News 252 - Naga Cyber Defense

Microsoft Patch Tuesday Bulan November Memperbaiki 6 zero-day, 55 Kerentanan

November 10, 2021 by Winnie the Pooh

Hari ini adalah Patch Tuesday bulan November 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 55 kelemahan. Kerentanan yang dieksploitasi secara aktif adalah untuk Microsoft Exchange dan Excel, dengan Exchange zero-day digunakan sebagai bagian dari kontes peretasan Tianfu.

Microsoft telah memperbaiki 55 kerentanan dengan pembaruan hari ini, dengan enam diklasifikasikan sebagai Kritis dan 49 sebagai Penting. Jumlah setiap jenis kerentanan tercantum di bawah ini:

20 Kerentanan Peningkatan Hak Istimewa
2 Kerentanan Bypass Fitur Keamanan
15 Kerentanan Eksekusi Kode Jarak Jauh
10 Kerentanan Pengungkapan Informasi
3 Kerentanan Denial of Service
4 Kerentanan spoofing

Patch Tuesday November mencakup perbaikan untuk enam kerentanan zero-day, dua dieksploitasi secara aktif terhadap Microsoft Exchange dan Microsoft Excel.

Kerentanan yang dieksploitasi secara aktif dan telah diperbaiki bulan ini adalah:

CVE-2021-42292 – Kerentanan Bypass Fitur Keamanan Microsoft Excel
CVE-2021-42321 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

Microsoft juga memperbaiki empat kerentanan lain yang diungkapkan kepada publik yang tidak diketahui dapat dieksploitasi dalam serangan.

CVE-2021-38631 – Kerentanan Pengungkapan Informasi Protokol Desktop Jarak Jauh (RDP) Windows
CVE-2021-41371 – Kerentanan Pengungkapan Informasi Protokol Desktop Jarak Jauh (RDP) Windows
CVE-2021-43208 – Kerentanan Eksekusi Kode Jarak Jauh 3D Viewer

Kerentanan Microsoft Exchange CVE-2021-42321 adalah bug eksekusi kode jarak jauh yang diautentikasi yang digunakan sebagai bagian dari kontes peretasan Piala Tianfu bulan lalu.

Namun, kerentanan Microsoft Excel CVE-2021-42292 ditemukan oleh Microsoft Threat Intelligence Center dan telah digunakan secara aktif dalam serangan berbahaya.

System Admin sangat dianjurkan untuk menerapkan pembaruan sesegera mungkin.

Selengkapnya: Bleeping Computer

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

November 9, 2021 by Winnie the Pooh

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Peretas meminta maaf kepada keluarga kerajaan Arab karena membocorkan data mereka

November 9, 2021 by Winnie the Pooh

Pada bulan Oktober, geng ransomware terkenal yang dikenal sebagai Conti merilis ribuan file yang dicuri dari toko perhiasan Inggris Graff.

Sekarang, para peretas ingin dunia tahu bahwa mereka menyesali keputusan mereka, mungkin sebagian karena mereka merilis file milik orang yang sangat kuat.

Di antara data yang dibocorkan Conti, ada file sensitif milik selebriti seperti David Beckham, Oprah Winfrey, dan Donald Trump, menurut The Daily Mail. Ada juga, menurut peretas itu sendiri, informasi milik keluarga kerajaan UEA, Qatar, dan Saudi.

Dan para peretas benar-benar tidak ingin membuat mereka kesal.

“Kami menemukan bahwa data sampel kami tidak ditinjau dengan benar sebelum diunggah ke blog,” tulis para peretas dalam pengumuman yang diterbitkan pada hari Kamis. “Conti menjamin bahwa informasi apa pun yang berkaitan dengan anggota keluarga Arab Saudi, UEA, dan Qatar akan dihapus tanpa paparan dan peninjauan apa pun.”

“Tim kami meminta maaf kepada Yang Mulia Pangeran Mohammed bin Salman dan setiap anggota Keluarga Kerajaan lainnya yang namanya disebutkan dalam publikasi atas ketidaknyamanan ini,” tambah para peretas.

