Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

by Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

Nine meminta bantuan dari pemerintah setelah tertimpa serangan siber besar-besaran

by

Raksasa media Nine Entertainment Co telah meminta bantuan Direktorat Sinyal Australia setelah serangan siber besar menghantam sistem siarannya pada Minggu pagi.

Saat Nine bekerja untuk menyelesaikan masalah ini, Parlemen Australia juga menyelidiki potensi serangan siber di Canberra pada Minggu malam, yang memengaruhi ponsel cerdas dan tablet yang dikeluarkan pemerintah.

Asisten Menteri Pertahanan Andrew Hastie mengatakan pada Minggu malam bahwa dia “tidak terkejut” tentang serangan itu, yang menyebabkan masalah dengan operasi siaran langsung Nine dan sistem produksi cetak. Dia mengatakan itu adalah peringatan bagi semua bisnis bahwa mereka perlu mewaspadai potensi ancaman.

Seorang juru bicara Departemen Layanan Parlemen mengatakan pemerintah sedang bekerja untuk menyelidiki penyebab gangguan di Canberra, dengan Pusat Keamanan Siber Australia memberikan nasihat.

Direktur people and culter Nine, Vanessa Morley mengatakan perusahaan mungkin tidak dapat memulihkan sistem sepenuhnya untuk beberapa waktu dan menginstruksikan staf untuk bekerja dari rumah tanpa batas waktu. Asal dan motif serangan tidak jelas, tetapi tidak ada permintaan tebusan yang diajukan.

Sumber yang mengetahui diskusi di Nine mengatakan perusahaan telah melakukan pembicaraan dengan sejumlah besar pakar keamanan eksternal pada hari Minggu yang mengatakan mereka belum pernah melihat serangan semacam ini sebelumnya di Australia. Sumber tersebut mengatakan para ahli percaya itu adalah semacam ransomware yang kemungkinan dibuat oleh aktor yang disponsori negara.

Selengkapnya: Sydney Morning Herald

SolarWinds menambal bug eksekusi kode penting di Orion Platform

by

SolarWinds telah merilis pembaruan keamanan untuk mengatasi empat kerentanan yang memengaruhi platform pemantauan TI Orion perusahaan, dua di antaranya memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh.

Platform Orion adalah solusi administrasi TI yang memungkinkan organisasi perusahaan untuk mengelola, mengoptimalkan, dan memantau infrastruktur TI lokal, hibrid, atau perangkat lunak sebagai layanan (SaaS) mereka.

SolarWinds juga menyertakan beberapa peningkatan keamanan dalam rilis Platform Orion baru ini, termasuk:

-Peningkatan pencegahan Orion XSS dan perbaikan terkait.
-Perbaikan saluran komunikasi untuk layanan SolarWinds internal.
-Perlindungan UAC DB Manager
-AngularJS ditingkatkan ke 1.8.0
-Moment.JS ditingkatkan ke 2.29.1
-Administrator dapat menyebarkan pembaruan keamanan dan peningkatan keamanan tambahan dengan menginstal rilis Platform Orion 2020.2.5.

sumber : www.bleepingcomputer.com

Hacker Iran Menggunakan Perangkat Lunak Utilitas Jarak Jauh untuk Memata-matai Sasarannya

by

Peretas yang diduga memiliki hubungan dengan Iran secara aktif menargetkan akademisi, lembaga pemerintah, dan entitas pariwisata di Timur Tengah dan kawasan tetangga sebagai bagian dari kampanye spionase yang ditujukan untuk pencurian data.

Dijuluki “Earth Vetala” oleh Trend Micro, temuan terbaru memperluas penelitian sebelumnya yang diterbitkan oleh Anomali bulan lalu, yang menemukan bukti aktivitas jahat yang ditujukan pada badan pemerintah UEA dan Kuwait dengan mengeksploitasi alat manajemen jarak jauh ScreenConnect.

Perusahaan keamanan siber mengaitkan serangan yang sedang berlangsung dengan keyakinan sedang dengan aktor ancaman yang secara luas dilacak sebagai MuddyWater, sebuah kelompok peretas Iran yang dikenal karena serangannya terutama terhadap negara-negara Timur Tengah.

Earth Vetala dikatakan telah memanfaatkan email spear-phishing yang berisi tautan tertanam ke layanan berbagi file populer yang disebut Onehub untuk mendistribusikan malware yang berkisar dari utilitas pembuangan kata sandi hingga pintu belakang khusus, sebelum memulai komunikasi dengan server perintah-dan-kontrol (C2) untuk menjalankan skrip PowerShell yang dikaburkan.

selengkapnya : thehackernews.com

Pembaruan Keamanan Apple

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan di beberapa produk. Penyerang dapat mengeksploitasi beberapa kerentanan ini untuk mengendalikan perangkat yang terpengaruh.

CISA mendorong pengguna dan administrator untuk meninjau halaman keamanan Apple untuk produk berikut dan menerapkan pembaruan yang diperlukan.

sumber : us-cert.cisa.gov

Ternyata Kampanye Peretasan Canggih Ini Sebenarnya Karya ‘Operator Pemerintah Barat’

by

Sebuah kampanye peretasan canggih yang sebelumnya disaksikan menargetkan kelemahan keamanan di perangkat Android, Windows dan iOS sebenarnya adalah pekerjaan “operasi pemerintah Barat” yang melakukan “counterterrorism operation,,” menurut laporan baru dari MIT Technology Review.

Kampanye tersebut, yang telah mendapatkan lebih banyak perhatian dari outlet media selama beberapa minggu terakhir, pertama kali ditulis pada bulan Januari oleh tim riset ancaman Google Project Zero. Pada saat itu, semua yang diketahui publik adalah bahwa seseorang telah melakukan beberapa bisnis yang sangat rumit: kelompok “sangat canggih”, kemungkinan dikelola oleh “tim ahli”, bertanggung jawab untuk menargetkan banyak kerentanan zero-day (total keseluruhan kemudian berubah menjadi 11) di berbagai sistem operasi terkemuka, tulis para peneliti.

Kampanye peretasan ini, yang berlangsung selama sekitar sembilan bulan, menggunakan apa yang disebut metode “watering hole” — di mana pelaku ancaman menyuntikkan kode berbahaya ke situs web untuk secara efektif “menjebak jebakan” (pengunjung situs kemudian akan terinfeksi perangkat lunak perusak, yang memungkinkan peretas menargetkan dan meningkatkan penyusupan target tertentu).

Dari semua deskriptor ini, tanda-tanda secara alami menunjuk pada keterlibatan semacam peretas negara-bangsa tingkat tinggi — meskipun hanya sedikit yang akan menduga bahwa pelakunya adalah, sebenarnya, teman kita! Namun demikian, tampaknya itulah masalahnya. Tidak jelas apa yang sebenarnya menjadi tanggung jawab pemerintah atas serangan tersebut, siapa targetnya, atau apa yang disebut operasi “kontraterorisme” terkait dengan semua ini. MIT belum membocorkan bagaimana mereka mendapatkan informasi ini.

Satu hal yang pasti: Penemuan Google dan pengungkapan publik berikutnya atas eksploitasi (serta keputusan perusahaan untuk menambal kerentanan) tampaknya telah menggagalkan operasi pemerintah apa pun yang terjadi. MIT menulis bahwa, dengan go public, perusahaan teknologi secara efektif menutup misi dunia maya “kontraterorisme langsung”, juga menambahkan bahwa “tidak jelas apakah Google memberikan pemberitahuan sebelumnya kepada pejabat pemerintah bahwa mereka akan mempublikasikan dan menghentikan” serangan tersebut. Hal ini rupanya “menyebabkan perpecahan internal di Google dan menimbulkan pertanyaan di dalam komunitas intelijen Amerika Serikat dan sekutunya”.

Ada banyak pertanyaan di sini, tentu saja. Pertama, pemerintah apa yang melakukan ini? Apa ancaman “teror” yang mereka selidiki? Situs web mana yang digunakan untuk mengejar teroris tersebut? Mengingat sifat politik sensitif dari jenis operasi ini, kecil kemungkinan kami akan mendapatkan jawaban untuk pertanyaan tersebut — setidaknya tidak langsung. Tetapi karena informasi yang tersedia sangat sedikit, juga cukup sulit untuk memahami apakah Project Zero dibenarkan dalam menjalankan operasi tersebut atau tidak, atau bahkan apa yang terjadi di sini.

sumber : gizmodo.com

Spyware baru di Android berpura-pura menjadi pembaruan sistem untuk ponsel Anda

by

Tambalan bulanan Google membantu menjaga Android tetap aman dari serangan jahat (dengan asumsi pabrikan ponsel Anda bersedia mengirimkan pembaruan tepat waktu). Selama Anda berhati-hati saat mengunduh aplikasi dari luar Play Store, menjaga keamanan perangkat Anda cukup mudah akhir-akhir ini, bahkan saat penyerang baru mencoba menyebarkan virus berbahaya. Minggu ini, peneliti keamanan seluler telah menemukan spyware yang berpura-pura sebagai pembaruan sistem, hanya untuk mengambil kendali penuh atas smartphone setelah diinstal.

Malware, yang pertama kali ditemukan oleh perusahaan keamanan Zimperium, ternyata sangat canggih. Setelah dipasang melalui aplikasi yang dibundel di luar Play Store, itu menutupi dirinya sendiri menggunakan pemberitahuan yang sama dengan pembaruan terverifikasi dari Google. Setelah aktif, tidak ada yang aman dari sentuhannya: Spyware ini dapat melihat dan mengunggah pesan, kontak, riwayat pencarian, dan bookmark. Itu dapat melacak lokasi, mengambil foto menggunakan kamera, merekam panggilan telepon dan audio eksternal, dan bahkan mencuri konten yang disalin dari clipboard Anda.

selengkapnya : www.androidpolice.com

Operator A.S. Memperbaiki Kerentanan Perutean SMS yang Memungkinkan Peretas Membajak Teks

by

Operator besar di A.S. seperti Verizon, T-Mobile, dan AT&T telah membuat perubahan tentang bagaimana pesan SMS dirutekan untuk menghentikan kerentanan keamanan yang memungkinkan peretas untuk mengubah rute teks, menurut Motherboard.

Operator memperkenalkan perubahan tersebut setelah investigasi Motherboard minggu lalu mengungkapkan betapa mudahnya bagi peretas untuk mengubah rute pesan teks dan menggunakan informasi yang dicuri untuk membobol akun media sosial. Situs tersebut membayar peretas $ 16 untuk mengubah rute teks menggunakan alat perusahaan bernama Sakari, yang membantu bisnis dengan pemasaran massal.

Sakari menawarkan alat perutean teks dari sebuah perusahaan bernama Bandwidth, yang dipasok oleh perusahaan lain bernama NetNumber, mengakibatkan jaringan perusahaan yang membingungkan berkontribusi pada kerentanan yang membuat teks SMS terbuka untuk peretas (Motherboard memiliki informasi lebih lanjut tentang proses dalam aslinya artikel). Peretas yang disewa oleh Motherboard dapat mengakses alat Sakari tanpa otentikasi atau persetujuan dari target perutean ulang, berhasil mendapatkan teks dari telepon uji Motherboard.

Sakari dimaksudkan untuk memungkinkan bisnis mengimpor nomor telepon mereka sendiri untuk mengirim teks massal, yang berarti bisnis dapat menambahkan nomor telepon untuk mengirim dan menerima teks melalui platform Sakari. Peretas dapat menyalahgunakan alat ini dengan mengimpor nomor telepon korban untuk mendapatkan akses ke pesan teks orang tersebut.

Aerialink, sebuah perusahaan komunikasi yang membantu merutekan pesan teks, mengatakan hari ini mengatakan bahwa operator nirkabel tidak lagi mendukung teks SMS atau MMS yang memungkinkan pada nomor nirkabel, sesuatu yang “mempengaruhi semua penyedia SMS di ekosistem seluler.” Ini akan mencegah peretasan yang ditunjukkan oleh Motherboard minggu lalu agar tidak berfungsi.

Tidak jelas apakah metode perutean ulang teks ini banyak digunakan oleh peretas, tetapi lebih mudah dilakukan daripada metode peretasan ponsel cerdas lainnya seperti pertukaran SIM. Seorang peneliti Security Research Labs mengatakan bahwa dia belum pernah melihatnya sebelumnya, sementara peneliti lain mengatakan itu “benar-benar” digunakan.

sumber : www.macrumors.com

Tagged With: