Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Perintah Windows Finger disalahgunakan oleh phishing untuk mengunduh malware

by

Penyerang menggunakan perintah Windows Finger yang biasanya tidak berbahaya untuk mengunduh dan memasang backdoor berbahaya pada perangkat korban.

Perintah ‘Finger’ adalah utilitas yang berasal dari sistem operasi Linux/Unix yang memungkinkan pengguna lokal untuk mengambil daftar pengguna pada mesin jarak jauh atau informasi tentang pengguna jarak jauh tertentu. Selain Linux, Windows menyertakan perintah finger.exe yang menjalankan fungsi yang sama.

Minggu ini, peneliti keamanan Kirk Sayre menemukan kampanye phishing yang menggunakan perintah Finger untuk mengunduh malware backdoor MineBridge.

FireEye pertama kali melaporkan malware MineBridge setelah menemukan banyak kampanye phishing yang menargetkan organisasi Korea Selatan. Email phishing ini berisi dokumen Word berbahaya yang menyamar sebagai resume pelamar kerja yang menginstal malware MineBridge.

Seperti kampanye MineBridge sebelumnya yang dilihat oleh FireEye, yang ditemukan oleh Sayre juga berpura-pura menjadi resume dari pelamar kerja, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika korban mengklik tombol ‘Enabled Editing’ atau ‘Enable Content’, macro yang dilindungi kata sandi akan dijalankan untuk mengunduh malware MineBridge dan menjalankannya.

Setelah MineBridge terpasang, pelaku ancaman jarak jauh akan mendapatkan akses penuh ke komputer dan memungkinkan mereka untuk mendengarkan melalui mikrofon perangkat yang terinfeksi, dan melakukan aktivitas berbahaya lainnya.

Karena Finger jarang digunakan saat ini, disarankan agar administrator memblokir perintah Finger di jaringan mereka, baik melalui AppLocker atau metode lain.

Sumber: Bleeping Computer

Gambaran Umum tentang DoppelPaymer Ransomware

by

Pada awal Desember 2020, FBI mengeluarkan peringatan terkait DoppelPaymer, keluarga ransomware yang pertama kali muncul pada 2019 ketika meluncurkan serangan terhadap organisasi di industri kritis. Aktivitasnya terus berlanjut sepanjang tahun 2020, termasuk serangkaian insiden di paruh kedua tahun ini yang membuat para korbannya kesulitan untuk menjalankan operasi mereka dengan baik.

DoppelPaymer diyakini didasarkan pada ransomware BitPaymer (yang pertama kali muncul pada tahun 2017) karena kesamaan dalam kode, catatan tebusan, dan portal pembayaran mereka. Namun, penting untuk diperhatikan bahwa ada beberapa perbedaan antara DoppelPaymer dan BitPaymer. DoppelPaymer menggunakan 2048-bit RSA + 256-bit AES untuk enkripsi, sedangkan BitPaymer menggunakan 4096-bit RSA + 256-bit AES, Perbedaan lain antara keduanya adalah bahwa sebelum DoppelPaymer mengeksekusi rutinitas jahatnya, ia harus memiliki parameter baris perintah yang benar, teknik ini digunakan untuk menghindari analisis sandbox.

Seperti banyak keluarga ransomware modern, permintaan tebusan DoppelPaymer untuk dekripsi file sangat besar, berkisar antara US $ 25.000 hingga US $ 1,2 juta.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/an-overview-of-the-doppelpaymer-ransomware/DoppelPaymer-1.jpg

DoppelPaymer menggunakan rutinitas yang cukup canggih, dimulai dengan infiltrasi jaringan melalui email spam berbahaya yang berisi tautan spear-phishing atau lampiran yang dirancang untuk memikat pengguna yang tidak menaruh curiga agar menjalankan kode berbahaya yang biasanya disamarkan sebagai dokumen asli. Kode ini bertanggung jawab untuk mengunduh malware lain dengan kemampuan yang lebih canggih (seperti Emotet) ke dalam sistem korban.

Setelah Emotet diunduh, Emotet akan berkomunikasi dengan server command-and-control (C&C) untuk menginstal berbagai modul serta mengunduh dan menjalankan malware lainnya. server C&C digunakan untuk mengunduh dan menjalankan keluarga malware Dridex, yang kemudian digunakan untuk mengunduh DoppelPaymer secara langsung atau alat seperti PowerShell Empire, Cobalt Strike, PsExec, dan Mimikatz. Masing-masing alat ini digunakan untuk berbagai aktivitas, seperti mencuri kredensial, bergerak secara lateral di dalam jaringan, dan menjalankan perintah yang berbeda, seperti menonaktifkan perangkat lunak keamanan.

Setelah Dridex memasuki sistem, pelaku jahat tidak segera menyebarkan ransomware. Sebaliknya, ia mencoba untuk berpindah secara lateral dalam jaringan sistem yang terpengaruh untuk menemukan target bernilai tinggi untuk mencuri informasi penting. Setelah target ini ditemukan, Dridex akan melanjutkan menjalankan muatan terakhirnya, DoppelPaymer. DoppelPaymer mengenkripsi file yang ditemukan di jaringan serta drive tetap dan yang dapat dilepas di sistem yang terpengaruh. Terakhir, DoppelPaymer akan mengubah sandi pengguna sebelum memaksa sistem memulai ulang ke mode aman untuk mencegah masuknya pengguna dari sistem. Itu kemudian mengubah teks pemberitahuan yang muncul sebelum Windows melanjutkan ke layar login.

Teks pemberitahuan baru sekarang menjadi catatan tebusan DoppelPaymer, yang memperingatkan pengguna untuk tidak menyetel ulang atau mematikan sistem, serta tidak menghapus, mengganti nama, atau memindahkan file yang dienkripsi. Catatan itu juga berisi ancaman bahwa data sensitif mereka akan dibagikan kepada publik jika mereka tidak membayar tebusan yang diminta dari mereka.

Menurut pemberitahuan FBI, target utama DoppelPaymer adalah organisasi dalam perawatan kesehatan, layanan darurat, dan pendidikan. Ransomware telah terlibat dalam sejumlah serangan pada tahun 2020, termasuk gangguan pada community college serta polisi dan layanan darurat di sebuah kota di AS selama pertengahan tahun.

Agar terhindar dari malware ini, anda dapat melakukan beberapa upaya berikut :
Menahan diri dari membuka email yang tidak diverifikasi dan mengklik link atau lampiran yang disematkan di pesan ini.
Mencadangkan file penting secara teratur menggunakan aturan 3-2-1: Buat tiga salinan cadangan dalam dua format file berbeda, dengan salah satu cadangan di lokasi fisik terpisah.
Memperbarui perangkat lunak dan aplikasi dengan tambalan terbaru sesegera mungkin untuk melindunginya dari kerentanan.
Memastikan bahwa cadangan aman dan terputus dari jaringan pada akhir setiap sesi pencadangan.
Mengaudit akun pengguna secara berkala – khususnya akun yang dapat diakses publik, seperti akun Pemantauan dan Manajemen Jarak Jauh.
Memantau lalu lintas jaringan masuk dan keluar, dengan peringatan untuk eksfiltrasi data.
Menerapkan otentikasi dua faktor (2FA) untuk kredensial login pengguna, karena ini dapat membantu memperkuat keamanan untuk akun pengguna
Menerapkan prinsip hak istimewa paling rendah untuk izin file, direktori, dan jaringan berbagi.

Source : trendmicro

Alat penyadap seharga $40 ditanam pada iPhone aktivis Rusia

by Leave a Comment

Sebuah perangkat kecil yang menarik ditemukan ditanam di iPhone manajer kampanye aktivis anti-korupsi Rusia Lyubov Sobol selama tahun baru. Pada 21 Desember 2020, manajer kampanye Sobol Olga Klyuchnikova ditahan oleh FSB Rusia. Dia menghabiskan seminggu di penjara atas “biaya administrasi” dan dibebaskan – tetapi ada sesuatu yang salah.

Dalam sebuah video yang dirilis minggu ini, Sobol dan rekannya menunjukkan komponen internal dari smartphone-nya, termasuk apa yang tampak seperti alat pelacak yang ditanam. Dia rupanya memperhatikan ada sesuatu yang aneh ketika iPhone-nya diberikan kepadanya setelah ditahan. Diijinkan untuk menggunakan ponsel cerdasnya sendiri selama dalam tahanan cukup aneh – tetapi perangkat mulai “terasa tidak berfungsi” hingga dia menjadi curiga.

Ini sangat mirip dengan perangkat dengan nama “TOPIN Kecil ZX620 PCB Wifi LBS GSM Tracker Positioning kartu TF”. Anda akan menemukan perangkat ini tersedia untuk dijual di tempat-tempat seperti AliExpress dengan harga sekitar $ 40 USD.

Yang menarik dari perangkat kecil ini adalah kemampuannya yang belum sempurna. Anda perlu menempatkan kartu SIM Anda sendiri di perangkat untuk mengakses internet – tetapi di luar itu, yang dibutuhkan hanyalah daya.

Di dalam smartphone, pengguna hanya perlu menghubungkan beberapa kabel dari baterai perangkat untuk menjaga perangkat tetap aktif, lalu membiarkannya bekerja. Sederhana seperti itu.

Mereka mencopot perangkat keras kartu SIM asli perangkat dan langsung menyolder kartu SIM, memberi mereka sedikit ruang ekstra.Mereka kemudian mengganti baterai tersebut dengan yang lebih kecil. Ini memberi ruang yang lebih dari cukup untuk memberi jalan bagi pelacak.

Setelah pelacak ditanam, mereka akan memiliki akses ke informasi pelacakan GPS dan kemampuan merekam suara melalui telepon. Dan tentu saja ada cara yang jauh lebih mudah untuk melakukan semua bisnis ini, jika mereka lebih paham dengan perangkat lunak. Namun bukan itu masalahnya – intinya adalah, perangkat kecil ini ada, dan mereka ada di luar sana di alam liar, untuk diakses siapa saja dengan relatif mudah.

Source : slashgear

Ransomware menyingkap rahasia tersembunyi teknologi dunia

by

Ransomware terus menyebabkan kerusakan di seluruh dunia. Jarang seminggu berlalu tanpa perusahaan lain, atau kota, atau rumah sakit, menjadi mangsa geng yang akan mengenkripsi data di PC dan jaringan dan menuntut ribuan atau jutaan sebagai imbalan untuk membebaskannya.

Ini bukan kejahatan tanpa korban; setiap serangan yang berhasil berarti sebuah perusahaan menghadapi biaya besar dan berisiko terdesak keluar dari bisnis, atau layanan publik terganggu tepat ketika kita membutuhkannya, atau layanan medis berada dalam bahaya di tengah krisis.

Peretas tidak akan bisa mendapatkan pijakan pertama mereka bahkan jika perusahaan memperhatikan keamanan dengan serius. Itu berarti menerapkan tambalan ke perangkat lunak yang rentan saat diterbitkan, bukan berbulan-bulan atau bertahun-tahun kemudian (atau tidak pernah). Demikian pula, perusahaan tidak akan berada di treadmill yang membosankan dalam menerapkan pembaruan keamanan konstan jika industri teknologi mengirimkan kode perangkat lunak yang aman sejak awal.

Dan sementara kita cenderung memikirkan dunia internet tanpa batas, dunia nyata geopolitik tampak besar dalam hal ransomware karena banyak dari geng-geng ini beroperasi dari negara-negara yang tidak tertarik untuk menangkap penjahat seperti itu atau menyerahkannya kepada polisi di negara lain. yurisdiksi. Dalam beberapa kasus, itu karena geng ransomware mendatangkan dana yang sangat dibutuhkan untuk negara; dalam kasus lain selama geng-geng tersebut tidak mengejar korban setempat, pihak berwenang dengan tenang senang mereka membuat kekacauan di tempat lain.

Intel telah memamerkan beberapa teknologi tingkat perangkat keras baru yang dikatakannya akan dapat mendeteksi serangan ransomware yang mungkin terlewatkan oleh antivirus saja.

Sekelompok perusahaan teknologi termasuk Microsoft, Citrix dan FireEye sedang mengerjakan proyek tiga bulan untuk menghasilkan opsi yang mereka janjikan akan “secara signifikan mengurangi” ancaman ransomware dengan mengidentifikasi berbagai cara berbeda untuk menghentikan serangan semacam itu. Dan lebih banyak tekanan politik harus diberikan pada negara bagian yang dengan senang hati membiarkan geng ransomware berkembang di dalam perbatasan mereka.

Dan ada juga kebutuhan untuk lebih menekan pemerintah untuk melihat apakah dan dalam keadaan apa membayar tebusan harus diterima. Keuntungan adalah satu-satunya alasan keberadaan ransomware; jika memungkinkan untuk menghentikan geng-geng tersebut agar tidak melakukan pembayaran besar mereka, maka masalah itu akan segera hilang.

Milis keamanan BugTraq yang ikonik ditutup setelah 27 tahun

by

BugTraq, salah satu milis pertama industri keamanan siber yang didedikasikan untuk mengungkap kelemahan keamanan kepada publik, hari ini mengumumkan penutupannya pada akhir bulan, pada 31 Januari 2021.

Situs ini memainkan peran penting dalam membentuk industri keamanan siber di hari-hari awalnya.

Didirikan oleh Scott Chasin pada 5 November 1993, BugTraq menyediakan portal terpusat pertama di mana peneliti keamanan dapat mengekspos kerentanan setelah vendor menolak untuk merilis patch.

Portal itu ada selama bertahun-tahun di zona abu-abu legal. Diskusi di situs tentang legalitas “mengungkapkan” kelemahan keamanan ketika vendor menolak untuk menambal adalah hal yang membentuk sebagian besar pedoman pengungkapan kerentanan saat ini, aksioma yang digunakan sebagian besar pemburu bug saat ini.

selengkapnya : ZDNET

Peneliti Mengungkap Malware China Tidak Terdokumentasi yang Digunakan dalam Serangan Terbaru

by

Peneliti keamanan siber telah mengungkapkan serangkaian serangan oleh aktor ancaman asal China yang menargetkan organisasi di Rusia dan Hong Kong dengan malware – termasuk backdoor yang sebelumnya tidak berdokumen.

Mengaitkan kampanye ke Winnti (atau APT41), Positive Technologies menetapkan tanggal serangan pertama hingga 12 Mei 2020, ketika APT menggunakan sortcuts LNK untuk mengekstrak dan menjalankan muatan malware. Serangan kedua yang terdeteksi pada tanggal 30 Mei menggunakan file arsip RAR berbahaya yang terdiri dari sortcuts ke dua dokumen PDF umpan yang diklaim sebagai riwayat hidup dan sertifikat IELTS.

Sortcuts itu sendiri berisi tautan ke halaman yang dihosting di Zeplin, alat kolaborasi yang sah untuk perancang dan pengembang yang digunakan untuk mengambil malware tahap akhir yang, pada gilirannya, menyertakan shellcode loader (“svchost.exe”) dan backdoor yang disebut Crosswalk (“3t54dE3r.tmp”).

selengkapnya : TheHackerNews

Bug Windows 10 dapat merusak hard drive Anda saat melihat ikon file ini

by

Zero-day yang belum ditambal di Microsoft Windows 10 memungkinkan penyerang merusak hard drive berformat NTFS dengan perintah satu baris.

Dalam beberapa pengujian oleh BleepingComputer, perintah satu baris ini dapat dikirimkan secara tersembunyi di dalam file shortcut Windows, arsip ZIP, file batch, atau berbagai vektor lainnya untuk memicu kesalahan hard drive yang merusak indeks sistem file secara instan.

Peneliti infosec Jonas L menarik perhatian mengenai adanya kerentanan NTFS yang memengaruhi Windows 10 yang belum diperbaiki.

Ketika dieksploitasi, kerentanan ini dapat dipicu oleh satu baris perintah untuk langsung merusak hard drive berformat NTFS, dengan Windows meminta pengguna untuk me-restart komputer mereka untuk memperbaiki record disk yang rusak.

Peneliti memberi tahu BleepingComputer bahwa cacat tersebut dapat dieksploitasi mulai sekitar Windows 10 build 1803, Pembaruan Windows 10 April 2018, dan terus berfungsi di versi terbaru.

Yang lebih buruk adalah, kerentanan ini dapat dipicu oleh akun pengguna standar dan dengan hak istimewa rendah pada sistem Windows 10.

Drive dapat rusak hanya dengan mencoba mengakses atribut $i30 NTFS pada folder dengan cara tertentu.

Tidak jelas mengapa mengakses atribut ini merusak drive, dan Jonas memberi tahu BleepingComputer bahwa kunci Registry yang akan membantu mendiagnosis masalah tidak berfungsi.

Satu temuan mencolok yang dibagikan oleh Jonas kepada BleepingComputer adalah bahwa file pintasan Windows buatan (.url) yang lokasi ikonnya disetel ke C:\:$i30:$ bitmap akan memicu kerentanan bahkan jika pengguna tidak pernah membuka file!

Segera setelah file pintasan ini diunduh pada PC Windows 10, dan pengguna melihat foldernya, Windows Explorer akan mencoba menampilkan ikon file.

Untuk melakukan ini, Windows Explorer akan mencoba mengakses jalur ikon yang dibuat di dalam file di latar belakang, sehingga merusak hard drive NTFS dalam prosesnya.

Video demonstrasi dan artikel lebih lengkapnya dapat diakses melalui tautan berikut:

Sumber: Bleeping Computer

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet