliasi, atau hanya aktor ancaman saingan mengambil keuntungan dari situasi dengan melakukan serangan.

Peneliti keamanan tidak yakin siapa yang menyerang LockBit, dengan beberapa mengatakan bahwa itu akan menjadi hal yang belum pernah terjadi sebelumnya bagi perusahaan keamanan siber untuk melakukan serangan seperti ini.

Meskipun kita mungkin tidak akan pernah tahu siapa yang berada di balik serangan ini, ini telah menunjukkan seberapa efektif serangan seperti ini dalam mengganggu operasi geng ransomware.

Sumber: Bleeping Computer

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

by

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Peretas telah menemukan cara baru untuk masuk ke akun Microsoft 365 Anda

by

Aktor ancaman yang disponsori negara Rusia, Cozy Bear (alias APT29 atau Nobelium) menemukan taktik baru untuk menyelinap ke akun Microsoft 365, dalam upaya untuk mencuri intelijen kebijakan luar negeri yang sensitif.

Hal tesebut berdasarkan laporan dari Siber Mandiant, yang mengklaim bahwa Cozy Bear menggunakan tiga teknik untuk mengeksekusi (dan menyamarkan) serangan:

  • Menonaktifkan Audit Lingkup sebelum terlibat dengan akun email yang disusupi
  • Brute-forcing Kata sandi Microsoft 365 yang belum mendaftar di otentikasi multi-faktor (MFA)
  • Menutupi jejak dengan menggunakan Mesin Virtual Azure melalui akun yang disusupi, atau dengan membeli layanan

Serangan baru pada Microsoft 365
Dalam Purview Audit para peneliti mengingatkan, fitur keamanan tingkat tinggi mencatat jika seseorang mengakses akun email di luar program (baik melalui browser, Graph API, atau melalui Outlook). Dengan begitu, departemen TI dapat mengelola semua akun dan memastikan tidak ada akses yang tidak sah.

Namun, APT29 mengetahui fitur ini dan memastikan untuk menonaktifkannya sebelum mengakses email.

Para peneliti juga menemukan Cozy Bear menyalahgunakan proses pendaftaran mandiri untuk MFA di Azure Active Directory (AD). Saat pengguna mencoba masuk untuk pertama kalinya, mereka harus mengaktifkan MFA di akun terlebih dahulu.

Pelaku ancaman sedang mencari cara untuk menghindari fitur ini dengan memaksa akun yang belum mendaftar ke fitur keamanan siber tingkat lanjut. Kemudian mereka menyelesaikan proses atas nama korban, memberikan akses tak terbatas ke infrastruktur VPN organisasi target ke seluruh jaringan dan endpoints.

Bagaimanapun, mesin virtual Azure sudah berisi alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, tim TI kesulitan membedakan lalu lintas biasa dari lalu lintas berbahaya. Cozy Bear selanjutnya dapat menyembunyikan aktivitas Azure AD-nya dengan mencampurkan URL alamat aplikasi biasa dengan aktivitas jahat.

Kemungkinan pengguna biasa menjadi sasaran kelompok ancaman diyakini relatif rendah, tetapi organisasi besar perlu mewaspadai vektor serangan, yang dapat digunakan untuk menargetkan eksekutif profil tinggi dan orang lain yang memiliki akses ke informasi sensitif.

Sumber: Tech Radar

FBI memperingatkan proxy perumahan yang digunakan dalam serangan isian kredensial

by

FBI memperingatkan tren meningkatnya penjahat dunia maya yang menggunakan proxy perumahan untuk melakukan serangan isian kredensial skala besar tanpa dilacak, ditandai, atau diblokir.

Peringatan itu dikeluarkan sebagai Pemberitahuan Industri Swasta di Pusat Pengaduan Kejahatan Internet Biro (IC3) akhir pekan lalu untuk meningkatkan kesadaran di antara admin platform internet yang perlu menerapkan pertahanan terhadap serangan isian kredensial.

Karena orang biasanya menggunakan kata sandi yang sama di setiap situs, penjahat dunia maya memiliki banyak kesempatan untuk mengambil alih akun tanpa memecahkan kata sandi atau mengelabui informasi lainnya.

Untuk mengesampingkan perlindungan dasar, FBI memperingatkan bahwa pelaku ancaman menggunakan proxy perumahan untuk menyembunyikan alamat IP mereka yang sebenarnya di belakang yang umumnya dikaitkan dengan pengguna rumahan, yang tidak mungkin ada dalam daftar blokir.

Proxy adalah server online yang menerima dan meneruskan permintaan, membuatnya tampak seperti koneksi berasal dari mereka daripada inisiator (penyerang) yang sebenarnya.

Proksi perumahan lebih disukai daripada proksi yang di-hosting pusat data karena mereka mempersulit mekanisme perlindungan untuk membedakan antara lalu lintas konsumen yang mencurigakan dan biasa.

Biasanya, proxy ini tersedia untuk penjahat dunia maya dengan meretas perangkat perumahan yang sah seperti modem atau IoT lainnya atau melalui malware yang mengubah komputer pengguna rumahan menjadi proxy tanpa sepengetahuan mereka.

Dengan menggunakan alat ini, penjahat dunia maya mengotomatiskan serangan isian kredensial, dengan bot mencoba masuk di banyak situs menggunakan kredensial masuk yang dicuri sebelumnya.

Selain itu, beberapa alat proxy ini menawarkan opsi untuk memaksa kata sandi akun atau menyertakan “konfigurasi” yang memodifikasi serangan untuk mengakomodasi persyaratan tertentu, seperti memiliki karakter unik, panjang kata sandi minimum, dll.

Membuat konfigurasi di alat isian kredensial OpenBullet
Sumber: F5

FBI mengatakan serangan isian kredensial tidak terbatas pada situs web dan terlihat menargetkan aplikasi seluler karena keamanannya yang buruk.

Dalam operasi gabungan yang melibatkan FBI dan Polisi Federal Australia, agen-agen tersebut menyelidiki dua situs web yang berisi lebih dari 300.000 set kredensial unik yang diperoleh melalui serangan isian kredensial.

FBI mengatakan situs web ini menghitung lebih dari 175.000 pengguna terdaftar dan menghasilkan lebih dari $400.000 dalam penjualan untuk layanan mereka.

Penasihat FBI mendesak administrator untuk mengikuti praktik tertentu untuk membantu melindungi pengguna mereka dari kehilangan akun mereka karena serangan isian kredensial, bahkan ketika mereka menggunakan kata sandi yang lemah.

Selengkapnya : Bleeping Computer