News 105 - Naga Cyber Defense

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

November 16, 2022 by Coffee Bean

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

November 16, 2022 by Eevee

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

November 16, 2022 by Eevee

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

‘Authentication’ Windows Kerberos Rusak Setelah Pembaruan November

November 15, 2022 by Coffee Bean

Microsoft sedang menyelidiki masalah baru yang diketahui yang menyebabkan pengontrol domain perusahaan mengalami kegagalan masuk Kerberos dan masalah autentikasi lainnya setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa bulan ini.

Kerberos telah menggantikan protokol NTLM sebagai protokol autentikasi default untuk perangkat yang terhubung dengan domain pada semua versi Windows di atas Windows 2000.

Kesalahan yang dicatat dalam log peristiwa sistem pada sistem yang terpengaruh akan ditandai dengan frasa kunci “kunci yang hilang memiliki ID 1”.

“Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1),” tulis kesalahan yang dicatat.

Daftar skenario otentikasi Kerberos mencakup namun tidak terbatas pada hal berikut:

Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal terhubung.
Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
Pencetakan yang memerlukan otentikasi pengguna domain mungkin gagal.

Mempengaruhi platform klien dan server
Daftar lengkap platform yang terpengaruh mencakup rilis klien dan server:

Klien: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 atau lebih baru, dan Windows 11 21H2 atau lebih baru
Server: Windows Server 2008 SP2 atau lebih baru, termasuk rilis terbaru, Windows Server 2022.

Masalah ini tidak memengaruhi perangkat yang digunakan oleh pelanggan rumahan dan yang tidak terdaftar di domain lokal. Selain itu, ini tidak memengaruhi lingkungan Azure Active Directory ibu-hibrid dan lingkungan yang tidak memiliki server Active Directory lokal.

Microsoft sedang mengerjakan perbaikan untuk masalah umum ini dan memperkirakan solusi akan tersedia dalam beberapa minggu mendatang.

sumber : bleeping computer

Whoosh Mengonfirmasi Pelanggaran Data Setelah Peretas Menjual 7,2 Juta Catatan Pengguna

November 15, 2022 by Coffee Bean Leave a Comment

Layanan berbagi skuter Rusia Whoosh telah mengonfirmasi pelanggaran data setelah peretas mulai menjual basis data yang berisi rincian 7,2 juta pelanggan di forum peretasan.

Perusahaan mengkonfirmasi serangan siber melalui pernyataan di media Rusia awal bulan ini tetapi mengklaim bahwa para ahli TI telah berhasil menggagalkannya dengan sukses.

Penjualan Hari Ini

Pada hari Jumat, seorang pengguna di forum peretasan ‘Breached’ memposting database yang berisi rincian tentang 7,2 juta pelanggan Whoosh, termasuk alamat email, nomor telepon, dan nama depan.

Penjualan data Woosh di forum Pelanggaran (BleepingComputer)

Penjual juga mengakui bahwa data yang dicuri termasuk 3.000.000 kode promo yang dapat digunakan orang untuk menyewa skuter Whoosh tanpa membayar.

Penjual mengatakan mereka menjual data hanya kepada lima pembeli masing-masing seharga $4.200, atau 0,21490980 bitcoin, dan menurut platform SatoshiDisk yang digunakan untuk transaksi, belum ada yang membeli database.

Kebocoran Database Rusia

Menurut laporan Agustus 2022 dari Roskomnadzor, pengawas internet Rusia, ada 40 pelanggaran data perusahaan Rusia yang dikonfirmasi sejak awal tahun.

Pada September 2022, Group-IB menerbitkan laporan yang mengklaim telah mengamati 140 penjualan database yang dicuri dari perusahaan Rusia musim panas ini saja, dengan jumlah total catatan yang terpapar mencapai 304 juta.

sumber : bleeping computer

Ukraina Mengatakan Peretas Rusia Menggunakan Ransomware Somnia Baru

November 15, 2022 by Coffee Bean

Peretas Rusia telah menginfeksi banyak organisasi di Ukraina dengan jenis ransomware baru yang disebut ‘Somnia’, yang mengenkripsi sistem mereka dan menyebabkan masalah operasional.

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengonfirmasi wabah tersebut melalui pengumuman di portalnya, menghubungkan serangan tersebut dengan ‘From Russia with Love’ (FRwL), juga dikenal sebagai ‘Z-Team,’ yang mereka lacak sebagai UAC-0118.

Detail serangan FRwL

Situs web palsu yang untuk menjatuhkan Vidar Stealer (CERT-UA)

penginstal menginfeksi sistem dengan pencuri Vidar, yang mencuri data sesi Telegram korban untuk mengambil kendali akun mereka.

Selanjutnya, CERT-UA mengatakan bahwa pelaku ancaman menyalahgunakan akun Telegram korban dengan cara yang tidak ditentukan untuk mencuri data koneksi VPN (otentikasi dan sertifikat).

Jika akun VPN tidak dilindungi oleh otentikasi dua faktor, peretas menggunakannya untuk mendapatkan akses tidak sah ke jaringan perusahaan majikan korban.

Selanjutnya, penyusup menyebarkan suar Cobalt Strike, mengekstrak data, dan menggunakan Netscan, Rclone, Anydesk, dan Ngrok, untuk melakukan berbagai aktivitas pengawasan dan akses jarak jauh.

CERT-UA melaporkan bahwa sejak musim semi 2022, dengan bantuan broker akses awal, FRwL telah melakukan beberapa serangan terhadap komputer milik organisasi Ukraina.

Jenis file (ekstensi) yang ditargetkan oleh ransomware Somnia ditunjukkan di bawah ini, termasuk dokumen, gambar, database, arsip, file video, dan lainnya, yang mencerminkan kehancuran yang ingin ditimbulkan oleh ketegangan ini.

Jenis file yang dienkripsi oleh ransomware Somnia (CERT-UA)

Somnia tidak meminta korban untuk membayar uang tebusan sebagai ganti dekripsi yang berfungsi, karena operatornya lebih tertarik mengganggu operasi target daripada menghasilkan pendapatan.

Oleh karena itu, malware ini harus dianggap sebagai penghapus data daripada serangan ransomware tradisional.

sumber : bleeping computer

42.000 Situs Digunakan Untuk Skema Peniruan Identitas Merek

November 15, 2022 by Coffee Bean

Grup nirlaba jahat bernama ‘Fangxiao’ telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.

Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.

Ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

faktor keuntungan
Untuk menghasilkan keramaian besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.

Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.

Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.

Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.

Investigasi Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

November 15, 2022 by Eevee

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings