Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Bug WordPress Meledak pada 2021, Paling Bisa Dieksploitasi

by

Tahun lalu analis menemukan jumlah kerentanan plugin WordPress yang dapat dieksploitasi membludak.

Para peneliti dari RiskBased Security melaporkan mereka menemukan jumlah kerentanan Plugin WordPress naik tiga digit pada tahun 2021.

“10.359 kerentanan dilaporkan mempengaruhi plugin WordPress pihak ketiga pada akhir 2021,” tim RiskBased Security menjelaskan. “Dari jumlah tersebut, 2.240 kerentanan diungkapkan tahun lalu, yang merupakan peningkatan 142% dibandingkan dengan 2020.”

Lebih buruk lagi, dari kerentanan plugin WordPress tambahan, lebih dari tiga perempat (77 persen) telah mengetahui, eksploitasi publik.

Laporan tersebut menemukan bahwa 7.592 kerentanan WordPress dapat dieksploitasi dari jarak jauh; 7.993 memiliki eksploitasi publik; dan 4.797 kerentanan WordPress memiliki eksploitasi publik, tetapi tidak ada ID CVE.

Dengan kata lain, organisasi yang mengandalkan CVE tidak akan memiliki visibilitas ke 60 persen dari eksploitasi plugin WordPress yang dikenal publik, kata tim tersebut.

Fokus pada Eksploitabilitas Atas Skor CVSS

Respons yang tepat terhadap permukaan serangan WordPress yang muncul, menurut tim RiskBased, adalah pergeseran mendasar dari memprioritaskan sumber daya berdasarkan seberapa penting risiko bagi organisasi untuk berfokus pada bug yang paling mudah dieksploitasi.

“Rata-rata, skor CVSSv2 untuk semua kerentanan plugin WordPress adalah 5,5, yang oleh banyak kerangka VM saat ini dianggap sebagai risiko ‘moderat’, paling banter,” saran tim RiskBased Security. “Tetapi jika Anda membandingkan titik data ini dengan berita utama, Anda mungkin mengamati sedikit keterputusan antara praktik dan dampak Manajemen Kerentanan (VM) konvensional.”

Tim menunjuk pembaruan 10 Januari dari Cybersecurity and Infrastructure Security Agency (CISA) ke Binding Operational Directive yang menguraikan kerentanan dan ancaman aktif terhadap jaringan federal. Pembaruan ini juga memprioritaskan kerentanan yang mudah dieksploitasi daripada mereka yang memiliki skor CVSS yang lebih tinggi.

“Tim keamanan perlu memiliki pengetahuan tentang aset mereka, intelijen kerentanan komprehensif untuk semua masalah yang diketahui, dan metadata terperinci, yang memungkinkan mereka untuk memeriksa faktor-faktor seperti eksploitabilitas, untuk kemudian mengontekstualisasikan risiko yang ditimbulkannya terhadap lingkungan mereka.”

Sumber: Threatpost

NIST Memperbarui Pedoman Teknik Keamanan Siber

by

Dengan latar belakang peningkatan nasional risiko keamanan siber di semua industri, Institut Standar dan Teknologi Nasional memperbarui panduannya untuk para insinyur sistem.

Disebut sebagai “Sistem Aman yang Dapat Dipercaya Teknik,” dokumen tersebut berasal dari perintah eksekutif Presiden Joe Biden pada tahun 2021 yang bertujuan untuk meningkatkan pertahanan pemerintah federal setelah beberapa serangan skala besar terhadap infrastruktur penting.

Publikasi NIST adalah sumber daya untuk insinyur komputer dan profesional lainnya di sisi pemrograman upaya keamanan siber.

Mencakup lebih dari 200 halaman, publikasi ini mengambil pendekatan holistik untuk rekayasa sistem. Peneliti NIST memberikan gambaran tentang tujuan dan konsep sistem keamanan modern, terutama mengenai perlindungan aset digital sistem.

Salah satu pembaruan utama yang dibuat oleh penulis NIST dalam versi terbaru dari publikasi ini adalah penekanan baru pada jaminan keamanan. Dalam rekayasa sistem perangkat lunak, jaminan diwakili oleh bukti bahwa prosedur keamanan sistem yang diberikan cukup kuat untuk mengurangi kehilangan aset dan mencegah serangan dunia maya.

Ron Ross, seorang rekan NIST dan salah satu penulis dokumen tersebut, mengatakan kepada Nextgov bahwa jaminan sistem bertindak sebagai pembenaran bahwa sistem keamanan dapat beroperasi secara efektif.

Draf terbaru “Sistem Aman yang Dapat Dipercaya Teknik” juga melihat ke dalam elemen mendasar tentang bagaimana membangun desain aman yang dapat dipercaya, yang bergantung pada penghapusan proaktif atau mitigasi kerentanan. Ini juga mengkompilasi berbagai prinsip desain pengendalian kerugian dalam satu bagian dan menguraikan bagaimana masing-masing berfungsi.

“Membangun sistem yang aman dan dapat dipercaya tidak dapat terjadi dalam ruang hampa dengan pipa cerobong terisolasi untuk dunia maya, perangkat lunak, dan teknologi informasi,” catatan pedoman tersebut. “Sebaliknya, ini membutuhkan pendekatan holistik untuk perlindungan, pemikiran berbasis luas di semua aset di mana kerugian dapat terjadi, dan pemahaman tentang kesulitan, termasuk bagaimana musuh menyerang dan mengkompromikan sistem.”

NIST telah menerbitkan pedoman serupa dalam beberapa tahun terakhir. Pada tahun 2018, satu buku panduan berfokus pada bagaimana lembaga federal dapat mengamankan sistem teknologi informasi lama dari serangan siber. Dan pada Agustus 2021, para pejabat menerbitkan dokumen yang lebih luas tentang sistem ketahanan siber untuk organisasi sektor publik dan swasta.

Sumber : Nextgov

TellYouThePass ransomware kembali sebagai ancaman Golang lintas platform

by

TellYouThePass ransomware telah muncul kembali sebagai malware yang dikompilasi Golang, membuatnya lebih mudah untuk menargetkan lebih banyak sistem operasi, khususnya macOS dan Linux.

Kembalinya jenis malware ini terlihat bulan lalu, ketika pelaku ancaman menggunakannya bersama dengan eksploitasi Log4Shell untuk menargetkan mesin yang rentan.

Crowdstrike menjelaskan lebih banyak tentang pengembalian ini, dengan fokus pada perubahan tingkat kode yang membuatnya lebih mudah untuk dikompilasi untuk platform lain selain Windows.

Mengapa Golang?

Golang adalah bahasa pemrograman yang pertama kali diadopsi oleh pembuat malware pada tahun 2019 karena keserbagunaan lintas platformnya.

Golang memungkinkan pustaka dependensi lapisan ke dalam satu file biner, yang mengarah ke jejak yang lebih kecil dari komunikasi server perintah dan kontrol (C2), sehingga mengurangi tingkat deteksi.

Sampel TellYouThePass baru
Analis Crowdstrike melaporkan kesamaan kode sebesar 85% antara sampel Linux dan Windows dari TellYouThePass, menunjukkan penyesuaian minimal yang diperlukan untuk membuat ransomware berjalan di sistem operasi yang berbeda.

Functions on the Windows and Linux samples
Source: Crowdstrike

Satu perubahan penting dalam sampel ransomware terbaru adalah pengacakan nama semua fungsi selain dari yang ‘utama’, yang mencoba menggagalkan analisis.

Sebelum memulai rutinitas enkripsi, TellYouThePass mematikan tugas dan layanan yang dapat mempertaruhkan proses atau mengakibatkan enkripsi yang tidak lengkap, seperti klien email, aplikasi database, server web, dan editor dokumen.

Selain itu, beberapa direktori dikecualikan dari enkripsi untuk mencegah membuat sistem tidak dapat di-boot dan dengan demikian menyia-nyiakan kesempatan untuk mendapatkan bayaran.

Direktori dikecualikan dari enkripsi
Sumber: Crowdstrike

Catatan tebusan dijatuhkan dalam infeksi TellYouThePass baru-baru ini meminta 0,05 Bitcoin, saat ini dikonversi menjadi sekitar $2,150, sebagai ganti alat dekripsi.

Sumber : Bleeping Computer

Magniber ransomware menggunakan file APPX yang ditandatangani untuk menginfeksi sistem

by

Ransomware Magniber menggunakan file paket aplikasi Windows (.APPX) yang ditandatangani dengan sertifikat yang valid untuk menghapus malware yang berpura-pura sebagai pembaruan browser web Chrome dan Edge.

Metode distribusi ini menandai pergeseran dari pendekatan sebelumnya yang terlihat dengan aktor ancaman ini, yang biasanya bergantung pada eksploitasi kerentanan Internet Explorer.

Infeksi dimulai dengan mengunjungi situs web yang menjatuhkan muatan, para peneliti di perusahaan keamanan siber AhnLab mencatat dalam sebuah laporan yang diterbitkan hari ini.

Dua dari URL yang mendistribusikan payload adalah “hxxp://b5305c364336bqd.bytesoh.cam”, dan “hxxp://hadhill.quest/376s53290a9n2j”, tetapi ini mungkin bukan satu-satunya.

Pengunjung situs ini menerima peringatan untuk memperbarui browser Edge/Chrome mereka secara manual, dan ditawari file APPX untuk menyelesaikan tindakan.

Peringatan untuk mengunduh pembaruan Edge palsu
Sumber: ASEC

Dalam kasus ransomware Magniber, file APPX yang disamarkan ditandatangani secara digital dengan sertifikat yang valid, sehingga Windows melihatnya sebagai file tepercaya yang tidak memicu peringatan.

DLL code part responsible for downloading and decoding the payload
Source: ASEC

File-file ini menjalankan fungsi yang mengambil muatan ransomware Magniber, mendekodekannya, dan kemudian menjalankannya. Setelah mengenkripsi data pada sistem, ancaman membuat catatan tebusan berikut:

Magniber ransom note dropped onto encrypted systems
Source: ASEC

Meskipun catatan dalam bahasa Inggris, perlu dicatat bahwa ransomware Magniber menargetkan pengguna Asia secara eksklusif akhir-akhir ini. Saat ini tidak ada kemungkinan untuk mendekripsi file yang dikunci oleh malware ini secara gratis.

Tidak seperti kebanyakan operasi ransomware, Magniber tidak mengadopsi taktik pemerasan ganda, sehingga tidak mencuri file sebelum mengenkripsi sistem.

Mencadangkan data secara teratur adalah solusi yang baik untuk memulihkan dari serangan dengan ransomware tingkat rendah seperti Magniber.

Sumber : Bleeping Computer

Inggris memenjarakan pria karena memata-matai remaja, mencuri foto menggunakan RAT

by

Seorang pria Nottingham dipenjara minggu ini selama lebih dari dua tahun setelah meretas komputer dan telepon puluhan korban, beberapa di antaranya di bawah umur, dan memata-matai mereka menggunakan trojan akses jarak jauh (RAT).

Robert Davies, 32 tahun menggunakan profil media sosial online palsu dan akun Skype untuk memancing korbannya dan meretas perangkat mereka dengan mengirimkan tautan yang memungkinkannya menginfeksi mereka dengan RAT yang dikaburkan menggunakan crypters (ini membantu alat jahat menghindari alat deteksi anti-malware ).

“Dia kemudian menggunakan RAT untuk mendapatkan akses jarak jauh ke perangkat mereka dan mencuri gambar seksual (terutama wanita) yang mereka simpan di sana,” kata Badan Kejahatan Nasional Inggris dalam siaran pers.

Dia juga merupakan pelanggan “We Leak Info”, pasar online besar yang mengklaim menyediakan akses ke sekitar 12,5 miliar catatan yang dicuri dari pelanggaran data sebelum dihapus oleh penegak hukum pada Januari 2020.

Davies menggunakan aksesnya ke komputer dan telepon korban untuk mencuri dan membangun koleksi ekstensif gambar orang dewasa dan anak-anak yang tidak senonoh (penyelidik menemukan lusinan gambar dan video anak-anak saat menganalisis data di komputer yang disita).

Davies hanya mendarat di radar NCA setelah penyelidik melihatnya membeli berbagai alat kejahatan dunia maya secara online, termasuk RAT dan crypter yang kemudian dia gunakan untuk berkompromi dan mengakses perangkat korbannya dari jarak jauh.

“Yang lebih mengganggu adalah fakta bahwa setidaknya salah satu korbannya adalah seorang remaja dan kami menemukan koleksi gambar dan video pelecehan seksual anak di komputernya.”

Davies minggu ini dijatuhi hukuman 26 bulan penjara setelah mengaku bersalah atas 24 pelanggaran Undang-Undang Penyalahgunaan Komputer, memiliki dan membuat gambar anak-anak yang tidak senonoh, dan memiliki gambar-gambar porno yang ekstrim.

“Secara total petugas NCA mengidentifikasi dan mengunjungi lebih dari 30 korban Davies selama penyelidikan,” tambah NCA.

Hukuman itu dijatuhkan setelah ditangkap tiga kali selama hampir dua tahun, antara November 2019 dan Agustus 2021, setiap kali didakwa atas pelanggaran tambahan saat petugas menganalisis informasi yang dikumpulkan dari perangkatnya.

Sumber : Bleeping Computer

Serangan ransomware membuat penjara New Mexico offline, membuat narapidana terkunci

by

Serangan ransomware minggu lalu telah membuat penjara area Albuquerque tanpa akses ke umpan kameranya dan membuat mekanisme pintu otomatis tidak dapat digunakan. Akibatnya, narapidana dikurung di sel mereka, sementara teknisi berjuang untuk mengembalikan sistem online.

Seperti yang pertama kali dilaporkan oleh Source New Mexico, akses pengunjung ke Pusat Penahanan Metropolitan sepenuhnya ditangguhkan karena penjara dikunci. Semua layanan internet di penjara juga dimatikan, membuat staf tidak dapat mencari catatan narapidana.

Berdasarkan kurangnya liputan kamera, semua narapidana di dalam fasilitas tersebut dikunci sejak pagi hari tanggal 5 Januari. Selain itu database pelacakan insiden yang berisi semua laporan pertempuran, penggunaan kekuatan, dan tuduhan penyerangan seksual tidak tersedia dan diyakini telah dirusak oleh serangan tersebut.

Pusat penahanan hanyalah satu titik dampak dalam serangan ransomware yang lebih besar yang melanda Bernalillo County, daerah terpadat di New Mexico, pada tanggal 5 Januari. Pegawai kabupaten tidak dapat mengakses basis data pemerintah daerah, dan semua kantor publik ditutup sementara. Siaran pers tertanggal 10 Januari mencatat bahwa kantor pusat kantor daerah masih dibuka kembali sebagian.

Penguncian yang tidak terduga menempatkan penjara dalam potensi pelanggaran persyaratan penyelesaian dalam gugatan atas kondisi kurungan, memaksa Bernalillo County untuk mengajukan pemberitahuan darurat di pengadilan federal. Sebuah kesepakatan penyelesaian dari gugatan tahun 1995 mengharuskan penjara daerah untuk mengadopsi protokol baru dalam menanggapi keluhan yang lebih luas tentang kepadatan penduduk dan kondisi lainnya, termasuk jaminan bahwa narapidana diberikan akses reguler ke telepon dan perangkat komunikasi lainnya.

Tetapi kegagalan total jaringan komputer internal penjara dapat memaksa fasilitas tersebut untuk melanggar perjanjian itu.

Rahn mengatakan dia tidak segera dapat dihubungi untuk dimintai komentar. Email dan pesan suara yang dikirim ke pejabat Bernalillo County belum dijawab pada saat pers.

Ransomware semakin dilihat sebagai salah satu ancaman utama yang dihadapi bisnis swasta dan institusi pemerintah di seluruh AS. Tahun lalu Departemen Kehakiman membentuk Ransomware dan Satuan Tugas Pemerasan Digital untuk mengoordinasikan pembagian informasi antara divisi DOJ dan dengan lembaga luar, menandakan pendekatan baru untuk mengatasi masalah tersebut. Meskipun demikian, laporan dari Departemen Keuangan AS memperkirakan bahwa pembayaran ransomware untuk tahun 2021 masih akan melampaui semua rekor sebelumnya.

Selengkapnya : The Verge

Backdoor Baru SysJoker Menargetkan Windows, macOS, dan Linux

by

Sebuah malware backdoor multi-platform baru bernama ‘SysJoker’ telah muncul di alam liar, menargetkan Windows, Linux, dan macOS dengan kemampuan untuk menghindari deteksi pada ketiga sistem operasi.

Penemuan malware baru ini berasal dari para peneliti di Intezer yang pertama kali melihat tanda-tanda aktivitasnya pada Desember 2021 setelah menyelidiki serangan terhadap server web berbasis Linux.

Unggahan pertama sampel malware pada VirusTotal terjadi pada H2 2021, yang juga sejalan dengan waktu pendaftaran domain C2.

Analis keamanan sekarang telah menerbitkan laporan teknis terperinci tentang SysJoker, yang mereka bagikan dengan Bleeping Computer sebelum dipublikasikan.

Joker yang tidak suka menarik perhatian

Malware ini ditulis dalam C ++, dan sementara setiap varian disesuaikan untuk sistem operasi yang ditargetkan, semuanya tidak terdeteksi pada VirusTotal, situs pemindaian malware online yang menggunakan 57 mesin deteksi antivirus yang berbeda.

Pada Windows, SysJoker menggunakan dropper tahap pertama dalam bentuk DLL, yang menggunakan perintah PowerShell untuk melakukan hal berikut:

  • mengambil SysJoker ZIP dari repositori GitHub,
  • unzip pada “C:ProgramDataRecoverySystem”,
  • mengeksekusi payload.

Malware kemudian tidur hingga dua menit sebelum membuat direktori baru dan menyalin dirinya sebagai Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Selanjutnya, SysJoker akan mengumpulkan informasi tentang mesin menggunakan perintah Living off the Land (LOtL). SysJoker menggunakan file teks sementara yang berbeda untuk mencatat hasil perintah,” jelas laporan Intezer.

File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama “microsoft_Windows.dll”.

Setelah mengumpulkan data sistem dan jaringan, malware akan menciptakan kegigihan dengan menambahkan kunci registri baru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Waktu tidur acak diselingi di antara semua fungsi yang mengarah ke titik ini.

Langkah selanjutnya untuk malware adalah menjangkau server C2 yang dikendalikan aktor, dan untuk ini, ia menggunakan tautan Google Drive yang dikodekan dengan kode keras.

Tautan ini menghosting file “domain.txt” yang diperbarui oleh para aktor secara teratur untuk menyediakan server yang tersedia ke suar langsung. Daftar ini terus berubah untuk menghindari deteksi dan pemblokiran.

Informasi sistem yang dikumpulkan pada tahap pertama infeksi dikirim sebagai jabat tangan pertama ke C2. C2 menjawab dengan token unik yang berfungsi sebagai pengenal titik akhir yang terinfeksi.

Dari sana, C2 dapat menginstruksikan backdoor untuk menginstal malware tambahan, menjalankan perintah pada perangkat yang terinfeksi, atau memerintahkan backdoor untuk menghapus dirinya dari perangkat. Namun, dua instruksi terakhir itu belum dilaksanakan.

Deteksi dan pencegahan

Intezer telah memberikan indikator kompromi penuh (IOCs) dalam laporan mereka yang dapat digunakan admin untuk mendeteksi keberadaan SysJoker pada perangkat yang terinfeksi.

Di bawah ini, kami telah menguraikan beberapa IOC untuk setiap sistem operasi.

Pada Windows, file malware terletak di bawah folder “C:ProgramDataRecoverySystem”, di C:ProgramDataSystemDataigfxCUIService.exe, dan C:ProgramDataSystemDatamicrosoft_Windows.dll. Untuk ketekunan, malware menciptakan nilai Autorun “Run” dari “igfxCUIService” yang meluncurkan igfxCUIService.exe malware executable.

Di Linux, file dan direktori dibuat di bawah “/. Perpustakaan / “sementara ketekunan didirikan dengan menciptakan pekerjaan cron berikut: @reboot (/. Library/SystemServices/updateSystem).

Di macOS, file dibuat pada “/Library/” dan kegigihan dicapai melalui LaunchAgent di bawah jalur: /Library/LaunchAgents/com.apple.update.plist.

Domain C2 yang dibagikan dalam laporan Intezer adalah sebagai berikut:

https[://]bookitlab[.] Tech
https[://]winaudio-tools[.] Com
https[://]graphic-updater[.] Com
https[://]github[.] url-mini[.] Com
https[://]office360-update[.] Com
https[://]drive[.] google[.] com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.] google[.] com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Jika Anda menemukan bahwa Anda telah dikompromikan oleh SysJoker, ikuti tiga langkah ini:

  • Matikansemua proses yang terkait dengan malware dan secara manual menghapus file.
  • Jalankan pemindai memori untuk memastikan bahwa semua file berbahaya telah dicabut dari sistem yang terinfeksi.
  • Selidiki titik masuk potensial, periksa konfigurasi firewall, dan perbarui semua alat perangkat lunak ke versi terbaru yang tersedia.

Sumber: Bleepingcomputer

Versi malware RedLine baru menyebar sebagai penghitung stat Omicron palsu

by

Varian baru pencuri info RedLine didistribusikan melalui email menggunakan aplikasi penghitung statistik Omicron COVID-19 palsu sebagai iming-iming.

RedLine adalah malware komoditas tersebar luas yang dijual ke penjahat dunia maya seharga beberapa ratus USD. Ini memasok pasar web gelap dengan lebih dari setengah kredensial pengguna yang dicuri dijual ke aktor ancaman lainnya.

RedLine menargetkan kredensial akun pengguna yang disimpan di browser, kata sandi VPN, detail kartu kredit, cookie, konten IM, kredensial FTP, data dompet cryptocurrency, dan informasi sistem.

Varian baru telah menambahkan beberapa poin informasi untuk dieksfiltrasi, seperti:

  • Nama kartu grafis
  • Produsen BIOS, kode identifikasi, nomor seri, tanggal rilis, dan versi
  • Pabrikan disk drive, model, total head, dan tanda tangan
  • Informasi prosesor (CPU) seperti ID unik, ID prosesor, pabrikan, nama, kecepatan clock maks, dan informasi motherboard
  • Data ini diambil pada eksekusi pertama dari iming-iming “Omicron Stats.exe”, yang membongkar malware dan memasukkannya ke dalam vbc.exe.

Aplikasi tambahan yang ditargetkan oleh varian RedLine baru adalah browser web Opera GX, OpenVPN, dan ProtonVPN.

Versi RedLine sebelumnya menargetkan Opera biasa, tetapi GX adalah edisi khusus “berfokus pada gamer” yang semakin populer.

Selain itu, malware sekarang mencari folder Telegram untuk menemukan gambar dan riwayat percakapan dan mengirimnya kembali ke server pelaku ancaman.

Terakhir, sumber daya Discord lokal diperiksa lebih ketat untuk menemukan dan mencuri token akses, log, dan file database.

Varian RedLine baru mencari log Discord
Sumber: Fortinet

Saat menganalisis kampanye baru, para peneliti menemukan alamat IP di Inggris Raya yang berkomunikasi dengan server perintah dan kontrol melalui layanan pesan Telegram.

Para korban tersebar di 12 negara, dan serangan tidak terfokus pada organisasi atau individu tertentu.

“Varian ini menggunakan 207[.]32.217.89 sebagai server C2-nya melalui port 14588. IP ini dimiliki oleh 1gservers,” jelas laporan Fortinet

Sumber : Bleeping Computer