Threat

Serangan Colonial Pipeline meningkatkan permainan ransomware

May 11, 2021 by Mally

Pada hari Jumat, Perusahaan Colonial Pipeline menemukan bahwa mereka telah terkena serangan ransomware.

Bertanggung jawab untuk mengirimkan gas, minyak pemanas, dan bentuk minyak bumi lainnya ke rumah dan organisasi, perusahaan tersebut menyumbang 45% dari bahan bakar Pantai Timur. Serangan tersebut memaksa Colonial Pipeline untuk mematikan sistem tertentu, menghentikan sementara semua operasi pipeline.

Dalam sebuah pernyataan yang dirilis pada hari Minggu, perusahaan mengatakan bahwa mereka menyewa perusahaan keamanan siber pihak ketiga untuk menyelidiki serangan itu dan menghubungi penegak hukum serta lembaga federal, termasuk Departemen Energi. Selain menangani insiden itu sendiri, Colonial Pipeline juga siap untuk menjalankan operasinya kembali online dengan aman dan terjamin.

James Shank, ketua komite Ransomware Task Force (RTF) untuk skenario terburuk, mengatakan bahwa jenis serangan terhadap infrastruktur atau layanan kritis ini menunjukkan munculnya ransomware sebagai ancaman terhadap keamanan nasional, terutama saat kita terus bergulat dengan COVID-19.

Colonial Pipeline telah mengontrak firma keamanan FireEye Mandiant untuk menyelidiki serangan itu. Seorang juru bicara FireEye mengatakan kepada TechRepublic bahwa perusahaan tidak mengomentari insiden tersebut pada saat ini. Sementara itu, FBI telah menunjuk geng ransomware DarkSide sebagai penyebab di balik serangan ini.

Selengkapnya: Tech Republic

Celah Keamanan Baru TsuNAME Dapat Membiarkan Penyerang Menghancurkan Server DNS Authoritative

May 10, 2021 by Mally

Peneliti keamanan pada hari Kamis mengungkapkan kerentanan kritis baru yang memengaruhi resolver Domain Name System (DNS) yang dapat dimanfaatkan oleh musuh untuk melakukan serangan denial-of-service berbasis refleksi terhadap authoritative nameservers.

Celah keamanan, yang disebut ‘TsuNAME,’ ditemukan oleh peneliti dari SIDN Labs dan InternetNZ, yang mengelola domain internet tingkat atas nasional ‘.nl’ dan ‘.nz’ masing-masing untuk Belanda dan Selandia Baru.

Dengan TsuNAME, idenya adalah bahwa kesalahan konfigurasi selama pendaftaran domain dapat membuat putaran ketergantungan sehingga record nameserver untuk dua zona menunjuk satu sama lain, menyebabkan resolver yang rentan untuk “hanya memantul kembali dari zona ke zona, mengirimkan kueri non-stop ke server authoritative dari kedua zona induk,” sehingga membanjiri server authoritative zona induk mereka.

Data yang dikumpulkan dari domain .nz menemukan bahwa dua domain yang salah dikonfigurasi saja menyebabkan peningkatan 50% dalam keseluruhan volume lalu lintas untuk server authoritative .nz.

Google Public DNS (GDNS) dan Cisco OpenDNS – yang disalahgunakan untuk menargetkan domain .nz dan .nl pada tahun 2020 – telah mengatasi masalah ini di perangkat lunak resolver DNS mereka.

Untuk mengurangi dampak TsuNAMI di alam liar, para peneliti telah menerbitkan alat sumber terbuka yang disebut CycleHunter yang memungkinkan operator server DNS authoritative untuk mendeteksi putaran ketergantungan.

Selengkapnya: The Hacker News

Bagaimana APT Kimsuky Korea Utara Mengembangkan Taktiknya

May 9, 2021 by Mally

Grup APT Korea Utara Kimsuky mengadopsi taktik, teknik, dan prosedur baru dalam serangan global, lapor peneliti yang temuannya menunjukkan operasi grup memiliki perbedaan yang cukup untuk menjamin pemisahannya menjadi dua subkelompok yang lebih kecil: CloudDragon dan KimDragon.

Kimsuky bukanlah kelompok baru tetapi telah mengadopsi metode baru untuk mendukung misinya dalam mengumpulkan intelijen. Peringatan pemerintah AS yang dikeluarkan pada Oktober 2020 melaporkan bahwa grup tersebut telah beroperasi sejak 2012 dan sering menggunakan rekayasa sosial, spear-phishing, dan serangan lubang air untuk mengumpulkan informasi dari target yang sebagian besar berlokasi di Korea Selatan, Jepang, dan AS.

Sebuah tim peneliti yang mengamati kelompok APT Korea Utara telah mengumpulkan bukti yang menunjukkan ada beberapa perbedaan signifikan dalam cara berbagai aspek Kimsuky beroperasi. Hari ini di acara virtual Black Hat Asia, Jhih-Lin Kuo dan Zin-Cing Lao, keduanya peneliti intelijen ancaman senior di TeamT5, membagi kelompok menjadi dua kelompok kecil berdasarkan target, malware, dan infrastruktur mereka, dan berbagi detail tentang bagaimana operasi kelompok telah berkembang.

Grup Kimsuky yang diungkapkan Kaspersky pada tahun 2013 telah dijuluki KimDragon oleh tim; Kimsuky yang lebih dikenal publik yang terlihat di berita utama dan laporan vendor adalah CloudDragon.

selengkapnya : beta.darkreading.com

Fasilitas Riset Terkena Ransomware Setelah Siswa Menginstal Software Bajakan

May 7, 2021 by Mally

Berhati-hatilah saat menggunakan software bajakan. Seorang siswa di sebuah lembaga penelitian bio-molekuler yang tidak disebutkan namanya di Eropa secara tidak sengaja membuka pintu untuk serangan ransomware pada organisasi tersebut setelah menginstal sebuah perangkat lunak yang sudah di “crack”, menurut firma keamanan Sophos.

Lembaga penelitian telah melakukan penelitian COVID-19 dan memiliki kemitraan erat dengan universitas lokal, memungkinkan mahasiswa untuk terhubung ke jaringan internal fasilitas melalui klien akses jarak jauh dari Citrix. Sayangnya, seorang siswa dengan akses ke jaringan mengunduh perangkat lunak bajakan, yang membantu mengekspos fasilitas penelitian ke serangan itu.

Menurut Sophos, siswa yang tidak disebutkan namanya itu “menginginkan salinan pribadi dari perangkat lunak visualisasi data yang telah mereka gunakan untuk bekerja”. Namun, satu lisensi untuk perangkat lunak dapat menghabiskan biaya ratusan dolar per tahun. Hasilnya, siswa tersebut mencari versi “crack” dari produk perangkat lunak untuk digunakan pada laptop Windows.

“Namun, file tersebut sebenarnya adalah malware murni dan upaya penginstalan segera memicu peringatan keamanan dari Windows Defender”, kata Sophos.

Tiga belas hari setelah perangkat lunak bajakan dipasang, sambungan protokol desktop jarak jauh yang misterius dibuat ke lembaga penelitian menggunakan kredensial masuk siswa. “Sepuluh hari setelah koneksi ini dibuat, ransomware Ryuk diluncurkan,” tambah Sophos.

Selengkapnya: PCmag

Kerentanan modem memungkinkan peretas mendengarkan panggilan Anda di jutaan ponsel Android

May 7, 2021 by Mally

Google dan pabrikan Android lainnya mencoba untuk tetap memantau keamanan perangkat keras dan perangkat lunak, pada berbagai tingkat intensitas. Tetapi kerentanan di Qualcomm SoC yang banyak digunakan yang diungkapkan oleh Check Point Research hari ini sangat mengkhawatirkan. Secara teoritis, itu dapat memungkinkan aplikasi jahat untuk menambal perangkat lunak untuk chip modem MSM Qualcomm, memberinya akses ke riwayat panggilan dan teks atau bahkan kemampuan untuk merekam percakapan.

Rincian masalah Check Point sangat teknis. Tetapi untuk membuatnya dalam istilah awam, kerentanan ditemukan dalam koneksi antara lapisan perangkat lunak Qualcomm Modem Interface (QMI) dari modem dan layanan debugger, memungkinkannya untuk secara dinamis menambal perangkat lunak dan melewati mekanisme keamanan yang biasa. Aplikasi pihak ketiga standar tidak memiliki hak keamanan untuk mengakses QMI, tetapi jika aspek Android yang lebih kritis disusupi, serangan ini dapat digunakan.

Dengan kerentanan yang mereka temukan, para peneliti menentukan bahwa aplikasi berbahaya dapat mendengarkan dan merekam panggilan telepon aktif, mendapatkan catatan panggilan dan SMS, atau bahkan membuka kunci kartu SIM. Check Point memperkirakan bahwa perangkat lunak QMI yang dianggap rentan hadir di sekitar 40% smartphone, dari vendor termasuk Samsung, Google, LG, OnePlus, Xiaomi, dan banyak lagi.

Meskipun metode untuk serangan ini dijelaskan secara luas, informasi khusus yang diperlukan dirahasiakan dari laporan untuk mencegah siapa pun dengan mudah menduplikasi proses tersebut. Sampai sekarang, tidak ada indikasi bahwa metode serangan ini benar-benar digunakan “di alam liar”.

selengkapnya : www.androidpolice.com

Penyebaran Crypto-Stealer Baru bernama ‘Panda’ melalui Discord

May 6, 2021 by Mally

Pencuri informasi baru lainnya – Panda Stealer – sedang disebarkan melalui kampanye spam di seluruh dunia.

Pada hari Selasa, peneliti Trend Micro mengatakan bahwa mereka pertama kali melihat pencuri baru pada bulan April. Gelombang terbaru kampanye spam memiliki dampak terbesar di Australia, Jerman, Jepang, dan AS.

Email spam menyamar sebagai permintaan kutipan bisnis untuk memikat korban agar mengklik file Excel yang berbahaya. Para peneliti menemukan 264 file yang mirip dengan Panda Stealer di VirusTotal, dengan beberapa di antaranya dibagikan oleh pelaku ancaman di Discord.

Namun, pelaku ancaman juga dapat menggunakan Discord untuk berbagi build Panda Stealer satu sama lain, kata Trend Micro.

Setelah Panda merasa nyaman, ia mencoba untuk meningkatkan detail seperti private keys dan transaksi sebelumnya dari dompet cryptocurrency, termasuk Bytecoin (BCN), Dash (DASH), Ethereum (ETH) dan Litecoin (LTC).

Selain mencuri dompet, ia juga dapat mengambil kredensial dari aplikasi, termasuk NordVPN, Telegram, Discord, dan Steam. Panda juga dapat mengambil tangkapan layar dari komputer yang terinfeksi dan menghapus data dari peramban, termasuk cookies dan kata sandi.

Panda Stealer adalah tweak dari malware Collector Stealer, juga dikenal sebagai DC Stealer, yang telah ditemukan dijual di forum bawah tanah dan melalui Telegram hanya dengan $ 12.

Selengkapnya: Threat Post

Bagaimana Penyerang Menggunakan Akun yang Disusupi untuk Membuat dan Mendistribusikan Aplikasi OAuth Berbahaya

May 6, 2021 by Mally

Open authorization atau aplikasi “OAuth” menambahkan fitur bisnis dan peningkatan antarmuka pengguna ke platform cloud utama seperti Microsoft 365 dan Google Workspace. Sayangnya, mereka juga merupakan vektor ancaman baru karena semakin banyak pelaku kejahatan yang menggunakan aplikasi OAuth 2.0 berbahaya (atau malware cloud) untuk menyedot data dan mengakses informasi sensitif.

Proofpoint telah mengamati banyak bentuk serangan phishing token OAuth dan penyalahgunaan aplikasi OAuth, yang ideal bagi penyerang untuk melakukan pengintaian, meluncurkan serangan antar karyawan, dan mencuri file serta email dari platform cloud.

Serangan aplikasi berbahaya sering kali menargetkan akun wakil presiden, pengelola akun, perwakilan sumber daya manusia, dan kepala bagian keuangan — jenis pengguna yang memiliki akses ke data yang sangat sensitif. Jika berhasil, penyerang mendapatkan akses persisten dan independen ke email (termasuk membaca, menulis, mengirim, dan mengatur aturan kotak surat), file, kontak, catatan, obrolan Microsoft Teams, dan lainnya. Dalam beberapa kasus, mereka mengalihkan pengguna ke situs phishing setelah pengguna menyetujui aplikasi tersebut.

Penyerang pertama-tama akan membuat kode berbahaya mereka dan menyimpannya di server web, yang dapat diakses melalui URL (URL aplikasi berbahaya). Setelah menyusupi akun cloud target, penyerang kemudian membuat aplikasi di bagian “pendaftaran aplikasi” di portal Azure, menandai aplikasi tersebut sebagai “aplikasi multi-tenant” dengan pengaturan “web”, menambahkan URL berbahaya dari kode mereka ke aplikasi. Karena kode berbahaya memerlukan izin akses ke sumber daya, penyerang menambahkan izin yang relevan pada halaman aplikasi, di bawah tab “Izin API”.

Selengkapnya: ProofPoint

Report: Q1 2021 Serangan DDoS dan insiden BGP

May 6, 2021 by Mally

Tahun 2021 dimulai dengan catatan tinggi bagi Qrator Labs: pada 19 Januari, perusahaan mereka merayakan hari jadinya yang ke-10. Tak lama kemudian, pada bulan Februari, jaringan perusahaan memitigasi serangan DDoS 750 Gbps yang cukup mengesankan berdasarkan amplifikasi DNS lama dan terkenal.

Selain itu, ada aliran insiden BGP yang konstan; beberapa menjadi anomali perutean global. Qrator Labs mulai melaporkannya di akun Twitter mereka yang baru dibuat untuk Qrator.Radar.

Namun demikian, dengan berakhirnya kuartal pertama tahun ini, kita dapat melihat lebih dekat statistik serangan DDoS dan insiden BGP untuk Januari – Maret 2021.

Vektor serangan DDoS 3 teratas pada Q1 2021 adalah IP flood, tercatat 35,31% dari semua serangan; UDP flood sebesar 18,25%; dan SYN flood bertanggung jawab atas 13,74% dari serangan Q1.

Vektor-vektor terpisah tersebut sekarang hanya sebagian kecil, dalam hal statistik serangan, dari kombinasi campuran pertama: IP flood + UDP flood, yang pada Q1 menghasilkan 11,37% dan menempati posisi keempat, secara efektif mengalahkan TCP flood dalam statistik mereka.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Qrator Labs

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings