Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel

Apple mengajukan gugatan terhadap NSO Group, mengatakan warga AS menjadi target

by

23 November (Reuters) – Apple Inc (AAPL.O) mengatakan pada Selasa bahwa pihaknya telah mengajukan gugatan terhadap perusahaan siber Israel NSO Group dan perusahaan induknya OSY Technologies atas dugaan pengawasan dan penargetan pengguna Apple AS dengan spyware Pegasus-nya.

Dalam pengaduannya yang diajukan di Pengadilan Distrik AS untuk Distrik Utara California, Apple mengatakan alat NSO digunakan dalam “upaya bersama pada tahun 2021 untuk menargetkan dan menyerang pelanggan Apple” dan bahwa “warga AS telah diawasi oleh spyware NSO pada perangkat seluler yang dapat dan melakukan lintas batas internasional.”

Apple menuduh bahwa NSO Group membuat lebih dari 100 kredensial pengguna ID Apple palsu untuk melakukan serangannya. Apple mengatakan bahwa servernya tidak diretas, tetapi NSO menyalahgunakan dan memanipulasi server untuk mengirimkan serangan ke pengguna Apple.

Apple juga menuduh bahwa NSO Group terlibat langsung dalam menyediakan layanan konsultasi untuk serangan tersebut, yang patut diperhatikan karena NSO telah menyatakan bahwa mereka menjual alatnya kepada klien.

“Terdakwa memaksa Apple untuk terlibat dalam perlombaan senjata terus-menerus: Bahkan saat Apple mengembangkan solusi dan meningkatkan keamanan perangkatnya, Tergugat terus memperbarui malware dan eksploitasi mereka untuk mengatasi peningkatan keamanan Apple sendiri,” kata Apple.

Apple mengatakan sejauh ini tidak melihat bukti alat NSO digunakan terhadap perangkat Apple yang menggunakan iOS 15, versi terbaru dari sistem operasi selulernya.

Pembuat iPhone mengatakan bahwa mereka akan mendonasikan $10 juta, serta semua ganti rugi yang dipulihkan dalam gugatan, kepada kelompok penelitian pengawasan siber termasuk Citizen Lab, kelompok Universitas Toronto yang pertama kali menemukan serangan NSO.

Selengkapnya: Reuters

“Zero-day” pada Windows 10 yang baru memberikan hak admin, mendapat tambalan tidak resmi

by

Patch tidak resmi gratis telah dirilis untuk melindungi pengguna Windows dari kerentanan zero-day local privilege escalation (LPE) di Layanan Manajemen Perangkat Seluler yang berdampak pada Windows 10, versi 1809 dan yang lebih baru.

Cacat keamanan berada di bawah pengaturan “Akses kantor atau sekolah”, dan melewati patch yang dirilis oleh Microsoft pada bulan Februari untuk mengatasi bug pengungkapan informasi yang dilacak sebagai CVE-2021-24084.

Namun, peneliti keamanan Abdelhamid Naceri (yang juga melaporkan kerentanan awal) menemukan bulan ini bahwa cacat yang tidak sepenuhnya ditambal juga dapat dieksploitasi untuk mendapatkan hak admin setelah mengungkapkan bug yang baru ditemukan pada bulan Juni secara publik.

“Yaitu, seperti yang diajarkan HiveNightmare/SeriousSAM kepada kami, pengungkapan file sewenang-wenang dapat ditingkatkan ke eskalasi hak istimewa lokal jika Anda tahu file mana yang harus diambil dan apa yang harus dilakukan dengannya,” co-founder 0patch Mitja Kolsek menjelaskan hari ini.

“Kami mengkonfirmasi ini dengan menggunakan prosedur yang dijelaskan dalam posting blog ini oleh Raj Chandel sehubungan dengan bug Abdelhamid – dan dapat menjalankan kode sebagai administrator lokal.”

Sementara Microsoft kemungkinan besar juga memperhatikan pengungkapan Naceri pada bulan Juni, perusahaan tersebut belum menambal bug LPE ini, mengekspos sistem Windows 10 dengan pembaruan keamanan November 2021 terbaru untuk serangan.

Selengkapnya: Bleeping Computer

AS, Inggris, dan Australia Peringatkan Peretas Iran yang Mengeksploitasi Microsoft, Kelemahan Fortinet

by

Badan keamanan siber dari Australia, Inggris, dan AS pada hari Rabu (17/11/2021) merilis peringatan peringatan bersama tentang eksploitasi aktif kerentanan Fortinet dan Microsoft Exchange ProxyShell oleh aktor yang disponsori negara Iran untuk mendapatkan akses awal ke sistem yang rentan untuk kegiatan lanjutan, termasuk eksfiltrasi data dan ransomware.

Pelaku ancaman diyakini telah memanfaatkan beberapa kerentanan Fortinet FortiOS sejak Maret 2021 serta kelemahan eksekusi kode jarak jauh yang memengaruhi Microsoft Exchange Server setidaknya sejak Oktober 2021, menurut Badan Keamanan Siber dan Infrastruktur AS (CISA), Federal Biro Investigasi (FBI), Pusat Keamanan Siber Australia (ACSC), dan Pusat Keamanan Siber Nasional Inggris (NCSC).

Badan-badan tersebut tidak mengaitkan kegiatan tersebut dengan aktor ancaman persisten lanjutan (APT) tertentu. Korban yang ditargetkan termasuk organisasi Australia dan berbagai entitas di berbagai sektor infrastruktur penting AS, seperti transportasi dan perawatan kesehatan. Daftar kelemahan yang dieksploitasi ada di bawah ini:

  • CVE-2021-34473 (skor CVSS: 9.1) – kerentanan eksekusi kode jarak jauh Microsoft Exchange Server (alias “ProxyShell”)
  • CVE-2020-12812 (skor CVSS: 9,8) – FortiOS SSL VPN 2FA bypass dengan mengubah kasus nama pengguna
  • CVE-2019-5591 (skor CVSS: 6,5) – Konfigurasi default FortiGate tidak memverifikasi identitas server LDAP
  • CVE-2018-13379 (skor CVSS: 9,8) – Kebocoran file sistem FortiOS melalui SSL VPN melalui permintaan sumber daya HTTP yang dibuat khusus

Sebagai mitigasi, agensi merekomendasikan organisasi untuk segera menambal perangkat lunak yang terpengaruh oleh kerentanan yang disebutkan di atas, menegakkan prosedur pencadangan dan pemulihan data, menerapkan segmentasi jaringan, mengamankan akun dengan otentikasi multi-faktor, dan menambal sistem operasi, perangkat lunak, dan firmware saat dan ketika pembaruan dilepaskan.

Selengkapnya: The Hacker News

Peretas Crypto Menggunakan Babadeda Crypter untuk Membuat Malware Mereka Tidak Terdeteksi

by

Kampanye malware baru telah ditemukan menargetkan cryptocurrency, non-fungible token (NFT), dan penggemar DeFi melalui saluran Discord untuk menyebarkan crypter bernama “Babadeda” yang mampu melewati solusi antivirus dan melakukan berbagai serangan.

“Penginstal malware ini telah digunakan dalam berbagai kampanye baru-baru ini untuk mengirimkan pencuri informasi, RAT, dan bahkan ransomware LockBit,” kata peneliti Morphisec dalam laporan yang diterbitkan minggu ini. Serangan distribusi malware dikatakan telah dimulai pada Mei 2021.

Crypters adalah jenis perangkat lunak yang digunakan oleh penjahat dunia maya yang dapat mengenkripsi, mengaburkan, dan memanipulasi kode berbahaya sehingga tampak tidak berbahaya dan membuatnya lebih sulit untuk dideteksi oleh program keamanan — cawan suci bagi pembuat malware.

Infiltrasi yang diamati oleh Morphisec melibatkan aktor ancaman yang mengirim pesan umpan ke calon pengguna di saluran Discord terkait dengan game berbasis blockchain seperti Mines of Dalarnia, mendesak mereka untuk mengunduh aplikasi.

Jika korban mengeklik URL yang disematkan di dalam pesan, individu tersebut akan diarahkan ke domain phishing yang dirancang menyerupai situs web sah game dan menyertakan tautan ke penginstal jahat yang berisi sandi Babadeda.

Setelah dieksekusi, penginstal memicu urutan infeksi yang memecahkan kode dan memuat muatan terenkripsi, dalam hal ini BitRAT dan Remcos, untuk memanen informasi berharga.

Morphisec mengaitkan serangan itu dengan aktor ancaman dari negara berbahasa Rusia, karena teks bahasa Rusia yang ditampilkan di salah satu situs umpan. Sebanyak 84 domain berbahaya, yang dibuat antara 24 Juli 2021, dan 17 November 2021, telah diidentifikasi hingga saat ini.

Selengkapnya: The Hacker News

Malware Linux Baru Bersembunyi di Cron Jobs Dengan Tanggal yang Tidak Valid

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru untuk Linux yang membuat profil hampir tidak terlihat dengan bersembunyi di tugas yang dijadwalkan untuk dieksekusi pada hari yang tidak ada, 31 Februari.

Dijuluki CronRAT, malware saat ini menargetkan toko web dan memungkinkan penyerang mencuri data kartu kredit dengan menggunakan skimmer pembayaran online di server Linux.

Dicirikan oleh kecerdikan dan kecanggihan, sejauh menyangkut malware untuk toko online, CronRAT tidak terdeteksi oleh banyak mesin antivirus.

CronRAT menyalahgunakan sistem penjadwalan tugas Linux, cron, yang memungkinkan penjadwalan tugas berjalan pada hari yang tidak ada dalam kalender, seperti 31 Februari.

Sistem cron Linux menerima spesifikasi tanggal selama mereka memiliki format yang valid, meskipun hari tidak ada di kalender – yang berarti bahwa tugas yang dijadwalkan tidak akan dijalankan.

Inilah yang diandalkan CronRAT untuk mencapai silumannya. Sebuah laporan hari ini dari perusahaan keamanan siber Belanda Sansec menjelaskan bahwa mereka menyembunyikan “program Bash yang canggih” dalam nama tugas yang dijadwalkan.

“CronRAT menambahkan sejumlah tugas ke crontab dengan spesifikasi tanggal yang aneh: 52 23 31 2 3. Baris-baris ini valid secara sintaksis, tetapi akan menghasilkan kesalahan waktu proses saat dijalankan. Namun, hal ini tidak akan pernah terjadi karena mereka dijadwalkan untuk berjalan pada tanggal 31 Februari,” jelas Peneliti Sansec.

Payload dikaburkan melalui beberapa lapisan kompresi dan pengkodean Base64. Dibersihkan, kode tersebut mencakup perintah untuk penghancuran diri, modulasi waktu, dan protokol khusus yang memungkinkan komunikasi dengan server jarak jauh.

Sansec mencatat bahwa teknik eksekusi baru CronRAT juga melewati algoritma pendeteksiannya, eComscan, dan para peneliti harus menulis ulang untuk menangkap ancaman baru.

Selengkapnya: Bleeping Computer

Sistem E-Mail IKEA Terkena Serangan Siber Yang Sedang Berlangsung

by

Dalam email internal yang dilihat oleh BleepingComputer, IKEA memperingatkan karyawan tentang serangan cyber phishing reply-chain yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.

“Ada serangan cyber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA,” jelas email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.

“Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati.”

Tim TI IKEA memperingatkan karyawan bahwa email reply-chain berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.

Pelaku ancaman baru-baru ini mulai mengkompromikan server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.

Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan berantai balasan terhadap karyawan menggunakan email perusahaan yang dicuri.

Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.

Selengkapnya: Bleeping Computer

Kampanye malware Discord menargetkan komunitas crypto dan NFT

by

Kampanye malware baru di Discord menggunakan crypter Babadeda untuk menyembunyikan malware yang menargetkan komunitas crypto, NFT, dan DeFi.

Babadeda adalah crypter yang digunakan untuk mengenkripsi dan mengaburkan muatan berbahaya dalam installer atau program aplikasi yang tidak berbahaya.

Mulai Mei 2021, aktor ancaman telah mendistribusikan trojan akses jarak jauh yang dikaburkan oleh Babadeda sebagai aplikasi yang sah di channel Discord bertema kripto.

Karena obfuscation yang kompleks, ia memiliki tingkat deteksi AV yang sangat rendah, dan menurut para peneliti di Morphisec, tingkat infeksinya meningkat pesat.

Rantai pengiriman dimulai di channel Discord publik yang memiliki audiens yang berfokus pada kripto, seperti penurunan NFT baru atau diskusi mata uang kripto.

Pelaku ancaman memposting di channel ini atau mengirim pesan pribadi ke calon korban, mengundang mereka untuk mengunduh game atau aplikasi.

Dalam beberapa kasus, para aktor meniru proyek perangkat lunak blockchain yang ada seperti game “Tambang Dalarna”.

Jika pengguna tertipu dan mengklik URL yang disediakan, mereka akan berakhir di situs umpan yang menggunakan domain cybersquatted yang mudah dilewati sebagai domain asli.

Domain ini menggunakan sertifikat LetsEncrypt yang valid dan mendukung koneksi HTTPS, sehingga semakin sulit bagi pengguna yang ceroboh untuk menyadari bahwa ini adalah penipuan.

Malware diunduh setelah mengklik tombol “Mainkan Sekarang” atau “Unduh aplikasi” di situs yang sudah dibuat oleh penyerang, bersembunyi dalam bentuk file DLL dan EXE di dalam arsip yang sekilas tampak seperti folder aplikasi biasa.

Jika pengguna mencoba untuk menjalankan installer, mereka akan menerima pesan kesalahan palsu untuk menipu korban agar berpikir bahwa tidak ada yang terjadi.

Namun, di latar belakang, eksekusi malware berlanjut, membaca langkah-langkah dari file XML untuk mengeksekusi utas baru dan memuat DLL yang akan menerapkan persistence.

Selengkapnya: Bleeping Computer