News 406 - Naga Cyber Defense

FBI memperingatkan Egregor ransomware yang memeras bisnis di seluruh dunia

January 8, 2021 by Winnie the Pooh

Biro Investigasi Federal AS (FBI) telah mengirimkan peringatan peringatan keamanan kepada perusahaan sektor swasta bahwa operasi ransomware Egregor secara aktif menargetkan dan memeras bisnis di seluruh dunia.

FBI mengatakan dalam TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Rabu bahwa Egregor mengklaim telah menyerang dan membahayakan lebih dari 150 korban sejak agensi tersebut pertama kali mengamati aktivitas jahat ini pada September 2020.

Email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP) yang tidak aman atau Virtual Private Networks adalah beberapa vektor serangan yang digunakan oleh aktor Egregor untuk mendapatkan akses dan bergerak secara lateral dalam jaringan korban mereka.

Egregor menggunakan Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner, dan AdFind untuk eskalasi hak istimewa dan pergerakan jaringan lateral.

FBI juga membagikan daftar langkah-langkah mitigasi yang direkomendasikan yang akan membantu mempertahankan diri dari serangan Egregor:

Cadangkan data penting secara offline.
Pastikan salinan data penting ada di cloud atau di hard drive eksternal atau perangkat penyimpanan.
Amankan cadangan Anda dan pastikan data tidak dapat diakses untuk modifikasi atau penghapusan dari sistem tempat data berada.
Instal dan perbarui perangkat lunak anti-virus atau anti-malware secara teratur di semua host.
Hanya gunakan jaringan yang aman dan hindari menggunakan jaringan Wi-Fi publik.
Gunakan otentikasi dua faktor dan jangan klik pada lampiran atau tautan yang tidak diminta dalam email.
Prioritaskan penambalan produk dan aplikasi akses jarak jauh yang dapat diakses publik, termasuk kerentanan RDP terbaru (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
Tinjau file .bat dan .dll yang mencurigakan, file dengan data pengintaian (seperti file .log), dan alat eksfiltrasi.
Konfigurasikan RDP secara aman dengan membatasi akses, menggunakan otentikasi multi-faktor atau kata sandi yang kuat.

Sumber: Bleeping Computer

Penulis malware Linux menggunakan crypter Ezuri Golang agar tidak terdeteksi

January 8, 2021 by Winnie the Pooh

Beberapa pembuat malware menggunakan crypter “Ezuri” dan loader memori untuk membuat kode mereka tidak terdeteksi oleh produk antivirus.

Menurut laporan yang dirilis oleh AT&T Alien Labs, beberapa pelaku ancaman menggunakan Ezuri crypter untuk mengemas malware mereka dan menghindari deteksi antivirus.

Meskipun malware Windows telah diketahui menyebarkan taktik serupa, pelaku ancaman sekarang menggunakan Ezuri untuk menyusup ke lingkungan Linux juga.

Ditulis dalam Go, Ezuri bertindak sebagai crypter dan loader untuk binari ELF (Linux). Menggunakan AES, Ezuri mengenkripsi kode malware dan, pada dekripsi, mengeksekusi muatan berbahaya secara langsung di dalam memori tanpa menghasilkan file apa pun di disk.

Sampel malware yang biasanya terdeteksi oleh sekitar 50% mesin antivirus di VirusTotal, menghasilkan 0 deteksi saat dienkripsi dengan Ezuri, pada saat penelitian AT&T.

Bahkan saat ini, seperti yang diamati oleh BleepingComputer, sampel yang dikemas dalam Ezuri memiliki tingkat deteksi kurang dari 5% pada VirusTotal.

Selama beberapa bulan terakhir, Caspi dan Martinez mengidentifikasi beberapa pembuat malware yang mengemas sampel mereka dengan Ezuri.

Ini termasuk grup kejahatan siber, TeamTnT, yang aktif setidaknya sejak April 2020.

Sumber: Bleeping Computer

Geng Ryuk Ransomware diperkirakan telah menghasilkan lebih dari $150 juta dari serangan ransomware

January 8, 2021 by Winnie the Pooh

Operator ransomware Ryuk diyakini telah mendapatkan Bitcoin senilai lebih dari $150 juta dari pembayaran tebusan setelah adanya gangguan di perusahaan di seluruh dunia.

Dalam laporan bersama yang diterbitkan hari ini, perusahaan ancaman intel, Advanced Intelligence dan perusahaan keamanan siber HYAS mengatakan mereka melacak pembayaran ke 61 alamat Bitcoin yang sebelumnya dikaitkan dan terkait dengan serangan ransomware Ryuk.

Apa yang menurut kedua perusahaan aneh adalah bahwa sementara kelompok ransomware lain biasanya menggunakan pertukaran yang kurang dikenal untuk menguangkan dana, Ryuk mengubah Bitcoin menjadi mata uang fiat nyata menggunakan akun di dua portal kripto yang sangat terkenal, seperti Binance dan Huobi, sebagian besar kemungkinan menggunakan identitas yang dicuri.

Angka terakhir datang dari Februari 2020, ketika pejabat FBI berbicara di konferensi keamanan RSA. Pada saat itu, FBI mengatakan bahwa Ryuk sejauh ini merupakan geng ransomware paling menguntungkan yang aktif, telah menghasilkan lebih dari $61,26 juta dari pembayaran tebusan antara Februari 2018 dan Oktober 2019, berdasarkan keluhan yang diterima oleh FBI Internet Crime Complaint. Pusat.

Dengan laporan hari ini dan angka $150 juta, jelas bahwa Ryuk telah mempertahankan posisinya di puncak, setidaknya, untuk saat ini.

Sumber: ZDNet

Serangan side-channel baru dapat memulihkan kunci enkripsi dari kunci keamanan Google Titan

January 8, 2021 by Winnie the Pooh

Duo peneliti keamanan Prancis telah menemukan kerentanan yang memengaruhi chip yang digunakan di dalam Google Titan dan kunci keamanan perangkat keras YubiKey.

Kerentanan memungkinkan pelaku ancaman untuk memulihkan kunci enkripsi utama yang digunakan oleh kunci keamanan perangkat keras untuk menghasilkan token kriptografi untuk operasi otentikasi dua faktor (2FA).

Setelah diperoleh, kedua peneliti keamanan tersebut mengatakan bahwa kunci enkripsi, kunci privat ECDSA, akan memungkinkan pelaku ancaman untuk mengkloning Titan, YubiKey, dan kunci lainnya untuk melewati prosedur 2FA.

Dalam laporan PDF 60 halaman, Victor Lomne dan Thomas Roche, peneliti NinjaLab yang berbasis di Montpellier, menjelaskan seluk-beluk serangan tersebut, yang juga dilacak sebagai CVE-2021-3011.

Untuk mengeksploitasi kunci keamanan Google Titan atau Yubico, penyerang harus terlebih dahulu mendapatkan kunci keamanan tersebut.

Biasanya, jenis serangan ini berada di luar jangkauan peretas biasa, tetapi peneliti keamanan memperingatkan bahwa pelaku ancaman tertentu, seperti badan intelijen tiga huruf, biasanya memiliki kemampuan untuk melakukan ini.

Mengenai tipe apa saja yang rentan, para peneliti mengatakan mereka menguji serangan mereka pada chip NXP A7005a, yang saat ini digunakan untuk model kunci keamanan berikut:

Kunci Keamanan Google Titan (semua versi)
Yubico Yubikey Neo
Feitian FIDO NFC USB-A / K9
Feitian MultiPass FIDO / K13
Feitian ePass FIDO USB-C / K21
Feitian FIDO NFC USB-C / K40

Sumber: ZDNet

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

January 8, 2021 by Winnie the Pooh

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet

Cobalt Strike dan Metasploit menyumbang seperempat dari total server C&C malware pada tahun 2020

January 8, 2021 by Winnie the Pooh

Cobalt Strike dan Metasploit, dua toolkit pengujian penetrasi yang biasanya digunakan oleh peneliti keamanan, telah digunakan untuk menghosting lebih dari seperempat dari semua server command and control (C&C) malware yang telah diterapkan pada tahun 2020,perusahaan intelijen ancaman Recorded Future mengatakan dalam sebuah laporan hari ini.

Perusahaan keamanan tersebut mengatakan telah melacak lebih dari 10.000 server C&C malware tahun lalu, di lebih dari 80 jenis malware.

Menurut Recorded Future, dua dari perangkat pengujian penetrasi ini sekarang telah menjadi dua teknologi teratas yang paling banyak digunakan untuk menghosting server C&C malware – yaitu Cobalt Strike (13,5% dari total server C&C malware 2020) dan Metasploit (dengan 10,5%).

Laporan Recorded Future juga melihat aspek lain dari operasi server C&C malware. Pengamatan lain termasuk:

Rata-rata, server perintah dan kontrol memiliki umur (yaitu, jumlah waktu server meng-host infrastruktur berbahaya) selama 54,8 hari.
Memantau hanya penyedia hosting “mencurigakan” yang dapat meninggalkan titik buta, karena 33% server C&C dihosting di AS, banyak di penyedia yang memiliki reputasi baik.
Penyedia hosting yang memiliki server perintah dan kontrol paling banyak pada infrastruktur mereka semuanya berbasis di AS: Amazon, Digital Ocean, dan Choopa.

sumber : ZDNET

Alipay di antara delapan aplikasi China yang dilarang dalam perintah eksekutif Trump terbaru

January 7, 2021 by Winnie the Pooh

Presiden Amerika Serikat Donald Trump yang akan keluar telah menandatangani perintah eksekutif baru, kali ini ditujukan pada delapan aplikasi Cina yang baru.

Delapan aplikasi tersebut adalah Alipay, CamScanner, QQ Wallet, SHAREit, Tencent QQ, VMate, WeChat Pay, dan WPS Office.

“Cepatnya dan meluasnya penyebaran aplikasi seluler dan desktop tertentu dan perangkat lunak lain di Amerika Serikat yang dikembangkan atau dikendalikan oleh orang-orang di Republik Rakyat Cina, termasuk Hong Kong dan Makau (Cina), terus mengancam keamanan nasional, kebijakan luar negeri, dan ekonomi Amerika Serikat,” perintah eksekutif menyatakan.

Melanjutkan pembenaran yang dia gunakan pada bulan Agustus ketika mengecam TikTok dan WeChat, Trump mengatakan delapan aplikasi tersebut dapat mengakses dan menangkap banyak informasi dari pengguna, termasuk informasi pribadi yang sensitif dan informasi pribadi.

Dia mengatakan pengumpulan data semacam itu mengancam untuk menyediakan Republik Rakyat China dan Partai Komunis China akses ke informasi pribadi dan kepemilikan orang Amerika, yang “akan mengizinkan China untuk melacak lokasi karyawan dan kontraktor federal, dan membuat dokumen informasi pribadi”.

Dengan demikian, perintah, yang dimulai dalam 45 hari, melarang transaksi apa pun oleh siapa pun, atau terkait dengan properti apa pun, tunduk pada yurisdiksi Amerika Serikat, dengan orang-orang yang mengembangkan atau mengendalikan delapan aplikasi perangkat lunak, atau dengan anak perusahaan mereka.

Sumber: ZDNet

Pembaruan Wajib Kebijakan Privasi WhatsApp Memungkinkan Data Pengguna Dibagikan Dengan Facebook

January 7, 2021 by Winnie the Pooh

Syarat dan kebijakan privasi terbaru WhatsApp memungkinkan aplikasi perpesanan populer tersebut untuk berbagi sejumlah besar data pengguna dengan Facebook.

Pengguna WhatsApp hari ini menerima pemberitahuan yang memberi tahu mereka tentang persyaratan layanan dan kebijakan privasi aplikasi yang diperbarui.

Pemberitahuan tersebut memberikan gambaran umum tentang tiga pembaruan utama, yang mencakup bagaimana WhatsApp memproses data pengguna, bagaimana bisnis dapat menggunakan layanan yang dihosting Facebook untuk menyimpan dan mengelola obrolan WhatsApp mereka, dan bagaimana WhatsApp akan segera bermitra dengan Facebook untuk menawarkan integrasi yang lebih dalam di semua produk perusahaan induk.

Perubahan, yang akan mulai berlaku pada 8 Februari 2021, bersifat wajib dan pengguna tidak akan dapat terus menggunakan WhatsApp kecuali mereka menerima persyaratan tersebut.

Persyaratan dan kebijakan privasi baru tampaknya dibuat berdasarkan perubahan yang diumumkan pada Juli 2020 lalu, namun pembaruan sebelumnya ini menawarkan kepada pengguna opsi untuk menahan informasi akun WhatsApp mereka agar tidak dibagikan dengan Facebook. Pembaruan terbaru menghilangkan opsi ini.

Pengguna yang menyetujui persyaratan yang diperbarui, informasi pribadi mereka seperti pendaftaran akun WhatsApp dan nomor telepon, data transaksi, informasi terkait layanan, informasi interaksi, informasi perangkat seluler, alamat IP, dan “informasi lain yang diidentifikasi … atau diperoleh setelah pemberitahuan kepada Anda atau berdasarkan persetujuan Anda,” akan dibagikan dengan Facebook.

Sumber: MacRumors

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings