Threat

Membangun Arsitektur Security untuk mengatasi Operation North Star Campaign

August 2, 2020 by Winnie the Pooh Leave a Comment

Beberapa bulan terakhir, McAfee Advanced Threat Research (ATR) mengamati adanya aktivitas cyber-kriminal yang menargetkan Industri Penerbangan dan Pertahanan. Aktivitas ini mempunyai kemiripan teknik dengan aktivitas cyber kriminal pada tahun 2017 dan 2019. Aktivitas ini diberi nama Operation North Star.

Pada blog tersebut, dibahas langkah-langkah serangan dan cara pencegahan dengan menggunakan tools McAfee

Metode Operasi

Threat Aktor menggunakan metode spear phising dan Sosial media sebagai langkah awal untuk masauk ke sistem jaringan.Dengan menggunakan iming-iming berupa tawaran pekerjaan dalam bentuk Microsoft Word. Microsoft Word tersebut mengandung script VBA yang akan mengaktifkan file DLL. File DLL tersebut lalu mengeluarkan payload berbahaya yang terkoneksi dengan server C2 (Command and Control) Threat Aktor.

Berita selengkapnya lihat pada Blog McAfee

Emotet Mencuri Lampiran Email Anda Untuk Menghindari Deteksi Antivirus

July 30, 2020 by Winnie the Pooh

Setelah lebih dari lima bulan tidak aktif, Emotet melanjutkan operasinya pada 17 Juli dan sejak itu, botnet Emotet telah mengirimkan email spam berbahaya yang disamarkan sebagai laporan pembayaran, faktur, peluang kerja dan informasi pengiriman melalui semua cluster servernya.

Menggunakan lampiran yang dicuri untuk membuat email jahatnya tampak lebih sah tentu merupakan taktik yang cerdas dan solusi keamanan email kemungkinan akan lebih sulit membedakan antara email nyata dan email spam menggunakan lampiran yang sah sebagai penyamaran.

Sekarang setelah Emotet memperbarui taktiknya untuk menghindari deteksi dan menyerang lebih banyak pengguna, organisasi dan individu harus ekstra hati-hati saat memeriksa email mereka dan menghindari membuka lampiran dari pengirim yang tidak dikenal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

‘BootHole’ Ancaman Secure Boot Yang Ditemukan Di Hampir Setiap Distro Linux, Windows 8 Dan 10

July 30, 2020 by Winnie the Pooh

Peneliti keamanan di Eclypsium menemukan kerentanan yang memengaruhi bootloader yang digunakan oleh hampir semua sistem Linux, dan hampir setiap perangkat Windows yang menggunakan Secure Boot dengan otoritas sertifikat Unified Extensible Firmware Interface (UEFI) standar Microsoft.

CVE-2020-10713, yang dijuluki BootHole, memiliki peringkat CVSS tinggi 8,2 dan berada di GRand Unified Bootloader 2 (GRUB2) default tetapi memengaruhi sistem yang menjalankan Secure Boot bahkan jika mereka tidak menggunakan GRUB2.

Jika berhasil dieksploitasi, BootHole memungkinkan penyerang untuk mengeksekusi kode apapun selama proses boot-up, bahkan ketika Secure Boot diaktifkan dan melakukan verifikasi tanda tangan dengan benar.

Yang berarti penyerang bisa mendapatkan kegigihan untuk malware yang diinstal secara diam-diam dan memberikan mereka, “near-total control” (mendekati total kontrol) atas perangkat yang terinfeksi, menurut Eclypsium.

Lebih buruk lagi, tidak ada pembaruan patch atau firmware sederhana yang dapat memperbaiki masalah ini, menurut Eclypsium.

Eclypsium telah mengoordinasikan pengungkapan yang bertanggung jawab atas BootHole dengan sejumlah vendor yang terkena dampak dan distro Linux, termasuk Microsoft, Tim Respons Keamanan UEFI (USRT), Oracle, Red Hat (Fedora dan RHEL), Canonical (Ubuntu), SuSE (SLES dan openSUSE), Debian, Citrix, VMware, dan berbagai OEM dan vendor perangkat lunak, beberapa di antaranya telah mengeluarkan laporan mereka sendiri.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Hacker Mengirim Password Anda Melalui Email? Lakukan 3 Hal Ini

July 25, 2020 by Winnie the Pooh Leave a Comment

Dilansir dari Forbes banyak pembaca yang melaporkan mereka mendapatkan Email dari hacker yang berisi data diri serta password mereka, selain itu hacker juga mengklaim mereka dapat mengambil alih perangkat komputer dan dapat memata matai seluruh aktivitas pemilik komputer.

Jika anda mendapat Email seperti ini, ada 3 Tips yang berguna untuk anda

1. Jangan Panik

Jangan panik, coba pikirkan secara jernih, jika memang hacker tersebut benar benar memiliki akses komputer anda, kenapa mereka harus mengemail anda terlebih dahulu? Bukankah menggunakan Ransomware justru lebih efektif ? Kemungkinan besar mereka mendapatkan password anda dari hasil data breach yang dijual di Dark Web ataupun yang sudah terkespos di publik, Jadi sebenarnya ancaman tadi hanya untuk menakut nakuti anda.

2. Ganti Password

Jika password anda pernah terkena Data Breach, segeralah mengganti semua password anda, usahakan anda membedakan password satu situs dengan situs lain, terdengar ribet memang, tapi ini dilakukan agar jika ada satu akun anda yang terkena hack, tidak akan merembet ke situs yang lain. Anda dapat melakukan cek apakah email dan password anda pernah terkena data breach pada situs haveibeenpwned.com

3. Laporkan

Segera laporkan ke pihak berwajib, anda dapat mengabaikan emailnya, namun simpan email dari hacker tersebut sebagai barang bukti.

Source : Forbes

Drone DJI Buatan China Yang Populer Ditemukan Memiliki Kerentanan Keamanan

July 24, 2020 by Winnie the Pooh

Peneliti Cybersecurity mengungkapkan pada hari Kamis kerentanan baru yang ditemukan pada aplikasi pengendali drone paling populer di dunia.

Dalam dua laporan, para peneliti berpendapat bahwa aplikasi pada sistem operasi Google Android yang menggerakkan drone yang dibuat oleh Da Jiang Innovations, atau DJI, yang berbasis di China, mengumpulkan sejumlah besar informasi pribadi yang dapat dieksploitasi oleh pemerintah Beijing.

Kerentanan drone, kata pejabat Amerika, adalah jenis lubang keamanan yang membuat Washington khawatir.

Perusahaan riset keamanan yang mendokumentasikannya, Synacktiv, yang berbasis di Perancis, dan GRIMM, yang berlokasi di luar Washington, menemukan bahwa aplikasi tersebut tidak hanya mengumpulkan informasi dari ponsel tetapi juga DJI dapat memperbaruinya tanpa adanya tinjuan perubahan oleh Google sebelum diteruskan ke konsumen.

Peninjauan perubahan juga sulit bagi pengguna, kata para peneliti, dan bahkan ketika aplikasi tampaknya ditutup, aplikasi masih menunggu instruksi dari jarak jauh.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: New York times

Layanan Dan Produksi Garmin Berhenti Setelah Adanya Serangan Ransomware

July 24, 2020 by Winnie the Pooh

Garmin, pembuat smartwatch dan wearable telah menutup beberapa layanannya pada 23 Juli untuk menghadapi serangan ransomware yang telah mengenkripsi jaringan internal dan beberapa sistem produksinya.

Dalam pesan yang dibagikan di situs web dan Twitter-nya, Garmin mengatakan penutupan yang sama juga berdampak pada pusat panggilannya, membuat perusahaan dalam situasi dimana mereka tidak dapat menjawab panggilan, email, dan obrolan online yang dikirim oleh pelanggan mereka.

