Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

by

Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

Target potensial yang diturunkan oleh Kaspersky

Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

Beberapa dokumen dikirim ke target (Kaspersky)

Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

Proses infeksi terbaru Kimsuky (Kaspersky)

Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

Sumber:

Baidu China Meluncurkan Komputer Quantum 10-Qubit

by

Perusahaan China Baidu telah meluncurkan komputer kuantum superkonduktor pertamanya yang disebut “Qian Shi,” yang diklaim sebagai “solusi integrasi perangkat keras-perangkat lunak kuantum semua platform” pertama di dunia dan sudah tersedia untuk digunakan oleh publik.

Komputer kuantum 10-qubit (Buka di jendela baru) terungkap pada konferensi Quantum Create 2022 di Beijing, dan menggabungkan perangkat keras Baidu, tumpukan perangkat lunak (disebut Liang Xi), dan sejumlah “aplikasi kuantum praktis.” Perusahaan juga menunjukkan bahwa komputer kuantum lain yang tersedia secara komersial saat ini hanya menawarkan hingga 7 qubit kinerja.

Baidu mungkin paling dikenal dengan mesin pencarinya, tetapi percaya bahwa komputer kuantumnya dapat membantu perkembangan pesat kecerdasan buatan, biologi komputasi, simulasi material, dan teknologi keuangan.

Aplikasi yang sudah ada termasuk algoritma kuantum untuk pengembangan baterai lithium baru dan simulasi pelipatan protein.

AS Menambahkan 8 Organisasi Komputasi Kuantum China ke Daftar Entitas
Pemain lain di bidang ini sedang mengerjakan komputer kuantum yang jauh lebih kuat saat ini. Fujitsu akan mulai menjual mesin 64-qubit pada tahun 2023, dan kemudian mesin 1.000-qubit setelah Maret 2027.

Google sudah memiliki komputer kuantum 53-qubit di labnya, dan IBM mendemonstrasikan mesin 127-qubit tahun lalu. Namun, IBM bertujuan untuk mencapai lebih dari 4.000 qubit pada tahun 2025. Sementara itu, Baidu sekarang sedang mengerjakan chip kuantum 36-quibit.

Sumber: PC MAG

Microsoft Mengungkap Malware Post-Compromise Baru yang Digunakan oleh Peretas Nobelium

by

Aktor ancaman di balik serangan rantai pasokan SolarWinds telah dikaitkan dengan malware pasca-eksploitasi “sangat bertarget” lainnya yang dapat digunakan untuk mempertahankan akses terus-menerus ke lingkungan yang disusupi.

Dijuluki MagicWeb oleh tim intelijen ancaman Microsoft, pengembangan ini menegaskan kembali komitmen Nobelium untuk mengembangkan dan memelihara kemampuan yang dibangun untuk tujuan tertentu.

Nobelium adalah moniker raksasa teknologi untuk sekelompok aktivitas yang terungkap dengan serangan canggih yang menargetkan SolarWinds pada Desember 2020, dan yang tumpang tindih dengan kelompok peretasan negara-bangsa Rusia yang dikenal luas sebagai APT29, Cozy Bear, atau The Dukes.

MagicWeb, yang memiliki kesamaan dengan alat lain yang disebut FoggyWeb, dinilai telah digunakan untuk mempertahankan akses dan mencegah penggusuran selama upaya perbaikan, tetapi hanya setelah memperoleh akses yang sangat istimewa ke lingkungan dan bergerak secara lateral ke server AD FS.

Sementara FoggyWeb hadir dengan kemampuan khusus untuk mengirimkan muatan tambahan dan mencuri informasi sensitif dari server Active Directory Federation Services (AD FS), MagicWeb adalah DLL jahat (versi backdoor dari “Microsoft.IdentityServer.Diagnostics.dll”) yang memfasilitasi akses rahasia ke sistem AD FS melalui bypass otentikasi.

Temuan ini muncul setelah pengungkapan kampanye yang dipimpin APT29 yang ditujukan pada organisasi yang berafiliasi dengan NATO dengan tujuan mengakses informasi kebijakan luar negeri.

Secara khusus, ini memerlukan penonaktifan fitur pencatatan perusahaan yang disebut Purview Audit (sebelumnya Audit Lanjutan) untuk mengumpulkan email dari akun Microsoft 365. “APT29 terus menunjukkan keamanan operasional dan taktik penghindaran yang luar biasa,” kata Mandiant.

Taktik lain yang lebih baru yang digunakan oleh aktor dalam operasi baru-baru ini adalah penggunaan serangan menebak kata sandi untuk mendapatkan kredensial yang terkait dengan akun yang tidak aktif dan mendaftarkannya untuk otentikasi multi-faktor, memberinya akses ke infrastruktur VPN organisasi.

APT29 tetap menjadi kelompok ancaman yang produktif seperti halnya terampil. Bulan lalu, Palo Alto Networks Unit 42 menandai kampanye phishing yang memanfaatkan layanan penyimpanan cloud Dropbox dan Google Drive untuk penyebaran malware dan tindakan pasca-kompromi lainnya.

Sumber :The Hackernews

Geng pemerasan ‘Donut Leaks’ terkait dengan serangan ransomware baru-baru ini

by

Grup pemerasan data baru bernama ‘Donut Leaks’ terkait dengan serangan siber baru-baru ini, termasuk yang terjadi pada perusahaan gas alam Yunani DESFA, firma arsitektur Inggris Sheppard Robson, dan perusahaan konstruksi multinasional Sando.

Selama akhir pekan, DESFA mengonfirmasi bahwa mereka mengalami serangan siber setelah Ragnar Locker membocorkan tangkapan layar dari data yang diduga dicuri.

Awal bulan ini, Sheppard Robson mengungkapkan serangan ransomware dan upaya pemerasan tetapi tidak memberikan rincian tentang siapa yang meretas jaringannya.

Terakhir, Hive Ransomware mengklaim bulan lalu telah menyerang Sando tetapi hanya merilis arsip kecil file sebagai ‘bukti’ serangan tersebut.

Anehnya, data para korban tersebut kini telah muncul di situs kebocoran data geng pemerasan yang sebelumnya tidak dikenal bernama Donut Leaks. Selain itu, data yang dibagikan di situs Donut Leaks jauh lebih luas daripada yang dibagikan di situs ransomware, yang menunjukkan bahwa aktor ancaman baru ini terlibat dalam serangan tersebut.

Siapa Kebocoran Donat?
BleepingComputer pertama kali mengetahui kelompok pemerasan Donut Leaks dari seorang karyawan salah satu korban, yang memberi tahu kami bahwa pelaku ancaman melanggar jaringan perusahaan untuk mencuri data.

Setelah pelaku ancaman selesai mencuri data, mereka mengirim email berisi URL situs pemerasan Tor ke mitra bisnis dan karyawan korban.

Situs Tor ini terdiri dari blog yang mempermalukan dan situs penyimpanan data yang memungkinkan pengunjung menelusuri dan mengunduh semua data yang dicuri dan bocor.

Blog tersebut berisi entri untuk lima korban, dengan semua kecuali satu berisi deskripsi umum perusahaan dan tautan ke data curian mereka.

Namun, untuk salah satu entri, pelaku ancaman tampaknya mengambil pendekatan yang lebih agresif, berbagi foto pesta Natal yang dicuri dan kata-kata kasar yang panjang terhadap perusahaan.

Situs kebocoran data Kebocoran Donat
Sumber: BleepingComputer

Server penyimpanan data curian menjalankan aplikasi File Browser, yang memungkinkan pengunjung menelusuri semua data curian yang disimpan di server, yang dipecah oleh korban.

Meskipun hanya ada lima korban yang terdaftar di situs yang mempermalukan, server penyimpanan berisi apa yang tampaknya menjadi sepuluh korban.

Seperti yang Anda lihat di bawah, tiga korban terkait dengan serangan baru-baru ini yang diungkapkan oleh Sheppard Robson dan DESFA, dengan Sando sebelumnya diklaim oleh Hive. BleepingComputer telah menyunting nama-nama perusahaan lain karena mereka belum mengumumkan bahwa mereka mengalami serangan siber.

Menurut statistik File Browser, pelaku ancaman telah membocorkan sekitar 2,8 TB data curian dari sepuluh korban ini.

