Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Malware Android Iran “RANA” juga Memata-matai Pesan Instan

by

Sebuah tim peneliti mengungkap kemampuan implan spyware Android yang sebelumnya dirahasiakan — yang dikembangkan oleh aktor ancaman Iran yang dikenai sanksi — yang memungkinkan penyerang memata-matai obrolan pribadi dari aplikasi pesan instan populer, memaksa koneksi Wi-Fi, dan menjawab panggilan otomatis dari nomor tertentu untuk tujuan menguping percakapan.

Pada bulan September, Departemen Keuangan AS menjatuhkan sanksi pada APT39 (alias Chafer, ITG07, atau Remix Kitten) – aktor ancaman Iran yang didukung oleh Kementerian Intelijen dan Keamanan (MOIS) negara itu – karena melakukan kampanye malware yang menargetkan para pembangkang Iran, wartawan, dan perusahaan internasional di sektor telekomunikasi dan perjalanan.

Bertepatan dengan sanksi tersebut, Federal Bureau of Investigation (FBI) merilis laporan analisis ancaman publik yang menjelaskan beberapa alat yang digunakan oleh Rana Intelligence Computing Company, yang beroperasi sebagai front untuk aktivitas cyber berbahaya yang dilakukan oleh grup APT39.

Secara resmi menghubungkan operasi APT39 ke Rana, FBI merinci delapan set malware terpisah dan berbeda yang sebelumnya tidak diungkapkan yang digunakan oleh grup untuk melakukan gangguan komputer dan aktivitas pengintaian, termasuk aplikasi spyware Android yang disebut “optimizer.apk” dengan kemampuan mencuri informasi dan akses jarak jauh.

Menurut peneliti Karlo Zanki, implan tidak hanya memiliki izin untuk merekam audio dan mengambil foto untuk keperluan pengawasan pemerintah, tetapi juga berisi fitur untuk menambahkan titik akses Wi-Fi khusus dan memaksa perangkat yang dikompromikan untuk terhubung dengannya.

Yang juga perlu diperhatikan adalah kemampuan untuk menjawab panggilan secara otomatis dari nomor telepon tertentu, sehingga memungkinkan pelaku ancaman untuk memanfaatkan percakapan sesuai permintaan.

Selain menampilkan dukungan untuk menerima perintah yang dikirim melalui pesan SMS, varian terbaru malware “optimizer” yang direferensikan oleh FBI menyalahgunakan layanan aksesibilitas untuk mengakses konten aplikasi pesan instan seperti WhatsApp, Instagram, Telegram, Viber, Skype, dan klien Telegram tidak resmi yang berbasis di Iran bernama Talaeii.

Sumber: The Hacker News

NSA: Peretas negara Rusia mengeksploitasi kerentanan VMware baru untuk mencuri data

by

Badan Keamanan Nasional (NSA) AS memperingatkan bahwa pelaku ancaman yang disponsori negara Rusia mengeksploitasi kerentanan VMware yang baru-baru ini ditambal untuk mencuri informasi sensitif setelah menyebarkan web shell pada server yang rentan.

“NSA mendorong administrator jaringan Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB) untuk memprioritaskan mitigasi kerentanan pada server yang terkena dampak,” kata badan intelijen Departemen Pertahanan AS.

VMware merilis pembaruan keamanan untuk mengatasi bug keamanan pada 3 Desember setelah mengungkapkan kerentanan secara publik dua minggu lalu dan menyediakan solusi sementara yang sepenuhnya menghapus vektor serangan dan mencegah eksploitasi.

CVE-2020-4006 awalnya dinilai sebagai kerentanan keparahan kritis tetapi VMware telah menurunkan peringkat keparahan maksimumnya ke ‘Important’ setelah merilis tambalan dan membagikan bahwa eksploitasi memerlukan “kata sandi yang valid untuk akun admin konfigurator.”

Dalam serangan yang mengeksploitasi CVE-2020-4006, NSA mengamati pelaku ancaman yang terhubung ke antarmuka manajemen berbasis web yang terekspos dari perangkat yang menjalankan produk VMware yang rentan dan menyusup ke jaringan organisasi untuk memasang web shell menggunakan perintah injeksi.

Setelah memasang web shell, penyerang mencuri data sensitif menggunakan kredensial SAML untuk mendapatkan akses ke server Microsoft Active Directory Federation Services (ADFS).

Eksploitasi kerentanan yang berhasil juga memungkinkan penyerang untuk menjalankan perintah Linux pada perangkat yang disusupi yang dapat membantu mereka mendapatkan persistence.

Mendeteksi serangan ini menggunakan indikator berbasis jaringan tidak dapat dilakukan karena aktivitas berbahaya dilakukan setelah tersambung ke antarmuka manajemen web melalui jalur terenkripsi TLS.

Namun, pernyataan ‘exit’ yang diikuti dengan angka 3-digit seperti ‘exit 123’ yang ditemukan di /opt/vmware/horizon/workspace/logs/configurator.log di server merupakan indikasi bahwa aktivitas eksploitasi mungkin telah terjadi di perangkat.

Sumber: Bleeping Computer

Bug PlayStation Now memungkinkan situs menjalankan kode berbahaya di PC Windows

by

Bug keamanan yang ditemukan di aplikasi cloud gaming PlayStation Now (PS Now) Windows memungkinkan penyerang untuk mengeksekusi kode arbitrary pada perangkat Windows yang menjalankan versi aplikasi yang rentan.

Kerentanan yang ditemukan oleh bug bounty hunter Parsia Hakimian memengaruhi PS Now versi 11.0.2 dan sebelumnya di komputer yang menjalankan Windows 7 SP1 atau yang lebih baru.

Hakimian melaporkan bug PS Now pada 13 Mei 2020, melalui program bug bounty resmi PlayStation di HackerOne. PlayStation mengatasi bug tersebut dan menandai laporan bug tersebut sebagai ‘Terselesaikan’ satu bulan kemudian, pada 25 Juni 2020.

Hakimian menemukan bahwa, masalah keamanan kritis memungkinkan penyerang yang tidak berkepentingan meluncurkan serangan eksekusi kode jarak jauh (RCE) dengan menyalahgunakan kelemahan injeksi kode.

Untuk berhasil mengeksploitasi bug RCE, penyerang harus membujuk pengguna PS NOW yang perangkatnya ingin mereka targetkan untuk membuka situs yang dibuat khusus menggunakan tautan jahat yang disediakan melalui email phishing, forum, saluran Discord, dll.

Sumber: Bleeping Computer

Lebih dari 20 juta ponsel Gionee diam-diam ditanami Trojan Horse untuk menghasilkan uang

by

Baru-baru ini, Jaringan Dokumen Penghakiman China menerbitkan putusan tentang kontrol ilegal sistem informasi komputer yang ditemukan telah dieksekusi pada telepon Gionee.

Menurut rincian pengadilan, lebih dari 20 juta ponsel Gionee sengaja ditanami malware Trojan Horse melalui aplikasi antara Desember 2018 dan Oktober 2019. Aplikasi tersebut menjadi alat untuk mendapatkan keuntungan dari pengguna melalui iklan yang tidak diminta dan cara tidak sah lainnya.

Pengadilan memutuskan bahwa Beijing Baice Technology Co., Ltd. bersekongkol dengan tergugat Shenzhen Zhipu Technology Co., Ltd. (anak perusahaan Gionee) untuk menanamkan program Trojan Horse ke dalam ponsel Gionee melalui pembaruan aplikasi “Story Lock Screen”. Perangkat lunak ini secara otomatis diperbarui pada ponsel Gionee yang terpengaruh tanpa sepengetahuan pengguna menggunakan metode “Pull”.

Rincian pengadilan mengungkapkan bahwa dari Desember 2018 hingga Oktober 2019, Beijing Baice Company dan Shenzhen Zhipu Company berhasil melaksanakan “aktivitas pull” sebanyak 2,88 miliar kali.

Dalam hal pendapatan, perusahaan diperkirakan telah memperoleh RMB 27,85 juta dari bisnis “pull” Beijing Baice Company, sementara perkiraan biaya mereka berada pada 8,425 juta yuan.

Praktik ini umum terjadi di ponsel Cina murah menurut laporan yang diterbitkan pada bulan Agustus tahun ini yang mendeteksi malware di ponsel Infinix dan Tecno yang dapat mencuri uang pengguna.

