Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

FBI memperingatkan serangan ransomware Vice Society di distrik sekolah

by

FBI, CISA, dan MS-ISAC hari ini memperingatkan distrik sekolah AS yang semakin menjadi sasaran kelompok ransomware Vice Society, dengan lebih banyak serangan diperkirakan terjadi setelah awal tahun ajaran baru.

Mereka juga “mengantisipasi serangan dapat meningkat saat tahun ajaran 2022/2023 dimulai dan kelompok ransomware kriminal melihat peluang untuk serangan yang berhasil.”

Penasihat memberikan indikator kompromi (IOCs) dan taktik, teknik, dan prosedur (TTPs) yang diamati oleh FBI dalam serangan baru-baru ini pada September 2022.

Serangan terhadap sektor pendidikan, terutama yang menargetkan taman kanak-kanak hingga lembaga K-12, berdampak besar pada operasi mereka, mulai dari akses terbatas ke jaringan dan data, ujian yang tertunda, dan hari-hari sekolah yang dibatalkan hingga pencurian informasi pribadi milik siswa dan sekolah. staf.

Salah satu serangan tersebut diungkapkan hari ini oleh Los Angeles Unified (LAUSD), distrik sekolah terbesar kedua di AS, setelah serangan ransomware menjatuhkan beberapa sistem Teknologi Informasi (TI) selama akhir pekan—LAUSD belum mengaitkan serangan tersebut ke geng ransomware tertentu.

Pembela jaringan disarankan untuk mengambil langkah-langkah untuk mempertahankan dan membatasi dampak serangan ransomware, termasuk memprioritaskan dan memulihkan kerentanan yang diketahui dieksploitasi, melatih pengguna mereka untuk mengenali dan melaporkan upaya phishing yang biasa digunakan sebagai vektor serangan awal, dan mengaktifkan dan menerapkan otentikasi multifaktor.

FBI juga meminta para korban untuk membagikan catatan dan informasi lain yang terkait dengan serangan tersebut.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan aktor Vice Society, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak dari file terenkripsi,” kata badan penegak hukum federal.

Vice Society adalah kelompok ancaman yang dikenal menyebarkan beberapa jenis ransomware di jaringan korban mereka, seperti ransomware Hello Kitty/Five Hands dan Zeppelin.

Mereka juga mencuri data sensitif dari sistem yang disusupi sebelum enkripsi dan kemudian menggunakannya untuk pemerasan ganda, mengancam korbannya untuk membocorkan data yang dicuri jika permintaan tebusan mereka tidak dibayar.

Salah satu korban kelompok baru-baru ini adalah Universitas Kedokteran Austria Innsbruck yang terpaksa mengatur ulang semua 3.400 kata sandi akun siswa dan 2.200 karyawan setelah gangguan layanan TI yang parah dan data yang dicuri dalam serangan itu bocor di situs kebocoran data geng.

Analis ancaman Emsisoft Brett Callow mengatakan bahwa serangan ransomware telah mengganggu pendidikan di sekitar 1.000 universitas, perguruan tinggi, dan sekolah selama tahun 2021.

Sumber: Bleeping Computer

Google mengatakan mantan anggota ransomware Conti sekarang menyerang Ukraina

by

Google mengatakan beberapa mantan anggota geng kejahatan dunia maya Conti, yang sekarang menjadi bagian dari kelompok ancaman yang dilacak sebagai UAC-0098, menargetkan organisasi Ukraina dan organisasi non-pemerintah (LSM) Eropa.

UAC-0098 adalah broker akses awal yang dikenal menggunakan trojan perbankan IcedID untuk memberikan akses kepada grup ransomware ke sistem yang disusupi dalam jaringan perusahaan.

Grup Analisis Ancaman (TAG), tim khusus pakar keamanan yang bertindak sebagai kekuatan pertahanan bagi pengguna Google dari serangan yang disponsori negara, mulai melacak grup ancaman ini pada bulan April setelah mendeteksi kampanye phishing yang mendorong pintu belakang AnchorMail yang terkait dengan Conti.

Serangan kelompok ini diamati antara pertengahan April hingga pertengahan Juni, dengan seringnya perubahan taktik, teknik, dan prosedur (TTP), perkakas, dan umpan, sementara menargetkan organisasi Ukraina (seperti jaringan hotel) dan menyamar sebagai Polisi Siber Nasional dari Ukraina atau perwakilan dari Elon Musk dan StarLink.

