Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

FBI Peringatkan Geng Ransomware BlackMatter Siap Menyerang

by

Otoritas federal memperingatkan bisnis untuk menopang pertahanan keamanan siber karena dengan hati-hati memantau kemunculan kembali geng ransomware DarkSide, yang diyakini bertanggung jawab atas serangan Colonial Pipeline yang melumpuhkan pada Mei 2021.

Geng ransomware-as-a-service telah berkumpul kembali di bawah moniker BlackMatter, menurut penasehat bersama yang diposting Senin oleh Cybersecurity and Infrastructure Security Agency (CISA), FBI dan National Security Agency (NSA).

Penasihat mendesak bisnis untuk meningkatkan pertahanan yang terkait dengan kredensial pengguna dan menerapkan kata sandi yang kuat dan otentikasi multi-faktor (MFA) untuk lebih menggagalkan peningkatan yang diantisipasi dalam aktivitas kriminal BlackMatter.

Penasihat tersebut menawarkan tip pertahanan siber dan potensi mitigasi serangan.

“Menggunakan kredensial tertanam yang sebelumnya dikompromikan, BlackMatter memanfaatkan protokol Lightweight Directory Access Protocol (LDAP) dan Server Message Block (SMB) untuk mengakses Active Directory (AD) untuk menemukan semua host di jaringan,” menurut penasihat tersebut. “BlackMatter kemudian mengenkripsi host dan drive bersama dari jarak jauh saat ditemukan.”

Karena taktiknya untuk menggunakan kredensial curian untuk menembus jaringan, beberapa mitigasi utama untuk mempertahankan diri dari serangan BlackMatter terkait dengan cara organisasi menangani otentikasi pengguna dan dengan demikian merupakan perbaikan praktis.

Badan-badan tersebut merekomendasikan untuk menegakkan kata sandi yang kuat dan menerapkan MFA di seluruh jaringan untuk menghindari kompromi dengan kredensial yang dicuri.

Menggunakan signature deteksi yang disediakan untuk mengidentifikasi aktivitas BlackMatter di jaringan juga dapat memblokir penempatan catatan tebusan grup pada bagian pertama yang dienkripsi, “selanjutnya memblokir lalu lintas SMB tambahan dari sistem encryptor selama 24 jam,” rekomendasi agensi.

Badan-badan tersebut merekomendasikan untuk menghapus akses yang tidak perlu ke pembagian administratif, terutama ADMIN$ dan C$, dan menggunakan firewall berbasis host untuk hanya mengizinkan koneksi ke pembagian administratif melalui SMB dari seperangkat mesin administrator yang terbatas.

Selengkapnya: Threat Post

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

by

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Twitter menangguhkan peretas yang diduga mencuri data 45 juta warga Argentina

by

Twitter telah menangguhkan seorang peretas yang diduga mencuri semua data dari database Argentina yang menyimpan ID dan informasi semua 45 juta warga negara itu.

Seorang aktor ancaman yang menggunakan username @aniballleaks mengatakan bahwa mereka berhasil meretas Daftar Orang Nasional Argentina — juga dikenal sebagai RENAPER atau Registro Nacional de las Personas — dan menawarkan untuk menjual data tersebut di forum kejahatan dunia maya.

Data yang bocor termasuk nama, alamat rumah, ulang tahun, nomor Tramite, nomor warga negara, ID foto pemerintah, kode identifikasi tenaga kerja, penerbitan kartu ID dan tanggal kedaluwarsa.

Awalnya, peretas mulai membocorkan informasi terkenal Argentina seperti Lionel Messi dan Sergio Aguero. Namun dalam percakapan dengan The Record, peretas mengatakan bahwa mereka berencana untuk mempublikasikan informasi “1 juta atau 2 juta orang” sambil mencari pembeli yang tertarik dengan data tersebut.

Peretas juga secara diam-diam mengkonfirmasi bagaimana mereka berhasil masuk ke National Registry of Persons, mencatat bahwa “karyawan ceroboh” yang memungkinkan mereka masuk ke sistem.

Pemerintah Argentina merilis pernyataan pada 13 Oktober yang menyangkal bahwa National Registry of Persons telah diretas.

Tetapi pernyataan itu juga mengatakan bahwa VPN dari seseorang di dalam Kementerian Kesehatan telah digunakan untuk mengakses Sistem Identitas Digital tepat sebelum akun Twitter membocorkan data awal pada profil tinggi Argentina itu.

