Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Apple mengatakan hanya OS terbaru yang akan sepenuhnya ditambal

by

Apple merilis dokumen yang mengklarifikasi tentang kebijakan pembaruannya yang menyatakan bahwa hanya perangkat yang menjalankan versi sistem operasi terbaru yang akan dilindungi sepenuhnya.

Apple menggunakan “upgrade” untuk merujuk ke rilis OS utama yang dapat menambahkan fitur baru yang besar dan perubahan antarmuka pengguna dan “update” untuk merujuk ke patch yang lebih kecil tetapi lebih sering dirilis yang sebagian besar memperbaiki bug dan mengatasi masalah keamanan (meskipun ini dapat sesekali aktifkan juga penambahan atau peningkatan fitur kecil). Jadi memperbarui dari iOS 15 ke iOS 16 atau macOS 12 ke macOS 13 adalah peningkatan. Memperbarui dari iOS 16.0 ke 16.1 atau macOS 12.5 ke 12.6 atau 12.6.1 adalah pembaruan.

Dengan kata lain, sementara Apple akan memberikan pembaruan terkait keamanan untuk versi sistem operasinya yang lebih lama, hanya pembaruan terbaru yang akan menerima pembaruan untuk setiap masalah keamanan yang diketahui Apple. Apple saat ini menyediakan pembaruan keamanan untuk macOS 11 Big Sur dan macOS 12 Monterey bersama dengan macOS Ventura yang baru dirilis, dan di masa lalu, Apple telah merilis pembaruan keamanan untuk versi iOS lama untuk perangkat yang tidak dapat menginstal pemutakhiran terbaru.

Kepala Analis Keamanan Intego Joshua Long telah melacak CVE yang ditambal oleh pembaruan macOS dan iOS yang berbeda selama bertahun-tahun dan umumnya menemukan bahwa bug yang ditambal di versi OS terbaru dapat memakan waktu berbulan-bulan sebelum ditambal di versi yang lebih lama (tetapi masih “didukung”), ketika mereka sedang ditambal sama sekali.

Ini relevan untuk pengguna Mac karena Apple menjatuhkan dukungan untuk model Mac dan iDevice yang lebih lama di sebagian besar peningkatan, sesuatu yang agak dipercepat untuk Intel Mac lama dalam beberapa tahun terakhir (kebanyakan Mac masih menerima enam atau tujuh tahun peningkatan, ditambah dua tahun pembaruan ).

Ini berarti bahwa setiap tahun, ada kumpulan perangkat baru yang masih mendapatkan beberapa pembaruan keamanan tetapi tidak semuanya. Perangkat lunak seperti OpenCore Legacy Patcher dapat digunakan untuk menjalankan versi OS terbaru pada perangkat keras yang lebih lama, tetapi ini tidak selalu merupakan proses yang sederhana, dan ia memiliki batasan dan peringatannya sendiri.

Kebanyakan orang yang menjalankan instalasi Big Sur atau Monterey terbaru dengan browser Safari terbaru seharusnya aman dari sebagian besar ancaman berprioritas tinggi, terutama jika Anda juga terus memperbarui aplikasi lain di Mac Anda. Dan dokumentasi Apple tidak mengubah apa pun tentang cara memperbarui perangkat lunak lama.

Sumber: Arstechnica

Pengembang Genshin Impact mengalami pelanggaran data besar-besaran

by

Pengembang Genshin Impact HoYoverse telah mengalami pelanggaran data besar-besaran.

Selama akhir pekan, sejumlah besar informasi dibagikan secara online yang mengungkapkan detail karakter, misi, dan acara baru dari versi 3.3 hingga 3.8.

HoYoverse telah menandai postingan DMCA yang berisi informasi dari pelanggaran data, meskipun pembaruan di masa mendatang tentu saja dapat berubah.

Namun, banyak pembocor Genshin Impact telah menghapus posting mereka ketika data pengguna pribadi untuk beberapa penguji QA HoYoverse ditemukan sebagai bagian dari pelanggaran.

“Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini untuk keamanan,” kata leaker Ubatcha di Twitter. “Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli.”

Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini agar aman

Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli

Seperti dilansir GamesRadar, ini adalah jumlah informasi yang dibuang secara ilegal yang hampir belum pernah terjadi sebelumnya, berjumlah sekitar 36 minggu konten untuk game layanan langsung yang dapat dimainkan secara gratis.

Ini menandai kebocoran profil tinggi lainnya, menyusul pelanggaran data di pengembang Grand Theft Auto Rockstar bulan lalu.

Sumber: EuroGamer

Fitur privasi baru Samsung untuk ponsel Galaxy akan melindungi foto Anda dari mata-mata

by

Samsung telah mengumumkan peluncuran global “Mode Pemeliharaan”, fitur baru untuk beberapa perangkat Galaxy yang bertujuan untuk mencegah reparasi mengakses info pribadi pelanggan saat perangkat diserahkan untuk diperbaiki.

Samsung awal tahun ini menguji coba apa yang kemudian disebut ‘Mode Perbaikan’ untuk beberapa ponsel Galaxy di Korea. Pada tahap itu tidak jelas apakah fitur peningkatan privasi akan diluncurkan di tempat lain. Sekarang dikatakan diluncurkan di seluruh dunia setelah pilot sukses pada seri Galaxy S21 di Korea pada bulan Juli. Fitur ini diluncurkan di China pada bulan September.

Peluncuran global dimulai dengan perangkat Galaxy S22 dan akan berlanjut “selama beberapa bulan ke depan pada model tertentu yang menjalankan One UI 5”, UI Samsung untuk Android.

Setelah Mode Pemeliharaan tiba, pengguna Galaxy dapat memilih Mode Pemeliharaan di menu “Perawatan baterai dan perangkat” di dalam Pengaturan dan kemudian mem-boot ulang ponsel cerdas mereka sebelum menyerahkannya untuk diperbaiki.

Setelah di-boot ulang, informasi pribadi pengguna termasuk foto, dokumen, dan pesan mereka akan dibatasi. Samsung menyarankan pengguna mencadangkan data pribadi apa pun sebelum mengaktifkan Mode Pemeliharaan.

“Setelah Mode Pemeliharaan diaktifkan, orang yang dipercayakan dengan perangkat juga tidak akan dapat mengambil aplikasi yang diinstal pengguna. Data atau akun yang dihasilkan saat menggunakan Mode Pemeliharaan akan dihapus secara otomatis segera setelah pemilik keluar dari Mode Pemeliharaan. Mereka akan dapat mengunduh aplikasi di Galaxy Store, tetapi itu akan dihapus secara otomatis bersama dengan data atau akun apa pun yang dibuat segera setelah pemilik keluar dari Mode Pemeliharaan,” catatan Samsung.

Pencurian data selama perbaikan memang terjadi. Apple tahun lalu menyelesaikan gugatan atas dua teknisi di mitra perbaikan resmi Apple yang diduga membocorkan foto dan video sensitif yang mereka peroleh saat memperbaiki iPhone pelanggan.

Sumber: ZD Net

Mata-mata China Menggunakan Wasabi Wallet Mixer untuk Membayar Suap Bitcoin ke Agen Ganda FBI

by

Dokumen yang dirilis hari ini oleh Departemen Kehakiman AS menuduh bahwa petugas intelijen Republik Rakyat Tiongkok (RRT) membayar suap dalam Bitcoin kepada pegawai pemerintah AS, untuk mencuri dokumen dari Kantor Kejaksaan AS untuk Distrik Timur New York.

Dokumen-dokumen terkait dengan penyelidikan kriminal yang sedang berlangsung dan penuntutan terhadap perusahaan telekomunikasi yang berbasis di China yang diyakini sebagai Huawei. Namun, tidak diketahui oleh agen China, karyawan tersebut adalah agen ganda FBI.

Mata-mata RRC, Guochun He dan Zheng Wang, didakwa berusaha menghalangi penuntutan pidana perusahaan telekomunikasi, dan pencucian uang terkait dengan pembayaran suap Bitcoin senilai total $61.000. $41.000 dalam BTC dibayarkan kepada pegawai pemerintah AS pada November 2021, dan $ 20.000 lebih lanjut dalam Bitcoin dibayarkan pada Oktober 2022.

Analisis Elliptic tentang pembayaran Bitcoin yang dijelaskan dalam pengaduan pidana memberikan wawasan tentang penggunaan BTC oleh petugas intelijen China. Secara khusus, analitik blockchain mengungkapkan bahwa mata-mata China menggunakan Wasabi Wallet untuk menyembunyikan jejak transaksi mereka. Semua pembayaran suap dapat ditelusuri kembali ke Wasabi.

Analisis Elliptic menunjukkan bahwa semua pembayaran suap Bitcoin yang dilakukan oleh agen intelijen China berasal dari Wasabi Wallet.

Wasabi Wallet adalah contoh dompet privasi perangkat lunak yang digunakan untuk mencampur Bitcoin dari berbagai sumber, dan menyembunyikan asalnya.

Sifat yang sama dari aset digital yang membuatnya menarik bagi penjahat seperti resistensi sensor, nama samaran, dan kemudahan transfer lintas batas juga menjadikannya alat yang berharga bagi semua badan intelijen yang ingin mendanai operasi klandestin.

Pada tahun 2014, misalnya, Swiss Federal Intelligence Service (FIS) dilaporkan menggunakan Bitcoin untuk membayar sumber intelijen di luar negeri.

Sementara itu, badan intelijen militer Rusia, GRU, diduga menggunakan Bitcoin untuk membeli infrastruktur yang digunakan untuk meretas akun email karyawan dan sukarelawan kampanye presiden Hillary Clinton, serta sistem komputer Komite Kampanye Kongres Demokrat dan Komite Nasional Demokrat. Ini dilakukan untuk mencuri data yang digunakan untuk mencoba mempengaruhi pemilihan presiden AS 2016.

Sumber: Elliptic Connect

Kerentanan Berusia 22 Tahun Dilaporkan di Perpustakaan Database SQLite

by

Kerentanan tingkat tinggi telah diungkapkan di perpustakaan database SQLite, yang diperkenalkan sebagai bagian dari perubahan kode sejak Oktober 2000 dan dapat memungkinkan penyerang untuk merusak atau mengontrol program.

Dilacak sebagai CVE-2022-35737 (skor CVSS: 7,5), masalah berusia 22 tahun memengaruhi SQLite versi 1.0.12 hingga 3.39.1, dan telah diatasi dalam versi 3.39.2 yang dirilis pada 21 Juli 2022.

“CVE-2022-35737 dapat dieksploitasi pada sistem 64-bit, dan eksploitabilitas bergantung pada bagaimana program dikompilasi,” kata peneliti Trail of Bits Andreas Kellas dalam tulisan teknis yang diterbitkan hari ini.

“Eksekusi kode arbitrer dikonfirmasi ketika perpustakaan dikompilasi tanpa stack canaries, tetapi tidak dikonfirmasi ketika stack canary hadir, dan penolakan layanan dikonfirmasi dalam semua kasus.”

Diprogram dalam C, SQLite adalah mesin database yang paling banyak digunakan, disertakan secara default di Android, iOS, Windows, dan macOS, serta browser web populer seperti Google Chrome, Mozilla Firefox, dan Apple Safari.

Kerentanan yang ditemukan oleh Trail of Bits menyangkut bug overflow integer yang terjadi ketika input string yang sangat besar dilewatkan sebagai parameter ke implementasi SQLite dari fungsi printf, yang, pada gilirannya, menggunakan fungsi lain untuk menangani pemformatan string (“sqlite3_str_vappendf “).

Namun, persenjataan yang berhasil dari bank cacat pada prasyarat bahwa string berisi jenis substitusi format %Q, %q, atau %w, berpotensi menyebabkan crash program ketika data yang dikendalikan pengguna ditulis di luar batas tumpukan- buffer yang dialokasikan.

“Jika format string berisi ‘!’ karakter khusus untuk mengaktifkan pemindaian karakter unicode, maka dimungkinkan untuk mencapai eksekusi kode arbitrer dalam kasus terburuk, atau menyebabkan program hang dan loop (hampir) tanpa batas waktu,” jelas Kellas.

Kerentanan juga merupakan contoh skenario yang pernah dianggap tidak praktis beberapa dekade lalu mengalokasikan string 1GB sebagai input menjadi layak dengan munculnya sistem komputasi 64-bit.

Sumber: The Hackernews

Chrome akan memaksa Anda untuk meningkatkan dari Windows 7 pada tahun 2023

by

Siapa pun yang tertarik pada keamanan informasi tahu bahwa menjadi seaman mungkin berarti selalu memperbarui perangkat Anda.

Namun, ketika sistem operasi baru yang besar keluar, terkadang pengguna akhirnya menyeret kaki mereka sebelum memutakhirkan, apakah mereka khawatir bahwa OS baru mungkin memperkenalkan ketidakcocokan perangkat lunak, atau hanya memperlambatnya saat mereka mempelajari kembali alur kerja.

Chrome telah mengancam untuk meninggalkan pengguna Windows lama untuk sementara waktu sekarang, dan kami bertanya-tanya kapan Google akan menghentikan kompatibilitas Windows 7 sejak Microsoft mengakhiri dukungan arus utama pada tahun 2020. Minggu ini kami akhirnya mulai mempelajari bagaimana semuanya akan berakhir , dengan rilis Chrome 110 tahun depan.

Chrome tidak akan lagi mendukung Windows 7 atau Windows 8.1 setelah Chrome 110 dirilis, yang saat ini dijadwalkan stabil pada 7 Februari 2023. Sejak saat itu, Anda harus menjalankan setidaknya Windows 10 untuk mempertahankan akses ke versi baru .

Meskipun Google tidak akan melakukan apa pun untuk menghentikan pengguna platform lama untuk terus menginstal dan menjalankan rilis Chrome sebelumnya, mereka akan kehilangan peningkatan keamanan dan kegunaan penting terbaru.

Jika Anda masih merupakan orang yang menghindari Windows-10 pada saat ini, selamat atas tekad Anda, tetapi inilah saatnya untuk melanjutkan.

Sumber: Android Police

Pengawas data Inggris mendenda konstruksi biz £ 4,4 juta untuk kebersihan infosec yang buruk

by

Pengawas data Inggris telah menampar bisnis konstruksi Interserve Group dengan potensi denda £ 4,4 juta ($ 4,98 juta) setelah serangan phishing yang berhasil oleh penjahat mengekspos data pribadi hingga 113.000 karyawan.

Kantor Komisaris Informasi mengatakan perusahaan yang berbasis di Berkshire gagal menerapkan kebersihan keamanan yang baik, peringatan yang hilang dan banyak lagi, dan karenanya dianggap telah melanggar undang-undang perlindungan data.

Dalam kasus klasik, salah satu anggota staf Interserve meneruskan email yang berisi kejahatan tersembunyi kepada seorang rekan, yang kemudian membukanya dan mengunduh konten, memungkinkan malware untuk melakukan tugasnya.

Anti-virus yang digunakan mengkarantina malware dan mengirimkan peringatan, tetapi Interserve “gagal menyelidiki aktivitas mencurigakan secara menyeluruh,” dan melakukan hal itu mungkin mengungkapkan bahwa pelaku jahat telah memperoleh akses ke sistem perusahaan.

Penjahat kemudian mengkompromikan 283 sistem dan 16 akun, dan menghapus instalan perangkat lunak AV. “Data pribadi hingga 113.000 karyawan saat ini dan mantan karyawan dienkripsi dan tidak tersedia,” kata ICO dalam sebuah pernyataan.

Penyelidikan selanjutnya oleh regulator data menemukan sejumlah kesalahan yang dibuat oleh Interserve termasuk tidak menanggapi peringatan awal dari aktivitas yang mencurigakan, menggunakan sistem dan protokol perangkat lunak yang sudah ketinggalan zaman, kurangnya pelatihan yang sesuai untuk staf, dan penilaian risiko yang tidak memadai. Ini, klaim ICO, pada akhirnya membuat bisnis rentan terhadap penjahat dunia maya.

ICO telah melayani Interserve dengan pemberitahuan niat dokumen hukum yang datang sebelum denda. Denda sementara adalah £4,4 juta dan setelah mempertimbangkan perwakilan dari Interserve, ICO memutuskan untuk tidak mengabaikannya.

John Edwards, Komisaris Informasi Inggris, mengatakan dalam sebuah pernyataan:

“Bisnis risiko dunia maya terbesar yang dihadapi bukan dari peretas di luar perusahaan mereka, tetapi dari rasa puas diri di dalam perusahaan mereka. Jika bisnis Anda tidak secara teratur memantau aktivitas mencurigakan dalam sistemnya dan gagal bertindak berdasarkan peringatan, atau tidak memperbarui perangkat lunak dan gagal memberikan pelatihan kepada staf, Anda dapat mengharapkan denda serupa dari kantor saya.

“Membiarkan pintu terbuka bagi penyerang cyber tidak pernah dapat diterima, terutama ketika berurusan dengan informasi paling sensitif dari orang-orang. Pelanggaran data ini berpotensi menyebabkan kerugian nyata bagi staf Interserve, karena membuat mereka rentan terhadap kemungkinan pencurian identitas dan penipuan keuangan. ”

Sumber: The Register