Sumber: Gizmo China

DeathStalker APT Menambah Keseruan dengan Malware PowerPepper Malware

by

Serangkaian teknik obfuscation memanas untuk hacking-for-hire operation. Kelompok ancaman persisten lanjutan (APT) DeathStalker memiliki senjata baru yang menarik: Backdoor yang sangat tersembunyi yang oleh para peneliti dijuluki PowerPepper, digunakan untuk memata-matai sistem yang ditargetkan.

DeathStalker menawarkan layanan tentara bayaran, spionase untuk disewa yang menargetkan sektor keuangan dan hukum, menurut para peneliti di Kaspersky. Mereka mencatat bahwa grup tersebut telah ada setidaknya sejak 2012 (pertama kali terlihat pada 2018), menggunakan serangkaian teknik, taktik, dan prosedur (TTP) yang relatif dasar dan menjual jasanya kepada penawar tertinggi. Namun, pada November, kelompok itu ditemukan menggunakan implan malware baru, dengan taktik obfuscation yang berbeda.

“DeathStalker telah memanfaatkan beberapa jenis malware dan rantai pengiriman selama bertahun-tahun, dari Python dan Janicab berbasis VisualBasic, hingga Powersing berbasis PowerShell, melewati Evilnum berbasis JavaScript,” kata para peneliti dalam posting Kamis. “DeathStalker juga secara konsisten memanfaatkan teknik anti-deteksi dan penghindaran antivirus, serta rantai pengiriman yang rumit, yang akan menjatuhkan banyak file pada sistem file target.” Malware khusus ini menonjol, karena menaikkan level panas pada taktik obfuscation-nya.

sumber : ThreatPost

VMware Memberi Perbaikan untuk Bug Zero-Day yang Sebelumnya Kritis

by

VMware telah menambal bug zero-day yang terungkap pada akhir November – escalation-of-privileges yang memengaruhi Workspace One dan platform lainnya, untuk sistem operasi Windows dan Linux. VMware juga telah merevisi peringkat keparahan CVSS untuk bug menjadi “penting”, turun dari kritis.

Cybersecurity and Infrastructure Security Agency (CISA) A.S. awalnya menandai kerentanan keamanan yang belum ditambal pada 23 November, yang memengaruhi 12 versi VMware di seluruh portofolio Cloud Foundation, Identity Manager, vRealize Suite Lifecycle Manager, dan Workspace One. Itu dilaporkan ke perusahaan oleh National Security Agency (NSA).

Dilacak sebagai CVE-2020-4006, bug tersebut memungkinkan injeksi perintah, menurut nasihat perusahaan. Meskipun bug tersebut awalnya diberi nilai 9,1 dari 10 pada skala keparahan CVSS, penyelidikan lebih lanjut menunjukkan bahwa penyerang mana pun akan memerlukan kata sandi yang disebutkan dalam pembaruan, membuatnya jauh lebih sulit untuk dieksploitasi secara efektif. Peringkatnya sekarang 7,2, menjadikannya “penting” daripada “kritis”.

“Akun ini bersifat internal untuk produk yang terkena dampak dan kata sandi ditetapkan pada saat penerapan,” menurut penasehat. “Aktor jahat harus memiliki sandi ini untuk mencoba mengeksploitasi CVE-2020-4006.” Kata sandi perlu diperoleh melalui taktik seperti phishing atau brute forcing / credential stuffing, tambahnya.

Saat kerentanan terungkap pada bulan November, perusahaan mengeluarkan solusi “untuk solusi sementara guna mencegah eksploitasi CVE-2020-4006”, dengan konsekuensi bahwa perubahan pengaturan yang dikelola konfigurator dapat dilakukan saat solusi tersebut diterapkan.

sumber : ThreatPost

Geng ransomware sekarang menjadi korban panggilan dingin jika mereka memulihkan dari cadangan tanpa membayar

by

Dalam upaya untuk menekan korban, beberapa geng ransomware sekarang menelepon korban di ponsel mereka jika mereka curiga bahwa perusahaan yang diretas mungkin mencoba memulihkan dari cadangan dan menghindari membayar tuntutan tebusan.

Kelompok ransomware yang telah terlihat memanggil korban di masa lalu termasuk Sekhmet (sekarang sudah tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk, juru bicara perusahaan keamanan cyber Emsisoft mengatakan kepada ZDNet pada hari Kamis. Arete IR dan Emsisoft mengatakan bahwa mereka juga telah melihat template dengan skrip dalam panggilan telepon yang diterima oleh pelanggan mereka. Menurut rekaman panggilan yang dilakukan atas nama geng ransomware Maze, dan dibagikan dengan ZDNet, penelepon tersebut memiliki aksen yang berat, menunjukkan bahwa mereka bukan penutur asli bahasa Inggris.

Di bawah ini adalah transkrip panggilan yang telah disunting, yang disediakan oleh salah satu firma keamanan sebagai contoh, dengan nama korban dihapus:

“Kami mengetahui adanya perusahaan IT pihak ketiga yang bekerja di jaringan Anda. Kami terus memantau dan mengetahui bahwa Anda menginstal antivirus SentinelOne di semua komputer Anda. Tetapi Anda harus tahu bahwa itu tidak akan membantu. Jika Anda ingin berhenti membuang-buang waktu dan memulihkan data Anda minggu ini, kami menganjurkan agar Anda mendiskusikan situasi ini dengan kami dalam obrolan atau masalah dengan jaringan Anda tidak akan pernah berakhir.”

sumber : ZDNET

Ransomware Menjadi Bisnis Serius dan Menguntungkan – Semua yang Perlu Kamu Ketahui

by

Apa itu Ransomware?

Penjahat siber menggunakan encrypted ransomware yang menjadi jenis paling umum karena sulit untuk memecahkan enkripsi dan menghapus malware.

Ransomware mengenkripsi file seolah-olah mereka secara aktif dienkripsi, tetapi sebenarnya, mereka disembunyikan dalam file terpisah, yang menunggu serangkaian kondisi yang ditentukan untuk dibuka sebelum mereka didekripsi.

Dalam kasus ransomware, virus dapat mengenkripsi file tanpa sepengetahuan atau persetujuan pengguna.

Kunci enkripsi dibuat secara offline dan disematkan di malware sebelum dikirim untuk menyerang Anda, atau tertanam di malware yang dikirim selama serangan.

Setelah file Anda dienkripsi, virus akan membuat tutorial tentang cara mendapatkan kunci dekripsi yang tersedia untuk Anda jika Anda membayar uang tebusan. Anda akan diperlihatkan tautan untuk mengunduh decoder yang diperlukan.

Jenis-jenis Ransomware

  • Encryption Ransomware
  • Screen-locking Ransomware
  • Master Boot Record (MBR) Ransomware
  • Web Servers Encrypting Ransomware
  • Mobile Ransomware

Timeline Ransomware

Vektor Serangan Ransomware

Ketika perusahaan yang telah diserang oleh ransomware selama bertahun-tahun diperiksa, serangan phishing email, remote desktop protocol (RDP), dan kerentanan keamanan adalah 3 alasan utama.

Aktor ancaman seperti REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP, dan Nefilim telah menggunakan sistem Citrix yang rentan terhadap CVE-2019–19781 sebagai titik masuk untuk serangan ransomware.

Vektor Serangan Lainnya;

  • Penggunaan perangkat media berbahaya
  • Situs web yang disusupi
  • Download file yang terinfeksi
  • Aplikasi seluler berbahaya
  • Aplikasi pesan berbahaya
  • Penggunaan kata sandi yang lemah
  • Kebijakan keamanan yang buruk

Bagaimana Melindungi Diri Anda?

  • Tentukan inventaris aset digital kamu.
  • Sesuaikan pengaturan anti-spam kamu dengan benar dan gunakan filter spam yang kuat.
  • Jangan membuka email yang mencurigakan dan lampirannya.
  • Hindari memberikan informasi pribadi.
  • Gunakan fitur Show File Extensions.
  • Tambal perangkat lunak kamu dan perbarui terus

Dan ingat, jangan pernah membayar tebusan yang diminta oleh pelaku. Perusahaan penegak hukum dan Keamanan TI telah bergabung untuk mengganggu bisnis penjahat siber dengan koneksi ransomware. Dengan tidak membayar tebusan, kamu telah membantu mereka untuk menghentikan adanya serangan ransomware lainnya. Karena sebagian besar pelaku termotivasi secara finansial untuk menyebarkan ransomware dan mendapatkan uang secara mudah dari sana.

Sumber: Medium The Startup