Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ransomware Magniber 2017 Gunakan Kerentanan PrintNightmare untuk Menginfeksi Korban di Korea Selatan

by

CrowdStrike baru-baru ini mengamati aktivitas baru yang terkait dengan keluarga ransomware 2017, yang dikenal sebagai Magniber, menggunakan kerentanan PrintNighmare pada korban di Korea Selatan. Pada 13 Juli, CrowdStrike berhasil mendeteksi dan mencegah upaya mengeksploitasi kerentanan PrintNightmare, melindungi pelanggan sebelum enkripsi apa pun dilakukan.

Ketika kerentanan PrintNighmare (CVE-2021-34527) diungkapkan, intelijen CrowdStrike menilai kerentanan kemungkinan akan digunakan oleh aktor ancaman karena memungkinkan untuk kemungkinan eksekusi kode jarak jauh (RCE) dan eskalasi hak lokal (LPE). Penilaian ini terbukti akurat mengingat insiden baru-baru ini.

Magniber ransomware pertama kali terlihat pada akhir 2017 yang menargetkan korban di Korea Selatan melalui kampanye malvertising menggunakan Magnitude Exploit Kit (EK). Kampanye Magniber sebelumnya melalui upaya signifikan hanya menginfeksi korban di Korea Selatan, meskipun pada pertengahan 2018 juga terlihat menargetkan korban di negara-negara Asia Pasifik lainnya.

Meskipun ransomware Magniber tampaknya hanya menargetkan Korea Selatan, ia telah aktif sejak 2017. Tim Falcon OverWatch™ juga melihat aktivitas terbaru dari Magniber pada awal Februari 2021, yang mengeksploitasi kerentanan Internet Explorer (CVE-2020-0968) ke secara eksklusif mengkompromikan korban Korea Selatan.

Insiden baru yang melibatkan ransomware Magniber menggunakan kerentanan PrintNightmare Printer Spooler baru-baru ini mengejutkan, tetapi tidak jarang mengingat dampak kerentanan. Beberapa POC telah beredar sejak masalah ini dilaporkan, dan hanya masalah waktu sampai musuh berusaha memanfaatkannya untuk mengkompromikan korban dan mengirimkan muatan berbahaya.

Selengkapnya: Crowdstrike

CES 2021: Intel menambahkan kemampuan deteksi ransomware di tingkat silikon

by

Pada Consumer Electronics Show 2021, Intel mengumumkan penambahan kemampuan pendeteksian ransomware ke prosesor Core vPro Generasi ke-11 yang baru melalui peningkatan pada Hardware Shield dan Threat Detection Technology (TDT).

Kemitraan dengan Cybereason yang berbasis di Boston juga diumumkan, dengan perusahaan keamanan diharapkan dapat menambahkan dukungan untuk fitur-fitur baru ini ke perangkat lunak keamanannya pada paruh pertama tahun 2021.

Kedua perusahaan mengatakan bahwa ini akan menandai kasus pertama di mana “perangkat keras PC memainkan peran langsung” dalam mendeteksi serangan ransomware.

Di belakang layar, semua ini dimungkinkan melalui dua fitur Intel, yaitu Hardware Shield dan Intel Threat Detection Technology (TDT). Keduanya merupakan bagian fitur dari Intel vPro, kumpulan teknologi yang berpusat pada perusahaan yang dikirimkan oleh Intel dengan beberapa prosesornya.

Hardware Shield, teknologi yang mengunci UEFI/BIOS dan TDT, teknologi yang menggunakan telemetri CPU untuk mendeteksi kemungkinan adanya kode berbahaya.

Kedua teknologi ini bekerja pada CPU secara langsung, banyak lapisan di bawah ancaman berbasis perangkat lunak, seperti malware, tetapi juga solusi antivirus. Ide di balik fitur-fitur baru Intel adalah untuk membagikan beberapa datanya dengan perangkat lunak keamanan dan memungkinkannya untuk menemukan malware yang mungkin bersembunyi di tempat-tempat yang tidak dapat dijangkau oleh aplikasi antivirus.

Menurut Intel dan Cybereason, teknologi baru ini seharusnya memungkinkan perusahaan untuk mendeteksi serangan ransomware ketika jenis ransomware mencoba menghindari deteksi dengan bersembunyi di dalam mesin virtual, karena Hardware Shield dan TDT menjalankan banyak lapisan di bawahnya.

Selengkapnya: ZDNet

AlphaBay Pasar Gelap Muncul Kembali

by

Pasar gelap AlphaBay tampaknya telah muncul kembali, empat tahun setelah pencopotan profil tinggi oleh lembaga penegak hukum internasional.

Kemunculan kembali ini, menurut para peneliti di Flashpoint, bukanlah replika yang sama. Sebaliknya, versi situs yang disusun kembali digambarkan sebagai penghormatan kepada yang asli dan penghargaan kepada moderator AlphaBay yang sekarang telah meninggal, Alexandre Cazes.

Perubahan terbaru ini dipimpin oleh aktor ancaman DeSnake, yang diyakini sebagai moderator asli AlphaBay. Menurut peneliti Flashpoint, DeSnake berusaha untuk mendapatkan kepercayaan dari para penjahat dengan mengklaim “pelaku ancaman yang beroperasi di forum [dapat] menarik dana bahkan jika semua server disita.”

Perubahan lain termasuk pelarangan posting tentang obat-obatan terlarang, vaksin COVID-19, dan ransomware. Operator situs juga mengatakan mereka akan menghapus posting yang terkait dengan aktivitas ancaman yang terkait dengan Rusia, Belarus, Kazakhstan, Armenia, dan Kirgistan untuk menghindari perhatian yang tidak diinginkan oleh penegak hukum di negara-negara tersebut.

Pitch tambahan oleh operator layanan, berjanji untuk “memperbarui kode sumber untuk trojan perbankan terkenal” sebagai taktik promosi untuk layanan tersebut. Tidak ada indikasi seperti apa trojan perbankan “terkenal” tersebut.

Selengkapnya: Threat Post

Malware Discord adalah ancaman yang terus-menerus dan terus berkembang, Sophos memperingatkan

by

Beberapa minggu yang lalu, perusahaan keamanan siber terkemuka Sophos mengeluarkan peringatan bahwa Discord menjadi target yang semakin umum bagi peretas.

Beberapa aktor siber yang mendorong keluar malware cenderung menargetkan pengguna layanan online yang sukses, dan mempertimbangkan 140 juta plus pengguna aktif Discord — dengan lebih dari 300 juta terdaftar hingga saat ini — yang menjadikan perangkat lunak obrolan sebagai target yang cukup menarik.

Sophos mencatat jumlah deteksi malware selama beberapa bulan terakhir telah meningkat hampir 140 kali lipat dari periode yang sama tahun lalu. Dan sebagian dari masalah itu bermuara pada bagaimana file Discord disimpan di cloud.

“Setelah file diunggah ke Discord, mereka dapat bertahan tanpa batas waktu kecuali jika dilaporkan atau dihapus,” kata laporan itu.

Dalam penelitiannya tentang jenis malware yang mengotori penyimpanan cloud Discord, Sophos menemukan banyak alat game cheating. Beberapa dimaksudkan untuk mengeksploitasi protokol integrasi Discord untuk merusak permainan lawan, dan beberapa diiklankan sebagai ‘penyempurnaan’ yang dimaksudkan untuk membuka kunci konten berbayar, kunci, dan bypass. Maksud sebenarnya adalah bahwa hanya sedikit yang ditemukan mengandung perangkat lunak cheating yang dimaksud, sebagian besar sebenarnya adalah beberapa bentuk pencurian kredensial yang menyamar.

Di antara cheat-bait, kejahatan lain menyelinap tanpa terdeteksi: keluarga malware pembajak kata sandi, spyware, aplikasi android palsu yang dimaksudkan untuk menangkap info keuangan atau mencegat transaksi.

Sophos menjelaskan, “Aktor ancaman di balik operasi ini menggunakan rekayasa sosial untuk menyebarkan malware pencuri kredensial, kemudian menggunakan kredensial Discord yang diambil korban untuk menargetkan pengguna Discord tambahan.”

Selengkapnya: PC Gamer

Microsoft mengonfirmasi bug zero-day print spooler Windows lainnya

by

Microsoft telah mengeluarkan peringatan untuk kerentanan zero-day print spooler Windows lainnya yang dilacak sebagai CVE-2021-36958 yang memungkinkan penyerang lokal untuk mendapatkan hak istimewa SISTEM di komputer.

Kerentanan ini adalah bagian dari kelas bug yang dikenal sebagai ‘PrintNightmare,’ yang menyalahgunakan pengaturan konfigurasi untuk print spooler Windows, print driver, dan fitur Windows Point and Print.

Microsoft merilis pembaruan keamanan pada bulan Juli dan Agustus untuk memperbaiki berbagai kerentanan PrintNightmare.

Namun, kerentanan yang diungkapkan oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke print server jarak jauh, seperti yang ditunjukkan di bawah ini.

Kerentanan ini menggunakan direktif registry CopyFile untuk menyalin file DLL yang membuka command prompt ke klien bersama dengan print driver saat Anda menyambung ke printer.

Meskipun pembaruan keamanan terbaru Microsoft mengubah prosedur penginstalan driver printer baru sehingga memerlukan hak admin, Anda tidak akan diminta untuk memasukkan hak admin untuk terhubung ke printer saat driver tersebut sudah diinstal.

Selanjutnya, jika driver ada pada klien, dan karenanya tidak perlu diinstal, menghubungkan ke printer jarak jauh akan tetap menjalankan arahan CopyFile untuk pengguna non-admin. Kelemahan ini memungkinkan DLL Delpy untuk disalin ke klien dan dieksekusi untuk membuka command prompt tingkat SISTEM.

Selengkapnya: Bleeping Computer

Langkah terbaru Signal menunjukkan mengapa mereka adalah pilihan messenger yang menghargai privasi bagi pengguna

by

Mengapa Anda menggunakan aplikasi perpesanan yang Anda gunakan? Anda tentu memiliki cukup banyak pilihan untuk dipilih, tetapi apa yang membuat masing-masing menonjol? Untuk Signal, itu sudah lama menjadi komitmen aplikasi untuk mengutamakan privasi.

Itu dimulai dengan enkripsi end-to-end yang kuat, tetapi masih banyak lagi yang terjadi di sini — termasuk apa yang terjadi pada pesan Anda setelah sampai ke penerimanya. Signal telah memberi pengguna kemampuan untuk membuat pesan mereka dihapus secara otomatis untuk sementara waktu, dan sekarang perubahan baru berharap untuk membuat kemampuan ini lebih mudah dan lebih mudah diakses daripada sebelumnya.

Sebelumnya, Anda harus mengatur pesan Anda secara manual untuk dihapus secara otomatis berdasarkan percakapan demi percakapan. Meskipun itu adalah solusi fungsional, itu juga berarti banyak pekerjaan ekstra, untuk tidak mengatakan apa pun tentang risiko bahwa Anda secara tidak sengaja lupa untuk mengaktifkannya.

Ke depannya, Anda dapat memilih untuk mengaktifkan pesan singkat secara default. Lebih dari itu, pengguna memiliki kontrol penuh atas berapa lama mereka ingin pesan mereka bertahan, dan Anda dapat mengatur waktu kedaluwarsa mulai dari detik hingga hari.

Seperti yang ditunjukkan Signal dengan bijak, Anda tidak boleh terlalu percaya pada keyakinan bahwa pesan Anda akan hilang selamanya — seseorang selalu dapat mengambil gambar sebelum menghilang, jika memang demikian — tetapi ini masih terdengar seperti langkah yang sangat bagus dalam arah yang benar, memberi pengguna kontrol sebanyak mungkin atas pesan mereka.

Selengkapnya: Android Police

Peretas Di Balik Pencurian Crypto Bersejarah Dilaporkan Mengembalikan $256 Juta Dana yang Dicuri

by

Setelah peretas menyerang Poly Network dengan salah satu perampokan crypto terbesar dalam ingatan baru-baru ini, perusahaan itu menerbitkan surat terbuka pada hari Selasa yang memohon kepada para pelaku untuk mendapatkan kembali aset mereka. Rupanya, surat itu berhasil, dan para peretas dilaporkan sudah mulai mengembalikan sebagian besar hasil tangkapan mereka.

The Block pertama kali melaporkan bahwa siapa pun yang berada di balik peretasan telah mengembalikan sekitar $256 juta aset crypto kembali ke perusahaan pada Rabu pagi. Itu masih jauh di bawah $611 juta yang dilaporkan dicuri oleh peretas, yang dilaporkan menjadikannya peretasan terbesar dalam sejarah keuangan terdesentralisasi, yang sering dikenal sebagai DeFi.

Kurang dari 24 jam setelah Poly memposting suratnya — mengingatkan penyerang bahwa penegak hukum “di negara mana pun” kemungkinan akan membuntuti mereka karena kejahatan mereka — para peretas mulai mentransfer jutaan aset berbeda kembali ke dompet crypto Poly Network.

Di antara aset lainnya, para peretas mengembalikan $ 2 juta dalam ShibaCoin, $ 1,1 juta dalam Token Binance BTCB, dan sekitar $ 1 juta dalam token khusus yang dibuat oleh penyerang sendiri, secara harfiah disebut “Peretas siap untuk menyerah,” menurut The Block.

Poly Network telah memulihkan lebih dari sepertiga dari peretasannya sejauh ini, tetapi ada banyak perusahaan lain di dunia crypto yang tidak. Sebuah laporan riset pasar pada industri DeFi yang turun awal pekan ini menemukan bahwa aktor jahat telah menipu $474 juta dari platform seperti Poly antara Januari dan Juli tahun ini.

Selengkapnya: Gizmodo

Alat Deepfake Baru yang Kuat Telah Melucuti Pakaian Ribuan Wanita Secara Digital

by

Sebuah situs web berjanji untuk membuat “impian pria menjadi kenyataan”. Pengguna mengunggah foto wanita berpakaian lengkap pilihan mereka, dan dalam hitungan detik, situs itu membuka pakaian mereka secara gratis. Dengan satu fitur itu, ia telah meledak menjadi salah satu alat “deepfake” paling populer yang pernah dibuat.

Jauh lebih maju daripada aplikasi “DeepNude” yang sekarang sudah tidak berfungsi yang menjadi viral pada tahun 2019, situs baru ini telah mengumpulkan lebih dari 38 juta klik sejak awal tahun ini, dan telah menjadi rahasia umum di sudut-sudut misoginis web.

Situs tersebut offline sebentar pada hari Senin setelah HuffPost menjangkau penyedia host web aslinya, IP Volume Inc., yang dengan cepat menghentikan layanan hostingnya. Tetapi situs tersebut dicadangkan kurang dari sehari kemudian dengan host baru.

Diluncurkan pada tahun 2020, situs ini mengatakan bahwa mereka mengembangkan algoritme terjemahan pembelajaran mendalam “canggih” sendiri untuk “menelanjangi” tubuh wanita, dan bahwa teknologinya sangat kuat sehingga tidak ada wanita di dunia, terlepas dari ras atau kebangsaan, yang aman dari “ditelanjangi”. Tapi itu tidak bekerja pada pria.

Tidak diketahui siapa yang berada di balik situs tersebut, yang penuh dengan kesalahan ejaan dan sintaksis, sama seperti tidak jelas di mana mereka berada. Operator tidak menanggapi beberapa permintaan wawancara dari HuffPost. Bulan lalu, AS sejauh ini merupakan sumber lalu lintas utama tersebut, diikuti oleh Thailand, Taiwan, Jerman, dan China. Postingan Medium yang sekarang telah dihapus menunjukkan cara menggunakan situs yang menampilkan foto sebelum dan sesudah wanita Asia secara eksklusif.

Selengkapnya: Huff Post