Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Malware trojan ini sekarang menjadi masalah keamanan terbesar Anda

by

Malware Trickbot telah meningkat untuk mengisi celah yang ditinggalkan oleh penghapusan botnet Emotet, dengan jumlah penjahat yang lebih tinggi beralih ke sana untuk mendistribusikan serangan malware.

Emotet adalah botnet malware paling produktif dan berbahaya di dunia sebelum diganggu oleh operasi penegakan hukum internasional pada Januari tahun ini.

Sementara gangguan Emotet merupakan pukulan bagi penjahat dunia maya, mereka dengan cepat beradaptasi dan sekarang Trickbot telah menjadi bentuk malware yang paling umum.

Trickbot menawarkan banyak kemampuan yang sama dengan Emotet, memberikan penjahat dunia maya sarana untuk mengirimkan malware tambahan ke mesin yang disusupi – dan menurut analisis kampanye malware oleh peneliti keamanan siber di Check Point, itu sekarang menjadi malware yang paling umum didistribusikan di dunia.

Pertama kali didistribusikan pada tahun 2016, Trickbot telah lama berada di sana dengan bentuk malware paling produktif, tetapi dengan tindakan keras terhadap Emotet, dengan cepat menjadi cara yang lebih populer bagi penjahat untuk mendistribusikan kampanye serangan dunia maya pilihan mereka secara luas.

Tetapi Trickbot bukanlah satu-satunya ancaman malware bagi organisasi dan kampanye kriminal dunia maya lainnya juga telah membantu mengisi celah yang ditinggalkan oleh gangguan Emotet.

selengkapnya : ZDNET

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

by

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

by Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Sumber: Bleeping Computer

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Serangan Phishing Google reCAPTCHA Palsu Mencuri Kata Sandi Office 365

by

Pengguna Microsoft menjadi sasaran ribuan email phishing, dalam serangan berkelanjutan yang bertujuan untuk mencuri kredensial Office 365 mereka.

Penyerang menambahkan kesan legitimasi pada kampanye dengan memanfaatkan sistem Google reCAPTCHA palsu dan halaman landing domain level teratas yang menyertakan logo perusahaan korban.

Menurut peneliti, setidaknya 2.500 email semacam itu tidak berhasil dikirim ke karyawan tingkat senior di sektor perbankan dan TI, selama tiga bulan terakhir. Email pertama kali membawa penerima ke halaman sistem Google reCAPTCHA palsu.

Google reCAPTCHA adalah layanan yang membantu melindungi situs web dari spam dan penyalahgunaan, dengan menggunakan tes Turing untuk membedakan antara manusia dan bot (dengan meminta pengguna untuk mengeklik hidran kebakaran dari serangkaian gambar, misalnya).

Setelah korban “lulus” tes reCAPTCHA, mereka kemudian diarahkan ke halaman arahan phishing, yang meminta kredensial Office 365 mereka.

Email phishing berpura-pura menjadi email otomatis dari alat komunikasi terpadu korban, yang mengatakan bahwa mereka memiliki lampiran pesan suara. Yang lain memberi tahu penerima email untuk “MENINJAU DOKUMEN AMAN”.

Peneliti menemukan berbagai halaman phishing yang terkait dengan kampanye, yang dihosting menggunakan domain level teratas umum seperti .xyz, .club, dan .online.

Selengkapnya: The Threat Post

Peringatan pada Dunia tentang Bom Waktu yang Berdetak

by

Secara global, ratusan ribu organisasi yang menjalankan server email Exchange dari Microsoft baru saja diretas secara massal, termasuk setidaknya 30.000 korban di Amerika Serikat. Setiap server yang diretas telah dipasang kembali dengan pintu belakang “web shell” yang memberi orang jahat itu kendali jarak jauh, kemampuan untuk membaca semua email, dan akses mudah ke komputer korban lainnya. Para peneliti sekarang berlomba untuk mengidentifikasi, menyiagakan dan membantu para korban, dan semoga mencegah kekacauan lebih lanjut.

Pakar keamanan sekarang mencoba untuk memperingatkan dan membantu para korban ini sebelum peretas jahat meluncurkan apa yang disebut oleh banyak orang dengan campuran rasa takut dan antisipasi sebagai “Tahap 2,” ketika orang jahat mengunjungi kembali semua server yang diretas ini dan menyemai mereka dengan ransomware atau peretasan tambahan alat untuk merayapi lebih dalam ke jaringan korban.

Pakar keamanan sekarang berusaha mati-matian untuk menjangkau puluhan ribu organisasi korban dengan satu pesan: Apakah Anda telah menambal atau telah diretas, segera buat cadangan semua data yang disimpan di server tersebut.

Setiap sumber yang saya bicarakan tentang insiden ini mengatakan bahwa mereka sepenuhnya mengharapkan penjahat dunia maya yang bermotivasi keuntungan untuk menerkam korban dengan menyebarkan ransomware secara massal. Mengingat bahwa begitu banyak grup yang sekarang memiliki web shell pintu belakang terpasang, akan mudah untuk melepaskan ransomware pada banyak dari mereka sekaligus. Selain itu, server Exchange yang disusupi dapat menjadi pintu virtual ke seluruh jaringan korban.

selengkapnya : KrebsOnSecurity

Zero day kritis yang menargetkan peneliti keamanan mendapat tambalan dari Microsoft

by

Microsoft telah menambal kerentanan zero-day kritis yang digunakan peretas Korea Utara untuk menargetkan peneliti keamanan dengan malware.

