Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peneliti Mengungkap APT Baru “Metador ” yang Menargetkan Telco, ISP, dan Universitas

by

Seorang aktor ancaman yang sebelumnya tidak terdokumentasi dengan asal tidak diketahui telah dikaitkan dengan serangan yang menargetkan telekomunikasi, penyedia layanan internet, dan universitas di berbagai negara di Timur Tengah dan Afrika.

“Operator sangat menyadari keamanan operasi, mengelola infrastruktur yang tersegmentasi dengan hati-hati per korban, dan dengan cepat menerapkan tindakan pencegahan yang rumit dengan adanya solusi keamanan,” kata peneliti dari SentinelOne dalam sebuah laporan baru.

Perusahaan keamanan siber menamai grup Metador dengan mengacu pada string “Saya meta” di salah satu sampel malware mereka dan karena respons bahasa Spanyol dari server command-and-control (C2).

Aktor ancaman dikatakan telah terutama berfokus pada pengembangan malware lintas platform dalam mengejar tujuan spionase. Keunggulan lain dari kampanye ini adalah jumlah gangguan yang terbatas dan akses jangka panjang ke target.

Ini termasuk dua platform malware Windows yang berbeda yang disebut metaMain dan Mafalda yang secara tegas dirancang untuk beroperasi di dalam memori dan menghindari deteksi. metaMain juga bertindak sebagai saluran untuk menyebarkan Mafalda, implan interaktif fleksibel yang mendukung 67 perintah.

metaMain, pada bagiannya, kaya fitur sendiri, memungkinkan musuh untuk mempertahankan akses jangka panjang, mencatat penekanan tombol, mengunduh dan mengunggah file arbitrer, dan mengeksekusi shellcode.

Sebagai tanda bahwa Mafalda secara aktif dikelola oleh pengembangnya, malware tersebut memperoleh dukungan untuk 13 perintah baru antara dua varian yang dikompilasi pada bulan April dan Desember 2021, menambahkan opsi untuk pencurian kredensial, pengintaian jaringan, dan manipulasi sistem file.

Selengkapnya: The Hacker News

Sophos memperingatkan bug RCE firewall baru yang dieksploitasi dalam serangan

by

Sophos hari ini memperingatkan bahwa kerentanan keamanan injeksi kode kritis dalam produk Firewall perusahaan sedang dieksploitasi secara liar.

Dilacak sebagai CVE-2022-3236, cacat ditemukan di Portal Pengguna dan Webadmin dari Sophos Firewall, memungkinkan penyerang untuk mengeksekusi kode (RCE).

Perusahaan mengatakan telah merilis perbaikan terbaru untuk versi Sophos Firewall yang terpengaruh oleh bug keamanan ini (v19.0 MR1 (19.0.1) dan yang lebih lama) yang akan diluncurkan secara otomatis ke semua instance karena pembaruan otomatis diaktifkan secara default.

“Tidak ada tindakan yang diperlukan untuk pelanggan Sophos Firewall dengan fitur ‘Izinkan pemasangan otomatis perbaikan terbaru’ yang diaktifkan pada versi yang diperbaiki (lihat bagian Remediasi di bawah). Diaktifkan adalah pengaturan default,” jelas Sophos.

Namun, perusahaan menambahkan bahwa pengguna Sophos Firewall versi lama harus meningkatkan ke versi yang didukung untuk menerima patch CVE-2022-3236.

Ini juga memberikan info terperinci tentang mengaktifkan fitur penginstalan hotfix otomatis dan memeriksa apakah hotfix berhasil diinstal.

Sophos juga memberikan solusi bagi pelanggan yang tidak dapat segera menambal perangkat lunak rentan yang akan mengharuskan mereka untuk memastikan bahwa Portal Pengguna dan Webadmin firewall tidak terkena akses WAN.

“Nonaktifkan akses WAN ke Portal Pengguna dan Webadmin dengan mengikuti praktik terbaik akses perangkat dan sebagai gantinya gunakan VPN dan/atau Sophos Central (lebih disukai) untuk akses dan manajemen jarak jauh,” tambah perusahaan.

Selengkapnya: Bleeping Computer

Peretas Colonial Pipeline menambahkan kemampuan baru yang mengejutkan ke operasi ransomware

by

Grup ransomware di balik peretasan Colonial Pipeline baru-baru ini menambahkan serangkaian taktik, alat, dan prosedur baru ke dalam operasinya, membuatnya semakin mudah bagi anggota untuk mengenkripsi, mencuri, dan menyortir data.

Dalam laporan dari Tim Pemburu Ancaman Symantec, para peneliti memeriksa evolusi terbaru dari kelompok yang mereka beri nama Coreid.

Peneliti Symantec menguraikan bagaimana kelompok tersebut telah menghindari penegakan hukum dengan menyebarkan jenis ransomware baru, setelah sekarang menetap di Noberus — yang merupakan singkatan dari ransomware BlackCat ALPHV yang telah digunakan dalam serangan di beberapa universitas AS.

Geng kriminal telah ada dalam beberapa bentuk sejak 2012, menurut para peneliti, yang mengatakan mulai menggunakan malware Carbanak untuk mencuri uang dari organisasi di sektor perbankan, perhotelan dan ritel.

Tiga anggota kelompok itu ditangkap pada tahun 2018 sebelum berkembang menjadi operasi ransomware-as-a service (RaaS) sekitar tahun 2020.

Coreid telah berulang kali memperbarui operasi ransomware-nya sejak serangan yang menjadi berita utama di Colonial Pipeline — di mana ia menggunakan ransomware Darkside untuk melumpuhkan pompa bensin di seluruh Pantai Timur pada Mei 2021.

Pengawasan dari penegak hukum memaksa kelompok itu untuk mengesampingkan ransomware dan membuat yang baru bernama BlackMatter, yang digunakan untuk menargetkan perusahaan pertanian selama musim panen pada musim gugur 2021.

Serangkaian serangan itu menarik pengawasan penegakan hukum tingkat tinggi yang sama, mendorong kelompok tersebut untuk beralih dari menggunakan ransomware BlackMatter ke merek baru bernama Noberus.

Selengkapnya: The Record

Spyware Android berbahaya ini dapat memengaruhi jutaan perangkat

by

Versi terbaru dari spyware Banker Android (terbuka di tab baru) telah terdeteksi, mencuri detail perbankan korban dan bahkan mungkin uang dalam beberapa kasus.

Menurut peneliti keamanan siber dari Microsoft (terbuka di tab baru), aktor ancaman yang tidak dikenal telah memulai kampanye smishing (phishing SMS), yang mencoba menipu orang agar mengunduh TrojanSpy:AndroidOS/Banker.O. Ini adalah varian malware (terbuka di tab baru) yang mampu mengekstrak semua jenis informasi sensitif, termasuk kode otentikasi dua faktor (2FA), detail login akun, dan informasi pengenal pribadi (PII) lainnya.

Apa yang membuat serangan ini sangat mengkhawatirkan adalah bagaimana diam-diam seluruh operasi bekerja.

Setelah pengguna mengunduh malware, mereka perlu memberikan izin tertentu, seperti MainActivity, AutoStartService, dan RestartBroadCastReceiverAndroid.

Itu memungkinkannya untuk mencegat panggilan, mengakses log panggilan, pesan, kontak, dan bahkan informasi jaringan. Dengan mampu melakukan hal-hal ini, malware juga dapat menerima dan membaca kode otentikasi dua faktor yang masuk melalui SMS, dan menghapusnya untuk memastikan korban tidak mencurigai sesuatu yang mencurigakan.

Lebih buruk lagi, aplikasi ini mengizinkan perintah diam, yang berarti kode 2FA yang masuk melalui SMS dapat diterima, dibaca, dan dihapus, dalam keheningan total – tidak ada suara notifikasi, tidak ada getaran, tidak ada lampu layar, tidak ada apa-apa.

Pelaku ancaman di balik kampanye tersebut tidak diketahui, tetapi yang diketahui Microsoft adalah bahwa aplikasi tersebut, pertama kali terlihat pada tahun 2021, dan ditingkatkan secara signifikan sejak itu, dapat diakses dari jarak jauh.

Selengkapnya: Tech Radar

Optus, perusahaan telekomunikasi terbesar kedua di Australia, mengatakan data pelanggan terekspos dalam pelanggaran data

by

Raksasa telekomunikasi Australia Optus mengatakan data pelanggan saat ini dan sebelumnya diakses setelah serangan siber pada sistemnya.

Optus mengatakan dalam siaran pers pada hari Kamis bahwa sejumlah nama pelanggan, tanggal lahir, nomor telepon, alamat email, dan alamat dan nomor dokumen identitas yang tidak ditentukan, seperti SIM atau nomor paspor, diambil dalam pelanggaran tersebut.

Perusahaan telekomunikasi itu tidak mengatakan kapan pelanggaran itu terjadi, tetapi mereka yakin insiden itu telah berakhir.

Optus adalah anak perusahaan Singtel milik Singapura dan merupakan perusahaan telekomunikasi terbesar kedua di Australia, dengan sekitar 10 juta pelanggan.

Direktorat Sinyal Australia, yang setara dengan Badan Keamanan Nasional AS, diberitahu tentang insiden tersebut.

Raksasa telekomunikasi, telepon, dan seluler sering menjadi target karena peran mereka dalam infrastruktur penting negara mana pun. Peretas yang didukung negara diketahui membobol perusahaan telekomunikasi mencari catatan telepon untuk memata-matai kritik dan melakukan spionase, sementara peretas kriminal, seperti penukar SIM, sering mengandalkan data yang dilanggar dan akses orang dalam untuk melakukan serangan rekayasa sosial yang meyakinkan dukungan pelanggan atau karyawan untuk menyerahkan akses ke sistem mereka.

Sumber: TechCrunch

Rekam Serangan DDoS dengan 25,3 Miliar Permintaan Penyalahgunaan HTTP/2 Multiplexing

by

Perusahaan keamanan siber Imperva telah mengungkapkan bahwa mereka telah mengurangi serangan penolakan layanan (DDoS) terdistribusi dengan total lebih dari 25,3 miliar permintaan pada 27 Juni 2022.

“Serangan kuat,” yang menargetkan perusahaan telekomunikasi China yang tidak disebutkan namanya, dikatakan telah berlangsung selama empat jam dan mencapai puncaknya pada 3,9 juta permintaan per detik (RPS).

“Penyerang menggunakan multiplexing HTTP/2, atau menggabungkan beberapa paket menjadi satu, untuk mengirim beberapa permintaan sekaligus melalui koneksi individu,” kata Imperva dalam sebuah laporan yang diterbitkan pada 19 September.

Serangan itu diluncurkan dari botnet yang terdiri dari hampir 170.000 alamat IP berbeda yang mencakup router, kamera keamanan, dan server yang disusupi yang berlokasi di lebih dari 180 negara, terutama AS, Indonesia, dan Brasil.

Pengungkapan itu juga muncul saat penyedia infrastruktur web Akamai mengatakan pihaknya menerjunkan serangan DDoS baru yang ditujukan untuk pelanggan yang berbasis di Eropa Timur pada 12 September, dengan lalu lintas serangan melonjak pada 704,8 juta paket per detik (pps).

Korban yang sama sebelumnya ditargetkan pada 21 Juli 2022, dengan cara yang sama di mana volume serangan meningkat hingga 853,7 gigabit per detik (Gbps) dan 659,6 juta pps selama 14 jam.

Craig Sparling dari Akamai mengatakan perusahaan telah “dibombardir tanpa henti dengan serangan penolakan layanan (DDoS) terdistribusi yang canggih,” menunjukkan bahwa serangan tersebut dapat bermotivasi politik dalam menghadapi perang berkelanjutan Rusia melawan Ukraina.

Kedua upaya mengganggu adalah serangan banjir UDP di mana penyerang menargetkan dan membanjiri port sewenang-wenang pada host target dengan paket User Datagram Protocol (UDP).

UDP, karena tanpa koneksi dan tanpa sesi, menjadikannya protokol jaringan yang ideal untuk menangani lalu lintas VoIP. Tetapi sifat-sifat yang sama ini juga dapat membuatnya lebih rentan terhadap eksploitasi.

Sumber: The Hackernews

AS menambahkan dua operator China lagi ke daftar ‘ancaman keamanan nasional’

by

Komisi Komunikasi Federal AS (FCC) telah menambahkan dua perusahaan China ke dalam daftar pemasok peralatan komunikasi yang dinilai mengancam keamanan nasional: Pacific Network Corp, anak perusahaannya yang sepenuhnya dimiliki ComNet (USA) LLC, dan China Unicom (Amerika).

Sekarang, bekerja sama dengan mitra keamanan nasional kami, kami mengambil tindakan tambahan untuk menutup pintu bagi perusahaan-perusahaan ini dengan menambahkan mereka ke Daftar Tercakup FCC, ”kata Ketua Jessica Rosenworcel.

Penambahan terbaru bergabung dengan Huawei, ZTE Corporation, vendor komunikasi radio Hytera, sistem pengawasan video Hikvision dan Dahua, serta perusahaan keamanan siber yang berbasis di Rusia Kaspersky, ditambah perusahaan telekomunikasi China Mobile dan China Telecom, yang sudah ada dalam daftar.

Perusahaan-perusahaan baru itu mendapat tempat di daftar sepuluh kuat sekarang karena mereka diyakini “tunduk pada eksploitasi, pengaruh dan kontrol pemerintah China, dan risiko keamanan nasional yang terkait dengan eksploitasi, pengaruh, dan kontrol semacam itu.” Oleh karena itu, mereka menimbulkan “risiko yang tidak dapat diterima terhadap keamanan nasional Amerika Serikat.”

FCC pada dasarnya percaya bahwa perusahaan tidak akan dapat menolak permintaan dari Beijing yang dapat mencakup spionase atau pengumpulan intelijen.

ComNet juga mendapatkan tempatnya dalam daftar karena FCC percaya interkoneksinya ke jaringan telekomunikasi AS dan pelanggan dapat memfasilitasi spionase ekonomi, pengumpulan intelijen, “atau sebaliknya memberikan kemampuan strategis untuk menargetkan, mengumpulkan, mengubah, memblokir, dan merutekan ulang lalu lintas jaringan. .”

ComNet dan China Unicom telah dilarang beroperasi di AS dan, dengan melabeli mereka sebagai ancaman keamanan, FCC telah menjelaskan bahwa berbisnis dengan keduanya berbahaya bagi perusahaan AS.

Pada tingkat yang lebih praktis, daftar tersebut juga berarti pembeli AS yang berbelanja menggunakan subsidi federal seperti Dana Layanan Universal FCC senilai $5 miliar sekarang dilarang berurusan dengan kedua perusahaan tersebut.

Sumber: The Register

2K Memperingatkan Pengguna yang Terkena Dampak untuk Mengubah Semua Kata Sandi yang Tersimpan

by

Penerbit 2K telah memperingatkan pengguna agar tidak membuka email atau mengklik tautan dari halaman support setelah mengonfirmasi bahwa mereka telah diretas.

Lebih dari sekadar akun palsu yang mengirim email palsu, Dukungan 2K sendiri telah disusupi, dengan peretas mengirim email yang tampaknya sah yang berisi tautan berbahaya. Akibatnya, situs web dukungan 2K menjadi offline.

Jika pengguna telah mengeklik tautan tersebut, 2K merekomendasikan agar mereka segera mengubah kata sandi yang disimpan di browser web (seperti pengisian otomatis Chrome), memasang perangkat lunak anti-virus, mengaktifkan autentikasi multi-faktor, dan memeriksa bahwa tidak ada setelan penerusan akun email telah diubah.

2K mengatakan “Sebelumnya hari ini kami mengetahui bahwa pihak ketiga yang tidak sah secara ilegal mengakses kredensial salah satu vendor kami ke platform meja bantuan yang digunakan 2K untuk memberikan dukungan kepada pelanggan kami,”

“Pihak yang tidak berwenang mengirim komunikasi ke pemain tertentu yang berisi tautan berbahaya. Tolong jangan buka email apa pun atau klik tautan apa pun yang Anda terima dari akun dukungan 2K Games.”

Penerbit juga mengingatkan pengguna bahwa mereka tidak akan pernah meminta kata sandi atau informasi pribadi lainnya, dan akan mengumumkan kapan situs web dan emailnya aman untuk digunakan lagi.

Beberapa hari terakhir telah menjadi waktu yang sangat aktif untuk serangan cyber. Rockstar Games memiliki sekitar 90 video gameplay Grand Theft Auto 6 yang bocor setelah menjadi korban peretasan, dan meskipun itu dan 2K berbagi perusahaan induk yang sama dari Take-Two Interactive, saat ini tidak ada yang menunjukkan bahwa kedua serangan tersebut terkait.

Sumber: IGN Southeast Asia