Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Jutaan Ponsel, Laptop, dan Gadget Lama Dapat Berhenti Berfungsi Akhir Pekan Ini Karena Alasan yang Aneh

by

Konektivitas internet pada perangkat teknologi lama dan gadget pintar dapat berhenti berfungsi pada hari Kamis (30/09/2021) setelah sertifikat digital utama yang diperlukan untuk mengakses situs web dengan aman kedaluwarsa.

Let’s Encrypt, sebuah organisasi nirlaba yang merupakan penerbit sertifikat digital terbesar — yang mengenkripsi dan melindungi koneksi antara perangkat dan situs web di internet — akan dipaksa untuk mengakhiri salah satu sertifikat digitalnya yang paling populer, IdentTrust DST Root CA X3, pada 30 September.

Ini berarti beberapa ponsel, komputer, konsol video game, gadget pintar, dan perangkat “Internet of Things” yang dibeli sebelum 2017 yang menggunakan sertifikat digital Let’s Encrypt yang dimaksud, dan belum memperbarui perangkat lunaknya sejak saat itu, dapat menghadapi masalah signifikan saat menyambung ke internet.

Masalahnya terutama akan memengaruhi perangkat populer, seperti iPhone yang menjalankan iOS 9 dan di bawahnya, ponsel Android yang berjalan di bawah perangkat lunak 2.3.6, komputer Windows yang menjalankan perangkat lunak sebelum XP SP3, konsol game Sony PS3, dan PS4, dan Nintendo 3DS.

“Perangkat lama tertentu dari 2016 dan sebelumnya serta gadget apa pun yang memiliki kata ‘pintar’ di dalamnya yang memerlukan konektivitas internet, seperti TV, bohlam, lemari es, dan aplikasi kontrol rumah tertentu, dapat terpengaruh oleh kedaluwarsa sertifikat ini,” kata peneliti keamanan dan pakar keamanan siber Scott Helme.

Dia menambahkan ini adalah salah satu sertifikat digital besar pertama yang kedaluwarsa sejak kemunculan internet pada 1980-an. Oleh karena itu, ada tidak ada cara untuk mengatasi masalah mengatasi masalah perangkat lunak pada perangkat.

Selengkapnya: Washington Examiner

Peretas Telah Menemukan Teknik Penghindaran Malware Baru untuk Terbang di Bawah Radar

by

Grup Threat Analysis milik Google baru-baru ini menemukan jenis malware yang mengeksploitasi metode baru untuk menghindari deteksi oleh produk keamanan, dan malware ini dengan mudah memodifikasi tanda tangan digital filenya.

Tanda tangan kode yang ada pada file executable Windows memberikan jaminan mengenai integritas executable yang dikonfirmasi, menyediakan data dan memberi tahu identitas sebenarnya dari pembuat kode.

Pelaku ancaman dapat menghindari deteksi jika mereka mampu menyamarkan identitas mereka dalam tanda tangan pada proses penyerangan integritas tanda tangan.

Neel Mehta salah satu peneliti keamanan yang mendeteksi malware tersebut mengklaim metode ini digunakan oleh strain adware yang disebut OpenSUpdater.

OpenSUpdater adalah keluarga malware yang sangat terkenal, dan mereka terkenal dengan perangkat lunak yang tidak diinginkan yang umumnya melanggar kebijakan Google.

Sampel OpenSUpdater telah memberikan tanda tangan yang tidak valid, dan penelitian tambahan menunjukkan bahwa ini adalah upaya yang disengaja untuk menghindari deteksi.

Namun, produk keamanan menggunakan OpenSSL untuk mengambil data tanda tangan, dan kemudian akan menolak pengkodean ini sebagai tidak valid. Dan untuk parser yang mengotorisasi pengkodean ini, tanda tangan digital biner akan menyerupai sah dan efisien.

Selengkapnya: Cyber Security News

Bangkitnya Bot Intersepsi One-Time Password (OTP)

by

Pada bulan Februari, KrebsOnSecurity menulis tentang layanan kejahatan dunia maya baru yang membantu penyerang melakukan intersepsi pada One-Time Password(OTP) yang dibutuhkan banyak situs web sebagai faktor otentikasi kedua selain kata sandi. Layanan itu hanya muncul sesaat kemudian menghilang, tetapi penelitian baru mengungkapkan sejumlah pesaing telah meluncurkan layanan berbasis bot yang membuatnya relatif mudah bagi penjahat untuk mengelabui OTP dari target. Layanan baru tersebut beroperasi melalui Telegram, sistem pesan instan berbasis cloud.

Intel471 mengatakan salah satu bot Telegram OTP baru adalah “SMSRanger” populer karena sangat mudah digunakan, serta karena banyak testimonial yang diposting oleh pelanggan yang tampak senang dengan tingkat keberhasilannya yang tinggi dalam mengekstrak token OTP ketika penyerang sudah memiliki target “fullz”, informasi pribadi seperti nomor Jaminan Sosial dan tanggal lahir.

