Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Malware rasis memblokir The Pirate Bay dengan merusak file host Windows korban

by

Malware dicampur dengan julukan rasial mencoba untuk memblokir korban berbasis Windows dari mengunjungi situs berbagi file yang terkait dengan pelanggaran hak cipta, menurut penelitian Sophos baru.

Perangkat lunak berbahaya tersebut merupakan “proses konyol untuk memblokir orang agar tidak pergi ke Pirate Bay,” menurut peneliti Sophos Andrew Brandt, yang menemukan malware tersebut setelah seorang rekan menyebutkannya secara sepintas.

Alih-alih membuka pintu belakang untuk geng ransomware untuk mengeksploitasi atau menjatuhkan muatan berbahaya, malware ini hanya menenggelamkan banyak nama domain Pirate Bay dengan menambahkannya ke file host Windows dan mengarahkannya ke 127.0.0.1 – artinya mereka akan tidak dapat diakses dari mesin korban.

“Kami menemukannya dibagikan melalui BitTorrent,” Brandt menjelaskan kepada The Register. “Ini sangat aneh.”

The Pirate Bay adalah gudang terkenal file yang melanggar hak cipta, mulai dari film hingga game hingga perangkat lunak komersial. Banyak unggahan yang tersedia mengandung malware.

Perangkat lunak jahat Brandt menyamar sebagai salinan retak dari perangkat lunak sah yang tersedia untuk diunduh di BitTorrent atau sebagai tautan yang dibagikan di layanan obrolan-untuk-gamer Discord, yang juga memiliki CDN-nya sendiri yang relatif sedikit diketahui.

selengkapnya :

Peretas Molerat Kembali Dengan Serangan Baru yang Menargetkan Pemerintah Timur Tengah

by

Kelompok ancaman persisten lanjutan (APT) Timur Tengah telah muncul kembali setelah jeda dua bulan untuk menargetkan lembaga pemerintah di Timur Tengah dan entitas pemerintah global yang terkait dengan geopolitik di kawasan itu dalam serangkaian kampanye baru yang diamati awal bulan ini.

Firma keamanan perusahaan yang berbasis di Sunnyvale, Proofpoint, mengaitkan aktivitas tersebut dengan aktor ancaman bermotivasi politik yang dilacaknya sebagai TA402, dan dikenal oleh moniker lain seperti Molerats dan GazaHackerTeam.

Berdasarkan penargetan dan kampanye sebelumnya, TA402 diduga beroperasi dengan motif yang sejalan dengan tujuan militer atau negara Palestina. Pelaku ancaman diyakini aktif selama satu dekade, dengan sejarah organisasi penyerang yang berlokasi di Israel dan Palestina, dan mencakup berbagai bidang vertikal seperti teknologi, telekomunikasi, keuangan, akademisi, militer, media, dan pemerintah.

Tidak jelas apa yang mendorong kolektif untuk menghentikan operasinya selama dua bulan, tetapi peneliti Proofpoint berspekulasi bahwa baik bulan suci Ramadhan atau gejolak saat ini di wilayah tersebut dan kekerasan berikutnya pada bulan Mei mungkin telah berperan.

Gelombang serangan terbaru dimulai dengan email spear-phishing yang ditulis dalam bahasa Arab dan berisi lampiran PDF yang disematkan dengan URL geofenced berbahaya untuk secara selektif mengarahkan korban ke arsip yang dilindungi kata sandi hanya jika alamat IP sumber milik negara yang ditargetkan di Tengah Timur.

Penerima yang berada di luar kelompok sasaran dialihkan ke situs web umpan yang ramah, biasanya situs berita berbahasa Arab seperti Al Akhbar (www.al-akhbar.com) dan Al Jazeera (www.aljazeera.net).

selengkapnya : thehackernews.com

Langkah Pertama: Akses Awal Menyebabkan Ransomware

by

Serangan Ransomware masih menggunakan email — tetapi tidak seperti yang Anda kira. Operator Ransomware sering membeli akses dari kelompok penjahat cyber independen yang menyusup ke target utama dan kemudian menjual akses ke pelaku ransomware untuk mendapatkan keuntungan yang tidak semestinya. Kelompok ancaman kejahatan dunia maya yang telah mendistribusikan malware perbankan atau trojan lain juga dapat menjadi bagian dari jaringan afiliasi ransomware. Hasilnya adalah ekosistem kriminal yang kuat dan menguntungkan di mana individu dan organisasi yang berbeda semakin mengkhususkan diri pada keuntungan yang lebih besar untuk semua—kecuali, tentu saja, para korban.

Mencegah ransomware melalui email sangatlah mudah: blokir loader, dan Anda memblokir ransomware.

Biasanya, broker akses awal dipahami sebagai pelaku ancaman oportunistik yang memasok afiliasi dan pelaku ancaman kejahatan dunia maya lainnya, misalnya dengan mengiklankan akses untuk dijual di forum. Namun untuk tujuan laporan ini, kami menganggap pialang akses awal sebagai kelompok yang memperoleh akses awal melalui muatan malware tahap pertama dan mungkin atau mungkin tidak bekerja secara langsung dengan pelaku ancaman ransomware.

– Mencegah ransomware hari ini sebagian besar telah bergeser dari ancaman email langsung ke ancaman tidak langsung di mana email hanya bagian dari rantai serangan.
– Pelaku ancaman ransomware memanfaatkan perusahaan penjahat dunia maya – sebagian besar distributor trojan perbankan – untuk penyebaran malware. Fasilitator akses ini mendistribusikan backdoor mereka melalui tautan dan lampiran berbahaya yang dikirim melalui email.
– Trojan perbankan adalah malware paling populer yang didistribusikan melalui email, mewakili hampir 20% malware yang terlihat dalam data Proofpoint pada paruh pertama tahun 2021.
– Proofpoint saat ini melacak setidaknya 10 pelaku ancaman yang bertindak sebagai fasilitator akses awal atau kemungkinan afiliasi ransomware.
– Ransomware jarang didistribusikan langsung melalui email. Hanya satu jenis ransomware yang menyumbang 95% dari ransomware sebagai muatan email tahap pertama antara tahun 2020 dan 2021.
– Tidak ada hubungan 1:1 antara pemuat malware dan serangan ransomware. – Beberapa pelaku ancaman menggunakan muatan malware yang sama untuk distribusi ransomware.

selengkapnya : www.proofpoint.com

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

by

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

Bug yang Belum Ditambal Ditemukan Mengintai di Platform Penyediaan yang Digunakan dengan Cisco UC

by

Manajer Penyedia Akkadian, yang digunakan sebagai alat penyediaan pihak ketiga dalam lingkungan Cisco Unified Communications, memiliki tiga kerentanan keamanan tingkat tinggi yang dapat dirangkai bersama untuk mengaktifkan eksekusi kode jarak jauh (RCE) dengan hak istimewa yang lebih tinggi, kata para peneliti.

Mereka tetap tidak ditambal, menurut para peneliti di Rapid7 yang menemukannya.

Suite UC Cisco memungkinkan komunikasi VoIP dan video di seluruh jejak bisnis. Produk Akkadian adalah alat yang biasanya digunakan di perusahaan besar untuk membantu mengelola proses penyediaan dan konfigurasi semua klien dan instans UC, melalui otomatisasi.

Kerentanan tersebut, semua hadir dalam versi 4.50.18 dari platform Akkadia, adalah sebagai berikut:

  • CVE-2021-31579: Use of hard-coded credentials (ranking 8.2 out of 10 on the CVSS vulnerability-severity scale)
  • CVE-2021-31580 and CVE-2021-31581: Improper neutralization of special elements used in an OS command (using exec and vi commands, respectively; ranking 7.9)
  • CVE-2021-31582: Exposure of sensitive information to an unauthorized actor (ranking 7.9)

Menggabungkan CVE-2021-31579 dengan CVE-2021-31580 atau CVE-2021-31581 akan memungkinkan musuh yang tidak sah mendapatkan akses shell tingkat root ke perangkat yang terpengaruh, menurut Rapid7. Itu membuatnya mudah untuk menginstal cryptominers, keystroke logger, persisten shell, dan semua jenis malware berbasis Linux lainnya.

Selengkapnya: Threat Post

Microsoft: SEO poisoning digunakan untuk target backdoor dengan malware

by

Microsoft melacak serangkaian serangan yang menggunakan SEO poisoning untuk menginfeksi target dengan trojan akses jarak jauh (RAT) yang mampu mencuri informasi sensitif korban dan melakukan backdoor pada sistem mereka.

Malware yang dikirim dalam kampanye ini adalah SolarMarker (alias Jupyter, Polazert, dan Yellow Cockatoo), RAT .NET yang berjalan di memori dan digunakan oleh penyerang untuk menjatuhkan muatan lain pada perangkat yang terinfeksi.

SolarMarker dirancang untuk memberi masternya pintu belakang ke sistem yang disusupi dan mencuri kredensial dari browser web.

Data yang berhasil dipanen dari sistem yang terinfeksi dieksfiltrasi ke server perintah-dan-kontrol. Malware juga akan mendapatkan ketekunan dengan menambahkan dirinya ke folder Startup dan memodifikasi pintasan di desktop korban.

Pada bulan April, peneliti eSentire mengamati aktor ancaman di balik SolarMaker membanjiri hasil pencarian dengan lebih dari 100.000 halaman web yang mengklaim menyediakan formulir kantor gratis (misalnya, faktur, kuesioner, tanda terima, dan resume).

Dalam serangan terbaru yang ditemukan oleh Microsoft, penyerang telah beralih ke dokumen berisi kata kunci yang dihosting di AWS dan Strikingly, dan sekarang menargetkan sektor lain, termasuk keuangan dan pendidikan.

Setelah korban menemukan salah satu PDF perusak dan membukanya, mereka akan diminta untuk mengunduh dokumen PDF atau DOC lain yang berisi informasi yang mereka cari.

Alih-alih mendapatkan akses ke info, mereka diarahkan melalui beberapa situs web menggunakan .site, .tk, dan .ga TLD ke halaman web Google Drive yang dikloning di mana mereka menyajikan muatan terakhir, malware SolarMaker.

Selengkapnya: Bleeping Computer

Ransomware adalah ancaman keamanan siber teratas yang kita hadapi, kepala siber memperingatkan

by

Ransomware adalah salah satu ancaman keamanan siber utama yang dihadapi Inggris dan kelompok kriminal siber di belakang mereka menjadi lebih berbahaya, kepala siber Inggris memperingatkan.

Lindy Cameron, kepala Pusat Keamanan Siber Nasional (NCSC) akan mengatakan bahwa organisasi – lengan keamanan dunia maya dari agen mata-mata GCHQ – berkomitmen untuk mengatasi ancaman ransomware dan “mendukung korban ransomware setiap hari” tetapi respon yang terkoordinasi diperlukan untuk memerangi ancaman yang berkembang.

Sementara kampanye peretasan yang disponsori negara menimbulkan “ancaman strategis yang berbahaya bagi kepentingan nasional Inggris”, itu adalah kejahatan dunia maya – dan khususnya ransomware – yang telah menjadi ancaman terbesar.

Insiden baru-baru ini seperti serangan ransomware terhadap Colonial Pipeline dan pengolah daging JBS, serta serangan ransomware terhadap layanan kesehatan Irlandia, telah menunjukkan betapa mengganggu nya kampanye kriminal dunia maya ini terhadap layanan penting.

Tidak hanya kelompok ransomware kriminal dunia maya yang mengenkripsi jaringan dan menuntut pembayaran yang signifikan sebagai ganti kunci dekripsi, sekarang juga umum bagi mereka untuk juga mencuri informasi sensitif dan mengancam untuk melepaskannya kecuali uang tebusan dibayarkan – seringkali membuat korban merasa seolah-olah mereka tidak punya pilihan selain menyerah pada tuntutan pemerasan.

Namun, ransomware bukan hanya masalah bagi Inggris saja dan Cameron mendesak pentingnya bekerja sama dengan negara lain untuk mengatasi apa yang benar-benar menjadi masalah internasional ini.

Selengkapnya: ZDNet

Pelanggaran data Audi dan Volkswagen mempengaruhi 3,3 juta pelanggan

by

Audi dan Volkswagen telah mengalami pelanggaran data yang mempengaruhi 3,3 juta pelanggan setelah vendor mengekspos data yang tidak aman di Internet.

Volkswagen Group of America, Inc. (VWGoA) adalah anak perusahaan Amerika Utara dari Grup Volkswagen Jerman. Perusahaan tersebut bertanggung jawab atas operasi AS dan Kanada untuk Volkswagen, Audi, Bentley, Bugatti, Lamborghini, dan VW Credit, Inc.

Menurut pemberitahuan pelanggaran data yang diajukan ke kantor Kejaksaan Agung California dan Maine, VWGoA mengungkapkan bahwa vendor membiarkan data tanpa jaminan terbuka di Internet antara Agustus 2019 dan Mei 2021.

Pada tanggal 20 Maret, VWGoA diberitahu oleh vendor bahwa orang yang tidak berwenang telah mengakses data tersebut dan mungkin telah memperoleh informasi pelanggan untuk Audi, Volkswagen, dan beberapa dealer resmi.

VWGoA menyatakan bahwa pelanggaran tersebut melibatkan 3,3 juta pelanggan, dengan lebih dari 97% dari mereka yang terpengaruh terkait dengan pelanggan Audi dan pembeli yang tertarik.

Data yang diekspos bervariasi per pelanggan tetapi dapat berkisar dari informasi kontak hingga informasi yang lebih sensitif seperti nomor jaminan sosial dan nomor pinjaman.

Bagi 90.000 pelanggan yang memiliki informasi lebih sensitif, Volkswagen menyediakan perlindungan kredit gratis dan layanan pemantauan, termasuk $ 1 juta asuransi terhadap pencurian identitas.

VWGoA mulai memberi tahu pelanggan dan calon pelanggan yang terkena dampak kemarin melalui surat dan memperingatkan bahwa pelanggan harus waspada terhadap email, panggilan, atau teks yang mencurigakan.

Selengkapnya: Bleeping Computer