Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Google Menangkap Peretas Yang Menggunakan Mac Zero-Day Terhadap Pengguna Hong Kong

by

Peneliti Google menangkap peretas yang menargetkan pengguna di Hong Kong yang mengeksploitasi apa yang pada saat itu tidak diketahui kerentanannya di sistem operasi Apple Mac. Menurut para peneliti, serangan tersebut memiliki ciri khas peretas yang didukung pemerintah.

Pada hari Kamis, Grup Analisis Ancaman Google (TAG), tim elit pemburu peretas perusahaan, menerbitkan laporan yang merinci kampanye peretasan.

Para peneliti tidak melangkah sejauh menunjuk pada kelompok atau negara peretasan tertentu, tetapi mereka mengatakan itu adalah “kelompok yang memiliki sumber daya yang baik, kemungkinan didukung oleh negara.”

“Kami tidak memiliki cukup bukti teknis untuk memberikan atribusi dan kami tidak berspekulasi tentang atribusi,” kata kepala TAG Shane Huntley kepada Motherboard melalui email. “Namun, sifat kegiatan dan penargetan konsisten dengan aktor yang didukung pemerintah.”

Erye Hernandez, peneliti Google yang menemukan kampanye peretasan dan menulis laporan tersebut, menulis bahwa TAG menemukan kampanye tersebut pada akhir Agustus tahun ini.

Para peretas telah membuat serangan lubang air, yang berarti mereka menyembunyikan malware di dalam situs web sah “outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka” di Hong Kong.

Pengguna yang mengunjungi situs web tersebut akan diretas dengan kerentanan yang tidak diketahui—dengan kata lain, zero-day—dan eksploitasi lain yang memanfaatkan kerentanan yang sebelumnya ditambal untuk MacOS yang digunakan untuk memasang pintu belakang di komputer mereka, menurut Hernandez.

Selengkapnya: VICE

AT&T Alien Labs menemukan malware Golang (BotenaGo) baru yang menargetkan jutaan router dan perangkat IoT dengan lebih dari 30 eksploitasi

by

AT&T Alien Labs™ telah menemukan malware baru yang ditulis dalam bahasa pemrograman sumber terbuka Golang.

Dikerahkan dengan lebih dari 30 eksploitasi, ia berpotensi menargetkan jutaan router dan perangkat IoT.

BotenaGo memiliki lebih dari 30 fungsi exploit yang berbeda untuk menyerang target.

Malware membuat pintu belakang dan menunggu untuk menerima target untuk diserang dari operator jarak jauh melalui port 19412 atau dari modul terkait lainnya yang berjalan di mesin yang sama.

Belum jelas aktor ancaman mana yang berada di balik malware dan jumlah perangkat yang terinfeksi.

Saat ini, BotenaGo memiliki tingkat deteksi antivirus (AV) yang masih rendah dengan hanya 6/62 AV yang diketahui terlihat di VirusTotal.

Selengkapnya: AT&T Cybersecurity

TrickBot bekerja sama dengan phisher Shatak untuk serangan ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.

Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.

Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.

Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.

Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.

Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.

Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.

Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Selengkapnya: Bleeping Computer

FBI Memperingatkan Peretas Iran yang Ingin Membeli Data yang Dicuri Organisasi AS

by Leave a Comment

Biro Investigasi Federal (FBI) memperingatkan mitra industri swasta tentang upaya oleh aktor ancaman Iran untuk membeli informasi curian mengenai organisasi AS dan internasional.

Peringatan itu datang dalam pemberitahuan industri swasta (PIN) yang ditandai sebagai TLP: AMBER, yang dilihat oleh BleepingComputer awal pekan ini.

Menurut FBI, aktor ancaman kemungkinan akan menggunakan data yang bocor (misalnya, email dan info jaringan) yang dibeli dari sumber web yang jelas dan gelap untuk melanggar sistem organisasi terkait.

FBI mengatakan bahwa organisasi AS yang memiliki data dicuri dan bocor secara online sebelumnya harus berharap menjadi sasaran serangan di masa depan yang dikoordinasikan oleh aktor ancaman Iran yang tidak disebutkan namanya ini.

Organisasi yang berisiko disarankan untuk mengambil langkah-langkah mitigasi untuk memblokir upaya peretasan dengan mengamankan server Remote Desktop Protocol (RDP), Firewall Aplikasi Web, dan instalasi CMS Kentico yang ditargetkan oleh musuh ini.

Di antara Taktik, Teknik, dan Prosedur (TTP) yang digunakan dalam serangan oleh aktor ancaman ini sejak Mei 2021, FBI menyebutkan penggunaan alat eksploitasi otomatis yang digunakan untuk mengkompromikan situs WordPress untuk menyebarkan cangkang web, melanggar server RDP dan menggunakannya untuk mempertahankan akses ke jaringan korban.

Aktor ancaman ini juga berusaha melanggar sistem kontrol pengawasan dan akuisisi data (SCADA) dengan bantuan kata sandi default umum, menurut FBI.

Tautan ke aktivitas peretasan Iran sebelumnya

Sementara FBI menyebut nama aktor ancaman Iran di PIN, penggunaan alat pentest situs dan pemindai kerentanan seperti Acunetix dan SQLmap yang tidak aman untuk menemukan server yang mengkoordinasikan koordinat oleh kelompok peretasan pemerintah Iran.

Sebagai contoh, kelompok peretasan Iran yang tidak disebutkan namanya menggunakan alat serupa untuk mencuri data pendaftaran pemilih dari situs pemilu antara September dan 20 Oktober 2020.

Info pemilih kemudian digunakan untuk meniru organisasi anak-anak yang bangga dan mengirim email ancaman ke pemilih demokratis agar mereka harus memilih Trump atau menghadapi konsekuensinya.

Divisi Cyber FBI juga memperingatkan dalam pemberitahuan industri swasta minggu lalu bahwa geng ransomware telah membahayakan jaringan beberapa kasino milik suku, melumpuhkan server mereka dan mematikan sistem yang terhubung.

Minggu yang sama, agensi federal juga memberi peringatan pada publik bahwa penjahat semakin banyak menggunakan kode kriptocurrency and QR untuk penipuan, membuat lebih sulit bagi penegak hukum untuk memulihkan kerugian finansial korban.

Sumber: Bleepingcomputer

Ironis: Bug WP Reset Pro Memungkinkan Peretas Menghapus Situs WordPressit

by Leave a Comment

Kelemahan keamanan dengan tingkat keparahan yang tinggi dalam plugin WP Reset PRO WordPress dapat membiarkan penyerang yang diautentikasi menghapus situs web yang rentan, seperti yang diungkapkan oleh peneliti keamanan Patchstack.

Hal ini hanya berdampak pada versi premium dari plugin WP Reset, termasuk rilis 5.98. Plugin ini dirancang untuk membantu admin mengatur ulang seluruh situs mereka atau bagian yang dipilih untuk mempercepat debugging dan pengujian, serta memulihkan dari snapshot built-in dengan satu klik mouse.

Versi gratis dan open-source WP Reset terdaftar di repositori plugin WordPress karena memiliki lebih dari 300.000 instalasi aktif. Pengembang mengklaim di situs web resmi bahwa jumlah pengguna telah melampaui 400.000.

Dave Jong, CTO Patchstack, menjelaskan bahwa kerentanan reset database yang diautentikasi (dilacak sebagai CVE-2021-36909) disebabkan oleh kurangnya otorisasi dan pemeriksaan token nonce dan dapat dieksploitasi oleh pengguna yang diautentikasi, termasuk pengguna yang memiliki hak istimewa rendah seperti pelanggan.

Eksploitasi hanya memerlukan melewati parameter kueri seperti “%%wp” untuk menghapus semua tabel dalam database dengan awalan wp. Penyerang kemudian dapat mengunjungi beranda situs web untuk melalui proses instalasi WordPress dan membuat akun administrator mereka sendiri.

“Ini akan menghapus situs dan akan membuatnya jelas bahwa sesuatu terjadi, itulah sebabnya mungkin tidak dieksploitasi jika seorang peretas memiliki niat untuk menyembunyikan backdoor atau menyuntikkan iklan ke situs,” kata Jong kepada BleepingComputer.

Masalah kritis situs dengan pendaftaran pengguna secara terbuka

Pelanggan adalah peran pengguna WordPress default (sama seperti Kontributor, Penulis, Editor, dan Administrator), sering diaktifkan untuk memungkinkan pengguna terdaftar untuk menulis komentar di bagian komentar situs WordPress. Mereka biasanya hanya dapat mengedit profil mereka sendiri menggunakan dasbor situs tanpa akses ke halaman admin lainnya.

Oliver Sild, CEO Patchstack, mengatakan kepada BleepingComputer bahwa bug tersebut “cukup penting terutama untuk e-commerce dan situs lain yang memiliki pendaftaran terbuka.”

Sekilas, bug ini tampaknya hanya berguna untuk tujuan destruktif, Sild mengatakan kepada BleepingComputer bahwa itu juga dapat dimanfaatkan untuk mendapatkan akses ke situs lain di server yang sama.

“Jika ada situs lama yang dilupakan ke subdirektori (kami lihat banyak) yang memiliki plugin yang diinstal dan lingkungan server terhubung, maka ini akan memungkinkan mendapatkan akses ke situs lain di lingkungan yang sama,” kata Sild. “Ini adalah kerentanan yang cukup merusak dalam sifatnya.”

Tim pengembangan memperbaiki bug dengan merilis WP Reset PRO 5.99 pada 28 September, dalam waktu 24 jam setelah pengungkapan Patchstack, dengan menambahkan pemeriksaan otentikasi dan otorisasi.

Sumber: Bleepingcomputer

Peretas Menargetkan Perangkat Apple di Hong Kong untuk Menyebarluaskan Serangan

by

Setidaknya sejak akhir Agustus, para peretas canggih menggunakan kelemahan di macOS dan iOS untuk memasang malware di perangkat Apple yang mengunjungi situs web media dan pro-demokrasi yang berbasis di Hong Kong.

Serangan watering hole membuat jaring semakin lebar, tanpa pandang bulu menempatkan backdoor pada iPhone atau Mac apa pun yang mengunjungi salah satu halaman yang terpengaruh.

Apple telah menambal berbagai bug yang memungkinkan kampanye terungkap. Namun sebuah laporan hari Kamis dari Grup Analisis Ancaman Google (TAG) menunjukkan betapa agresifnya para peretas dan seberapa luas jangkauan mereka.

Ini adalah kasus lain dari kerentanan yang sebelumnya tidak diungkapkan, atau zero-days, yang dieksploitasi di alam liar oleh penyerang.

Serangan iOS dan macOS memiliki pendekatan yang berbeda, tetapi keduanya menyatukan beberapa kerentanan sehingga penyerang dapat mengambil kendali perangkat korban untuk menginstal malware mereka.

TAG tidak dapat menganalisis seluruh rantai eksploitasi iOS, tetapi mereka mampu mengidentifikasi kerentanan utama Safari yang digunakan peretas untuk meluncurkan serangan. Versi macOS melibatkan eksploitasi kerentanan WebKit dan bug kernel. Semua itu sudah ditambal oleh Apple sepanjang tahun 2021, dan eksploitasi macOS yang digunakan dalam serangan itu sebelumnya dipresentasikan dalam pembicaraan konferensi April dan Juli oleh Pangu Lab.

Para peneliti menekankan bahwa malware yang dikirim ke target melalui serangan watering hole dibuat dengan hati-hati dan “tampaknya merupakan produk rekayasa perangkat lunak yang ekstensif.” Itu memiliki desain modular, mungkin komponen yang berbeda dapat digunakan pada waktu yang berbeda dalam serangan multi-tahap.

Selengkapnya: Wired

Microsoft Memperbarui Excel Zero-day, Pengguna Mac Mohon Menunggu

by Leave a Comment

Patch Tuesday bulan ini, Microsoft telah menambal kerentanan Excel zero-day yang dieksploitasi pelaku ancaman.

Zero-day adalah bug yang ditemukan secara publik tanpa update keamanan resmi.

Kerentanan yang dilacak sebagai CVE-2021-42292, adalah bypass fitur keamanan tingkat keparahan tinggi yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi secara lokal dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Microsoft juga menambal kelemahan keamanan Excel kedua yang digunakan selama kontes peretasan Piala Tianfu bulan lalu, bug eksekusi kode jarak jauh yang dilacak sebagai CVE-2021-40442 dan dapat dieksploitasi oleh penyerang yang tidak diautistik.

Sementara Redmond merilis pembaruan keamanan untuk sistem yang menjalankan Aplikasi Microsoft 365 untuk Perusahaan dan versi Windows dari Microsoft Office dan Microsoft Excel, Redmond gagal menambal kerentanan di macOS.

Pelanggan Mac yang menjalankan versi MacOS dari Microsoft Office dan Microsoft diberitahu bahwa mereka harus menunggu sedikit lebih lama untuk patch CVE-2021-42292.

Sumber: Bleepingcomputer

Snapshot yang tidak dapat diubah bertujuan untuk menetralisir ransomware

by

Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.

Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.

Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.

Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.

Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.

Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.

Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.

Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.

Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.

Selengkapnya: Computer Weekly