Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

by

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.


Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.


Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.


Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.


IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

Peretas Rusia Bertanggung Jawab Atas Sebagian Besar Skema Ransomware 2021, Kata AS

by

WASHINGTON, 1 November (Reuters) – Perangkat lunak pencari pembayaran yang dibuat oleh peretas Rusia digunakan di tiga perempat dari semua skema ransomware yang dilaporkan ke AS.

Jaringan Penegakan Kejahatan Keuangan AS (FinCEN) mengatakan telah menerima 1.489 pengajuan terkait ransomware senilai hampir $1,2 miliar pada tahun 2021, melonjak 188% dari tahun sebelumnya.

Dari 793 insiden ransomware yang dilaporkan ke FinCEN pada paruh kedua tahun 2021, 75% “memiliki hubungan dengan Rusia, proksinya, atau orang yang bertindak atas namanya,” kata laporan itu.

Pada tanggal 31 Oktober, Washington menjadi tuan rumah pertemuan dengan pejabat dari 36 negara dan Uni Eropa, serta 13 perusahaan global untuk mengatasi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, termasuk penggunaan cryptocurrency secara ilegal.

Peretas Tiongkok Menggunakan Rantai Infeksi Tersembunyi untuk Menyebarkan Malware LODEINFO

by

Aktor ancaman China yang dikenal sebagai Stone Panda telah diamati menggunakan rantai infeksi tersembunyi baru dalam serangannya yang ditujukan pada entitas Jepang.

Target termasuk media, diplomatik, pemerintah dan organisasi sektor publik dan think-tank di Jepang, menurut laporan kembar yang diterbitkan oleh Kaspersky.

Stone Panda, juga disebut APT10, Bronze Riverside, Cicada, dan Potassium, adalah kelompok spionase dunia maya yang dikenal karena intrusinya terhadap organisasi yang diidentifikasi secara strategis signifikan bagi China. Pelaku ancaman diyakini telah aktif setidaknya sejak 2009.

Grup tersebut juga telah dikaitkan dengan serangan menggunakan keluarga malware seperti SigLoader, SodaMaster, dan web shell yang disebut Jackpot terhadap beberapa organisasi domestik Jepang sejak April 2021, menurut perusahaan keamanan siber Trend Micro, yang melacak grup tersebut dengan nama Earth Tengshe.

Serangkaian serangan terbaru, diamati antara Maret dan Juni 2022, melibatkan penggunaan file Microsoft Word palsu dan file arsip self-extracting (SFX) dalam format RAR yang disebarkan melalui email spear-phishing, yang mengarah ke eksekusi pintu belakang yang disebut LODEINFO.

Sementara maldoc mengharuskan pengguna untuk mengaktifkan makro untuk mengaktifkan killchain, kampanye Juni 2022 ditemukan untuk menjatuhkan metode ini demi file SFX yang, ketika dijalankan, menampilkan dokumen Word umpan yang tidak berbahaya untuk menyembunyikan aktivitas jahat.

Makro, setelah diaktifkan, menjatuhkan arsip ZIP yang berisi dua file, salah satunya (“NRTOLF.exe”) adalah executable yang sah dari perangkat lunak K7Security Suite yang kemudian digunakan untuk memuat DLL jahat (“K7SysMn1.dll”) melalui DLL pemuatan samping.

Kaspersky juga menemukan metode infeksi awal lain pada Juni 2022, di mana file Microsoft Word yang dilindungi kata sandi bertindak sebagai saluran untuk mengirimkan pengunduh tanpa file yang dijuluki DOWNIISSA setelah mengaktifkan makro.

DOWNIISSA dikonfigurasi untuk berkomunikasi dengan server jarak jauh berkode keras, menggunakannya untuk mengambil muatan BLOB terenkripsi dari LODEINFO, pintu belakang yang mampu mengeksekusi kode shell sewenang-wenang, mengambil tangkapan layar, dan mengekstrak file kembali ke server.

Malware tersebut, pertama kali terlihat pada tahun 2019, telah mengalami banyak peningkatan, dengan Kaspersky mengidentifikasi enam versi berbeda pada bulan Maret, April, Juni, dan September 2022.

Perubahan termasuk teknik penghindaran yang ditingkatkan untuk terbang di bawah radar, menghentikan eksekusi pada mesin dengan lokal “en_US,” merevisi daftar perintah yang didukung, dan memperluas dukungan untuk arsitektur Intel 64-bit.

Sumber: The Hackernews

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

by

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

130 Github Repositori Dicuri dari Dropbox oleh Hacker

by

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”


Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

eksploitasi bug windows untuk menginfeksi PC rumahan dengan ransomeware dikarenakan patch tidak resmi dikeluarkan untuk bug windows

by

Perusahaan siber security mengeluarkan patch untuk perbaikan program bug di windows yang microsoft belum perbaiki, dengan lubang ini terus di ekploitasi untuk menyebarkan ransomware.

Acros Security mengeluarkan binary patch kecil untuk menunjukan kekurangan fitur Mark-of-the-Web (MotW) milik Microsoft’s. fitur ini seharusnya digunakan untuk menandai bendara di meta data untuk files yang didapatkan dari internet, stik USB, dan sumber tidak terpercaya lainnya. Bendera ini memastikan bahwa bila file tersebut dibuka, perlindungan ekstra datang.

Terbukti bahwa untuk melewati fitur ini adalah hal yang memungkinkan, dan dengan files yang terunduh dari web tidak membawa bendera MotW, dan menghindar semua proteksi saat dibuka. Khususnya, penyerang yang bisa mencegah windows dari menaruh bendera MotW di file yang diekstrak dari arsip ZIP yang diperoleh dari sumber yang tidak tepercaya. Ini dapat dimanfaatkan oleh penjahat untuk memikat tanda agar membuka arsip ZIP, dan menjalankan perangkat lunak berbahaya di dalamnya tanpa merusak perlindungan keamanan yang diharapkan. Bug tersebut disorot beberapa bulan lalu oleh Will Dormann, analis kerentanan senior di Analygence.

Microsoft belum memperbaiki kesalahan ini. Pengamat IT Kevin Beaumont pada 10 Oktober mengatakan bug itu sekarang sedang dieksploitasi di alam liar. Acros mengeluarkan micropatch sekitar seminggu kemudian yang dapat diterapkan untuk menutup lubang ini sementara Anda menunggu Redmond untuk mengejar.

Sekarang Acros telah mengeluarkan patch baru yang mengatasi lubang keamanan MotW terkait di Windows yang lagi-lagi belum diperbaiki oleh Microsoft.

apa yang baru?
Korban diminta untuk mengambil arsip ZIP yang berisi file JavaScript yang menyamar sebagai antivirus atau pembaruan perangkat lunak Windows.

Skrip tersebut, ketika dijalankan, sebenarnya menyebarkan Magniber, jenis ransomware yang ditujukan untuk pengguna rumahan Windows. Ini mengacak dokumen dan dapat memeras sebanyak $ 2.500 dari korban untuk memulihkan data mereka, menurut Wolf Security.

Magniber tidak termasuk dalam kategori Big Game Hunting, itu masih dapat menyebabkan kerusakan yang signifikan,” tulis tim Wolf dalam laporannya,

analis malware HP Patrick Schlapfer mencatat bahwa JavaScript berbahaya di arsip Magniber ZIP memang membawa bendera MotW tetapi masih dijalankan tanpa peringatan SmartScreen yang muncul untuk menghentikan tindakan yang diminta atau memperingatkan pengguna agar tidak melanjutkan, seperti yang Anda harapkan untuk arsip yang diambil dari internet. Mitja Kolsek, CEO Acros, mengonfirmasi bahwa SmartScreen sedang dilewati oleh skrip Magniber.

SmartScreen Microsoft seharusnya, memblokir file berbahaya yang jelas atau memperingatkan pengguna jika file terlihat mencurigakan, tetapi konten arsip Magniber ZIP dapat mengesampingkan proses itu sepenuhnya.

“Ingat bahwa pada Windows 10 dan Windows 11, membuka file yang berpotensi berbahaya memicu pemeriksaan SmartScreen dari file tersebut, di mana SmartScreen menentukan apakah file tersebut jelas untuk diluncurkan atau pengguna harus diperingatkan tentang hal itu,” kata Kolsek.

Authenticode Microsoft adalah teknologi penandatanganan kode digital yang mengidentifikasi penerbit dan memverifikasi perangkat lunak tidak dirusak setelah ditandatangani dan dirilis. Dormann menemukan bahwa tanda tangan file skrip salah format hingga Windows

Pemeriksaan lebih lanjut oleh Acros Security menemukan bahwa kesalahan terjadi karena SmartScreen, ketika mencoba mengurai tanda tangan yang salah format, menghasilkan kesalahan, yang menyebabkan sistem operasi menjalankan program dan menginfeksi mesin tanpa memicu peringatan.

sumber : the register

OpenSSL Merilis Pembaruan Keamanan untuk Kerentanan Tingkat Tinggi

by

Kemarin kerentanan OpenSSL ditandai sebagai patch tingkat kritis pertama sejak bug Heartbleed. Namun saat perbaikan dirilis, perbaikan keamanan berubah menjadi “Tinggi” untuk buffer overflow, yang memengaruhi semua instalasi OpenSSL 3.x tetapi tidak mungkin mengarah pada eksekusi kode jarak jauh.

Kerentanan spesifik tersebut adalah (CVE-2022-37786 dan CVE-2022-3602) sebagian besar tidak diketahui hingga hari ini, tetapi analis dan bisnis di bidang keamanan web mengisyaratkan mungkin ada masalah penting dan kesulitan pemeliharaan.

Beberapa distribusi Linux, termasuk Fedora, menahan rilis hingga patch tersedia. Akamai mencatat sebelum patch bahwa setengah dari jaringan yang dipantau memiliki setidaknya satu mesin dengan instance OpenSSL 3.x yang rentan, dan di antara jaringan tersebut, antara 0,2 dan 33 persen mesin rentan.

Namun kerentanan spesifik—keadaan terbatas, luapan sisi klien yang dimitigasi oleh tata letak stack pada sebagian besar platform modern kini ditambal, dan diberi peringkat sebagai “Tinggi”. Dan dengan OpenSSL 1.1.1 masih dalam fase dukungan jangka panjang, OpenSSL 3.x hampir tidak tersebar luas.

Pakar malware Marcus Hutchins menunjuk ke komit OpenSSL di GitHub yang merinci masalah kode: “memperbaiki dua buffer overflows dalam fungsi decoding kode kecil.” Alamat email berbahaya, yang diverifikasi dalam sertifikat X.509, dapat melebihi jumlah byte pada stack, yang mengakibatkan crash atau kemungkinan eksekusi kode jarak jauh, bergantung pada platform dan konfigurasi.

Tetapi kerentanan ini sebagian besar memengaruhi klien, bukan server, jadi jenis pengaturan ulang keamanan Internet (dan absurditas) yang sama dari Heartbleed kemungkinan tidak akan mengikuti. VPN yang menggunakan OpenSSL 3.x dapat terpengaruh, misalnya, dan bahasa seperti Node.js. Pakar keamanan siber Kevin Beaumont menunjukkan bahwa perlindungan stack overflow di sebagian besar konfigurasi default distribusi Linux seharusnya mencegah eksekusi kode.

Menurut tim keamanan OpenSSL, organisasi menguji dan memberikan umpan balik. Pada beberapa distribusi Linux, overflow 4-byte mungkin terjadi dengan satu serangan menimpa buffer yang berdekatan yang belum digunakan, sehingga tidak dapat merusak sistem atau mengeksekusi kode. Kerentanan lainnya hanya memungkinkan penyerang untuk mengatur panjang overflow, bukan konten.

Jadi sementara crash masih mungkin terjadi, dan beberapa stack dapat diatur dengan cara yang memungkinkan eksekusi kode jarak jauh. Namun, pengguna dari implementasi OpenSSL 3.x harus melakukan patch sesegera mungkin. Dan semua orang harus mencari pembaruan perangkat lunak dan OS yang dapat menambal masalah ini di berbagai subsistem.

Layanan pemantauan Datadog, dalam ringkasan masalah yang baik, mencatat bahwa tim peneliti keamanannya dapat membuat crash penerapan Windows menggunakan versi OpenSSL 3.x sebagai bukti konsep. Dan sementara penyebaran Linux tidak mungkin dieksploitasi, “eksploitasi yang dibuat untuk penyebaran Linux” masih bisa muncul.

National Cyber ​​Security Centrum of the Netherlands (NCSL-NL) memiliki daftar perangkat lunak yang rentan terhadap eksploitasi OpenSSL 3.x. Banyak distribusi Linux populer, platform virtualisasi, dan alat lainnya terdaftar sebagai rentan atau sedang diselidiki.

Meskipun terjadi pengurangan risiko pada kerentanan OpenSSl tetapi patch masih diperlukan karena kerentanan masih tersedia

Link patch: OpenSSL Update
Sumber: Arstechnica