Serangan di alam liar terungkap pada bulan Januari di postingan dari Google dan Microsoft. Peretas yang didukung oleh pemerintah Korea Utara, kata kedua unggahan tersebut, menghabiskan berminggu-minggu mengembangkan hubungan kerja dengan peneliti keamanan. Untuk memenangkan kepercayaan para peneliti, para peretas membuat blog penelitian dan persona Twitter yang menghubungi peneliti untuk menanyakan apakah mereka ingin berkolaborasi dalam suatu proyek.

Akhirnya, profil Twitter palsu meminta para peneliti untuk menggunakan Internet Explorer untuk membuka halaman web. Mereka yang mengambil umpan akan menemukan bahwa mesin Windows 10 mereka yang sepenuhnya ditambal memasang layanan jahat dan in-memory backdoor yang menghubungi server yang dikendalikan peretas.

Microsoft pada hari Selasa memperbaiki kerentanan tersebut. CVE-2021-26411, dinilai kritis dan hanya membutuhkan kode serangan dengan kompleksitas rendah untuk dieksploitasi.

Google hanya mengatakan bahwa orang-orang yang menghubungi para peneliti bekerja untuk pemerintah Korea Utara. Microsoft mengatakan mereka adalah bagian dari Zinc, nama Microsoft untuk grup ancaman yang lebih dikenal sebagai Lazarus.

Meskipun Microsoft mendeskripsikan CVE-2021-26411 sebagai “Kerentanan Korupsi Memori Internet Explorer,” advisory hari Senin mengatakan kerentanan juga memengaruhi browser Edge nya.

Selengkapnya: Ars Technica

Bug iPhone Call Recorder memiliki akses ke percakapan orang lain

by

Aplikasi perekaman panggilan iOS menambal kerentanan keamanan yang memberi siapa pun akses ke percakapan ribuan pengguna hanya dengan memberikan nomor telepon yang benar.

Nama aplikasinya adalah “Automatic call recorder” atau “Acr call recorder” dan memiliki ribuan ulasan pengguna di App Store dengan peringkat di atas 4 bintang; itu juga telah terdaftar di antara aplikasi perekaman panggilan teratas untuk iPhone.

Menggunakan kecerdasan sumber terbuka, peneliti keamanan Anand Prakash, pendiri PingSafe AI, menemukan penyimpanan cloud aplikasi di Amazon bersama dengan nama host dan beberapa data sensitif yang digunakannya.

Dengan meneruskan lalu lintas jaringan aplikasi melalui alat web proxy seperti Burp atau Zap, penyerang dapat memasukkan nomor telepon pengguna aplikasi mana pun dalam permintaan rekaman.

Karena API yang merespons tidak menjalankan otentikasi apa pun, itu mengembalikan rekaman yang terkait dengan nomor telepon yang diteruskan dalam permintaan. Terlebih lagi, aplikasi itu juga membocorkan seluruh riwayat panggilan pengguna tersebut, kata Prakash.

Zack Whittaker dari outlet media menghubungi pengembang aplikasi, yang merilis versi baru dengan perbaikan tersebut.

Menurut Whittaker, penyimpanan aplikasi di Amazon berisi lebih dari 130.000 rekaman dengan berat sekitar 300 gigabyte.

Sumber: Bleeping Computer

AS menyita lebih banyak domain yang digunakan dalam serangan phishing vaksin COVID-19

by

Departemen Kehakiman AS telah menyita nama domain kelima yang digunakan untuk meniru situs resmi perusahaan bioteknologi yang terlibat dalam pengembangan vaksin COVID-19.

Domain yang disita mengklaim menjual koktail obat antibodi darurat REGEN-COV2 yang dikembangkan oleh Regeneron Pharmaceuticals dan disetujui oleh Food and Drug Administration AS untuk pengobatan darurat COVID-19 pada November 2020.

“Namun, situs web itu palsu dan tampaknya telah digunakan untuk mengumpulkan informasi pribadi individu yang mengunjungi situs, untuk menggunakan informasi tersebut untuk tujuan jahat, termasuk penipuan, serangan phishing, dan/atau penyebaran malware,” Kata Departemen Kehakiman.

Sejak Desember 2020, Departemen Kehakiman AS menyita empat domain lain yang digunakan oleh penipu untuk berbagai tujuan jahat, termasuk penipuan, serangan phishing, dan/atau menginfeksi komputer target dengan malware.

Tindakan serupa menyebabkan penyitaan domain:

    remdesivirmx[.]com: Disita pada 1 Maret 2021, karena mengumpulkan informasi pribadi individu yang ingin membeli obat antivirus Remdesivir.
    modernatx[.]shop: Disita pada 15 Januari 2021, karena mengklaim menjual vaksin COVID-19 yang diklaim (meniru situs resmi perusahaan bioteknologi Moderna)
    mordernatx[.]com dan regeneronmedicals[.]com: Disita pada tanggal 18 Desember 2020, karena mengumpulkan informasi pribadi setiap orang yang mengunjungi situs. (meniru situs perusahaan bioteknologi Moderna dan Regeneron)

Selengkapnya: Bleeping Computer