Dalam kampanye berikutnya, UAC-0098 terlihat mengirimkan muatan berbahaya IcedID dan Cobalt Strike dalam serangan phishing yang menargetkan organisasi Ukraina dan LSM Eropa.

Situs berbagi file yang mengirimkan muatan berbahaya UAC-0098 (Google TAG)

Tautan ke grup kejahatan dunia maya Conti
Google TAG mengatakan atribusinya didasarkan pada beberapa tumpang tindih antara UAC-0098, Trickbot, dan grup kejahatan dunia maya Conti.

“TAG menilai UAC-0098 bertindak sebagai perantara akses awal untuk berbagai kelompok ransomware termasuk Quantum dan Conti, geng kejahatan dunia maya Rusia yang dikenal sebagai FIN12 / WIZARD SPIDER.

“Aktivitas UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur, yang menggambarkan tren pelaku ancaman yang mengubah penargetan mereka agar selaras dengan kepentingan geopolitik regional.”

Aktivitas kelompok ancaman yang terdeteksi dan diungkapkan hari ini oleh Google juga sejalan dengan laporan sebelumnya dari IBM Security X-Force dan CERT-UA, yang juga mengaitkan serangan terhadap organisasi Ukraina dan entitas pemerintah dengan geng kejahatan dunia maya TrickBot dan Conti.

Beberapa geng ransomware yang disusupi oleh anggota Conti termasuk BlackCat, Hive, AvosLocker, Hello Kitty, dan operasi Quantum yang baru-baru ini dihidupkan kembali.

Anggota Conti lainnya sekarang menjalankan operasi pemerasan data mereka sendiri yang tidak mengenkripsi data, seperti BlackByte, Karakurt, dan kolektif Bazarcall.

Selengkapnya : Bleeping Computer

Lazarus Group Menyebarkan Malware MagicRAT

by

Aktor negara-bangsa Korea Utara yang produktif yang dikenal sebagai Grup Lazarus telah dikaitkan dengan trojan akses jarak jauh baru yang disebut MagicRAT.

Bagian dari malware yang sebelumnya tidak diketahui dikatakan telah disebarkan di jaringan korban yang awalnya telah dilanggar melalui eksploitasi yang berhasil dari server VMware Horizon yang menghadap internet.

Lazarus Group, juga dikenal sebagai APT38, Dark Seoul, Hidden Cobra, dan Zinc, mengacu pada sekelompok aktivitas siber yang didorong oleh keuangan dan spionase yang dilakukan oleh pemerintah Korea Utara sebagai sarana untuk menghindari sanksi yang dikenakan pada negara tersebut dan memenuhi strateginya. tujuan.

Seperti kolektif payung lainnya, Winnti dan MuddyWater, kolektif peretas yang disponsori negara juga memiliki kelompok “spin-off” seperti Bluenoroff dan Andariel, yang fokus pada jenis serangan dan target tertentu.

Sementara subkelompok Bluenoroff berfokus pada menyerang lembaga keuangan asing dan melakukan pencurian moneter, Andariel mengabdikan diri untuk mengejar organisasi dan bisnis Korea Selatan.

“Lazarus mengembangkan alat serangan dan malware mereka sendiri, dapat menggunakan teknik serangan yang inovatif, bekerja dengan sangat metodis, dan membutuhkan waktu mereka,” kata perusahaan keamanan siber NCC Group dalam sebuah laporan yang merinci aktor ancaman tersebut.

“Secara khusus, metode Korea Utara bertujuan untuk menghindari deteksi oleh produk keamanan dan tetap tidak terdeteksi dalam sistem yang diretas selama mungkin.”

Penambahan terbaru untuk perangkat malware yang luas menunjukkan kemampuan grup untuk menggunakan banyak taktik dan teknik tergantung pada target dan tujuan operasional mereka.

Implan berbasis C++, MagicRAT dirancang untuk mencapai kegigihan dengan membuat tugas terjadwal pada sistem yang disusupi. Ini juga “agak sederhana” karena memberikan penyerang dengan shell jarak jauh untuk menjalankan perintah sewenang-wenang dan melakukan operasi file.

MagicRAT juga mampu meluncurkan muatan tambahan yang diambil dari server jauh pada host yang terinfeksi. Salah satu executable yang diambil dari server command-and-control (C2) berbentuk file gambar GIF, tetapi pada kenyataannya adalah pemindai port yang ringan.

Selain itu, infrastruktur C2 yang terkait dengan MagicRAT telah ditemukan menyimpan dan melayani versi TigerRAT yang lebih baru, pintu belakang yang sebelumnya dikaitkan dengan Andariel dan direkayasa untuk menjalankan perintah, mengambil tangkapan layar, mencatat penekanan tombol, dan memanen informasi sistem.

Juga tergabung dalam varian terbaru adalah fitur USB Dump yang memungkinkan musuh untuk berburu file dengan ekstensi tertentu, di samping meletakkan dasar untuk menerapkan pengambilan video dari webcam.

“Penemuan MagicRAT di alam liar merupakan indikasi motivasi Lazarus untuk dengan cepat membangun malware baru yang dipesan lebih dahulu untuk digunakan bersama dengan malware mereka yang sebelumnya dikenal seperti TigerRAT untuk menargetkan organisasi di seluruh dunia,” kata para peneliti.

Sumber:

Fitur PyPI Mengeksekusi Kode Secara Otomatis Setelah Unduhan Paket Python

by

Dalam temuan lain yang dapat mengekspos pengembang pada peningkatan risiko serangan supply chain (rantai pasokan), telah muncul bahwa hampir sepertiga dari paket di PyPI, Indeks Paket Python, memicu eksekusi kode otomatis setelah mengunduhnya.

Salah satu cara menginstal paket untuk Python adalah dengan menjalankan perintah “pip install”, yang, pada gilirannya, memanggil file bernama “setup.py” yang disertakan bersama modul.

“setup.py,” seperti namanya, adalah skrip penyiapan yang digunakan untuk menentukan metadata yang terkait dengan paket, termasuk dependensinya.

Sementara pelaku ancaman telah menggunakan kode berbahaya dalam file setup.py, Checkmarx menemukan bahwa musuh dapat mencapai tujuan yang sama dengan menjalankan apa yang disebut perintah “pip download”.

“pip download melakukan resolusi dan pengunduhan yang sama dengan pemasangan pip, tetapi alih-alih menginstal dependensi, ia mengumpulkan distribusi yang diunduh ke direktori yang disediakan (secara default ke direktori saat ini),” tulis dokumentasi.

Dengan kata lain, perintah tersebut dapat digunakan untuk mengunduh paket Python tanpa harus menginstalnya di sistem. Tetapi ternyata, menjalankan perintah unduhan juga menjalankan skrip “setup.py” yang disebutkan di atas, yang mengakibatkan eksekusi kode berbahaya yang terkandung di dalamnya.

Namun, perlu diperhatikan bahwa masalah hanya terjadi ketika paket berisi file tar.gz alih-alih file wheel (.whl), yang “memotong eksekusi ‘setup.py’ dari persamaan.”

Meskipun pip default untuk menggunakan roda alih-alih file tar.gz, penyerang dapat memanfaatkan perilaku ini untuk secara sengaja menerbitkan paket python tanpa file .whl, yang mengarah ke eksekusi kode berbahaya yang ada di skrip pengaturan.

“Ketika pengguna mengunduh paket python dari PyPi, pip akan lebih memilih menggunakan file .whl, tetapi akan kembali ke file tar.gz jika file .whl tidak ada,” kata Gelb.

Temuan itu muncul saat Badan Keamanan Nasional AS (NSA), bersama dengan Badan Keamanan Siber dan Infrastruktur (CISA) dan Kantor Direktur Intelijen Nasional (ODNI), merilis panduan untuk mengamankan supply chain perangkat lunak.

Sumber: The Hackernews

Malware tersembunyi baru yang menargetkan Linux

by

Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

File ELF yang memulai rantai infeksi (AT&T)

Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

“Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

Loop dekripsi Shikata Ga Nai (AT&T)

Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

Lima skrip shell dan fungsinya (AT&T)

Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

Ikhtisar rantai infeksi Shikitega (AT&T)

Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

Sumber : Bleeping Computer

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

by

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Serangan siber InterContinental Hotels Group mengganggu sistem pemesanan

by

Perusahaan perhotelan terkemuka InterContinental Hotels Group PLC (juga dikenal sebagai IHG Hotels & Resorts) mengatakan sistem teknologi informasi (TI) telah terganggu sejak kemarin setelah jaringannya dibobol.

IHG adalah perusahaan multinasional Inggris yang saat ini mengoperasikan 6.028 hotel di lebih dari 100 negara dan memiliki lebih dari 1.800 dalam jalur pengembangan.

Meskipun perusahaan tidak mengungkapkan rincian apa pun mengenai sifat serangan itu, perusahaan itu menyebutkan dalam pengungkapannya bahwa mereka sedang berupaya memulihkan sistem yang terkena dampak.

Ini mengisyaratkan kemungkinan serangan ransomware di mana pelaku ancaman telah menyebarkan muatan ransomware dan sistem terenkripsi di jaringan IHG.

Dalam sebagian besar insiden ransomware, penyerang juga akan mencuri informasi sensitif dari jaringan target mereka sebelum enkripsi.

Ini kemudian digunakan dalam skema pemerasan ganda di mana para korban ditekan untuk membayar uang tebusan di bawah ancaman kebocoran data yang dicuri.

Bulan lalu, geng ransomware Lockbit mengklaim serangan terhadap Holiday Inn Istanbul Kadıköy, salah satu hotel yang dioperasikan oleh IHG.

Klaim serangan Lockbit Holiday Inn Istanbul Kadıköy (BleepingComputer)

Dari pengujian BleepingComputer, API grup hotel juga turun dan menunjukkan kesalahan HTTP 502 dan 503.

Pelanggan juga tidak dapat masuk saat ini, dengan aplikasi IHG menampilkan “Ada yang tidak beres. Kredensial yang Anda masukkan tidak valid. Harap setel ulang kata sandi Anda atau hubungi Layanan Pelanggan.” kesalahan.

Perusahaan intelijen kejahatan dunia maya Hudson Rock mengatakan bahwa IHG memiliki setidaknya 15 karyawan yang disusupi dan lebih dari 4.000 pengguna yang disusupi, menurut data yang ditautkan ke domain ihg[.]com.

Raksasa jaringan hotel itu juga menjadi sasaran pelanggaran keamanan selama tiga bulan pada tahun 2017—antara 29 September hingga 29 Desember—ketika lebih dari 1.200 hotel waralaba InterContinental di Amerika Serikat terkena dampaknya.

Sumber: Bleeping Computer

Irlandia mendenda Instagram $400 juta karena data anak-anak

by

Regulator privasi data Irlandia telah setuju untuk mengenakan rekor denda 405 juta euro ($402 juta) terhadap jejaring sosial Instagram menyusul penyelidikan atas penanganan data anak-anak, kata juru bicara pengawas.

Instagram berencana untuk mengajukan banding atas denda tersebut, kata juru bicara orang tua Meta Platforms Inc (META.O) dalam sebuah pernyataan melalui email.

Penyelidikan, yang dimulai pada tahun 2020, berfokus pada pengguna anak-anak berusia antara 13 dan 17 tahun yang diizinkan untuk mengoperasikan akun bisnis, yang memfasilitasi publikasi nomor telepon dan/atau alamat email pengguna.

“Kami mengadopsi keputusan akhir kami Jumat lalu dan itu mengandung denda 405 juta euro,” kata juru bicara Komisaris Perlindungan Data Irlandia (DPC), pengatur utama perusahaan induk Instagram Meta Platforms Inc (META.O).

Instagram memperbarui pengaturannya lebih dari setahun yang lalu dan sejak itu merilis fitur baru untuk menjaga remaja tetap aman dan informasi mereka tetap pribadi, kata juru bicara Meta.

Juru bicara itu mengatakan Instagram tidak setuju dengan bagaimana denda itu dihitung dan dengan hati-hati meninjau keputusan tersebut.

DPC mengatur Facebook, Apple, Google dan raksasa teknologi lainnya karena lokasi markas Uni Eropa mereka di Irlandia. Ini telah membuka lebih dari selusin penyelidikan ke perusahaan Meta, termasuk Facebook dan WhatsApp.

WhatsApp tahun lalu didenda rekor 225 juta euro karena gagal mematuhi aturan data UE pada 2018.

Regulator Irlandia menyelesaikan rancangan keputusan dalam penyelidikan Instagram pada bulan Desember dan membaginya dengan regulator Uni Eropa lainnya di bawah sistem “one stop shop” blok yang mengatur perusahaan multinasional besar.

Sumber: REUTERS