Tidak diketahui apakah pelaku ancaman menyebarkan ransomware ketika melanggar jaringan atau hanya kelompok pemerasan data.

Namun, Sheppard Robson mengungkapkan bahwa serangan terbaru mereka adalah serangan ransomware.

Selanjutnya, dua operasi ransomware yang berbeda mengklaim bertanggung jawab atas DESFA (Ragnar Locker) dan SANDO (Hive).

Ini kemungkinan berarti bahwa aktor ancaman yang menjalankan Donut Leaks adalah penguji pena atau afiliasi untuk Hive, Ragnar Locker, dan mungkin operasi ransomware lainnya.

Dalam percakapan sebelumnya dengan ‘pentesters’ untuk Ragnar Locker, pelaku ancaman memberi tahu kami bahwa mereka bekerja untuk beberapa operasi Ransomware-as-a-Service untuk menyediakan akses afiliasi ke jaringan internal. Dalam beberapa kasus, pentester ini akan mencuri data dan menyimpannya sendiri jika mereka merasa bahwa data tersebut memiliki nilai.

Kelompok pemerasan baru ini menggambarkan bagaimana data curian sampai ke tangan banyak kelompok, dengan masing-masing mencoba metodenya sendiri untuk memeras korban.

Ini juga menunjukkan bahwa membayar permintaan tebusan mungkin tidak selalu mencegah kebocoran data Anda dan masih dapat menyebabkan tuntutan pemerasan lebih lanjut.

Sumber: Bleeping Computer

VMware Carbon Black menyebabkan BSOD crash di Windows

by

Server dan workstation Windows di lusinan organisasi mulai mogok lebih awal hari ini karena masalah yang disebabkan oleh versi tertentu dari solusi keamanan titik akhir Carbon Black VMware.

Menurut beberapa laporan, sistem di lebih dari 50 organisasi mulai menampilkan layar biru kematian yang menakutkan (BSOD) sedikit setelah pukul 15:00 (GMT+1) hari ini.

Akar masalahnya adalah seperangkat aturan yang diterapkan hari ini ke Carbon Black Cloud Sensor 3.6.0.1979 – 3.8.0.398 yang menyebabkan perangkat mogok dan menampilkan layar biru saat startup, menolak akses ke perangkat tersebut.

Sistem operasi Microsoft Windows yang terpengaruh oleh masalah ini adalah Windows 10 x64, Server 2012 R2 x64, Server 2016 x64, dan Server 2019 x64.

Pada sistem yang terpengaruh oleh masalah ini, kode berhenti mungkin mengidentifikasi kesalahan sebagai “PFN_LIST_CORRUPT.”

BSOD disebabkan oleh aturan yang salah
sumber: BleepingComputer

Tim Geschwindt, seorang penanggap insiden untuk S-RM Cyber, mengatakan bahwa mulai pukul 15:30 (GMT+1), klien mulai mengeluh bahwa server dan workstation mereka mogok dan mencurigai Carbon Black sebagai penyebabnya.

Setelah menyelidiki, peneliti menentukan bahwa semua klien yang menjalankan sensor Carbon Black 3.7.0.1253 terpengaruh. “Mereka tidak bisa boot ke perangkat mereka sama sekali. Selesai, jangan pergi, ”kata Geschwindt.

Seorang admin mengatakan bahwa mereka memiliki sekitar “500 titik akhir BSOD di seluruh perkebunan kami dari sekitar pukul 15:15 waktu Inggris.”

Tampaknya ada konflik antara Carbon Black dan AV signature pack 8.19.22.224.

VMware menjelaskan dalam basis pengetahuan hari ini bahwa “set aturan Penelitian Ancaman yang diperbarui diluncurkan ke Prod01, Prod02, ProdEU, ProdSYD, dan ProdNRT setelah pengujian internal tidak menunjukkan tanda-tanda masalah.”

Investigasi sedang berlangsung sekarang dan aturan yang merepotkan sedang digulirkan kembali, yang diharapkan dapat menghilangkan masalah.

Sebagai solusi sementara, VMware merekomendasikan untuk menempatkan sensor ke mode Bypass melalui Carbon Black Cloud Console. Ini memungkinkan perangkat yang terpengaruh untuk melakukan booting dengan sukses sehingga kumpulan aturan yang salah dapat dihapus.

VMware menyarankan klien yang mengalami masalah ini untuk membuka kasus dukungan dan menyertakan info berikut: Org_Key, Nama Perangkat, ID Perangkat, dan Sistem Operasi.

Pembaruan [23 Agustus, 17:50]:

“VMware Carbon Black menyadari masalah yang memengaruhi sejumlah titik akhir pelanggan, di mana versi sensor lama tertentu dipengaruhi oleh pembaruan kemampuan pencegahan perilaku kami. Masalah telah diidentifikasi dan diperbaiki, dan VMware Carbon Black bekerja dengan pelanggan yang terkena dampak. .”

Sumber: Bleeping Computer

Peretas Iran menggunakan alat baru untuk mencuri email dari korban

by

Aktor yang didukung pemerintah Iran yang dikenal sebagai Charming Kitten telah menambahkan alat baru ke gudang malware-nya yang memungkinkannya mengambil data pengguna dari akun Gmail, Yahoo!, dan Microsoft Outlook.

Dijuluki HYPERSCRAPE oleh Google Threat Analysis Group (TAG), perangkat lunak berbahaya yang sedang dikembangkan secara aktif dikatakan telah digunakan terhadap kurang dari dua lusin akun di Iran, dengan sampel tertua yang diketahui berasal dari tahun 2020. Alat ini pertama kali ditemukan pada bulan Desember. 2021.

Charming Kitten, sebuah ancaman gigih maju yang produktif (APT), diyakini terkait dengan Korps Pengawal Revolusi Islam (IRGC) Iran dan memiliki sejarah melakukan spionase yang selaras dengan kepentingan pemerintah.

Dilacak sebagai APT35, Cobalt Illusion, ITG18, Fosfor, TA453, dan Garuda Kuning, elemen kelompok juga telah melakukan serangan ransomware, menunjukkan bahwa motif pelaku ancaman adalah spionase dan didorong secara finansial.

“HYPERSCRAPE membutuhkan kredensial akun korban untuk dijalankan menggunakan sesi pengguna yang valid dan terotentikasi yang telah dibajak penyerang, atau kredensial yang telah diperoleh penyerang,” kata peneliti Google TAG, Ajax Bash.

Ditulis dalam .NET dan dirancang untuk dijalankan pada mesin Windows penyerang, alat ini dilengkapi dengan fungsi untuk mengunduh dan mengekstrak isi kotak masuk email korban, selain menghapus email keamanan yang dikirim dari Google untuk memperingatkan target dari setiap login yang mencurigakan.

Jika pesan awalnya belum dibaca, alat akan menandainya sebagai belum dibaca setelah membuka dan mengunduh email sebagai file “.eml”. Terlebih lagi, versi HYPERSCRAPE sebelumnya dikatakan telah menyertakan opsi untuk meminta data dari Google Takeout, fitur yang memungkinkan pengguna untuk mengekspor data mereka ke file arsip yang dapat diunduh.

Temuan ini mengikuti penemuan terbaru alat “grabber” Telegram berbasis C++ oleh PwC yang digunakan terhadap target domestik untuk mendapatkan akses ke pesan dan kontak Telegram dari akun tertentu.

Sebelumnya, grup tersebut terlihat menggunakan perangkat pengawasan Android khusus yang disebut LittleLooter, implan kaya fitur yang mampu mengumpulkan informasi sensitif yang tersimpan di perangkat yang disusupi serta merekam audio, video, dan panggilan.

“Seperti kebanyakan alat mereka, HYPERSCRAPE tidak terkenal karena kecanggihan teknisnya, melainkan efektivitasnya dalam mencapai tujuan Charming Kitten,” kata Bash. Akun yang terpengaruh sejak itu telah diamankan kembali dan para korban diberitahu.

Sumber: The Hackernews

Peraturan OJK baru menginstruksikan bank untuk memastikan keamanan siber

by

Bank umum wajib memastikan ketahanan dan keamanan sistem teknologi informasi (TI) perbankan sesuai dengan aturan baru yang ditetapkan oleh Otoritas Jasa Keuangan (OJK)

Deputi Komisioner Pengawas Perbankan I OJK Teguh Supangkat menyatakan kewajiban menjaga ketahanan dan keamanan siber di perbankan diatur dalam Peraturan OJK No. 11/POJK.03/2022 tentang Teknologi Informasi Pada Bank Umum.

Percepatan perkembangan digitalisasi di sektor perbankan harus diatur dengan peraturan OJK untuk menjawab kebutuhan dan harapan industri perbankan serta mengatasi potensi risiko di sektor TI, tegasnya.

Berdasarkan peraturan tersebut, bank umum wajib menjaga ketahanan siber melalui identifikasi aset, ancaman, dan kerentanan; perlindungan aset dan deteksi insiden siber; serta penanganan dan pemulihan insiden siber, jelasnya.

Sistem ketahanan siber yang memadai terdiri dari sistem uji keamanan, penilaian maturitas keamanan siber, dan satuan kerja khusus keamanan siber yang juga dianggap penting, jelas pejabat OJK.

Supangkat menyatakan selain mengatur keamanan dan ketahanan siber, POJK juga mengatur aspek-aspek penting lainnya untuk meningkatkan transformasi digital melalui keamanan siber di sektor perbankan, antara lain manajemen dan arsitektur TI, manajemen risiko, perlindungan data pribadi, penyediaan layanan, serta audit dan pengendalian internal. .

Ia kemudian mencontohkan data Bank Indonesia yang mengindikasikan adanya peningkatan jumlah dan volume transaksi keuangan melalui jalur elektronik di Indonesia pada tahun 2022.

Pejabat itu menyatakan optimisme bahwa peraturan baru, yang akan berlaku tiga bulan setelah diundangkan pada 7 Juli 2022, akan mendorong transformasi digital di sektor perbankan.

Sumber: ANTARA NEWS

Kampanye malware baru menarik semua pemberhentian untuk menghindari deteksi Play Store

by

Malware merupakan ancaman yang berkembang dan ada di mana-mana, dan terlepas dari upaya terbaik mereka, toko aplikasi seperti Google rentan untuk digunakan secara tidak sadar untuk distribusi.

Play Store secara teratur menghapus aplikasi dan melarang pengembang yang melanggar aturan yang dimaksudkan untuk menghentikan adware, spyware, malware, dan aplikasi mengganggu lainnya yang lebih baik bagi Anda tanpanya.

Kru di Bitdefender baru-baru ini mengidentifikasi 35 aplikasi yang menyalahgunakan metode ini untuk mempersulit Anda menemukan pelakunya yang bertanggung jawab atas spam iklan dan iklan berbahaya. Aplikasi telah mengumpulkan lebih dari dua juta unduhan gabungan.

Setelah diinstal, aplikasi ini mengganti namanya sendiri agar sesuai dengan aplikasi sistem seperti Pengaturan untuk membantu tetap tersembunyi.

Ikon mereka juga berubah secara otomatis untuk mencocokkan, dan mengetuk mengarahkan pengguna yang tidak curiga ke aplikasi Pengaturan sebenarnya di ponsel mereka.

Beberapa di antaranya meminta Anda untuk menonaktifkan pengoptimalan baterai dan memberikan izin untuk ditampilkan di atas aplikasi lain yang diharapkan menjadi tanda bahaya. Aplikasi dapat menyalahgunakan izin ini untuk memulai pemberitahuan layanan latar depan dan menyimulasikan klik pengguna pada iklan untuk keuntungan finansial.

Bitdefender mengatakan menggunakan teknologi perilaku real-time baru untuk mengidentifikasi adware. Berdasarkan pola dalam gaya penamaan aplikasi, email pengembang, dan situs web yang terdaftar, ia percaya semua aplikasi bisa menjadi hasil karya satu individu atau grup.

Para pakar keamanan menyarankan saran agar menghapus aplikasi yang tidak digunakan, tidak menginstal yang tidak benar-benar Anda butuhkan, dan waspada terhadap permintaan izin yang tidak biasa.

Sumber: Android Police