Peretas juga mengatakan bahwa selain mempublikasikan data di situs mereka, mereka tidak menjual atau memperdagangkannya, dan mulai sekarang mereka akan “menerapkan proses peninjauan data yang lebih kaku untuk operasi apa pun di masa mendatang.”

Selengkapnya: Vice

Dugaan Peretasan Rusia dari Penyedia Layanan Microsoft Menyoroti Cacat Keamanan Siber

November 9, 2021 by Winnie the Pooh

Pakar keamanan siber mengatakan pengungkapan Microsoft baru-baru ini bahwa peretas Rusia yang diduga berhasil menyerang beberapa penyedia layanan TI tahun ini adalah tanda bahwa banyak perusahaan TI A.S. kurang berinvestasi dalam langkah-langkah keamanan yang diperlukan untuk melindungi diri dan pelanggan mereka dari gangguan.

Tetapi asosiasi profesional TI yang berbasis di AS mengatakan upaya industri untuk memerangi serangan peretasan asing terhambat oleh pelanggan mereka yang tidak mempraktikkan kebiasaan dunia maya yang baik dan oleh pemerintah federal yang tidak cukup bertindak untuk menghukum dan menghalangi para peretas.

Dalam posting blog 24 Oktober, Microsoft mengatakan kelompok peretas negara-bangsa Rusia yang disebut Nobelium menghabiskan tiga bulan menyerang perusahaan yang menjual kembali, menyesuaikan dan mengelola layanan cloud Microsoft dan teknologi digital lainnya untuk pelanggan publik dan pribadi.

Microsoft mengatakan telah memberi tahu 609 perusahaan tersebut, yang dikenal sebagai penyedia layanan terkelola, atau MSP, bahwa mereka telah diserang 22.868 kali oleh Nobelium dari 1 Juli hingga 19 Oktober tahun ini.

Nobelium adalah kelompok yang sama yang dikatakan Microsoft bertanggung jawab atas serangan siber tahun lalu terhadap perusahaan perangkat lunak AS, SolarWinds. Serangan itu melibatkan penyisipan kode berbahaya ke dalam sistem pemantauan kinerja TI SolarWinds, Orion, dan memberi para peretas akses ke jaringan ribuan organisasi publik dan swasta AS yang menggunakan Orion untuk mengelola sumber daya TI mereka.

Salah satu praktik keamanan siber yang harus diadopsi lebih banyak oleh MSP adalah berbagi informasi dengan pihak berwenang AS tentang insiden peretasan, kata James Curtis, direktur program keamanan siber di Webster University di Missouri, dalam percakapan dengan Layanan Rusia VOA.

Curtis, pensiunan perwira cyber Angkatan Udara AS dan mantan eksekutif industri TI, mengatakan MSP tidak suka mengakui bahwa mereka telah diretas.

Namun Charles Weaver, kepala eksekutif Asosiasi Penyedia Layanan Cloud dan Terkelola Internasional yang berbasis di AS, juga dikenal sebagai MSPAlliance, mengatakan bahwa kritik terhadap MSP karena tidak memberikan perhatian yang cukup pada keamanan siber adalah salah tempat.

“MSP telah mendesak pelanggan mereka untuk melakukan perbaikan yang mudah dan murah seperti mengadopsi otentikasi multifaktor untuk mencadangkan data mereka ke cloud,” kata Weaver. “Tapi saya pribadi telah menyaksikan banyak ketidaksesuaian di antara pelanggan. Merekalah yang pada akhirnya harus membayar dan mengizinkan MSP untuk menerapkan perbaikan tersebut.”

Selengkapnya: VOA

Mobile Phishing di Sektor Energi Melonjak 161%

November 9, 2021 by Eevee Leave a Comment

Serangan phishing seluler yang menargetkan karyawan di industri energi telah meningkat 161% dibandingkan data tahun lalu (H2 2020), dan trennya tidak menunjukkan tanda-tanda melambat.

Meskipun bahaya perangkat usang dan rentan mengganggu semua sektor, sebuah laporan baru oleh perusahaan keamanan siber Lookout menunjukkan bahwa energi adalah yang paling ditargetkan, diikuti oleh keuangan, farmasi, pemerintah, dan manufaktur.

Dalam hal penargetan geografis, Asia-Pasifik menempati urutan teratas, diikuti oleh Eropa dan kemudian Amerika Utara. Namun, ada tren peningkatan serangan phishing yang menargetkan industri energi global di seluruh dunia.

Mobile phishing juga melonjak pada paruh pertama tahun 2021, dengan hampir 20% dari semua karyawan di sektor energi menjadi sasaran serangan mobile phishing, yang mengarah ke peningkatan 161% selama enam bulan sebelumnya.

Panen kredensial lewat VPN

Dengan begitu banyak orang yang bekerja dari rumah karena pandemi COVID-19, banyak karyawan menggunakan VPN untuk mengakses jaringan perusahaan. Sayangnya, akses jarak jauh ke jaringan perusahaan ini menjadi target yang menarik bagi pelaku ancaman, yang menggunakan phishing untuk mencuri kredensial VPN atau kredensial domain.

Untuk melakukan kampanye ini, penyerang menggunakan email, SMS, aplikasi phishing, dan halaman login di situs perusahaan palsu.

Kredensial ini memungkinkan mereka untuk mendapatkan akses ke jaringan internal, yang kemudian dapat digunakan untuk gerakan lateral lebih lanjut dan menemukan titik pivot tambahan.

Dari sana, mereka dapat menemukan sistem yang rentan dan meluncurkan serangan terhadap sistem kontrol industri yang biasanya memuat kelemahan yang tak ditemukan selama bertahun-tahun.

Permasalahan Android

Menurut laporan dari Lookout, permukaan serangan paling signifikan berasal dari 56% pengguna Android yang menjalankan versi OS yang kedaluwarsa dan rentan.

“Versi lama sistem operasi Google dan Apple masih digunakan di seluruh industri energi. Versi lama memaparkan organisasi pada ratusan kerentanan yang dapat dieksploitasi oleh pelaku jahat yang mencari akses ke lingkungan organisasi,” jelas laporan dari Lookout.

Tepat setahun setelah Android 11 dirilis, telemetri Lookout menunjukkan bahwa hanya 44,1% perangkat Android aktif yang menggunakannya.

Sebaliknya, iPhone lebih kurang rentan terhadap eksploitasi, karena sebagian besar pengguna iOS menjalankan versi terbaru.

Riskware >>> Malware

Aplikasi yang meminta izin dan mengakses data sensitif pada perangkat sekarang menjadi masalah yang lebih besar daripada malware “murni”, karena jauh lebih mudah untuk melewati pemeriksaan appstore.

Banyak dari aplikasi ini terhubung ke server yang tidak jelas dan mengirim berbagai jenis data yang tidak relevan dengan fungsi intinya tetapi masih merupakan risiko besar bagi pengguna dan organisasi tempatnya bekerja.

Spyware, keyloggers, trojan, dan bahkan ransomware dropper tetap menjadi masalah, tetapi lebih mungkin digunakan dalam serangan yang sangat tertarget, sehingga volume distribusinya secara signifikan lebih kecil.

Dengan demikian, pelatihan karyawan sangat penting dalam meminimalkan penyimpangan keamanan, karena faktor manusia tetap menjadi risiko terbesar untuk menginstal riskware dan mengklik/mengetuk tautan yang mencurigakan.

Lookout melaporkan bahwa satu sesi pelatihan anti-phishing menghasilkan klik 50% lebih sedikit ke tautan phishing selama 12 bulan ke depan.

Sumber: Bleepingcomputer

Mekotio Versi Lebih Tersembunyi Terlihat di Alam Bebas

November 9, 2021 by Eevee Leave a Comment

Trojan perbankan versi baru Mekotio sedang digunakan di alam bebas. Analis malware melaporkan bahwa itu menggunakan aliran infeksi baru yang lebih tersembunyi.

Aktivitas penting terakhir dari Mekotio dimulai pada musim panas 2020 ketika operator trojan menyebarkannya dalam kampanye yang menargetkan negara-negara Amerika Latin.

Aliran serangan baru

Infeksi dimulai dengan email phishing (berupa paket lampiran ZIP yang berisi skrip batch yang gak jelas) yang menjalankan skrip PowerShell.

Setelah skrip PowerShell masuk, skrip akan mengunduh arsip ZIP kedua setelah beberapa lokasi dasar dan pemeriksaan anti-analisis.

Jika pemeriksaan mengkonfirmasi korban berada di Amerika Latin dan malware tidak berjalan di mesin virtual, ZIP kedua yang berisi muatan Mekotio dalam bentuk DLL akan diekstraksi.

Alur serangan multi-langkah seperti di atas mungkin tampak tidak perlu rumit, tetapi mereka diperlukan untuk menghindari deteksi dan berhasil menyebarkan muatan akhir.

Salah satu keuntungan dari serangan modular adalah kemampuan tambahan untuk membuat perubahan halus yang membuat metode deteksi sebelumnya tidak berguna.

Inilah yang terjadi dalam pengembangan Mekotio, karena kode trojan sebagian besar tetap tidak berubah, dengan pembuatnya sebagian besar mengubah banyak hal daripada menambahkan kemampuan baru.

Kode lama dalam bungkus baru

Tiga elemen baru yang membuat versi Mekotio terbaru lebih sulit dideteksi adalah sebagai berikut:

File batch yang lebih tersembunyi dengan setidaknya dua lapisan kebingungan
Skrip PowerShell tanpa file baru yang berjalan langsung di memori
Penggunaan Themida v3 untuk mengemas muatan DLL akhir

Tujuan utama trojan tidak lain untuk mencuri kredensial e-banking dan kata sandi akun orang-orang.

Beberapa varian Mekotio sebelumnya juga dapat membajak pembayaran cryptocurrency dan mengarahkannya ke dompet yang dikendalikan aktor, tetapi versi terbaru telah menghapus fungsi ini.

Tahun lalu, ESET menandai trojan khusus ini “kacau” karena pengembangan bersamaan yang menghasilkan sirkulasi bersamaan untuk setiap variannya.

Aktivitas itu kini telah berkurang, dan aktivitas terbaru menggunakan varian yang dianalisis oleh CheckPoint.

Sumber: Bleepingcomputer

Usai Tutup: BlackMatter Ransomware Giring Korban ke Lockbit

November 8, 2021 by Eevee

Dengan ditutupnya operasi ransomware BlackMatter, afiliasi yang ada memindahkan korban mereka ke situs ransomware LockBit yang bersaing untuk pemerasan lanjutan.

Pagi ini, tersiar kabar bahwa geng ransomware BlackMatter ditutup setelah anggotanya hilang dan ditekan lebih kuat oleh penegak hukum.

Sebagai bagian dari penutupan ini, operator ransomware mengizinkan afiliasi menerima dekripsi untuk negosiasi yang ada sehingga mereka dapat terus memeras korban.

Sementara infrastruktur BlackMatter masih aktif, BleepingCompuer telah mengetahui bahwa afiliasi memindahkan korban yang ada ke situs negosiasi ransomware LockBit.

Dalam obrolan negosiasi BlackMatter yang ada, afiliasi menyediakan tautan korban ke situs Tor LockBit di mana halaman negosiasi baru telah disiapkan untuk mereka.

Di halaman negosiasi LockBit ini, afiliasi BlackMatter terus bernegosiasi dengan korban untuk menerima pembayaran uang tebusan.

Adapun BlackMatter, mereka melanjutkan penutupan mereka. Agenda hari ini adalah menghapus kehadiran mereka dari forum peretasan berbahasa Rusia.

Peneliti keamanan pancak3lullz telah mengikuti aktivitas pembersihan BlackMatter, menunjukkan bahwa geng tersebut menarik 4 Bitcoin (~$250.000) hari ini dari forum peretasan Exploit dan menonaktifkan akun mereka.

Mereka juga telah mengedit postingan-postingan sebelumnya dan meminta moderator untuk menghapusnya.

Dengan REvil dan BlackMatter sekarang ditutup, LockBit telah menjadi salah satu operasi ransomware terbesar dan tersukses yang berjalan saat ini.

Perwakilan LockBit yang dikenal sebagai ‘LockbitSupp’ terbukti sebagai aktor yang cerdas yang terus-menerus menyesuaikan taktik untuk merekrut afiliasi baru, terutama saat operasi yang sudah mapan ditutup.

Sementara BlackMatter kemungkinan akan mengubah citra dan kembali sebagai operasi ransomware baru, kemitraan mereka dengan LockBit dapat merugikan mereka dalam jangka panjang karena mereka kehilangan afiliasi yang berpengalaman.

Sumber: Bleepingcomputer

BlackMatter Ransomware Diduga Tutup karena Desakan Polisi

November 8, 2021 by Eevee

Ransomware BlackMatter diduga menghentikan operasinya karena tekanan dari pihak berwenang dan operasi penegakan hukum baru-baru ini.

BlackMatter mengoperasikan situs web ransomware-as-a-service (RaaS) pribadi yang dapat digunakan afiliasi untuk berkomunikasi dengan operator inti, membuka tiket dukungan, dan menerima ransomware baru.

Hari ini, tim riset keamanan VX-Underground mengirim screenshot pesan yang diduga diposting oleh operator BlackMatter pada 1 November di situs webnya. Postingan ini mengingatkan para afiliasi bahwa operasi ransomware ditutup dalam 48 jam.

Kasarnya, artinya sebagai berikut:

Karena keadaan tertentu yang tidak dapat diselesaikan terkait dengan tekanan dari pihak berwenang (sebagian dari tim tidak lagi tersedia, setelah berita terbaru) – proyek ditutup.

Setelah 48 jam, seluruh infrastruktur akan dimatikan, sehingga:

Kirim surat ke perusahaan untuk informasi lebih lanjut.

Kasih decryptor di roomchat perusahaan, jika perlu.

Sukses selalu. Senang bekerja dengan kalian.

Jika postingan ini resmi dan BlackMatter berhenti beroperasi, bukan berarti oknum-oknum berhenti memeras korban yang ada.

Berdasarkan postingan tersebut, situs RaaS mengijinkan afiliasi untuk menerima decryptor untuk korban yang ada sehingga mereka dapat terus memeras korban.

Kemungkinan kembali sebagai ransomeware baru

Namun, kalau pun BlackMatter menghentikan operasinya, kemungkinan kita akan melihat mereka kembali sebagai grup yang berbeda di masa mendatang.

Ketika geng ransomware dapat tekanan dari penegak hukum, biasanya mereka menutup operasi dan balik lagi dengan nama baru.

BlackMatter sebenarnya adalah citra baru dari operasi DarkSide, yang ditutup setelah menyerang Colonial Pipeline dan ditekan penuh dari penegakan hukum internasional.

Operasi ransomware lain yang telah berganti nama di masa lalu meliputi:

REvil ke GandCrab
Labirin ke Egregor
Bitpaymer ke DoppelPaymer ke Duka
Nemty ke Nefilim ke Karma

Ini tinggal masalah waktu saja sampai operator BlackMatter rilis kembali dengan nama yang berbeda.

CyberDict

Afiliasi: Metode pemasaran/bisnis di mana seseorang mendapatkan sejumlah komisi karena berhasil menjual produk perusahaan. Dalam konteks RaaS, oknum memakai jasa BlackMatter sebagai sumber malware untuk disebar, lalu mendapatkan komisi dari korban yang menebus decryptor.

Decyrptor: Kunci untuk membuka data yang telah dienkripsi sehingga bisa diakses si pemilik data.

Sumber: Bleepingcomputer, Hostinger

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Panen kredensial lewat VPN

Permasalahan Android

Riskware >>> Malware

Aliran serangan baru

Kode lama dalam bungkus baru

Kemungkinan kembali sebagai ransomeware baru

CyberDict

Cookies Settings