Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kampanye Phishing Baru Mengirim Tawaran Pekerjaan yang mengandung Malware Melalui LinkedIn

by

Dengan pengangguran pada tingkat yang luar biasa dan ekonomi melakukan pembalikan aneh terkait covid, saya pikir kita semua bisa setuju bahwa perburuan pekerjaan adalah pekerjaan yang cukup sulit saat ini. Di tengah semua itu, Anda tahu apa yang sebenarnya tidak dibutuhkan pekerja? Kotak masuk LinkedIn yang penuh dengan malware. Ya, mereka sama sekali tidak membutuhkan itu.

Namun demikian, tampaknya itulah yang mungkin didapat beberapa orang, berkat satu kelompok jahat dunia maya.

Perusahaan keamanan eSentire baru-baru ini menerbitkan laporan yang merinci bagaimana peretas yang terhubung ke grup yang dijuluki “Ayam Emas” (saya tidak yakin siapa yang menemukan yang itu) telah melancarkan kampanye jahat yang memangsa keinginan pencari kerja untuk posisi yang sempurna .

Kampanye ini melibatkan penipuan profesional bisnis yang tidak menaruh curiga agar mengklik tawaran pekerjaan yang berjudul sama dengan posisi mereka saat ini. Sebuah pesan, dimasukkan ke DM korban, mengumpan mereka dengan “penawaran” yang benar-benar dicurangi dengan file .zip yang dimuat pegas. Di dalamnya .zip adalah malware tanpa file yang disebut “more_eggs” yang dapat membantu membajak perangkat yang ditargetkan. Peneliti merinci bagaimana serangan itu bekerja:

Siapapun mereka, “Ayam” mungkin tidak melakukan serangan ini sendiri. Sebaliknya, mereka mengayuh apa yang akan diklasifikasikan sebagai Malware-as-a-service (MaaS) —yang berarti penjahat dunia maya lain membeli malware dari mereka untuk melakukan kampanye peretasan mereka sendiri. Laporan tersebut mencatat bahwa tidak jelas siapa sebenarnya di balik kampanye baru-baru ini.

Trojan pintu belakang seperti “more_eggs” pada dasarnya adalah program yang memungkinkan jenis malware lain yang lebih merusak untuk dimuat ke dalam sistem perangkat atau komputer. Setelah penjahat menggunakan trojan untuk mendapatkan tumpuan ke dalam sistem korban, mereka kemudian dapat menerapkan hal-hal lain seperti ransomware, malware perbankan, atau pencuri kredensial, untuk mendatangkan malapetaka yang lebih luas pada korbannya.

selengkapnya : gizmodo.com

Pwn2Own 2021: Microsoft Exchange Server, macOS, Windows 10 dan Teams Diretas

by

Hari pertama Pwn2Own 2021 sama sekali tidak membosankan. Kami telah melihat kontestan menarik berbagai bug di platform seperti server Microsoft Exchange, Teams, Ubuntu, Windows 10, macOS, dll. Pemenang hari pertama telah mendapatkan lebih dari setengah juta dan akan menargetkan lebih banyak perangkat lunak besok seperti Zoom, Safari , Firefox, Chrome, dll.

Untuk diketahui, Pwn2Own adalah acara peretasan yang diadakan setiap tahun, dua kali sejak baru-baru ini, untuk memunculkan bug di perangkat lunak populer yang menghadap pengguna. Tim merah dan peretas independen yang mengungkap bug serius akan diberikan hadiah uang tunai, dengan tim / orang terakhir mendapatkan Tesla Model 3 beserta bountynya.

Pwn2Own tahun ini memiliki awal yang baik, dengan tim dari berbagai grup keamanan siber meluncurkan perangkat lunak populer seperti Windows 10, Ubuntu, Microsoft Teams, dll. Tim Devcore telah memenangkan uang tunai $ 200.000 dan 20 poin Master of Pwn untuk mencapai akses RCE ke server Microsoft Exchange dengan mengeksploitasi dua bug bypass otentikasi dan eskalasi hak istimewa lokal.

selengkapnya :techdator.net

Pusat keamanan siber Canberra mendapat lampu hijau

by

Ibu kota Australia, Canberra, membangun pusat keamanan siber untuk memajukan dan memamerkan keahlian kota sebagai ibu kota dunia maya di negara tersebut.

Pemerintah Australian Capital Territory (ACT) menginvestasikan $ 700.000 di Canberra Cyber Hub, yang juga bertujuan untuk memanfaatkan kemampuan dunia maya Canberra untuk menciptakan lebih banyak lapangan kerja dan lebih mendiversifikasi ekonomi ACT, sambil menumbuhkan sektor keamanan siber di wilayah tersebut.

Keamanan dunia maya adalah salah satu sektor dengan pertumbuhan tercepat di negara ini. Selama beberapa tahun ke depan, pengeluaran Australia di sektor ini diharapkan tumbuh 35 persen menjadi $ 7,6 miliar, sementara sekitar 7.000 pekerjaan keamanan siber tambahan akan tercipta.

Dr Michael Frater, sebelumnya dari University of New South Wales Canberra, akan memimpin pembentukan proyek Canberra Cyber Hub, yang akan berfokus pada empat tujuan utama:

  • mengembangkan jalur pelatihan keamanan siber Canberra
  • mempercepat SME untuk menumbuhkan koneksi dan menarik investasi
  • mempromosikan kemampuan penelitian ACT; dan
  • menampilkan kemampuan keamanan siber Canberra.

selengkapnya : www.smartcitiesworld.net

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

by

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

REvil ransomware sekarang mengubah kata sandi menjadi auto-login dalam Mode Aman

by

Perubahan terbaru pada REvil ransomware memungkinkan pelaku ancaman untuk mengotomatiskan enkripsi file melalui Safe Mode setelah mengubah sandi Windows.

Pada akhir Maret, sampel baru REvil ransomware ditemukan oleh peneliti keamanan R3MRUM yang menyempurnakan metode enkripsi Safe Mode baru dengan mengubah kata sandi pengguna yang masuk dan mengkonfigurasi Windows untuk masuk secara otomatis (auto-login) saat reboot.

Dengan contoh baru ini, ketika argumen -smode digunakan, ransomware akan mengubah kata sandi pengguna menjadi ‘DTrump4ever.’

Ransomware kemudian mengkonfigurasi nilai Registry berikut sehingga Windows secara otomatis akan login dengan informasi akun baru.

Meskipun tidak diketahui apakah sampel baru pengenkripsi ransomware REvil terus menggunakan kata sandi ‘DTrump4ever’, setidaknya dua sampel yang diunggah ke VirusTotal dalam dua hari terakhir terus melakukannya.

Perubahan ini menggambarkan bagaimana geng ransomware terus mengembangkan taktik mereka untuk berhasil mengenkripsi perangkat korban dan memaksa pembayaran tebusan.

REvil juga baru-baru ini memperingatkan bahwa mereka akan melakukan serangan DDoS pada korban dan mengirim email ke mitra bisnis korban tentang data yang dicuri jika uang tebusan tidak dibayarkan.

Sumber: Bleeping Computer

Cisco memperbaiki bug yang memungkinkan eksekusi kode jarak jauh dengan hak akses root

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kerentanan pra-otentikasi remote code execution (RCE) yang memengaruhi komponen manajemen jarak jauh SD-WAN vManage Software.

Perusahaan memperbaiki dua kerentanan keamanan tingkat tinggi lainnya dalam fungsi manajemen pengguna (CVE-2021-1137) dan transfer file sistem (CVE-2021-1480) dari produk yang sama yang memungkinkan penyerang untuk meningkatkan hak istimewa.

Eksploitasi yang berhasil dari kedua bug ini dapat memungkinkan pelaku ancaman yang menargetkan mereka untuk mendapatkan hak akses root pada sistem operasi yang mendasarinya.

Cacat keamanan kritis yang dilacak sebagai CVE-2021-1479 menerima skor keparahan 9,8 / 10. Hal ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk memicu buffer overflow pada perangkat yang rentan dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan memengaruhi Cisco SD-WAN vManage rilis 20.4 dan yang lebih lama. Cisco telah membahasnya dalam pembaruan keamanan 20.4.1, 20.3.3, dan 19.2.4 yang diterbitkan hari ini dan menyarankan pelanggan untuk bermigrasi ke versi yang terbaru sesegera mungkin.

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Ransomware Cring baru menyerang perangkat Fortinet VPN yang belum ditambal

by

Kerentanan yang memengaruhi Fortinet VPN sedang dieksploitasi oleh jenis ransomware baru yang dioperasikan oleh manusia yang dikenal sebagai Cring untuk menerobos dan mengenkripsi jaringan perusahaan sektor industri.

Cring ransomware (juga dikenal sebagai Crypt3r, Vjiszy1lo, Ghost, Phantom) ditemukan oleh Amigo_A pada bulan Januari dan dilihat oleh tim CSIRT dari penyedia telekomunikasi Swiss, Swisscom.

Operator Cring menjatuhkan sampel Mimikatz yang disesuaikan, diikuti oleh CobaltStrike setelah mendapatkan akses awal dan menerapkan muatan ransomware dengan mengunduh menggunakan pengelola sertifikat Windows CertUtil yang sah untuk melewati perangkat lunak keamanan.

Seperti yang diungkapkan para peneliti Kaspersky dalam sebuah laporan yang diterbitkan kemarin, para penyerang mengeksploitasi server Fortigate SSL VPN yang terpapar Internet tanpa patch terhadap kerentanan CVE-2018-13379, yang memungkinkan mereka untuk menembus jaringan target mereka.

“Korban serangan ini termasuk perusahaan industri di negara-negara Eropa,” kata peneliti Kaspersky.

“Setidaknya dalam satu kasus, serangan ransomware mengakibatkan penghentian sementara proses industri karena server yang digunakan untuk mengontrol proses industri menjadi terenkripsi.”

Sumber: Kaspersky

Selengkapnya: Bleeping Computer

Google Forms dan Telegram disalahgunakan untuk mengumpulkan kredensial phishing

by

Peneliti keamanan mencatat peningkatan metode alternatif untuk mencuri data dari serangan phishing, karena penipu mendapatkan info yang dicuri melalui Google Forms atau bot Telegram pribadi.

Email tetap menjadi metode yang disukai untuk mengekstrak info yang dicuri, tetapi saluran ini menunjukkan tren baru dalam evolusi kit phishing.

Menganalisis perangkat phishing selama setahun terakhir, para peneliti di perusahaan keamanan siber Group-IB memperhatikan bahwa lebih banyak dari alat ini memungkinkan pengumpulan data pengguna yang dicuri menggunakan Google Forms dan Telegram.

Ini dianggap sebagai metode alternatif untuk memperoleh data yang disusupi dan menyumbang hampir 6% dari apa yang ditemukan oleh analis Grup-IB, sebuah bagian yang kemungkinan besar akan meningkat dalam jangka pendek.

Menyimpan info dalam file lokal di sumber daya phishing juga merupakan bagian dari metode eksfiltrasi alternatif dan menyumbang persentase tertinggi dari semuanya.

Sumber: Group-IB

Mengirim data curian yang dikumpulkan dari situs phishing ke Google Forms dilakukan melalui permintaan POST ke formulir online yang tautannya tertanam dalam kit phishing.

Dibandingkan dengan email, yang dapat diblokir atau dibajak dan lognya hilang, ini adalah metode yang lebih aman untuk mengekstrak informasi, kata Group – IB kepada BleepingComputer.

Selengkapnya: Bleeping Computer