News 298 - Naga Cyber Defense

Pakar Mengungkap Serangan Malware yang Menargetkan Jaringan Perusahaan di Amerika Latin

July 10, 2021 by Winnie the Pooh

Peneliti keamanan siber pada hari Kamis mengumumkan kampanye spionase baru yang sedang berlangsung yang menargetkan jaringan perusahaan di negara-negara berbahasa Spanyol, khususnya Venezuela, untuk memata-matai para korbannya.

Dijuluki “Bandidos” oleh ESET karena penggunaan varian malware Bandook yang ditingkatkan, target utama pelaku ancaman adalah jaringan perusahaan di negara Amerika Selatan yang mencakup sektor manufaktur, konstruksi, perawatan kesehatan, layanan perangkat lunak, dan ritel.

Ditulis dalam Delphi dan C++, Bandook memiliki sejarah dijual sebagai trojan akses jarak jauh komersial (RAT) sejak tahun 2005. Sejak itu, banyak varian telah muncul di lanskap ancaman dan digunakan dalam kampanye pengawasan yang berbeda. pada tahun 2015 dan 2017, diduga oleh kelompok tentara bayaran cyber yang dikenal sebagai Dark Caracal atas nama kepentingan pemerintah di Kazakhstan dan Lebanon.

Dalam kebangkitan Trojan Bandook yang berkelanjutan, Check Point tahun lalu mengungkapkan tiga sampel baru — salah satunya mendukung 120 perintah — yang digunakan oleh musuh yang sama untuk menyerang pemerintah, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum yang berlokasi di Chili, Siprus, Jerman, Indonesia, Italia, Singapura, Swiss, Turki, dan AS

Rantai serangan terbaru dimulai dengan calon korban menerima email berbahaya dengan lampiran PDF, yang berisi URL singkat untuk mengunduh arsip terkompresi yang dihosting di Google Cloud, SpiderOak, atau pCloud dan kata sandi untuk mengekstraknya. Mengekstrak arsip mengungkapkan penetes malware yang memecahkan kode dan menyuntikkan Bandook ke dalam proses Internet Explorer.

selengkapnya : thehackernews.com

Premier digital “Black Widow” menutupi malware dan penipuan, kata Kaspersky

July 10, 2021 by Winnie the Pooh

Film superhero “Black Widow” akhirnya dirilis secara resmi pada 9 Juli, dan Kaspersky memperingatkan bahwa scammers menggunakan film yang sangat dinanti-nantikan itu sebagai cara untuk kabur dengan informasi kartu kredit pengamat dan melakukan kejahatan dunia maya lainnya.

Film superhero Marvel bisa dibilang beberapa film terpanas di dunia, dan saat ini tidak ada yang lebih panas dari “Black Widow,” yang rilisnya telah didorong berulang kali karena pandemi COVID-19. Awalnya dijadwalkan untuk rilis pada 1 Mei 2020, kemudian 6 November 2020, dan kemudian 7 Mei 2021, sebelum akhirnya mendapatkan tanggal rilis final (mungkin) pada 9 Juli.

Dengan pandemi virus corona yang masih berlangsung, Disney menayangkan perdana “Black Widow” di bioskop dan online, yang menurut Kaspersky telah digunakan berulang kali sepanjang siklus rilis film yang tertunda oleh penjahat dunia maya untuk mengambil keuntungan dari mereka yang berharap mendapatkan lebih awal atau kurang legal. Lihat.

“Kami telah mengamati aktivitas penipuan intensif di sekitar ‘Black Widow’, rilis yang telah ditunggu-tunggu oleh penggemar di seluruh dunia untuk waktu yang lama. Dalam kegembiraan mereka untuk menonton film yang telah lama ditunggu-tunggu, pemirsa menjadi tidak memperhatikan sumber yang mereka inginkan. digunakan, dan inilah yang dimanfaatkan oleh penipu. Serangan ini dapat dicegah, dan pengguna harus waspada terhadap situs yang mereka kunjungi,” kata pakar keamanan Kaspersky Anton V. Ivanov.

Kaspersky mencatat lonjakan upaya phishing dan unduhan berbahaya untuk film tersebut yang bertepatan dengan jadwal rilis bersejarah “Black Widow.” Lonjakan pada bulan Juni dan Juli 2020 dan Maret dan April 2021 menyertai tanggal rilis yang seharusnya, dan Juni 2021 berubah menjadi lonjakan lain yang terus menjadi tren hingga Juli.

selengkapnya : www.techrepublic.com

Boffins Belgia membuang firmware terminal hidangan Starlink, mendapatkan akses root dan beberapa ide

July 9, 2021 by Winnie the Pooh

Boffins Belgia telah menerbitkan pembongkaran terminal pengguna Starlink – juga dikenal sebagai Dishy McFlatface – di mana mereka berhasil membuang firmware perangkat yang disimpan di kartu eMMC di atas PCB.

Bagi para akademisi di Katholieke Universiteit Leuven (KU Leuven), sebenarnya mendapatkan firmware untuk analisis selanjutnya terbukti merupakan proses yang agak rumit.