“Mereka yang membayar untuk akses dapat menggunakan bot dengan memasukkan perintah yang mirip dengan bagaimana bot digunakan pada alat kolaborasi tenaga kerja populer Slack.

Perintah slash sederhana memungkinkan pengguna untuk mengaktifkan berbagai ‘mode’ — skrip yang ditujukan sebagai berbagai layanan — yang dapat menargetkan bank tertentu, serta PayPal, Apple Pay, Google Pay, atau operator nirkabel. Setelah nomor telepon target dimasukkan, bot melakukan sisa pekerjaan, yang pada akhirnya memberikan akses ke akun apa pun yang telah ditargetkan.

Pengguna mengklaim bahwa SMSRanger memiliki tingkat kemanjuran sekitar 80% jika korban menjawab panggilan dan informasi lengkap (fullz) yang diberikan pengguna akurat dan diperbarui” Tambah peneliti Intel471.

Selengkapnya: Krebs on Security

Pelaku Ancaman Menyalahgunakan Bot Telegram untuk Membahayakan Akun PayPal

by

Penjahat dunia maya menggunakan bot Telegram untuk mencuri token kata sandi satu kali (OTP) dan menipu orang melalui bank dan sistem pembayaran online, termasuk PayPal, Apple Pay, dan Google Pay, menurut penelitian baru.

Para peneliti dari Intel 471 menemukan kampanye tersebut telah beroperasi sejak Juni, dalam sebuah laporan yang diterbitkan Rabu.

“Otentikasi dua faktor adalah salah satu cara termudah bagi orang untuk melindungi akun online apa pun,” catat para peneliti dalam posting tersebut. “Jadi, tentu saja para penjahat berusaha menghindari perlindungan itu.”

Pelaku ancaman menggunakan bot dan channel Telegram dan berbagai taktik untuk mendapatkan informasi akun, termasuk menelepon korban, dan menyamar sebagai bank dan layanan yang sah, kata para peneliti.

Melalui rekayasa sosial, pelaku ancaman juga menipu orang untuk memberi mereka OTP atau kode verifikasi lainnya melalui perangkat seluler, yang kemudian digunakan penjahat untuk melakukan penipuan uang, kata mereka.

Memang, bot Telegram telah menjadi alat populer bagi penjahat dunia maya, yang telah menggunakannya dengan berbagai cara sebagai bagian dari penipuan pengguna. Kampanye serupa ditemukan pada bulan Januari, dijuluki Classiscam, di mana bot dijual sebagai layanan oleh penjahat dunia maya berbahasa Rusia dengan tujuan mencuri uang dan data pembayaran dari korban Eropa. Pelaku ancaman lain telah ditemukan menggunakan bot Telegram dengan cara yang agak unik sebagai perintah-dan-kontrol untuk spyware.

Dalam hal ini, peneliti Intel 471 mengamati dan menganalisis aktivitas kampanye terkait tiga bot—dijuluki SMSRanger, BloodOTPbot, dan SMS Buster.

Selengkapnya: The Threat Post

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

by

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

Alat Spyware Terkenal Ditemukan Bersembunyi Di Bawah Empat Lapisan Obfuscation

by

FinFisher/FinSpy, spyware komersial yang terkenal dan sangat kontroversial yang dijual oleh perusahaan Jerman FinFisher ke negara-bangsa dan penegak hukum untuk tujuan pengawasan, sekarang membungkus dirinya dalam empat lapisan obfuscation dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Para peneliti di perusahaan keamanan Kaspersky yang berbasis di Moskow membutuhkan waktu delapan bulan untuk melakukan reverse engineering dan analisis penuh untuk mengungkap versi baru spyware yang sangat tersembunyi ini untuk Windows, Mac OS, dan Linux.

Selain metode obfuscation empat lapis, spyware juga sekarang menggunakan bootkit UEFI (Unified Extensible Firmware Interface) untuk menginfeksi targetnya, dan juga mengenkripsi malware dalam memori, menurut para peneliti. Penelitian tim Kaspersky dimulai pada 2019, dan mereka akhirnya membagikan temuan mereka di KTT Analis Keamanan online Kaspersky.

Para peneliti sebelumnya telah menemukan installer berbahaya untuk TeamViewer, VLC Media Player, dan WinRAR yang tidak memiliki tautan ke malware yang diketahui. Tetapi ketika mereka menemukan situs web berbahasa Burma dengan installer yang sama, serta sampel FinFisher untuk Android, mereka berputar kembali ke installer sebelumnya dan menghubungkan titik-titik ke FinFisher/FinSpy.

Bagaimana FinSpy masuk ke mesin korban yang diteliti oleh para peneliti tidak diketahui, tetapi mungkin saja penyerang memiliki akses fisik atau mencuri kredensial administratif.

Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global (GReAT) Kaspersky mengatakan para korban entah bagaimana mengunduh dan secara tidak sengaja menginstal malware tahap pertama.

Selengkapnya: Dark Reading

Penyerang SolarWinds Menyerang Server Active Directory dengan FoggyWeb Backdoor

by

Pelaku ancaman di balik serangan rantai pasokan SolarWinds yang terkenal telah mengirimkan malware baru untuk mencuri data dan mempertahankan kegigihan di jaringan korban, menurut temuan para peneliti.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) telah mengamati APT yang disebut Nobelium menggunakan pintu belakang pasca-eksploitasi yang dijuluki FoggyWeb, untuk menyerang server Active Directory Federation Services (AD FS). AD FS memungkinkan sistem masuk tunggal (SSO) di seluruh aplikasi berbasis cloud di lingkungan Microsoft, dengan berbagi identitas digital dan hak kepemilikan.

Serangan dimulai sejak April, tulis Ramin Nafisi dari MSTIC dalam sebuah posting blog yang diterbitkan hari Senin.

Nobelium menggunakan “beberapa taktik untuk mengejar pencurian kredensial” untuk mendapatkan hak admin ke server AD FS, tulis Nafisi. Kemudian, setelah server disusupi, kelompok ancaman menyebarkan FoggyWeb “untuk mengekstrak dari jarak jauh database konfigurasi server AD FS yang disusupi, sertifikat penandatanganan token yang didekripsi, dan sertifikat token-dekripsi,” katanya, yang dapat digunakan untuk menembus akun cloud pengguna.

Selain mengekstrak data sensitif dari jarak jauh, FoggyWeb juga mencapai persistence dan berkomunikasi dengan server perintah-dan-kontrol (C2) untuk menerima komponen berbahaya tambahan dan menjalankannya, tambah Nafisi.

Microsoft telah memberi tahu semua pelanggan yang diamati menjadi sasaran atau disusupi oleh FoggyWeb, serta menyertakan daftar lengkap indikator kompromi pada posting blog nya. Perusahaan juga telah merekomendasikan beberapa tindakan mitigasi untuk organisasi, termasuk: Audit infrastruktur lokal dan cloud untuk mengidentifikasi perubahan apa pun yang mungkin telah dilakukan aktor untuk mempertahankan akses; menghapus akses pengguna dan aplikasi, meninjau masing-masing konfigurasi, dan menerbitkan kembali kredensial baru yang kuat; dan menggunakan modul keamanan perangkat keras untuk mencegah eksfiltrasi data sensitif.

Microsoft juga menyarankan agar semua pelanggan meninjau konfigurasi Server AD FS mereka dan menerapkan perubahan apa pun yang diperlukan untuk mengamankan sistem dari serangan.

Selengkapnya: The Threat Post

Sebuah perusahaan cloud meminta peneliti keamanan untuk memeriksa sistemnya. Inilah yang mereka temukan

by

Peneliti keamanan siber menemukan kerentanan dalam infrastruktur penyedia perangkat lunak sebagai layanan besar yang, jika dieksploitasi oleh penyerang, dapat digunakan oleh penjahat dunia maya sebagai bagian dari serangan rantai pasokan berbasis cloud.

Penyedia SaaS yang tidak disebutkan namanya mengundang peneliti keamanan siber di Palo Alto Networks untuk melakukan latihan red team pada jalur pengembangan perangkat lunak mereka untuk mengidentifikasi kerentanan dalam rantai pasokan.

“Hanya dalam tiga hari, seorang peneliti Unit 42 menemukan kelemahan pengembangan perangkat lunak kritis yang membuat pelanggan rentan terhadap serangan yang serupa dengan yang terjadi pada SolarWinds dan Kaseya VSA,” kata perusahaan keamanan itu.

Awalnya diberikan akses pengembang terbatas yang dimiliki kontraktor, para peneliti berhasil meningkatkan hak istimewa sejauh mereka dapat memperoleh hak administrator ke lingkungan cloud integrasi berkelanjutan (CI) yang lebih luas.

Dengan menggunakan akses ini, peneliti memeriksa sebanyak mungkin lingkungan dan mampu menemukan dan mendapatkan akses ke 26 kunci manajemen akses dan identitas (IAM). Beberapa di antaranya berisi kredensial hard-code yang memberikan akses tidak sah ke area tambahan lingkungan cloud, yang dapat dieksploitasi untuk mendapatkan akses administrator – memungkinkan akun dengan akses terbatas untuk mendapatkan hak istimewa yang membuka seluruh lingkungan.

Setelah latihan, para peneliti bekerja dengan pusat operasi keamanan organisasi, DevOps, dan red & blue team untuk mengembangkan rencana tindakan untuk memperketat keamanan dengan fokus pada identifikasi awal operasi yang mencurigakan atau berbahaya dalam jalur pengembangan perangkat lunak mereka.

Selengkapnya: ZDNet