Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Operator ransomware LockBit Rusia ditangkap di Canada

by

Europol hari ini mengumumkan penangkapan seorang warga negara Rusia yang terkait dengan serangan ransomware LockBit yang menargetkan organisasi infrastruktur penting dan perusahaan terkenal di seluruh dunia.

Tersangka ditangkap di Ontario, Kanada, bulan lalu menyusul penyelidikan yang dipimpin oleh Gendarmerie Nasional Prancis dengan bantuan European Cybercrime Center (EC3) Europol, FBI, dan Canadian Royal Canadian Mounted Police (RCMP).

Penegak hukum juga menyita delapan komputer dan 32 hard drive eksternal, dua senjata api, dan cryptocurrency senilai €400.000 dari rumah tersangka.

Europol menambahkan bahwa operator LockBit ini “adalah salah satu target bernilai tinggi Europol karena keterlibatannya dalam banyak kasus ransomware tingkat tinggi,” dan ia dikenal karena mencoba memeras korban dengan tuntutan tebusan antara €5 hingga €70 juta.

Sementara Europol menggambarkan tersangka sebagai ‘operator’ ransomware LockBit, ia kemungkinan adalah afiliasi daripada manajer operasi kejahatan dunia maya.

Selanjutnya, perwakilan LockBit yang dikenal publik yang dikenal sebagai ‘LockBitSupp’ memposting di forum peretas baru-baru ini kemarin.

Departemen Kehakiman AS (DOJ) mengatakan dalam siaran pers yang diterbitkan hari ini bahwa nama tersangka berusia 33 tahun adalah Mikhail Vasiliev, warga negara ganda Rusia dan Kanada dari Bradford, Ontario, Kanada.

Menurut pengaduan pidana, dalam penggeledahan di rumahnya pada Agustus 2022, penegak hukum Kanada juga menemukan tangkapan layar pertukaran Tox dengan ‘LockBitSupp,’ instruksi tentang cara menyebarkan loker LockBit Linux/ESXi dan kode sumber malware, serta ” foto-foto layar komputer yang menunjukkan nama pengguna dan kata sandi untuk berbagai platform milik karyawan korban LockBit di Kanada, yang menderita serangan LockBit yang dikonfirmasi pada atau sekitar Januari 2022.”

Vasiliev didakwa dengan konspirasi untuk mengirimkan permintaan tebusan dan dengan sengaja merusak komputer yang dilindungi. Dia menghadapi hukuman maksimal lima tahun penjara jika terbukti bersalah.

Penangkapan ini mengikuti tindakan serupa di Ukraina pada Oktober 2021 ketika operasi penegakan hukum internasional gabungan yang melibatkan FBI, polisi Prancis, dan Polisi Nasional Ukraina menyebabkan penangkapan dua kaki tangannya.

Kedua tersangka ditangkap di Kyiv, Ukraina, dengan salah satu dari mereka digambarkan sebagai “peretas” pria berusia 25 tahun.

Tahun lalu, polisi Ukraina juga menangkap tersangka lain yang diyakini sebagai anggota operasi ransomware Clop and Egregor.

Europol juga mengumumkan pada Oktober 2021 bahwa lembaga penegak hukum menangkap 12 tersangka di Ukraina dan Swiss yang diyakini terkait dengan serangan ransomware LockerGoga, MegaCortex, dan Dharma yang memengaruhi lebih dari 1.800 korban di 71 negara.

Sumber: Bleeping Computer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

by

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.


Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

by

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.


Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

Varian Baru IceXLoader Malware Loader Menginfeksi Ribuan Korban di Seluruh Dunia

by

Versi terbaru dari pemuat malware dengan nama kode IceXLoader diduga telah menyusupkan ribuan mesin Windows pribadi dan perusahaan di seluruh dunia.

Juni lalu, Fortinet FortiGuard Labs mengatakan telah menemukan versi trojan yang ditulis dalam bahasa pemrograman Nim dengan tujuan menghindari analisis dan deteksi.

IceXLoader sebelumnya didistribusikan melalui kampanye phishing, dengan email yang berisi arsip ZIP berfungsi sebagai pemicu untuk menyebarkan malware. Rantai infeksi telah membantu IceXLoader untuk menghadirkan DarkCrystal RAT dan penambang cryptocurrency.

Dalam urutan serangan yang dirinci oleh Minerva Labs, file ZIP telah ditemukan menyimpan penetes, yang menjatuhkan pengunduh berbasis .NET yang, seperti namanya, mengunduh gambar PNG (“Ejvffhop.png”) dari hard- kode URL.

File gambar ini, penetes lain, kemudian diubah menjadi array byte, yang secara efektif memungkinkannya untuk mendekripsi dan menyuntikkan IceXLoader ke dalam proses baru menggunakan teknik yang disebut proses pengosongan.

Minerva Labs mengatakan file database SQLite yang dihosting di server command-and-control (C2) terus diperbarui dengan informasi tentang ribuan korban, menambahkannya dalam proses memberi tahu perusahaan yang terkena dampak.

sumber : the hacker news

Grup Peretasan Baru Menggunakan Pemuat Cobalt Strike ‘Symatic’ Khusus

by

A previously unknown Chinese APT (advanced persistent threat) hacking group dubbed ‘Earth Longzhi’ targets organizations in East Asia, Southeast Asia, and Ukraine.

Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Earth Baku,’ keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41.


Diagram sub-grup APT41 (Trend Micro)

Kampanye lama Earth Longzhi
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.

Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:

  • Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
  • Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
  • Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.

Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.


Timeline kampanye kedua (Trend Micro)

Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.

Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.

Khususnya, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.

ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:

– Windows 7 SP1
– Windows Server 2008 R2 SP1
– Windows 8.1
– Windows Server 2012 R2
– Windows 10 1607, 1809, 20H2, 21H1
– Windows Server 2018 1809
– Windows 11 21H2, 22449, 22523, 22557

Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.

sumber : bleeping computer

VPN Google One tidak hanya untuk ponsel atau tablet lagi

by

Google tampaknya mendorong semua silinder untuk membuat VPN layak digunakan. Dulu hanya untuk pelanggan Google Fi, pemegang penyimpanan cloud dengan Google One juga dapat beralih dan menjalankan bisnis online mereka dengan lebih aman.

Namun, itu hanya VPN yang layak digunakan jika Anda menggunakan ponsel atau tablet. Perusahaan telah mengeluarkan layanan tersebut untuk Windows dan Mac.

Pelanggan Google One di tingkat 2TB ($10 per bulan) atau lebih tinggi sudah memiliki akses ke VPN seluler. Mulai hari ini, mereka dapat mengunduh klien untuk mesin mereka di Windows 10 dan macOS 11 atau lebih baru. Ini akan tersedia di 22 pasar yang sama di mana VPN sudah tersedia di Android dan iOS.

Pengguna dapat mengharapkan pengalaman umum yang sama yang disediakan oleh aplikasi seluler dengan enkripsi lalu lintas standar industri dan sistem pemeriksaan dan keseimbangan backend yang seharusnya melindungi aktivitas mereka di web. Seperti paket Google One lainnya, pemegang akun dapat berbagi akses VPN hingga lima orang lainnya.

Anda juga dapat berkonsultasi dengan halaman Bantuan Google One untuk VPN untuk informasi lebih lanjut, juga diatur untuk diperbarui.

Google juga mengklarifikasi bahwa pemilik Pixel 7 yang mendapatkan akses VPN gratis selama lima tahun akan memerlukan paket Google One yang memenuhi syarat untuk memanfaatkan klien desktop juga.

Sumber: Android Police

Influencer ‘Hushpuppi’ mendapat 11 tahun penjara karena penipuan dunia maya

by

Nama asli Nigeria berusia 40 tahun adalah Ramon Olorunwa Abbas, dan diperintahkan untuk membayar ganti rugi sebesar $ 1.732.841 kepada dua korban dikonfirmasi, sebuah firma hukum di AS dan seorang pengusaha di Qatar.

Meskipun tidak semua penipuan berhasil menipu target, Departemen Kehakiman AS mengatakan Abbas mengakui kepada jaksa bahwa selama 18 bulan, antara 2019 dan 2022, ia berkonspirasi untuk mencuci lebih dari $300 juta.

“Ramon Abbas, alias ‘Hushpuppi,’ menargetkan korban Amerika dan internasional, menjadi salah satu pencuci uang paling produktif di dunia,” kata Don Alway, Asisten Direktur yang Bertanggung Jawab Kantor Lapangan FBI di Los Angeles.

Hasil yang diperoleh Abbas dari kegiatan ini membantunya membangun persona di Instagram dengan memamerkan gaya hidup mewah, di mana ia memperoleh status influencer, yang selanjutnya membantu serangan rekayasa sosial terhadap target.

Abbas akhirnya ditangkap di Dubai, UEA, pada Juni 2020 dan mengaku bersalah atas tuduhan pencucian uang pada April 2021.

Pengumuman DoJ menggambarkan beberapa contoh percobaan penipuan yang dilakukan Abbas, dirangkum di bawah ini:

Januari 2019 – ditawarkan untuk mencuci $14,7 juta yang dicuri oleh peretas Korea Utara dalam perampokan siber bank Malta, mengarahkan jumlah tersebut melalui rekening di Rumania dan Bulgaria.

Mei 2019 – mencuci jutaan pound yang dicuri dari klub sepak bola (sepak bola) profesional di Inggris, menggunakan rekening bank Meksiko.

Oktober 2019 – menipu firma hukum yang berbasis di New York untuk mengirim $922.857 ke akun di bawah kendali seorang konspirator.

Alaumary diperintahkan untuk membayar ganti rugi lebih dari $30.000.000, yang menunjukkan bahwa ia memegang peran yang lebih sentral dalam skema tersebut, sebagai penerima utama dana yang dicuri.

sumber : bleeping computer

VMware Memperbaiki Tiga Bug Bypass Autentikasi Kritis di Alat Akses Jarak Jauh

by Leave a Comment

VMware telah merilis pembaruan keamanan untuk mengatasi tiga kerentanan tingkat keparahan kritis dalam solusi Workspace ONE Assist yang memungkinkan penyerang jarak jauh melewati otentikasi dan meningkatkan hak istimewa ke admin.

Workspace ONE Assist menyediakan kendali jarak jauh, berbagi layar, manajemen sistem file, dan eksekusi perintah jarak jauh untuk membantu meja dan staf TI mengakses dan memecahkan masalah perangkat dari jarak jauh dari konsol Workspace ONE.

Cacat dilacak sebagai CVE-2022-31685 (otentikasi bypass), CVE-2022-31686 (metode otentikasi rusak), dan CVE-2022-31687 (kontrol otentikasi rusak) dan telah menerima skor dasar 9,8/10 CVSSv3.

Pelaku ancaman yang tidak diautentikasi dapat mengeksploitasinya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk eskalasi hak istimewa.

Diperbaiki di Workspace ONE Assist 22.10

VMware juga menambal kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31688) yang memungkinkan penyerang untuk menyuntikkan kode javascript di jendela pengguna target dan kerentanan fiksasi sesi (CVE-2022-31689) yang memungkinkan otentikasi setelah mendapatkan token sesi yang valid.

Semua kerentanan yang ditambal hari ini telah ditemukan dan dilaporkan ke VMware oleh Jasper Westerman, Jan van der Put, Yanick de Pater, dan Harm Blankers dari REQON IT-Security.

VMware memperingatkan admin untuk menambal kelemahan keamanan autentikasi kritis lainnya di VMware Workspace ONE Access, Identity Manager, dan vRealize Automation, yang memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan hak istimewa admin.

VMware menambal kerentanan kritis yang hampir identik, bypass otentikasi lain (CVE-2022-22972) yang ditemukan oleh Bruno López dari Innotec Security di Workspace ONE Access, VMware Identity Manager (vIDM), dan vRealize Automation.

sumber : bleeping computer