Ketika dimintai keterangan, seorang juru bicara Garmin menolak untuk mengkonfirmasi bahwa penutupan layanan itu disebabkan oleh serangan ransomware. Namun, sejak insiden itu terjadi, beberapa karyawan Garmin berbagi rincian tentang serangan itu di media sosial mereka, semuanya menyebutkan serangan itu adalah ransomware.

Beberapa karyawan Garmin yang berbagi rincian ini secara online menghubungkan insiden itu dengan jenis ransomware baru yang muncul awal tahun ini, yang disebut WastedLocker.

Menurut iThome, situs berita Taiwan, staf TI Garmin mengirim memo internal ke pabrik Taiwan, mengumumkan dua hari mode pemeliharaan (maintenance) yang direncanakan untuk hari Jumat dan Sabtu, 24 Juli dan 25 Juli.

Sementara memo itu tidak secara khusus menyebutkan serangan ransomware, sumber mengatakan kepada situs berita Taiwan bahwa insiden itu disebabkan oleh “virus.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

MATA, Malware Yang Menargetkan Organisasi Di Seluruh Dunia

July 24, 2020 by Winnie the Pooh

Peneliti keamanan di Kaspersky telah menemukan kerangka kerja multi-platform malware yang disebut “MATA” yang telah berhasil menargetkan korban di seluruh dunia.

Kaspersky menjelaskan dalam analisisnya bahwa artefak pertama yang berkaitan dengan MATA muncul kembali pada bulan April 2018. Siapa pun yang berada di belakang kerangka kerja malware ini kemudian menggunakan ancaman ini untuk menargetkan perusahaan di Polandia, Jerman, Turki, Korea, Jepang, dan India.

Organisasi yang ditargetkan beroperasi di beberapa sektor ekonomi yang berbeda. Di antara para korban adalah perusahaan perangkat lunak, bisnis e-commerce dan Penyedia Layanan Internet (ISP).

Kaspersky Lab menemukan tiga versi MATA yang menargetkan Windows, Linux dan macOS. Versi Windows terdiri dari beberapa komponen termasuk loader, orkestrator dan plugin.

Versi Linux dari MATA tersedia di situs distribusi yang sah, sedangkan varian macOS tiba sebagai trojan aplikasi otentikasi dua faktor (2FA).

Dalam analisisnya, Kaspersky Lab menghubungkan malware MATA dengan aktor ancaman terkenal:

Kami menyimpulkan bahwa kerangka kerja MATA dapat dikaitkan dengan grup APT Lazarus. Orkestrator MATA menggunakan dua nama file unik, c_2910.cls dan k_3872.cls, yang sebelumnya hanya terlihat dalam beberapa varian Manuscrypt, termasuk sampel (0137f688436c468d43b3e50878ec1a1f) yang disebutkan dalam publikasi US-CERT.

Perusahaan keamanan itu mengungkapkan bahwa varian Manuscrypt, keluarga malware yang didistribusikan oleh Lazarus, juga memiliki struktur konfigurasi yang sama dengan MATA.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Kaspersky Lab | Tripwire

Grup APT Cina Menargetkan India Dan Hong Kong Menggunakan Varian Baru Malware MgBot

July 23, 2020 by Winnie the Pooh

Tim peneliti di Malwarebytes menemukan adanya kampanye Group APT yang menargetkan India dan Hong Kong.

Menurut Malwarebytes, mengingat ketegangan yang sedang berlangsung antara India dan Cina, serta undang-undang keamanan baru di Hong Kong, mereka percaya bahwa Group APT Cina, yang telah aktif sejak setidaknya 2014, adalah dalang di balik kampanye ini.

Pada 2 Juli, tim peneliti menemukan file arsip dengan dokumen tertanam yang berpura-pura berasal dari pemerintah India. File ini menggunakan injeksi template untuk menjatuhkan template berbahaya yang memuat varian Cobalt Strike.

Menurut para peneliti, kelompok itu mengubah template di hari berikutnya, kali ini menjatuhkan loader bernama MgBot, yang menyuntikkan muatan akhir menggunakan Layanan Manajemen Aplikasi (AppMgmt) pada Windows.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Malwarebytes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Metode Operasi

Cookies Settings