Selengkapnya: ZDNet

Microsoft meminta admin untuk menambal PowerShell untuk memperbaiki bypass WDAC

by Leave a Comment

Microsoft telah meminta administrator sistem untuk menambal PowerShell 7 terhadap dua kerentanan yang memungkinkan penyerang untuk melewati penegakan Windows Defender Application Control (WDAC) dan mendapatkan akses ke kredensial plain text.

PowerShell adalah solusi lintas platform yang menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Microsoft merilis PowerShell 7.0.8 dan PowerShell 7.1.5 untuk mengatasi kerentanan keamanan ini di cabang PowerShell 7 dan PowerShell 7.1 pada bulan September dan Oktober.

WDAC dirancang untuk melindungi perangkat Windows dari perangkat lunak yang berpotensi berbahaya dengan memastikan bahwa hanya aplikasi dan driver tepercaya yang dapat berjalan, sehingga memblokir peluncuran malware dan perangkat lunak yang tidak diinginkan.

Saat lapisan keamanan WDAC berbasis perangkat lunak diaktifkan di Windows, PowerShell secara otomatis masuk ke mode bahasa terbatas, membatasi akses hanya ke serangkaian API Windows yang terbatas.

Dengan memanfaatkan fitur keamanan Windows Defender Application Control melewati kerentanan yang dilacak sebagai CVE-2020-0951, pelaku ancaman dapat menghindari daftar yang diizinkan WDAC, yang memungkinkan mereka menjalankan perintah PowerShell yang seharusnya diblokir saat WDAC diaktifkan.

Cacat kedua, dilacak sebagai CVE-2021-41355, adalah kerentanan pengungkapan informasi di .NET Core di mana kredensial dapat bocor dalam clear teks pada perangkat yang menjalankan platform non-Windows.

Microsoft mengatakan tidak ada langkah-langkah mitigasi saat ini tersedia untuk memblokir eksploitasi kelemahan keamanan ini.

Admin disarankan untuk menginstal versi PowerShell 7.0.8 dan 7.1.5 yang diperbarui sesegera mungkin untuk melindungi sistem dari potensi serangan.

Selengkapnya: Bleeping Computer

Survei Gartner terhadap CIO menyoroti investasi dalam AI, cloud, dan keamanan siber

by

Sebuah survei baru dari Gartner menemukan bahwa mayoritas CIO (Chief Information Officer) memfokuskan investasi mereka tahun ini dan tahun depan pada AI dan teknologi cloud terdistribusi.

Survei Eksekutif Teknologi dan CIO 2022 menampilkan data yang dikumpulkan dari 2.387 responden CIO dan eksekutif teknologi di 85 negara, yang mewakili sekitar $9 triliun dalam anggaran pendapatan/sektor publik dan $198 miliar dalam pengeluaran TI.

Survei tersebut berfokus pada “komposabilitas bisnis”, — yang melibatkan pola pikir, teknologi, dan serangkaian kemampuan operasi yang memungkinkan organisasi untuk berinovasi dan beradaptasi dengan cepat terhadap perubahan kebutuhan bisnis.

Monika Sinha, wakil presiden riset di Gartner, mengatakan komposisi bisnis adalah “penangkal volatilitas.”

Menduduki daftar investasi yang direncanakan untuk tahun 2022, keamanan siber dan informasi dikutip oleh 66% dari semua responden sebagai bidang yang mereka harapkan untuk meningkatkan investasi untuk tahun depan.

Lebih dari setengahnya mengatakan intelijen bisnis dan analitik data juga akan menjadi area di mana mereka berencana untuk berinvestasi besar-besaran tahun depan.

Survei ini juga berfokus pada bagaimana CIO dapat mendorong pemikiran yang dapat disusun, arsitektur bisnis yang dapat disusun, dan teknologi yang dapat disusun.

Sinha mencatat bahwa bisnis berjalan di atas teknologi, tetapi teknologi itu sendiri harus dapat disusun untuk menjalankan bisnis yang dapat disusun. Komposabilitas, Sinha menjelaskan, perlu diperluas ke seluruh tumpukan teknologi, mulai dari infrastruktur yang mendukung integrasi cepat sistem baru dan mitra baru hingga teknologi tempat kerja yang mendukung pertukaran ide.

Selengkapnya: ZDNet

Peretas yang didukung negara melanggar perusahaan telekomunikasi dengan malware khusus

by

Aktor yang disponsori negara yang sebelumnya tidak dikenal sedang menyebarkan perangkat baru dalam serangan yang menargetkan penyedia telekomunikasi dan perusahaan TI di Asia Selatan.

Tujuan kelompok tersebut — dilacak sebagai Harvester oleh para peneliti di Symantec yang menemukannya — adalah untuk mengumpulkan intelijen dalam kampanye spionase yang sangat bertarget yang berfokus pada TI, telekomunikasi, dan entitas pemerintah.

Alat berbahaya Harvester belum pernah ditemukan di alam liar sebelumnya, menunjukkan bahwa ini adalah aktor ancaman tanpa koneksi ke musuh yang diketahui.

Berikut ringkasan alat yang digunakan oleh operator Harvester dalam serangan mereka:

  • Backdoor.Graphon – pintu belakang khusus yang menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Downloader – menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
  • Custom Screenshotter – secara berkala mencatat tangkapan layar ke file
  • Cobalt Strike Beacon – menggunakan infrastruktur CloudFront untuk aktivitas C&C-nya (Cobalt Strike adalah alat siap pakai yang dapat digunakan untuk menjalankan perintah, menyuntikkan proses lain, meningkatkan proses saat ini, atau meniru proses lain, serta mengunggah dan mengunduh file)
  • Metasploit – kerangka kerja modular siap pakai yang dapat digunakan untuk berbagai tujuan jahat pada mesin korban, termasuk eskalasi hak istimewa, tangkapan layar, untuk menyiapkan pintu belakang persisten, dan banyak lagi.

Sementara analis Symantec tidak dapat mengetahui vektor infeksi awal, ada beberapa bukti bahwa URL jahat digunakan untuk tujuan itu.

Graphon memberi aktor akses jarak jauh ke jaringan dan menyamarkan kehadirannya dengan memadukan aktivitas komunikasi perintah-dan-kontrol (C2) dengan lalu lintas jaringan yang sah dari CloudFront dan infrastruktur Microsoft.

Poin menarik ditemukan dalam cara custom downloader bekerja, membuat file yang diperlukan pada sistem, menambahkan nilai registri untuk titik muat baru, dan akhirnya membuka browser web tertanam di hxxps://usedust[.]com.

Symantec memperingatkan bahwa Harvester masih aktif di luar sana, kebanyakan menargetkan organisasi di Afghanistan saat ini.

Selengkapnya: Bleeping Computer

Windows 10, iOS 15, Ubuntu, Chrome jatuh di kontes peretasan Tianfu China

by

Peneliti keamanan China membawa pulang $ 1,88 juta setelah meretas beberapa perangkat lunak paling populer di dunia di Piala Tianfu, kompetisi peretasan terbesar dan paling bergengsi di negara itu.

Kontes, yang berlangsung selama akhir pekan 16 dan 17 Oktober di kota Chengdu, dimenangkan oleh peneliti dari perusahaan keamanan China Kunlun Lab, yang membawa pulang $654.500, sepertiga dari total dompet.

Kompetisi, sekarang pada edisi keempat, berlangsung menggunakan aturan klasik yang ditetapkan oleh kontes peretasan Pwn2Own.

Pada bulan Juli, penyelenggara mengumumkan serangkaian target, dan peserta memiliki waktu tiga hingga empat bulan untuk mempersiapkan eksploitasi yang akan mereka lakukan pada perangkat yang disediakan oleh penyelenggara di panggung kontes.

Para peneliti memiliki tiga upaya 5 menit untuk menjalankan eksploitasi mereka, dan mereka dapat mendaftar untuk meretas beberapa perangkat jika mereka ingin meningkatkan kemenangan mereka.

Edisi tahun ini mencakup daftar 16 kemungkinan target dan merupakan salah satu edisi Piala Tianfu yang paling sukses, dengan 11 peserta memasang eksploitasi yang berhasil terhadap 13 target.

Satu-satunya yang tidak berhasil diretas termasuk Synology DS220j NAS, smartphone Xiaomi Mi 11, dan kendaraan listrik China yang mereknya tidak pernah diungkapkan — yang bahkan tidak ada peserta yang mendaftar untuk mencoba mengeksploitasinya.

Di sisi lain, eksploitasi berhasil dipasang terhadap hampir semua hal lainnya, berikut list nya:

  • Windows 10 – diretas 5 kali
  • Adobe PDF Reader – 4 kali
  • Ubuntu 20 – 4 kali
  • Paralel VM – 3 kali
  • iOS 15 – 3 kali
  • Apple Safari – 2 kali
  • Google Chrome – 2 kali
  • Router ASUS AX56U – 2 kali
  • Docker CE – 1 kali
  • VMWare ESXi – 1 kali
  • VMWare Workstation – 1 kali
  • qemu VM – 1 kali
  • Microsoft Exchange – 1 kali

Selengkapnya: The Record