Meskipun perangkat keras dilengkapi dengan port UART (Universal Asynchronous Receiver Transmitter) untuk debugging USB, SpaceX memilih — mungkin karena alasan yang jelas — untuk membatasi akses kepada mereka yang dipercayakan dengan kredensial pengembangan. Namun, itu mengungkapkan beberapa petunjuk, terutama ketika datang ke proses boot, dengan pemeriksaan integritas dan keaslian yang digunakan untuk memastikan kernel tidak dirusak.

Peneliti KU Leuven kemudian mengalihkan perhatian mereka ke kartu eMMC, yang berisi gambar sistem. SpaceX meninggalkan 10 titik uji di papan sirkuit, yang sesuai dengan titik solder yang setara pada chip eMMC. Para akademisi kemudian dapat membuat perangkat penangkap logika ad-hoc, menggunakan pembaca kartu memori dan beberapa kabel dan resistor yang disolder dengan hati-hati, memungkinkan mereka untuk membuang konten penyimpanan ke dalam sirkuit.

Rintangan berikutnya datang ketika para peneliti mencoba membaca konten firmware, karena SpaceX menggunakan format FIT (pohon gambar rata) khusus. Untungnya, perubahan ini dapat diakses publik, karena perusahaan menerapkan versi U-Boot yang dimodifikasi, dan terpaksa mempublikasikan perubahannya agar tetap mematuhi GPL.

selengkapnya : www.theregister.com

Pelacak Pembayaran Ransomware Crowdsourced Ini Menunjukkan Berapa Banyak Penjahat Cyber yang Telah Dicuri

July 9, 2021 by Winnie the Pooh

Serangan Ransomware sedang meningkat, tetapi mengukur cakupan masalah bisa menjadi rumit ketika hanya kasus paling terkenal yang menjadi berita utama. Masuk ke Ransomwhere, pelacak pembayaran ransomware crowdsourced dengan nama kecil yang berarti menyoroti serangan siber yang semakin mengguncang pemerintah dan bisnis di seluruh dunia. Jack Cable, seorang arsitek keamanan di perusahaan konsultan keamanan siber Krebs Stamos Group, meluncurkan situs tersebut pada hari Kamis.

“Hari ini, tidak ada data publik yang komprehensif tentang jumlah total pembayaran ransomware,” tulis Cable di Twitter. “Tanpa data tersebut, kami tidak dapat mengetahui dampak penuh dari ransomware, dan apakah mengambil tindakan tertentu akan mengubah gambaran. Ransomwhere bertujuan untuk mengisi celah itu…”

Cara kerjanya adalah Ransomwhere terus menghitung uang tebusan yang dibayarkan kepada penjahat dunia maya dalam cryptocurrency bitcoin. Ini sebagian besar dimungkinkan karena sifat bitcoin yang transparan: Semua transaksi yang melibatkan cryptocurrency dicatat di blockchain, basis data terdesentralisasi yang bertindak sebagai buku besar publik, sehingga memungkinkan siapa pun untuk melacak transaksi apa pun yang secara khusus terkait dengan grup ransomware.

selengkapnya : gizmodo.com

Malware Trojan baru mencuri jutaan kredensial login

July 9, 2021 by Winnie the Pooh

Peneliti cybersecurity telah mengungkapkan malware jenis Trojan kustom baru yang berhasil menyusup ke lebih dari tiga juta komputer Windows dan mencuri hampir 26 juta kredensial login untuk sekitar satu juta situs web.

Temuan dari Nord Security mengklasifikasikan situs web ke dalam selusin kategori, yang mencakup hampir semua layanan email populer, platform media sosial, penyimpanan file dan layanan berbagi, platform e-niaga, platform keuangan, dan banyak lagi.

Secara keseluruhan, malware yang tidak disebutkan namanya berhasil menyedot 1,2 terabyte data pribadi termasuk lebih dari satu juta alamat email unik, lebih dari dua miliar cookie, dan lebih dari enam juta file lainnya.

selengkapnya : www.techradar.com

Badan Riset Nuklir Diduga Diretas oleh Korea Utara selama 12 Hari

July 8, 2021 by Winnie the Pooh

Lembaga penelitian nuklir Korea Selatan telah terkena serangan siber, kemungkinan dilakukan oleh Korea Utara, selama 12 hari.

Badan Intelijen Nasional (NIS) mengungkapkan insiden peretasan pada sidang komite parlemen pada hari Kamis. Badan mata-mata itu mengatakan kepada anggota parlemen bahwa mereka yakin kelompok yang terkait dengan Korea Utara berada di balik serangan itu, menurut anggota parlemen Partai Demokrat yang berkuasa Kim Byeong-ki dan anggota parlemen oposisi utama Partai Kekuatan Rakyat (PPP) Ha Tae-keung.

Kedua anggota parlemen, yang menjabat sebagai anggota komite intelijen, mengatakan NIS tidak yakin pelakunya dapat mengakses materi tentang teknologi utama.

NIS mengatakan kepada anggota komite kerusakan dari organisasi teroris siber yang disponsori negara naik sembilan persen pada semester pertama tahun ini dari enam bulan sebelumnya.

Rep Ha, anggota senior komite intelijen untuk PPP, mengatakan Institut Penelitian Energi Atom Korea (KAERI) melaporkan pelanggaran data pada 1 Juni. Ha menambahkan bahwa badan tersebut kemungkinan ditargetkan selama 12 hari.

Ha mengatakan penyelidikan terpisah sedang berlangsung setelah Korea Aerospace Industries (KAI) juga diduga menjadi target serangan dunia maya.

Mengenai pemimpin Korea Utara Kim Jong-un, yang baru-baru ini tampak lebih ramping dalam foto-foto resmi, agen mata-mata Korea Selatan mengatakan tampaknya Kim telah kehilangan antara sepuluh dan 20 kilogram dan mengawasi urusan negara seperti biasa.

Selengkapnya: KBS World

Singapura melihat lonjakan serangan ransomware dan botnet

July 8, 2021 by Winnie the Pooh

Singapore Computer Emergency Response Team (SingCERT) tahun lalu menangani 9.080 kasus, naik dari 8.491 pada tahun sebelumnya dan 4.977 pada 2018, menurut laporan terbaru Singapore Cyber Landscape yang dirilis Kamis oleh Cyber Security Agency of Singapore (CSA). Badan pemerintah mencatat bahwa tahun lalu terjadi peningkatan yang nyata dalam ransomware, penipuan online, dan aktivitas phishing COVID-19.

Secara khusus, jumlah serangan ransomware yang dilaporkan mengalami lonjakan signifikan sebesar 154% pada tahun 2020, dengan 89 insiden, dibandingkan dengan 35 pada tahun 2019. Ini sebagian besar mempengaruhi usaha kecil dan menengah (UKM) di berbagai sektor termasuk manufaktur, ritel, dan perawatan kesehatan.

CSA mengaitkan peningkatan kasus ransomware di Singapura dengan wabah ransomware global, di mana serangan semacam itu berubah dari tidak pandang bulu dan bersifat oportunistik menjadi “Perburuan Besar” yang lebih bertarget. Penjahat dunia maya juga beralih ke taktik ransomware-as-a-service dan “kebocoran dan rasa malu”, kata agensi tersebut.

Disebutkan bahwa jumlah serangan server command-and-control (C&C) berbahaya juga tumbuh 94% menjadi 1.026 insiden yang dilaporkan tahun lalu. Ini sebagian didorong oleh peningkatan server semacam itu yang mendistribusikan malware Emotet dan Cobalt Strike, yang merupakan sepertiga dari malware di server C&C.

Sekitar 6.600 botnet drone dengan alamat IP Singapura diidentifikasi setiap hari tahun lalu, naik dari 2.300 pada 2019. CSA mengungkapkan bahwa varian malware Mirai dan Gamarue lazim di antara botnet yang terinfeksi pada 2020, dengan malware sebelumnya menargetkan terutama perangkat Internet of Things (IoT).

Selengkapnya: ZDNet

Bug Sage X3 RCE Kritis Memungkinkan Pengambilalihan Sistem

July 8, 2021 by Winnie the Pooh

Empat kerentanan menimpa platform perencanaan sumber daya perusahaan (ERP) Sage X3 yang populer, para peneliti menemukan – termasuk satu bug kritis yang memberi peringkat 10 dari 10 pada skala kerentanan-keparahan CVSS. Dua bug dapat digabungkan untuk memungkinkan pengambilalihan sistem secara keseluruhan, dengan potensi konsekuensi rantai pasokan, kata mereka.

Sage X3 ditargetkan untuk perusahaan menengah – khususnya produsen dan distributor – yang mencari fungsionalitas ERP all-in-one. Sistem ini mengelola penjualan, keuangan, inventaris, pembelian, manajemen hubungan pelanggan dan manufaktur dalam satu solusi perangkat lunak ERP terintegrasi.

Peneliti Rapid7 Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal dan William Vu, yang menemukan masalah (CVE-2020-7387 hingga -7390), mengatakan bahwa kelemahan paling parah ada pada fungsi administrator jarak jauh platform.

Dengan demikian, mereka mengatakan bahwa mungkin ada konsekuensi rantai pasokan untuk serangan yang berhasil (seperti Kaseya) jika platform digunakan oleh penyedia layanan terkelola untuk memberikan fungsionalitas ke bisnis lain.

Untuk mengeksploitasi masalah dan melewati proses otentikasi, aktor jahat dapat membuat permintaan khusus ke layanan yang terbuka. Penyerang siber harus menghindari dua komponen yang terlibat dalam pengiriman perintah untuk dieksekusi, kata para peneliti.

Pertama, penyerang harus mengetahui direktori instalasi layanan AdxAdmin, sehingga mereka dapat menentukan lokasi path lengkap untuk menulis file cmd yang akan dieksekusi.

Kedua, penyerang harus mengacaukan urutan otorisasi yang menyertakan kata sandi terenkripsi. Ini dapat dilakukan dengan menggunakan serangkaian paket yang menipu protokol otentikasi dan perintah AdxDSrv.exe, tetapi dengan satu modifikasi kritis.

Masalah ini memengaruhi versi platform V9, V11 dan V12.

Selengkapnya: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings