• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for News

Cobalt Strike Payload Menyamar Sebagai Pembaruan Keamanan Kaseya VSA Palsu

July 8, 2021 by Winnie the Pooh

Pelaku ancaman mencoba memanfaatkan krisis serangan ransomware Kaseya yang sedang berlangsung dengan menargetkan calon korban dalam kampanye spam yang mendorong muatan Cobalt Strike yang disamarkan sebagai pembaruan keamanan Kaseya VSA.

Cobalt Strike adalah alat pengujian penetrasi yang sah dan perangkat lunak emulasi ancaman yang juga digunakan oleh penyerang untuk tugas pasca-eksploitasi dan untuk menyebarkan suar yang memungkinkan mereka mendapatkan akses jarak jauh ke sistem yang disusupi.

Tujuan akhir dari serangan tersebut adalah untuk mengumpulkan dan mengekstrak data sensitif atau mengirimkan muatan malware tahap kedua.

Kampanye malspam yang ditemukan oleh peneliti Malwarebytes Threat Intelligence menggunakan dua taktik berbeda untuk menyebarkan muatan Cobalt Strike.

Email berbahaya yang dikirim sebagai bagian dari kampanye malspam ini dilengkapi dengan lampiran berbahaya dan tautan tertanam yang dirancang agar terlihat seperti patch Microsoft untuk zero-day Kaseya VSA yang dieksploitasi dalam serangan ransomware REvil.

“Kampanye malspam memanfaatkan serangan ransomware Kaseya VSA untuk menjatuhkan CobaltStrike,” kata tim Malwarebytes Threat Intelligence.

“Ini berisi lampiran bernama ‘SecurityUpdates.exe’ serta tautan yang berpura-pura sebagai pembaruan keamanan dari Microsoft untuk menambal kerentanan Kaseya!”

Penyerang mendapatkan akses jarak jauh yang persisten ke sistem target setelah mereka menjalankan lampiran berbahaya atau mengunduh dan meluncurkan pembaruan Microsoft palsu di perangkat mereka.

Selengkapnya: Bleeping Computer

Tagged With: Cobalt Strike, Cyber Threat, Cybersecurity, Fake Security Update, Kaseya VSA

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

July 8, 2021 by Winnie the Pooh

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Tagged With: APT, Cybersecurity, Guard, MacOS, Milum, Trojan, WildPressure, Windows

Pandemi Berikutnya Akan Menjadi Digital, dan Sudah Dimulai. Yang Perlu Anda Ketahui Tentang Meningkatnya Ancaman Ransomware

July 8, 2021 by Winnie the Pooh

Selama liburan akhir pekan, REvil, grup peretas yang terkait dengan Rusia, tampaknya menargetkan setidaknya 20 penyedia layanan terkelola, yang menyediakan layanan keamanan jaringan TI dan backend untuk bisnis kecil dan menengah.

Itu adalah kelompok yang sama yang dikreditkan dengan serangan terhadap salah satu perusahaan pengepakan daging terbesar di A.S. Berita itu muncul setelah kelompok lain menutup pipa Kolonial awal tahun ini, menyebabkan gangguan di seluruh Pantai Timur.

Serangan Ransomware melibatkan peretas yang memasang perangkat lunak di jaringan yang mencegah pemiliknya mengakses perangkat atau data mereka. Pada dasarnya, mereka menculik bisnis Anda dan menuntut pembayaran uang tebusan sebagai imbalan untuk melepaskan jaringan Anda.

Meskipun hampir tidak mungkin untuk menghilangkan semua risiko ransomware, ada beberapa hal yang dapat Anda lakukan untuk membuat jaringan Anda menjadi target yang kurang diinginkan. Biasanya, penyerang mencari target bernilai tinggi dengan kerentanan yang mudah dieksploitasi.

Offline Backups

Salah satu alat paling sederhana dan paling efektif melawan ransomware adalah mencadangkan sistem Anda secara lokal secara teratur. Cadangan tersebut kemudian harus disimpan secara offline sehingga tidak dapat menjadi sasaran ransomware.

Batasi Izin

Umumnya, pakar keamanan merekomendasikan bahwa pengguna tertentu hanya memiliki tingkat hak minimum yang diperlukan untuk pekerjaan mereka. Dalam banyak kasus, perangkat lunak berbahaya tidak dapat mengambil alih komputer jika akun pengguna tidak memiliki kemampuan untuk membuat perubahan di tingkat root.

Selalu Perbarui Perangkat Lunak

Meskipun kita telah melihat contoh di mana kode berbahaya bersembunyi di perangkat lunak yang sah, secara umum, Anda lebih aman jika terus memperbarui sistem Anda secara teratur. Itu berarti baik dari segi patch keamanan untuk sistem operasi Anda, serta perangkat lunak antivirus yang dapat mengisolasi dan menghapus malware.

Jangan Klik Tautan Tidak Dikenal

Terakhir, jangan pernah mengklik tautan di email atau pesan teks yang bukan dari sumber tepercaya. Peretas menjadi jauh lebih canggih, artinya Anda harus semakin berhati-hati setiap kali membuka email, tetapi sebagai aturan umum, jika Anda tidak mengharapkan dikirimi sesuatu untuk diunduh dan dipasang, jangan klik tautannya.

Selengkapnya: INC

Tagged With: Cyber Threat, Cybersecurity, Ransomware, Tips

Penyerang Mempercepat Serangan Ransomware di Jaringan ICS

July 8, 2021 by Winnie the Pooh

Serangan Ransomware berkembang pesat untuk menargetkan titik akhir Sistem Kontrol Industri (ICS) di seluruh dunia dengan peningkatan aktivitas yang signifikan selama setahun terakhir. Sebuah laporan oleh peneliti keamanan siber di Trend Micro menyoroti tren dominan ini.

Jaringan ICS yang mendukung utilitas penting, seperti air dan listrik, harus beroperasi penuh untuk menyediakan layanan. Semakin lama jaringan tersebut tidak aktif, semakin banyak gangguan yang ditimbulkannya.

Menurut laporan tersebut, serangan ransomware baru-baru ini hanya bermotivasi finansial karena menyerang jaringan ICS di pabrik operasional dan lingkungan manufaktur memiliki peluang tinggi untuk dibayar dengan cepat. Penjahat dunia maya menggunakan beberapa jenis ransomware yang berbeda yang menargetkan ICS. Namun, empat keluarga ransomware (Ryuk, Nefilm, Revil, dan LockBit) bertanggung jawab atas lebih dari setengah serangan ini.

Menurut laporan tersebut, AS adalah salah satu negara yang paling ditargetkan dengan kasus ransomware terbanyak yang memengaruhi ICS. Negara lain yang terkena dampak termasuk India, Taiwan, dan Spanyol.

Beberapa serangan ransomware telah diamati akhir-akhir ini yang menargetkan industri besar. Gangguan seperti itu pada sistem OT dan ICS di industri besar telah menyebabkan hasil yang parah dan kehilangan uang dalam jumlah besar.

Serangan ransomware DarkSide baru-baru ini di Colonial Pipeline menunjukkan bagaimana serangan ransomware terhadap target industri dapat memiliki konsekuensi yang sangat berbahaya bagi seluruh negara.

ICS, yang digunakan dalam infrastruktur kritis nasional, manufaktur, dan fasilitas lainnya, telah menjadi sasaran empuk bagi penyerang karena banyak dari sistem ini masih menjalankan versi OS yang lebih lama dan aplikasi yang belum ditambal. Oleh karena itu, lebih banyak yang perlu dilakukan untuk melindungi jaringan di fasilitas industri dari ancaman yang berkembang seperti itu.

Selengkapnya: Cyware

Tagged With: Cyber Attack, Cybersecurity, ICS, Ransomware

Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

July 8, 2021 by Winnie the Pooh

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software

Tagged With: Cybersecurity, Maven, MITM, Vulnerability

Interpol Tangkap Peretas Maroko yang Terlibat dalam Aktivitas Siber

July 7, 2021 by Winnie the Pooh

Otoritas penegak hukum dengan Interpol telah menangkap aktor ancaman yang bertanggung jawab untuk menargetkan ribuan korban tanpa disadari selama beberapa tahun dan melakukan serangan malware pada perusahaan telekomunikasi, bank besar, dan perusahaan multinasional di Prancis sebagai bagian dari skema penipuan kartu kredit dan phishing global.

Investigasi dua tahun, dijuluki Operasi Lyrebird oleh organisasi internasional antar pemerintah, mengakibatkan penangkapan seorang warga negara Maroko yang dijuluki Dr HeX, perusahaan keamanan siber Group-IB mengungkapkan hari ini dalam sebuah laporan yang dibagikan kepada The Hacker News.

Dr HeX dikatakan telah “aktif setidaknya sejak 2009 dan bertanggung jawab atas sejumlah kejahatan dunia maya, termasuk phishing, deface, pengembangan malware, penipuan, dan carding yang mengakibatkan ribuan korban yang tidak curiga,” kata perusahaan keamanan siber itu.

Serangan dunia maya melibatkan penyebaran kit phishing yang terdiri dari halaman web yang memalsukan entitas perbankan di negara tersebut, diikuti dengan mengirim email massal yang meniru perusahaan yang ditargetkan, mendorong penerima email untuk memasukkan informasi login di situs web jahat.

Kredensial yang dimasukkan oleh korban yang tidak menaruh curiga di halaman web palsu kemudian diarahkan ke email pelaku. Setidaknya tiga kit phishing berbeda yang mungkin dikembangkan oleh aktor ancaman telah diekstraksi.

Selain itu, Group-IB juga dapat memetakan alamat email ke infrastruktur jahat yang digunakan oleh terdakwa dalam berbagai kampanye phishing, yang mencakup sebanyak lima alamat email, enam nama panggilan, dan akunnya di Skype, Facebook, Instagram dan YouTube.

Selengkapnya: The Hacker News

Tagged With: Cyber Crime, Cyber Criminal, Cybersecurity, Dr HeX, Phishing Kit

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

July 7, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Tagged With: Cybersecurity, Microsoft, PrintNightmare, RCE, Security Update, Vulnerability, Zero Day

Raksasa teknologi memperingatkan pemutusan layanan di Hong Kong karena undang-undang perlindungan data

July 6, 2021 by Winnie the Pooh

Raksasa teknologi termasuk Facebook, Google dan Twitter dilaporkan telah mengeluarkan peringatan kepada pemerintah Hong Kong bahwa layanan mereka dapat terputus di kota jika pihak berwenang melanjutkan dengan undang-undang perlindungan data yang akan membuat perusahaan bertanggung jawab jika informasi pengenal pribadi individu dirilis tanpa persetujuan mereka, The Wall Street Journal melaporkan.

Peringatan itu dibuat dalam surat yang sebelumnya tidak dilaporkan yang dikirim pada 25 Juni dari Asia Internet Coalition (AIC) yang berbasis di Singapura, lapor Journal. Anggota koalisi lainnya termasuk Apple, Amazon, Yahoo dan LinkedIn.

Amandemen yang diusulkan untuk undang-undang perlindungan data Hong Kong menuntut denda hingga 1 juta dolar Hong Kong, sekitar $ 128.800, dan penjara selama lima tahun untuk memerangi “doxxing”, di mana data pribadi seseorang dibagikan secara online. The Journal mencatat bahwa praktik ini menjadi lazim ketika protes pro-demokrasi pecah di kota itu pada tahun 2019.

Presiden AIC Jeff Paine merinci bahwa anggota organisasinya menentang rilis data pengguna yang tidak sah, tetapi mengatakan mereka khawatir bahwa kata-kata yang tidak jelas dari amandemen yang diusulkan akan membuat anggota staf berbasis lokal mereka rentan terhadap penuntutan dan penyelidikan, Journal laporan.

Selengkapnya: The Hill

Tagged With: Personal Data, Privacy, Technology

  • « Go to Previous Page
  • Page 1
  • Interim pages omitted …
  • Page 297
  • Page 298
  • Page 299
  • Page 300
  • Page 301
  • Interim pages omitted …
  • Page 534
  • Go to Next Page »

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo