News 254 - Naga Cyber Defense

Geng Peretas TrickBot dari Russia Diekstradisi ke AS, Didakwa dengan Kejahatan Dunia Maya

October 30, 2021 by Søren

Seorang warga negara Rusia, yang ditangkap di Korea Selatan bulan lalu dan diekstradisi ke AS pada 20 Oktober, muncul di pengadilan federal di negara bagian Ohio pada hari Kamis (28/10/2021) untuk menghadapi dakwaan atas dugaan perannya sebagai anggota kelompok TrickBot yang terkenal.

Dokumen pengadilan menunjukkan bahwa Vladimir Dunaev, 38, bersama dengan anggota lain dari organisasi kejahatan dunia maya transnasional, mencuri uang dan informasi rahasia dari korban yang tidak menaruh curiga, termasuk individu, lembaga keuangan, distrik sekolah, perusahaan utilitas, entitas pemerintah, dan bisnis swasta.

Dimulai dari trojan perbankan pada tahun 2016, TrickBot telah berkembang menjadi solusi crimeware modular multi-tahap berbasis Windows yang mampu mencuri informasi pribadi dan keuangan yang berharga, dan bahkan menjatuhkan ransomware dan toolkit pasca-eksploitasi pada perangkat yang disusupi. Malware ini juga terkenal karena ketahanannya, setelah selamat dari setidaknya dua pencopotan yang dipelopori oleh Microsoft dan US Cyber Command setahun yang lalu.

Namun, di bidang hukum, pemerintah AS awal tahun ini mendakwa seorang wanita Latvia berusia 55 tahun, bernama Alla Witte, yang menurut jaksa bekerja sebagai programmer “mengawasi pembuatan kode yang terkait dengan pemantauan dan pelacakan pengguna yang berwenang. dari malware Trickbot.” Dunaev adalah terdakwa Trickbot kedua yang ditangkap pada tahun 2021.

Dunaev, secara khusus, dikatakan telah bekerja sebagai pengembang untuk grup tersebut, yang bertugas membuat, menyebarkan, dan mengelola malware Trickbot mulai November 2015, sembari juga mengawasi eksekusi malware, serta merancang modifikasi browser web Firefox dan membantu untuk menyembunyikan malware dari deteksi oleh perangkat lunak keamanan.

Selengkapnya: The Hacker News

Microsoft memperingatkan peningkatan serangan “Penyemprotan Kata Sandi”

October 30, 2021 by Søren

Baru-baru ini, Microsoft mengamati kelompok peretasan Iran yang muncul menggunakan penyemprotan kata sandi terhadap target infrastruktur penting Israel dan AS yang beroperasi di Teluk Persia.

Microsoft memperkirakan bahwa lebih dari sepertiga dari kompromi akun adalah serangan penyemprotan kata sandi, meskipun serangan tersebut memiliki tingkat keberhasilan 1% untuk akun, kecuali organisasi menggunakan ‘perlindungan kata sandi’ Microsoft untuk menghindari kata sandi yang buruk.

“Alih-alih mencoba banyak kata sandi terhadap satu pengguna, mereka mencoba mengalahkan penguncian dan deteksi dengan mencoba banyak pengguna terhadap satu kata sandi,” Microsoft menjelaskan tahun lalu. Pendekatan itu membantu menghindari pembatasan kecepatan, di mana terlalu banyak upaya kata sandi yang gagal menghasilkan penguncian.

Tim Deteksi dan Respons Microsoft (DART) telah menguraikan dua teknik penyemprotan kata sandi utama, yang pertama disebut ‘rendah dan lambat’. Di sini, penyerang yang gigih menyebarkan semprotan kata sandi yang canggih menggunakan “beberapa alamat IP individu untuk menyerang beberapa akun secara bersamaan dengan sejumlah tebakan kata sandi yang dikuratori.”

Teknik lainnya, ‘ketersediaan dan penggunaan kembali’, mengeksploitasi kredensial yang sebelumnya dikompromikan yang diposting dan dijual di web gelap. “Penyerang dapat menggunakan taktik ini, yang juga disebut ‘penjejalan kredensial’, untuk mendapatkan entri dengan mudah karena taktik ini bergantung pada orang yang menggunakan kembali kata sandi dan nama pengguna di seluruh situs,” Microsoft menjelaskan.

Selengkapnya: ZDNet

Kampanye Malware Lightshot Baru

October 30, 2021 by Søren

Lightshot adalah utilitas untuk Windows dan Mac yang memungkinkan Anda mengambil tangkapan layar dari bagian layar tertentu. Ini berguna jika Anda tidak ingin menggunakan fungsi bawaan Windows yang sejujurnya kurang.

Para penyerang membayar uang untuk membuat ini menjadi hasil pertama di Google melalui iklan. Lihat gambar di bawah:

Dan jika Anda pergi ke situs web, saya tidak dapat menyalahkan orang karena tidak dapat membedakannya:

Gambar di sebelah kanan adalah situs palsu, dibuat dengan baik untuk meniru yang asli di sebelah kiri.

Dan jika Anda mengunduh versi palsu, Anda sebenarnya menginstal Lightshot, tetapi juga klien NetSupport lama yang dikompilasi pada tahun 2009:

Sulit bagi rata-rata pengguna untuk tetap mengikuti jenis kampanye ini ketika penyerang melakukan pekerjaan yang baik meniru situs asli dan penginstal, belum lagi penginstal ditandatangani dan diverifikasi sehingga Windows tidak akan membuat kesalahan apa pun. Ini dibuat lebih lagi ketika mereka membeli ruang iklan yang berhasil muncul sebelum situs yang sah dalam pencarian.

Penting untuk diingat untuk memeriksa URL, dalam hal ini hadiahnya adalah “n” tambahan di URL, karena ini adalah yang paling bisa Anda lakukan untuk menjaga diri Anda tetap terlindungi. Antivirus terbaru juga terbukti penting karena akan menghentikan beacon menjangkau dan merusak sistem lebih lanjut. Menonton IP asing hanya dapat melakukan banyak hal karena yang dalam kasus ini adalah campuran sistem Asia dan Amerika. Ini juga bukan pertama kalinya hal seperti ini terjadi.

Selengkapnya: Culbert Report

Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

October 30, 2021 by Søren

Muncul kampanye malware baru yang dikirimkan melalui situs web yang disusupi di browser Chrome dapat melewati Kontrol Akun Pengguna untuk menginfeksi sistem dan mencuri data sensitif, seperti kredensial dan mata uang kripto.

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye dan memperingatkan bahwa tujuan penyerang adalah untuk mencuri data sensitif dancryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam blog posting blog yang diterbitkan Kamis (28/10/2021), rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web jahat dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Selengkapnya: Threat Post

Malware Android Baru Ini Dapat Mendapatkan Akses Root ke Smartphone Anda

October 30, 2021 by Søren

Pelaku ancaman tak dikenal telah dikaitkan dengan jenis malware Android baru yang memiliki kemampuan untuk me-root smartphone dan mengambil kendali penuh atas smartphone yang terinfeksi sekaligus mengambil langkah-langkah untuk menghindari deteksi.

Malware tersebut diberi nama “AbstractEmu” karena penggunaan abstraksi kode dan pemeriksaan anti-emulasi untuk menghindari berjalan saat sedang dianalisis. Khususnya, kampanye seluler global dirancang untuk menargetkan pengguna dan menginfeksi sebanyak mungkin perangkat tanpa pandang bulu.

Lookout Threat Labs menemukan total 19 aplikasi Android yang menyamar sebagai aplikasi utilitas dan alat sistem seperti pengelola kata sandi, pengelola uang, peluncur aplikasi, dan aplikasi penyimpanan data, tujuh di antaranya berisi fungsi rooting. Hanya satu aplikasi nakal, yang disebut Lite Launcher, yang masuk ke Google Play Store resmi, menarik total 10.000 unduhan sebelum dihapus.

Aplikasi tersebut dikatakan telah didistribusikan secara jelas melalui Appstore pihak ketiga seperti Amazon Appstore dan Samsung Galaxy Store, serta pasar yang kurang dikenal lainnya seperti Aptoide dan APKPure.

“Meskipun jarang, rooting malware sangat berbahaya. Dengan menggunakan proses rooting untuk mendapatkan akses istimewa ke sistem operasi Android, pelaku ancaman dapat secara diam-diam memberikan izin berbahaya kepada diri mereka sendiri atau menginstal malware tambahan — langkah yang biasanya memerlukan interaksi pengguna,” peneliti Lookout dikatakan.

“Hak istimewa yang lebih tinggi juga memberi malware akses ke data sensitif aplikasi lain, sesuatu yang tidak mungkin dilakukan dalam keadaan normal.”

Selengkapnya: The Hacker News

Kepala infosec Twitter memberikan nasihat mengenai keamanan siber di ruang rapat direksi

October 30, 2021 by Søren

Rinki Sethi bekerja di Walmart, IBM, eBay, Intuit, dan Palo Alto Networks sebelum bergabung dengan Twitter sebagai chief information security officer pada September 2020. Agustus lalu, Sethi ditunjuk sebagai dewan direksi perusahaan teknologi keamanan ForgeRock.

“Banyak yang berubah, terutama di bidang keamanan,” jelas Sethi.

“Keamanan siber dibicarakan di ruang rapat sepanjang waktu; ini adalah salah satu area dengan risiko tertinggi bagi perusahaan,” baik mereka berada di industri teknologi atau tidak. “Itu salah satu risiko eksistensial bagi perusahaan.”

“Berada di ruang infosec dan benar-benar menjadi lebih mewakili sisi pelanggan dari perusahaan seperti ForgeRock adalah untuk membantu membawa pertanyaan seputar produk, pertanyaan seputar bagaimana mereka menangani keamanan, mengapa mereka memikirkan produk dalam situasi tertentu. cara, yang hanya bisa dibawa oleh seorang praktisi.”

Dia juga melihat peluang bagi ForgeRock dan perusahaan lain untuk membangun keunggulan kompetitif melalui keunggulan dalam keamanan siber.

“Jika Anda membangun fitur di mana Anda berpikir dari perspektif pelanggan, apa yang mungkin mereka harapkan atau inginkan dari perspektif keamanan atau privasi, mendapatkan fitur tersebut sejak dini dapat menghasilkan beberapa inovasi yang sangat menarik.”

“Saya pikir tim Anda perlu mewakili pelanggan Anda,” kata Sethi. “Jika pelanggan Anda adalah kumpulan individu yang beragam di seluruh dunia… tim Anda harus mewakili hal itu, sehingga Anda dapat membangun untuk orang-orang itu juga. Saya pikir dari sudut pandang keamanan, itu sama halnya dengan tim lain mana pun.”

Selengkapnya: Fortune

Setengah dari Pekerja Rumahan Membeli Perangkat yang Berpotensi Tidak Aman

October 30, 2021 by Søren

Laporan raksasa teknologi “Out of Sight and Out of Mind” ini didasarkan pada survei global terhadap 1100 pembuat keputusan IT dan jajak pendapat terpisah terhadap lebih dari 8400 pekerja rumahan di AS, Inggris, Meksiko, Jerman, Australia, Kanada, dan Jepang.

Hampir setengah (45%) mengatakan mereka telah membeli peralatan IT seperti printer atau PC untuk mendukung pekerjaan rumahan selama setahun terakhir.

Namun, 68% mengatakan keamanan tidak menjadi pertimbangan besar seperti faktor lain seperti harga atau fungsionalitas saat membeli. Lebih buruk lagi, 43% tidak memeriksa atau menginstal laptop atau PC baru mereka, dan 50% mengatakan hal yang sama tentang printer baru mereka.

Studi menemukan bahwa tim IT juga melewatlam pelaporan insiden. Meskipun tiga perempat (74%) tim IT mengklaim telah melihat peningkatan jumlah karyawan yang membuka tautan atau lampiran phishing berbahaya dalam setahun terakhir, sebagian besar (70%) pekerja rumahan yang mengklik mengatakan bahwa mereka tidak melaporkannya.

Sekitar 83% mengklaim bahwa masalah keamanan pekerja rumahan telah membuat lebih banyak tekanan pada tim IT, dan lebih dari tiga perempat (77%) khawatir staf akan kelelahan sebagai akibatnya.

“Seiring dengan kompleksitas IT yang terus berkembang, dukungan keamanan menjadi lebih susah dikelola. Agar model kerja “hybrid” berhasil, tim keamanan IT perlu dibebaskan dari menghabiskan berjam-jam untuk menyediakan dan memenuhi permintaan akses pengguna sehingga mereka dapat fokus pada tugas yang lebih penting,” kata kepala keamanan global untuk sistem pribadi HP, Ian Pratt.

“KIta membutuhkan arsitektur keamanan baru yang tidak hanya melindungi dari ancaman yang dikenal dan tidak dikenal, tetapi juga membantu mengurangi beban untuk membebaskan tim dan pengguna keamanan siber. Dengan menerapkan prinsip seperti “zero-trust”, organisasi dapat merancang pertahanan yang tangguh untuk menjaga bisnis tetap aman dan pulih dengan cepat jika terjadi kompromi.”

Selengkapnya: Info Security Magazine

Microsoft menemukan kerentanan macOS baru “Shrootless” yang dapat melewati System Integrity Protection

October 30, 2021 by Søren

Microsoft telah menemukan kerentanan yang memungkinkan penyerang melewati System Integrity Protection (SIP) di macOS dan melakukan operasi sewenang-wenang pada perangkat.

Peneliti juga menemukan teknik serupa yang memungkinkan penyerang meningkatkan hak istimewa mereka untuk melakukan root pada perangkat yang terpengaruh. Peneliti membagikan temuan ini kepada Apple melalui Coordinated Vulnerability Disclosure (CVD) melalui Microsoft Security Vulnerability Research (MSVR).

Perbaikan untuk kerentanan ini, yang sekarang diidentifikasi sebagai CVE-2021-30892, disertakan dalam pembaruan keamanan yang dirilis oleh Apple pada 26 Oktober 2021.

SIP adalah teknologi keamanan di macOS yang membatasi pengguna root untuk melakukan operasi yang dapat membahayakan integritas sistem.

Peneliti menemukan kerentanan saat menilai proses yang berhak melewati perlindungan SIP. Peneliti menemukan bahwa kerentanannya terletak pada bagaimana paket yang ditandatangani Apple dengan skrip pasca-instal diinstal.

Aktor jahat dapat membuat file yang dibuat khusus yang akan membajak proses instalasi. Setelah melewati batasan SIP, penyerang kemudian dapat menginstal driver kernel berbahaya (rootkit), menimpa file sistem, atau menginstal malware yang persisten dan tidak terdeteksi, dan lain sebagainya.

Selengkapnya: Microsoft

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings