News 144 - Naga Cyber Defense

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

July 20, 2022 by Eevee

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Grup peretas ‘8220’ mengembangkan botnet cloud ke lebih dari 30.000 host

July 20, 2022 by Eevee

Geng cryptomining yang dikenal sebagai 8220 Gang telah mengeksploitasi kerentanan Linux dan aplikasi cloud untuk mengembangkan botnet mereka ke lebih dari 30.000 host yang terinfeksi.

Grup ini adalah aktor berketerampilan rendah, bermotivasi finansial yang menginfeksi host AWS, Azure, GCP, Alitun, dan QCloud setelah menargetkan sistem yang tersedia untuk umum yang menjalankan versi Docker, Redis, Confluence, dan Apache yang rentan.

Serangan sebelumnya dari geng ini mengandalkan eksploitasi yang tersedia untuk umum untuk mengkompromikan server Confluence.

Setelah mendapatkan akses, penyerang menggunakan paksaan SSH untuk menyebar lebih jauh dan membajak sumber daya komputasi yang tersedia untuk menjalankan cryptominers yang menunjuk ke kumpulan yang tidak dapat dilacak.

Geng 8220 telah aktif setidaknya sejak 2017 dan tidak dianggap sangat canggih, tetapi ledakan tiba-tiba dalam jumlah infeksi menggarisbawahi betapa berbahaya dan berdampaknya aktor tingkat bawah ini ketika mereka mengabdikan diri untuk tujuan mereka.

Dalam kampanye terbaru, yang diamati dan dianalisis oleh SentinelLabs, Geng 8220 telah menambahkan hal-hal baru ke skrip yang digunakan untuk memperluas botnet mereka, sepotong kode yang cukup tersembunyi meskipun tidak memiliki mekanisme penghindaran deteksi khusus.

Mulai akhir bulan lalu, grup tersebut mulai menggunakan file khusus untuk pengelolaan langkah paksa SSH, yang berisi 450 kredensial hardcode yang sesuai dengan berbagai perangkat dan aplikasi Linux.

Pembaruan lainnya adalah penggunaan daftar blokir dalam skrip untuk mengecualikan host tertentu dari infeksi, sebagian besar mengenai honeypot yang dibuat oleh peneliti keamanan.

Akhirnya, 8220 Gang sekarang menggunakan versi baru dari cryptominer kustomnya, PwnRig, yang didasarkan pada XMRig penambang Monero open-source.

Dalam versi terbaru PwnRig, penambang menggunakan subdomain FBI palsu dengan alamat IP yang mengarah ke domain pemerintah federal Brasil untuk membuat permintaan kumpulan palsu dan mengaburkan tujuan sebenarnya dari uang yang dihasilkan.

Penurunan harga cryptocurrency memaksa aktor cryptojacking untuk meningkatkan operasi mereka sehingga mereka dapat mempertahankan keuntungan yang sama. Monero, khususnya, telah kehilangan lebih dari 20% nilainya selama enam bulan terakhir.

Sumber: Bleeping Computer

Beberapa Aplikasi Play Store Baru Terlihat Mendistribusikan Malware Joker, Facestealer, dan Malware Coper

July 20, 2022 by Eevee

Google telah mengambil langkah-langkah untuk menghentikan lusinan aplikasi penipuan dari Play Store resmi yang terlihat menyebarkan keluarga malware Joker, Facestealer, dan Coper melalui pasar virtual.

Temuan terbaru dari Zscaler ThreatLabz dan Pradeo tidak berbeda. “Joker adalah salah satu keluarga malware paling menonjol yang menargetkan perangkat Android,” kata peneliti Viral Gandhi dan Himanshu Sharma dalam sebuah laporan Senin.

Dikategorikan sebagai fleeceware, Joker (alias Roti) dirancang untuk membuat pengguna berlangganan layanan berbayar yang tidak diinginkan atau melakukan panggilan ke nomor premium, sambil juga mengumpulkan pesan SMS, daftar kontak, dan informasi perangkat. Ini pertama kali diamati di Play Store pada tahun 2017.

Sebanyak 53 aplikasi pengunduh Joker telah diidentifikasi oleh dua perusahaan keamanan siber, dengan aplikasi diunduh secara kumulatif lebih dari 330.000 kali. Aplikasi ini biasanya menyamar sebagai SMS, editor foto, monitor tekanan darah, keyboard emoji, dan aplikasi terjemahan yang, pada gilirannya, meminta izin yang lebih tinggi untuk perangkat untuk menjalankan operasinya.

Bukan hanya Joker, peneliti keamanan Maxime Ingrao pekan lalu mengungkapkan delapan aplikasi yang berisi varian berbeda dari malware bernama Autolycos yang mengumpulkan total lebih dari tiga juta unduhan sebelum dihapus dari app store setelah lebih dari enam bulan.

Selain itu, ditemukan juga di pasar resmi aplikasi yang menyematkan malware Facestealer dan Coper. Sementara yang pertama memungkinkan operator untuk menyedot kredensial Facebook dan token autentikasi, Coper turunan dari malware Exobot berfungsi sebagai trojan perbankan yang dapat mencuri berbagai macam data.

Coper “mampu mencegat dan mengirim pesan teks SMS, membuat permintaan USSD (Unstructured Supplementary Service Data) untuk mengirim pesan, keylogging, mengunci / membuka kunci layar perangkat, melakukan serangan berlebihan, mencegah pencopotan pemasangan dan umumnya memungkinkan penyerang untuk mengambil kendali dan menjalankan perintah pada perangkat yang terinfeksi melalui koneksi jarak jauh dengan server C2,” kata para peneliti.

Malware, seperti trojan perbankan lainnya, juga diketahui menyalahgunakan izin aksesibilitas di Android untuk mendapatkan kendali penuh atas ponsel korban. Daftar aplikasi penetes Facestealer dan Coper adalah sebagai berikut :

Vanilla Camera (cam.vanilla.snapp)
Unicc QR Scanner (com.qrdscannerratedx)

Selain aturan praktis yang biasa digunakan untuk mengunduh aplikasi dari toko aplikasi, pengguna disarankan untuk tidak memberikan izin yang tidak perlu ke aplikasi dan memverifikasi keabsahannya dengan memeriksa informasi pengembang, membaca ulasan, dan memeriksa kebijakan privasi mereka.

Sumber: The Hacker News

Facebook telah mulai mengenkripsi tautan untuk melawan Stripping URL yang meningkatkan privasi

July 20, 2022 by Eevee

Facebook telah mulai menggunakan skema URL yang berbeda untuk tautan situs guna memerangi teknologi stripping URL yang digunakan browser seperti Firefox atau Brave untuk meningkatkan privasi dan mencegah pelacakan pengguna.

Beberapa situs, termasuk Facebook, menambahkan parameter ke alamat web untuk tujuan pelacakan. Parameter ini tidak memiliki fungsi yang relevan bagi pengguna, tetapi situs mengandalkannya untuk melacak pengguna di seluruh halaman dan properti.

Mozilla memperkenalkan dukungan untuk stripping URL di Firefox 102, yang diluncurkan pada Juni 2022. Firefox menghapus parameter pelacakan dari alamat web secara otomatis, tetapi hanya dalam mode penjelajahan pribadi atau ketika fitur Perlindungan Pelacakan browser disetel ke ketat. Pengguna Firefox dapat mengaktifkan stripping URL di semua mode Firefox, tetapi ini memerlukan konfigurasi manual. Brave Browser juga menghapus parameter pelacakan yang diketahui dari alamat web.

Kedua browser web menggunakan daftar parameter pelacakan yang diketahui untuk fungsi tersebut. Daftar perlu diperbarui setiap kali situs mengubah parameter pelacakan.

Facebook bisa saja mengubah skema yang digunakannya, tetapi ini hanya akan memberi Facebook jalan sementara. Tampaknya Facebook menggunakan enkripsi sekarang untuk melacak pengguna.

Sebelumnya, Facebook menggunakan parameter fbclid untuk tujuan pelacakan. Sekarang, mereka menggunakan URL seperti ini :

https://www.facebook.com/ghacksnet/posts/pfbid0RjTS7KpBAGt9FHp5vCNmRJsnmBudyqRsPC7ovp8sh2EWFxve1Mk2HaGTKoRSuVKpl?__cft__[0]=AZXT7WeYMEs7icO80N5ynjE2WpFuQK61pIv4kMN-dnAz27-UrYqrkv52_hQlS_TuPd8dGUNLawATILFs55sMUJvH7SFRqb_WcD6CCOX_zYdsebOW0TWyJ9gT2vxBJPZiAaEaac_zQBShE-UEJfatT-JMQT5-bvmrLz7NlgwSeL6fGKH9oY9uepTio0BHyCmoY1A&__tn__=%2CO%2CP-R .

Masalah utama di sini adalah tidak mungkin lagi menghapus bagian pelacakan URL, karena Facebook menggabungkannya dengan bagian dari alamat web yang diperlukan.

Karena tidak mungkin lagi mengidentifikasi bagian pelacakan dari alamat web, tidak mungkin lagi menghapusnya dari alamat secara otomatis. Dengan kata lain: Facebook berada di atas angin dalam hal pelacakan berbasis URL pada saat itu, dan hanya sedikit yang dapat dilakukan untuk menemukan cara untuk mendekripsi informasi.

Saat ini tidak ada opsi untuk mencegah pelacakan pengguna Facebook melalui tautan. Pengguna dapat menghindari Facebook, tetapi itu tidak mungkin dilakukan setiap saat. Pelacakan URL tidak banyak membantu jika sarana pelacakan lain, misalnya, melalui cookie atau data situs, tidak tersedia. Meskipun Facebook mendapatkan beberapa informasi dari pelacakan berbasis URL, Facebook tidak dapat menautkannya jika tidak ada data persisten yang tersedia.

Pengguna yang tidak masuk ke Facebook dan menghapus cookie dan data situs secara teratur, dapat menghindari sebagian besar pelacakan perusahaan.

Sumber: ghacks.net

Tim kernel Linux telah mengurutkan cacat chip Retbleed

July 19, 2022 by Eevee

Pengembang kernel Linux telah mengatasi bug eksekusi spekulatif Retbleed di silikon Intel dan AMD yang lebih lama, meskipun perbaikannya tidak langsung, jadi penguin kaisar Linus Torvalds telah menunda pengiriman versi kernel berikutnya selama seminggu.

“Ketika kami memiliki salah satu masalah [perangkat keras] yang diembargo yang tertunda, tambalan tidak mendapatkan pengembangan terbuka, dan akibatnya melewatkan semua pemeriksaan kewarasan yang biasa dilakukan oleh semua infrastruktur pembuatan dan pengujian otomatisasi yang kami miliki,” Torvalds tulis dalam sebuah posting yang mengumumkan pengiriman kandidat rilis tujuh untuk kernel versi 5.19.

Retbleed bukan satu-satunya alasan penundaan.

“Minggu lalu ada dua pohon pengembangan lain yang secara independen juga meminta perpanjangan, jadi 5.19 akan menjadi salah satu rilis yang memiliki tambahan rc8 akhir pekan depan sebelum rilis final,” tulis Torvalds.

Dua pohon lain yang membutuhkan lebih banyak waktu menyangkut sistem file btrfs serta firmware untuk pengontrol untuk GPU Intel yang tampaknya kadang-kadang secara tidak sengaja menonaktifkan penguat grafis pada beberapa silikon Intel Alder Lake baru yang mengkilap.

Torvalds melaporkan kedua masalah tampaknya terkendali, “Jadi kita tidak memiliki masalah besar, tetapi satu minggu ekstra pasti diperlukan.”

Yang memalukan, karena minggu lalu Torvalds menyatakan harapannya bahwa kandidat rilis tujuh akan menjadi yang terakhir untuk versi ini sejalan dengan preferensinya untuk tujuh kandidat rilis.

Tidak ada dalam posting Torvalds yang menunjukkan penundaan lebih lanjut dapat diharapkan, jadi kernel baru akan debut minggu depan. Berikutnya akan datang versi 5.20, yang pada bentuk terbaru dapat dipilih sebagai rilis Dukungan Jangka Panjang.

Sumber: The Register

Peretas Mendistribusikan Alat Pembobol Kata Sandi untuk PLC dan HMI untuk Menargetkan Sistem Industri

July 19, 2022 by Eevee

Insinyur dan operator industri menjadi target kampanye baru yang memanfaatkan perangkat lunak pembobol kata sandi untuk menguasai Programmable Logic Controllers (PLC) dan mengkooptasi mesin ke botnet.

Perangkat lunak itu “mengeksploitasi kerentanan dalam firmware yang memungkinkannya mengambil kata sandi sesuai perintah,” kata peneliti keamanan Dragos, Sam Hanson. “Selanjutnya, perangkat lunak itu adalah penetes malware, menginfeksi mesin dengan malware Sality dan mengubah host menjadi rekan di botnet peer-to-peer Sality.”

Perusahaan industri keamanan siber mengatakan bahwa eksploitasi pengambilan kata sandi yang tertanam dalam penetes malware dirancang untuk memulihkan kredensial yang terkait dengan Automation Direct DirectLOGIC 06 PLC.

Eksploitasi, dilacak sebagai CVE-2022-2003 (skor CVSS: 7,7), telah digambarkan sebagai kasus transmisi teks yang jelas dari data sensitif yang dapat menyebabkan pengungkapan informasi dan perubahan yang tidak sah. Masalah ini telah diatasi dalam firmware Versi 2.72 yang dirilis bulan lalu.

Infeksi memuncak dalam penyebaran malware Sality untuk melakukan tugas-tugas seperti penambangan cryptocurrency dan peretasan kata sandi secara terdistribusi, sementara juga mengambil langkah-langkah untuk tetap tidak terdeteksi dengan menghentikan perangkat lunak keamanan yang berjalan di workstation yang disusupi.

Terlebih lagi, artefak yang digali oleh Dragos menjatuhkan muatan crypto-clipper yang mencuri cryptocurrency selama transaksi dengan mengganti alamat dompet asli yang disimpan di clipboard dengan alamat dompet penyerang.

Automation Direct bukan satu-satunya vendor yang terkena dampak karena alat tersebut mengklaim mencakup beberapa PLC, human-machine interfaces (HMI), dan file proyek yang mencakup Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face Schneider Electric , Vigor PLC, Weintek, Allen-Bradley dari Rockwell Automation, Panasonic, Fatek, IDEC Corporation, dan LG.

Ini jauh dari pertama kalinya perangkat lunak trojan memilih jaringan teknologi operasional (OT). Pada Oktober 2021, Mandiant mengungkapkan bagaimana binari executable portabel yang sah dikompromikan oleh berbagai malware seperti Sality, Virus, dan Ramnit, antara lain.

Sumber: The Hacker News

Bug Auditor Netwrix Baru Dapat Membiarkan Penyerang Mengganggu Domain Direktori Aktif

July 18, 2022 by Eevee

Para peneliti telah mengungkapkan rincian tentang kerentanan keamanan dalam aplikasi Auditor Netwrix yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode arbitrer pada perangkat yang terpengaruh.

Auditor adalah platform audit dan visibilitas yang memungkinkan organisasi untuk memiliki tampilan gabungan dari lingkungan TI mereka, termasuk Active Directory, Exchange, server file, SharePoint, VMware, dan sistem lainnya—semua dari satu konsol.

Netwrix, perusahaan di balik perangkat lunak, mengklaim lebih dari 11.500 pelanggan di lebih dari 100 negara, seperti Airbus, Virgin, King’s College Hospital, dan Credissimo, antara lain.

Cacat, yang berdampak pada semua versi yang didukung sebelum 10.5, telah digambarkan sebagai deserialisasi objek yang tidak aman, yang terjadi ketika data yang dapat dikontrol pengguna yang tidak tepercaya diuraikan untuk menimbulkan serangan eksekusi kode jarak jauh.

Akar penyebab bug adalah layanan jarak jauh .NET tanpa jaminan yang dapat diakses pada port TCP 9004 di server Netwrix, memungkinkan aktor untuk mengeksekusi perintah sewenang-wenang di server.

“Karena perintah dijalankan dengan hak istimewa NT AUTHORITY\SYSTEM, mengeksploitasi masalah ini akan memungkinkan penyerang untuk sepenuhnya berkompromi dengan server Netwrix,” kata Jordan Parkin dari Bishop Fox.

Organisasi yang mengandalkan Auditor direkomendasikan untuk memperbarui perangkat lunak ke versi terbaru, 10.5, yang dirilis pada 6 Juni, untuk mencegah potensi risiko apa pun.

Sumber : The Hacker News

Kepala keamanan TikTok mengundurkan diri saat perusahaan memindahkan data AS ke server Oracle

July 18, 2022 by Eevee

Chief Security Officer (CSO) global TikTok, Roland Cloutier, mengundurkan diri saat perusahaan bertransisi menggunakan server Oracle yang berbasis di AS untuk menyimpan data orang Amerika (melalui The Wall Street Journal).

Perusahaan membagikan memo internal tentang perubahan dalam sebuah posting di ruang beritanya, yang menyatakan Cloutier akan mengambil peran sebagai penasihat, dengan kepala risiko keamanan, vendor, dan jaminan klien TikTok, Kim Albarella, mengambil alih sementara.

Pada bulan Juni, TikTok mengumumkan bahwa mereka telah mulai merutekan data pengguna AS ke server Oracle dalam upaya untuk memadamkan kekhawatiran bahwa China tempat perusahaan induk TikTok, ByteDance, berbasis memiliki akses tak terkendali ke informasi ini.

CEO TikTok Shou Zi Chew dan wakil presiden teknologi ByteDance Dingkun Hong mengatakan perubahan itu datang sebagai cara untuk “meminimalkan kekhawatiran tentang keamanan data pengguna di AS,” tetapi juga “mengubah ruang lingkup Global Chief Security Officer (CSO) peran.”

Seorang juru bicara TikTok mengatakan kepada WSJ bahwa Cloutier tidak terlibat dalam mengelola departemen baru TikTok yang didedikasikan untuk menangani data pengguna AS. Dia juga menjelaskan bahwa perubahan organisasi ini telah dilakukan berbulan-bulan sebelum politisi AS memanas di TikTok.

Selama bertahun-tahun, TikTok telah diteliti terkait hubungannya dengan ByteDance yang berbasis di China, dengan beberapa pejabat AS menuduh aplikasi tersebut menyedot data Amerika ke pemerintah China.

Bulan lalu, BuzzFeed News merilis laporan yang mengklaim bahwa karyawan TikTok di China “berulang kali” mengakses data pengguna AS dari setidaknya September 2021 hingga Januari 2022.

Menanggapi laporan tersebut, sekelompok senator Republik menulis surat kepada TikTok yang mempertanyakan validitas kesaksian perusahaan tentang privasi data selama sidang yang berlangsung Oktober lalu.

TikTok menanggapi kekhawatiran ini awal bulan ini, sekali lagi mengulangi rencananya untuk bekerja dengan Oracle untuk “sepenuhnya melindungi data pengguna.”

Sumber: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings