Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Crimea “manifesto” menyebarkan VBA Rat menggunakan vektor serangan ganda

by

Pada 21 Juli 2021, kami mengidentifikasi dokumen mencurigakan bernama “Манифест.docx” (“Manifest.docx”) yang mengunduh dan menjalankan dua template: satu berkemampuan makro dan yang lainnya adalah objek html yang berisi eksploitasi Internet Explorer.

Sementara kedua teknik mengandalkan injeksi template untuk menjatuhkan Trojan Akses Jarak Jauh berfitur lengkap, eksploitasi IE (CVE-2021-26411) yang sebelumnya digunakan oleh Lazarus APT adalah penemuan yang tidak biasa. Penyerang mungkin ingin menggabungkan teknik rekayasa sosial dengan eksploitasi yang diketahui untuk memaksimalkan peluang mereka menginfeksi target.

Kami juga menemukan panel yang digunakan oleh aktor ancaman yang dijuluki “Ekipa” yang dapat diterjemahkan menjadi “tim.” Korban dilacak dan statistik mencakup apakah eksploitasi IE berhasil atau tidak.

Kami tidak dapat menentukan siapa yang mungkin berada di balik serangan ini berdasarkan teknik saja, tetapi dokumen umpan yang ditampilkan kepada para korban mungkin memberikan beberapa petunjuk. Ini berisi pernyataan dari kelompok yang berhubungan dengan Andrey Sergeevich Portyko dan menentang kebijakan Putin di semenanjung Krimea.

selengkapnya : blog.malwarebytes.com

Ransomware ‘Death Kitty’ Terkait dengan Serangan Pelabuhan Afrika Selatan

by

Perusahaan pelabuhan dan kereta api Afrika Selatan tampaknya telah menjadi sasaran dengan jenis ransomware yang dikaitkan oleh para pakar keamanan siber dengan serangkaian pelanggaran data tingkat tinggi yang kemungkinan dilakukan oleh geng-geng kejahatan dari Eropa Timur dan Rusia.

Peretas meninggalkan catatan tebusan di komputer Transnet SOC Ltd., dilihat oleh Bloomberg News, mengklaim bahwa mereka mengenkripsi file perusahaan, termasuk satu terabyte data pribadi, laporan keuangan, dan dokumen lainnya. Catatan itu menginstruksikan perusahaan untuk mengunjungi portal obrolan di web gelap untuk memasuki negosiasi.

Penyelidikan atas motif serangan itu masih berlangsung, kata Menteri Perusahaan Umum Pravin Gordhan dalam sebuah pernyataan pada hari Rabu. Juru bicara Transnet Ayanda Shezi merujuk pada pernyataan menteri dan menolak berkomentar lebih lanjut.

Serangan siber pada 22 Juli menyebabkan perusahaan mengumumkan force majeure di terminal peti kemas dan beralih ke pemrosesan kargo secara manual. Pelabuhan Durban Transnet sendiri menangani lebih dari setengah pengiriman nasional dan merupakan pintu gerbang utama bagi eksportir komoditas lainnya termasuk Republik Demokratik Kongo dan Zambia.

selengkapnya: www.bloomberg.com

Malware Android baru merekam ponsel cerdas melalui VNC untuk mencuri kata sandi

by

Peneliti keamanan telah menemukan bagian baru dari malware Android yang menggunakan teknologi VNC untuk merekam dan menyiarkan aktivitas smartphone korban, memungkinkan pelaku ancaman untuk mengumpulkan penekanan keyboard dan kata sandi aplikasi.

Pertama kali ditemukan pada Maret 2021 oleh perusahaan keamanan Belanda ThreatFabric, malware baru ini, bernama Vultur, adalah penyimpangan dari jenis malware Android lainnya yang biasanya mengandalkan layar login palsu yang mengambang di atas aplikasi yang sah untuk mengumpulkan kredensial korban.

Sebagai gantinya, Vultur membuka server VNC di ponsel yang terinfeksi, dan menyiarkan tangkapan layar ke server perintah dan kontrol penyerang, tempat operator Vultur mengekstrak kata sandi untuk aplikasi yang diinginkan.

selengkapnya : therecord.media

Google melarang aplikasi ‘sugar daddy’ dari Play Store

by

Hari ini, Google menerbitkan beberapa perubahan pada kebijakan Play-nya, dan terletak di antara penyempurnaan legal yang tepat dan beberapa penyesuaian ID iklan adalah kejutan untuk jenis kerumunan kencan tertentu. Google memperbarui kebijakan konten yang tidak pantas untuk melarang “hubungan seksual yang dikompensasi” – yaitu, aplikasi sugar daddy atau sugar dating.

Kami telah menghubungi Google untuk informasi lebih lanjut di balik larangan dan logika tepat yang menargetkan aplikasi kencan gula sambil mengabaikan aplikasi kencan lain yang berpotensi seksual. Namun, sementara itu, mulai 1 September, semua tipe orang manis harus tetap menggunakan situs web atau melakukan sideload aplikasi kencan gula mereka — ini adalah Android, Anda masih bisa mendapatkan aplikasi dari mana saja, tidak seperti iPhone.

selengkapnya : www.androidpolice.com

No More Ransom menghemat hampir €1 miliar dalam pembayaran ransomware dalam 5 tahun

by

Proyek No More Ransom merayakan hari jadinya yang kelima pada tanggal 26 Juli lalu setelah membantu lebih dari enam juta korban ransomware memulihkan file mereka dan menghemat hampir €1 miliar dalam pembayaran ransomware.

No More Ransom adalah portal online yang diluncurkan pada Juli 2016 dan kemitraan publik-swasta yang dibuat oleh penegak hukum dan pemimpin industri (Europol’s European Cybercrime Centre, Unit Kejahatan Teknologi Tinggi Nasional polisi Belanda, McAfee, dan Kaspersky).

Saat ini, proyek No More Ransom mencakup 170 mitra di seluruh dunia, termasuk BleepingComputer, yang bergabung dengan proyek tersebut pada tahun 2018.

No More Ransom memiliki tujuan untuk membantu korban memulihkan file terenkripsi mereka, meningkatkan kesadaran akan ancaman ransomware, dan menyediakan tautan langsung kepada korban ransomware dan masyarakat umum untuk melaporkan serangan.

Untuk mendapatkan decryptor, Anda harus mengunggah dua file terenkripsi dan catatan ransomware melalui Crypto Sheriff No More Ransom, yang akan mencoba mencocokkannya dengan daftar alat dekripsi yang tersedia.

Jika kecocokan muncul, Anda akan mendapatkan tautan ke dekripsi ransomware yang sesuai yang dilengkapi dengan petunjuk terperinci tentang cara membuka kunci file.

Jika tidak ada decryptor yang tersedia, Anda akan disarankan untuk memeriksa kembali kecocokan di masa mendatang karena alat pembuka kunci baru ditambahkan ke database secara teratur.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day yang memengaruhi iPhone dan Mac, yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dieksploitasi di alam liar dan berdampak pada iPhone, iPad, dan Mac.

Kerentanan, dilacak sebagai CVE-2021-30807, adalah masalah kerusakan memori dalam ekstensi kernel IOMobileFramebuffer yang dilaporkan oleh peneliti anonim. Eksploitasi yang berhasil dapat memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel

Apple telah memperbaiki bug dengan meningkatkan penanganan memori di iOS 14.7.1, iPadOS 14.7.1, dan macOS Big Sur 11.5.1.

Daftar perangkat yang terpengaruh termasuk Mac, iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Sementara Apple mengungkapkan bahwa setidaknya satu laporan menyebutkan eksploitasi aktif CVE-2021-30807 di alam liar, perusahaan tidak merilis informasi tambahan mengenai serangan ini.

Menahan info ini kemungkinan merupakan tindakan yang dirancang untuk memungkinkan pembaruan keamanan yang dirilis hari ini untuk menjangkau iPhone, iPad, dan Mac sebanyak mungkin sebelum pelaku ancaman lain mengetahui detailnya dan mulai secara aktif menyalahgunakan zero-day yang sekarang telah ditambal.

Selengkapnya: Bleeping Computer

Signal memperbaiki bug yang mengirim gambar acak ke kontak yang salah

by

Signal telah memperbaiki bug serius di aplikasi Androidnya yang, dalam beberapa kasus, mengirim gambar acak yang tidak diinginkan ke kontak tanpa penjelasan yang jelas.

Meskipun masalah ini dilaporkan pada Desember 2020, mengingat kesulitan mereproduksi bug, baru bulan ini perbaikan diluncurkan ke pengguna Android dari aplikasi perpesanan terenkripsi end-to-end.

Bulan ini Signal menambal bug yang memengaruhi pengguna aplikasi Android mereka dalam beberapa keadaan.

Saat mengirim gambar menggunakan aplikasi Signal Android ke salah satu kontak Anda, kontak terkadang tidak hanya menerima gambar yang dipilih, tetapi juga beberapa gambar acak yang tidak diinginkan, yang tidak pernah dikirim oleh pengirim.

Contoh tangkapan layar di bawah ini menunjukkan bagaimana pengirim (kiri) hanya mengirim GIF sebagai bagian dari percakapan teks, tetapi penerima (kanan) mendapat dua gambar tambahan tanpa penjelasan yang masuk akal:

Sumber: BleepingComputer

Pengguna lain, Adrian Ostrowski menyatakan bahwa bug seperti ini secara efektif membuat berbagi gambar secara rahasia melalui Signal tidak memungkinkan.

Yang ditanggapi oleh pengembang Android Signal, Greyson Parrelli bahwa perbaikan telah diluncurkan di versi 5.17 dari aplikasi Android Signal, yang dirilis bulan ini.

Selengkapnya: Bleeping Computer

Laporan Metodologi Forensik: Cara menangkap Pegasus NSO Group

by

NSO Group mengklaim bahwa spyware Pegasus-nya hanya digunakan untuk “menyelidiki terorisme dan kejahatan” dan “tidak meninggalkan jejak apa pun”. Laporan Metodologi Forensik ini menunjukkan bahwa tidak satu pun dari pernyataan ini benar. Laporan ini menyertai peluncuran Proyek Pegasus, sebuah investigasi kolaboratif yang melibatkan lebih dari 80 jurnalis dari 17 organisasi media di 10 negara yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Lab Keamanan Amnesty International.

Lab Keamanan Amnesty International telah melakukan analisis forensik mendalam terhadap berbagai perangkat seluler dari pembela hak asasi manusia (HRD) dan jurnalis di seluruh dunia. Penelitian ini telah mengungkap pengawasan yang melanggar hukum, terus-menerus dan berkelanjutan serta pelanggaran hak asasi manusia yang dilakukan dengan menggunakan spyware Pegasus NSO Group.

Bagian 1 hingga 8 dari laporan ini menguraikan jejak forensik yang tertinggal di perangkat seluler setelah infeksi Pegasus. Bukti ini telah dikumpulkan dari telepon pembela HAM dan jurnalis di berbagai negara. Terakhir, di bagian 9 laporan tersebut mendokumentasikan evolusi infrastruktur jaringan Pegasus sejak 2016.

1. Menemukan serangan injeksi jaringan Pegasus

Investigasi teknis Amnesty International terhadap Pegasus NSO Group diintensifkan setelah mereka menemukan penargetan staf Amnesty International dan aktivis Saudi, Yahya Assiri, pada tahun 2018. Lab Keamanan Amnesty International mulai menyempurnakan metodologi forensiknya melalui penemuan serangan terhadap pembela HAM di Maroko pada tahun 2019, yang selanjutnya dikuatkan oleh serangan yang mereka temukan terhadap seorang jurnalis Maroko pada tahun 2020. Di bagian pertama ini mereka merinci proses yang mengarah pada penemuan kompromi ini.

Banyak laporan publik telah mengidentifikasi pelanggan NSO Group yang menggunakan pesan SMS dengan domain eksploitasi Pegasus selama bertahun-tahun. Akibatnya, pesan serupa muncul dari analisis kami terhadap telepon aktivis Maroko Maati Monjib, yang merupakan salah satu aktivis yang menjadi sasaran sebagaimana didokumentasikan dalam laporan Amnesty International tahun 2019.

Namun, pada analisis lebih lanjut, Amnesty juga melihat pengalihan mencurigakan yang tercatat dalam riwayat penelusuran Safari. Misalnya, dalam satu kasus Amnesty melihat pengalihan ke URL yang tampak aneh setelah Maati Monjib mencoba mengunjungi Yahoo:

Sumber: Amnesty International

Seperti yang dijelaskan dalam Lampiran Teknis dari laporan 2020 Amnesty tentang serangan Pegasus di Maroko, pengalihan ini tidak hanya terjadi ketika target menavigasi Internet dengan aplikasi browser, tetapi juga saat menggunakan aplikasi lain.

Selengkapnya: Amnesty International