Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

by

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.


Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.


Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.


Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.


IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

Peretas Tiongkok Menggunakan Rantai Infeksi Tersembunyi untuk Menyebarkan Malware LODEINFO

by

Aktor ancaman China yang dikenal sebagai Stone Panda telah diamati menggunakan rantai infeksi tersembunyi baru dalam serangannya yang ditujukan pada entitas Jepang.

Target termasuk media, diplomatik, pemerintah dan organisasi sektor publik dan think-tank di Jepang, menurut laporan kembar yang diterbitkan oleh Kaspersky.

Stone Panda, juga disebut APT10, Bronze Riverside, Cicada, dan Potassium, adalah kelompok spionase dunia maya yang dikenal karena intrusinya terhadap organisasi yang diidentifikasi secara strategis signifikan bagi China. Pelaku ancaman diyakini telah aktif setidaknya sejak 2009.

Grup tersebut juga telah dikaitkan dengan serangan menggunakan keluarga malware seperti SigLoader, SodaMaster, dan web shell yang disebut Jackpot terhadap beberapa organisasi domestik Jepang sejak April 2021, menurut perusahaan keamanan siber Trend Micro, yang melacak grup tersebut dengan nama Earth Tengshe.

Serangkaian serangan terbaru, diamati antara Maret dan Juni 2022, melibatkan penggunaan file Microsoft Word palsu dan file arsip self-extracting (SFX) dalam format RAR yang disebarkan melalui email spear-phishing, yang mengarah ke eksekusi pintu belakang yang disebut LODEINFO.

Sementara maldoc mengharuskan pengguna untuk mengaktifkan makro untuk mengaktifkan killchain, kampanye Juni 2022 ditemukan untuk menjatuhkan metode ini demi file SFX yang, ketika dijalankan, menampilkan dokumen Word umpan yang tidak berbahaya untuk menyembunyikan aktivitas jahat.

Makro, setelah diaktifkan, menjatuhkan arsip ZIP yang berisi dua file, salah satunya (“NRTOLF.exe”) adalah executable yang sah dari perangkat lunak K7Security Suite yang kemudian digunakan untuk memuat DLL jahat (“K7SysMn1.dll”) melalui DLL pemuatan samping.

Kaspersky juga menemukan metode infeksi awal lain pada Juni 2022, di mana file Microsoft Word yang dilindungi kata sandi bertindak sebagai saluran untuk mengirimkan pengunduh tanpa file yang dijuluki DOWNIISSA setelah mengaktifkan makro.

DOWNIISSA dikonfigurasi untuk berkomunikasi dengan server jarak jauh berkode keras, menggunakannya untuk mengambil muatan BLOB terenkripsi dari LODEINFO, pintu belakang yang mampu mengeksekusi kode shell sewenang-wenang, mengambil tangkapan layar, dan mengekstrak file kembali ke server.

Malware tersebut, pertama kali terlihat pada tahun 2019, telah mengalami banyak peningkatan, dengan Kaspersky mengidentifikasi enam versi berbeda pada bulan Maret, April, Juni, dan September 2022.

Perubahan termasuk teknik penghindaran yang ditingkatkan untuk terbang di bawah radar, menghentikan eksekusi pada mesin dengan lokal “en_US,” merevisi daftar perintah yang didukung, dan memperluas dukungan untuk arsitektur Intel 64-bit.

Sumber: The Hackernews

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

by

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

eksploitasi bug windows untuk menginfeksi PC rumahan dengan ransomeware dikarenakan patch tidak resmi dikeluarkan untuk bug windows

by

Perusahaan siber security mengeluarkan patch untuk perbaikan program bug di windows yang microsoft belum perbaiki, dengan lubang ini terus di ekploitasi untuk menyebarkan ransomware.

Acros Security mengeluarkan binary patch kecil untuk menunjukan kekurangan fitur Mark-of-the-Web (MotW) milik Microsoft’s. fitur ini seharusnya digunakan untuk menandai bendara di meta data untuk files yang didapatkan dari internet, stik USB, dan sumber tidak terpercaya lainnya. Bendera ini memastikan bahwa bila file tersebut dibuka, perlindungan ekstra datang.

Terbukti bahwa untuk melewati fitur ini adalah hal yang memungkinkan, dan dengan files yang terunduh dari web tidak membawa bendera MotW, dan menghindar semua proteksi saat dibuka. Khususnya, penyerang yang bisa mencegah windows dari menaruh bendera MotW di file yang diekstrak dari arsip ZIP yang diperoleh dari sumber yang tidak tepercaya. Ini dapat dimanfaatkan oleh penjahat untuk memikat tanda agar membuka arsip ZIP, dan menjalankan perangkat lunak berbahaya di dalamnya tanpa merusak perlindungan keamanan yang diharapkan. Bug tersebut disorot beberapa bulan lalu oleh Will Dormann, analis kerentanan senior di Analygence.

Microsoft belum memperbaiki kesalahan ini. Pengamat IT Kevin Beaumont pada 10 Oktober mengatakan bug itu sekarang sedang dieksploitasi di alam liar. Acros mengeluarkan micropatch sekitar seminggu kemudian yang dapat diterapkan untuk menutup lubang ini sementara Anda menunggu Redmond untuk mengejar.

Sekarang Acros telah mengeluarkan patch baru yang mengatasi lubang keamanan MotW terkait di Windows yang lagi-lagi belum diperbaiki oleh Microsoft.

apa yang baru?
Korban diminta untuk mengambil arsip ZIP yang berisi file JavaScript yang menyamar sebagai antivirus atau pembaruan perangkat lunak Windows.

Skrip tersebut, ketika dijalankan, sebenarnya menyebarkan Magniber, jenis ransomware yang ditujukan untuk pengguna rumahan Windows. Ini mengacak dokumen dan dapat memeras sebanyak $ 2.500 dari korban untuk memulihkan data mereka, menurut Wolf Security.

Magniber tidak termasuk dalam kategori Big Game Hunting, itu masih dapat menyebabkan kerusakan yang signifikan,” tulis tim Wolf dalam laporannya,

analis malware HP Patrick Schlapfer mencatat bahwa JavaScript berbahaya di arsip Magniber ZIP memang membawa bendera MotW tetapi masih dijalankan tanpa peringatan SmartScreen yang muncul untuk menghentikan tindakan yang diminta atau memperingatkan pengguna agar tidak melanjutkan, seperti yang Anda harapkan untuk arsip yang diambil dari internet. Mitja Kolsek, CEO Acros, mengonfirmasi bahwa SmartScreen sedang dilewati oleh skrip Magniber.

SmartScreen Microsoft seharusnya, memblokir file berbahaya yang jelas atau memperingatkan pengguna jika file terlihat mencurigakan, tetapi konten arsip Magniber ZIP dapat mengesampingkan proses itu sepenuhnya.

“Ingat bahwa pada Windows 10 dan Windows 11, membuka file yang berpotensi berbahaya memicu pemeriksaan SmartScreen dari file tersebut, di mana SmartScreen menentukan apakah file tersebut jelas untuk diluncurkan atau pengguna harus diperingatkan tentang hal itu,” kata Kolsek.

Authenticode Microsoft adalah teknologi penandatanganan kode digital yang mengidentifikasi penerbit dan memverifikasi perangkat lunak tidak dirusak setelah ditandatangani dan dirilis. Dormann menemukan bahwa tanda tangan file skrip salah format hingga Windows

Pemeriksaan lebih lanjut oleh Acros Security menemukan bahwa kesalahan terjadi karena SmartScreen, ketika mencoba mengurai tanda tangan yang salah format, menghasilkan kesalahan, yang menyebabkan sistem operasi menjalankan program dan menginfeksi mesin tanpa memicu peringatan.

sumber : the register

OpenSSL Merilis Pembaruan Keamanan untuk Kerentanan Tingkat Tinggi

by

Kemarin kerentanan OpenSSL ditandai sebagai patch tingkat kritis pertama sejak bug Heartbleed. Namun saat perbaikan dirilis, perbaikan keamanan berubah menjadi “Tinggi” untuk buffer overflow, yang memengaruhi semua instalasi OpenSSL 3.x tetapi tidak mungkin mengarah pada eksekusi kode jarak jauh.

Kerentanan spesifik tersebut adalah (CVE-2022-37786 dan CVE-2022-3602) sebagian besar tidak diketahui hingga hari ini, tetapi analis dan bisnis di bidang keamanan web mengisyaratkan mungkin ada masalah penting dan kesulitan pemeliharaan.

Beberapa distribusi Linux, termasuk Fedora, menahan rilis hingga patch tersedia. Akamai mencatat sebelum patch bahwa setengah dari jaringan yang dipantau memiliki setidaknya satu mesin dengan instance OpenSSL 3.x yang rentan, dan di antara jaringan tersebut, antara 0,2 dan 33 persen mesin rentan.

Namun kerentanan spesifik—keadaan terbatas, luapan sisi klien yang dimitigasi oleh tata letak stack pada sebagian besar platform modern kini ditambal, dan diberi peringkat sebagai “Tinggi”. Dan dengan OpenSSL 1.1.1 masih dalam fase dukungan jangka panjang, OpenSSL 3.x hampir tidak tersebar luas.

Pakar malware Marcus Hutchins menunjuk ke komit OpenSSL di GitHub yang merinci masalah kode: “memperbaiki dua buffer overflows dalam fungsi decoding kode kecil.” Alamat email berbahaya, yang diverifikasi dalam sertifikat X.509, dapat melebihi jumlah byte pada stack, yang mengakibatkan crash atau kemungkinan eksekusi kode jarak jauh, bergantung pada platform dan konfigurasi.

Tetapi kerentanan ini sebagian besar memengaruhi klien, bukan server, jadi jenis pengaturan ulang keamanan Internet (dan absurditas) yang sama dari Heartbleed kemungkinan tidak akan mengikuti. VPN yang menggunakan OpenSSL 3.x dapat terpengaruh, misalnya, dan bahasa seperti Node.js. Pakar keamanan siber Kevin Beaumont menunjukkan bahwa perlindungan stack overflow di sebagian besar konfigurasi default distribusi Linux seharusnya mencegah eksekusi kode.

Menurut tim keamanan OpenSSL, organisasi menguji dan memberikan umpan balik. Pada beberapa distribusi Linux, overflow 4-byte mungkin terjadi dengan satu serangan menimpa buffer yang berdekatan yang belum digunakan, sehingga tidak dapat merusak sistem atau mengeksekusi kode. Kerentanan lainnya hanya memungkinkan penyerang untuk mengatur panjang overflow, bukan konten.

Jadi sementara crash masih mungkin terjadi, dan beberapa stack dapat diatur dengan cara yang memungkinkan eksekusi kode jarak jauh. Namun, pengguna dari implementasi OpenSSL 3.x harus melakukan patch sesegera mungkin. Dan semua orang harus mencari pembaruan perangkat lunak dan OS yang dapat menambal masalah ini di berbagai subsistem.

Layanan pemantauan Datadog, dalam ringkasan masalah yang baik, mencatat bahwa tim peneliti keamanannya dapat membuat crash penerapan Windows menggunakan versi OpenSSL 3.x sebagai bukti konsep. Dan sementara penyebaran Linux tidak mungkin dieksploitasi, “eksploitasi yang dibuat untuk penyebaran Linux” masih bisa muncul.

National Cyber ​​Security Centrum of the Netherlands (NCSL-NL) memiliki daftar perangkat lunak yang rentan terhadap eksploitasi OpenSSL 3.x. Banyak distribusi Linux populer, platform virtualisasi, dan alat lainnya terdaftar sebagai rentan atau sedang diselidiki.

Meskipun terjadi pengurangan risiko pada kerentanan OpenSSl tetapi patch masih diperlukan karena kerentanan masih tersedia

Link patch: OpenSSL Update
Sumber: Arstechnica

Kekacauan verifikasi Twitter sekarang menjadi masalah keamanan siber

by

Penjahat dunia maya sudah memanfaatkan kekacauan verifikasi Twitter yang sedang berlangsung dengan mengirimkan email phishing yang dirancang untuk mencuri kata sandi pengguna tanpa disadari.

Kampanye email phishing mencoba untuk memikat pengguna Twitter agar memposting nama pengguna dan kata sandi mereka di situs web penyerang yang disamarkan sebagai formulir bantuan Twitter.

Email dikirim dari akun Gmail, dan tautan ke Google Documents dengan tautan lain ke Situs Google, yang memungkinkan pengguna meng-host konten web. Ini kemungkinan akan menciptakan beberapa lapisan kebingungan untuk mempersulit Google mendeteksi penyalahgunaan menggunakan alat pemindaian otomatisnya.

Tetapi halaman itu sendiri berisi bingkai yang disematkan dari situs lain, yang dihosting di host web Rusia Beget, yang meminta pegangan Twitter, kata sandi, dan nomor telepon pengguna cukup untuk mengkompromikan akun yang tidak menggunakan otentikasi dua faktor yang lebih kuat.

Google menghapus situs phishing beberapa saat setelah TechCrunch memberi tahu perusahaan.

Tangkapan layar email phishing yang dirancang untuk mencuri kredensial pengguna Twitter. Kredit Gambar: TechCrunch.

Kampanye ini tampak kasar, kemungkinan karena dengan cepat disatukan untuk memanfaatkan berita terbaru bahwa Twitter akan segera membebankan biaya bulanan kepada pengguna untuk fitur premium, termasuk verifikasi, serta kemungkinan yang dilaporkan untuk menghilangkan lencana terverifikasi dari pengguna Twitter yang tidak membayar.

Twitter belum membuat keputusan publik tentang masa depan program verifikasi, yang diluncurkan pada tahun 2009 untuk mengkonfirmasi keaslian akun Twitter tertentu, seperti tokoh masyarakat, selebriti dan pemerintah. Tapi itu jelas tidak menghentikan penjahat dunia maya bahkan di ujung yang berketerampilan lebih rendah dari mengambil keuntungan dari kurangnya informasi yang jelas dari Twitter sejak menjadi pribadi minggu ini setelah penutupan pengambilalihan $ 44 miliar Elon Musk.

Sumber: TechCrunch

Kerentanan OpenSSL Baru Akan Datang Bersiaplah untuk Menambal

by

Pada hari Selasa 1 November, antara pukul 1-5 sore UTC, versi baru dari seri OpenSSL 3.x yang diadopsi secara luas akan dirilis untuk konsumsi umum. Proyek OpenSSL mengungkapkan adanya kerentanan keamanan KRITIS baru yang diperbaiki pada patch ini.

Pemberitahuan lebih awal ini dirancang untuk memberikan sedikit waktu bagi organisasi dan individu untuk bersiap-siap menghadapi pembaruan penting yang akan datang. OpenSSL secara luas dianggap sebagai bagian dari infrastruktur penting internet antara lain menghasilkan sertifikat yang memungkinkan situs web dijalankan melalui HTTPS.

Pada saat penulisan, tampaknya hanya versi OpenSSL antara 3.0-> 3.0.6 yang terpengaruh, dan kerentanan keamanan kritis ini diperbaiki pada versi 3.0.7 mendatang. OpenSSL 3 diadopsi secara luas, tetapi survei saat ini menunjukkan bahwa itu masih jauh melebihi distribusi 1.x yang sebagian besar keluar dari LTS hari ini dan sepenuhnya setelah September 2023.

Namun, ada 62 paket pembungkus yang didistribusikan oleh ekosistem Java Open Source terbesar di dunia Maven Central yang mengemas ulang OpenSSL. Ini lebih sering dimasukkan ke proyek secara transitif atau diperlukan dari sistem oleh perangkat lunak. Memang, aplikasi apa pun yang menyediakan server web, atau menggunakan server web, dapat berjalan pada perangkat lunak server yang mengandalkan versi lama.

Kerentanan OpenSSL memiliki dampak yang luas yang bisa melupakan kerentanan Heartbleed terkenal yang memengaruhinya. Heartbleed memulai tren penamaan kerentanan keamanan dan secara luas dikreditkan telah memulai gerakan massal menuju kesadaran kerentanan keamanan di masyarakat umum.

Meskipun jumlah kode yang terpengaruh hari ini mungkin hanya menyentuh beberapa paket, kerentanan kritis seperti ini tidak pernah datang sendiri. Seringkali kelemahan serupa ditemukan kemudian baik terinspirasi oleh masalah asli atau menggunakan metodologi serupa. Menjalankan inventaris proaktif dari versi OpenSSL yang telah Anda instal dan mengidentifikasi sistem apa pun yang berjalan pada 3.x akan mempercepat upaya patching Anda.

Sama seperti kerentanan Text4shell minggu lalu, kerentanan keamanan terjadi terus-menerus di dunia open source dan beban tindakan terletak tepat pada pengadopsinya untuk bereaksi dengan cepat. Menurut laporan penelitian State of The Software Supply Chain, industri tidak pandai mengadopsi perbaikan dengan lebih dari 62% unduhan yang rentan dapat dihindari.

Sumber: Sonatype