News 408 - Naga Cyber Defense

Situs SolarLeaks mengklaim menjual data yang dicuri dalam serangan SolarWinds

January 13, 2021 by Winnie the Pooh

Sebuah situs web bernama ‘SolarLeaks’ menjual data yang mereka klaim dicuri dari perusahaan yang dipastikan telah dilanggar dalam serangan SolarWinds.

Bulan lalu, terungkap bahwa perusahaan manajemen jaringan SolarWinds mengalami serangan siber canggih yang menyebabkan serangan rantai pasokan yang memengaruhi 18.000 pelanggan.

Tanggal 12 Januari kemarin, situs web solarleaks[.]net diluncurkan yang mengklaim menjual data curian dari Microsoft, Cisco, FireEye, dan SolarWinds. Semua perusahaan ini diketahui telah dilanggar selama serangan rantai pasokan.

Situs web tersebut mengklaim menjual source code dan repositori Microsoft seharga $600.000. Microsoft mengonfirmasi bahwa pelaku ancaman telah mengakses source code mereka selama pelanggaran SolarWinds.

Dengan gaya yang mirip dengan Shadow Brokers, aktor SolarLeaks menyatakan bahwa mereka akan menjual data yang dicuri dalam batch, dan lebih banyak lagi akan dirilis di kemudian hari.

Domain solarleaks.net terdaftar melalui NJALLA, registrar yang dikenal digunakan oleh kelompok peretas Rusia, Fancy Bear dan Cozy Bear.

Saat melihat catatan WHOIS untuk solarleaks[.]Net, name server yang ditetapkan juga mengejek peneliti dengan pernyataan “You Can Get No Info”.

Tidak ada konfirmasi apakah situs ini sah dan apakah pemilik situs memiliki data yang mereka jual.

Artikel ini akan terus diperbarui ketika ada info baru mengenai hal ini.

Sumber: Bleeping Computer

Microsoft memperbaiki zero-day di Defender nya pada Januari 2021 Patch Tuesday

January 13, 2021 by Winnie the Pooh

Microsoft telah mulai meluncurkan set patch keamanan bulanan yang dikenal di industri sebagai Patch Tuesday.

Dalam pembaruan bulan ini, perusahaan yang berbasis di Redmond tersebut telah menambal total 83 kerentanan di berbagai produk, termasuk sistem operasi Windows, produk berbasis cloud, alat pengembang, dan enterprise servers.

Tetapi dari semua bug yang ditambal, yang paling penting adalah kerentanan zero-day di antivirus Microsoft Defender, yang menurut Microsoft telah dieksploitasi sebelum patch ini dirilis.

Dilacak sebagai CVE-2021-1647, kerentanan ini dideskripsikan sebagai bug eksekusi kode jarak jauh (RCE) yang memungkinkan pelaku ancaman untuk mengeksekusi kode pada perangkat yang rentan dengan menipu pengguna agar membuka dokumen berbahaya pada sistem tempat Defender diinstal.

Microsoft mengatakan bahwa meskipun eksploitasi terdeteksi di alam liar, teknik ini tidak berfungsi di semua situasi, dan masih dianggap berada pada tingkat proof-of-concept.

Selain zero-day Defender, Microsoft juga telah memperbaiki cacat keamanan di layanan splwow64 Windows yang dapat disalahgunakan untuk meningkatkan hak istimewa kode penyerang.

Detail tentang bug ini, dilacak sebagai CVE-2021-1648, dipublikasikan bulan lalu, pada 15 Desember, oleh proyek Zero-Day Initiative dari Trend Micro.

Administrator sistem disarankan untuk meninjau kembali dan menerapkan tambalan hari ini sesegera mungkin.

Sumber: ZDNet

Microsoft Sysmon sekarang mendeteksi upaya malware merusak suatu proses

January 13, 2021 by Winnie the Pooh

Microsoft telah merilis Sysmon 13 dengan fitur keamanan baru yang mendeteksi jika suatu proses telah dirusak menggunakan proses hollowing atau teknik proses herpaderping.

Proses hollowing adalah ketika malware meluncurkan proses yang sah dalam keadaan ditangguhkan dan mengganti kode yang sah dalam proses dengan kode berbahaya. Kode berbahaya ini kemudian dijalankan oleh proses, dengan izin apa pun yang ditetapkan untuk proses tersebut.

Proses herpaderping adalah teknik yang lebih canggih di mana malware mengubah image nya di disk agar terlihat seperti perangkat lunak yang sah setelah malware dimuat. Ketika perangkat lunak keamanan memindai file pada disk, itu akan melihat file yang tidak berbahaya sementara kode berbahaya berjalan di memori.

Jika Anda tidak terbiasa dengan Sysmon, atau System Monitor, itu adalah alat Sysinternals yang dirancang untuk memantau sistem untuk aktivitas berbahaya dan mencatat event tersebut ke event log Windows.

Anda dapat mengunduh Sysmon dari halaman Sysinternal khusus atau http://live.sysinternals.com/sysmon.exe.

Untuk mengaktifkan fitur deteksi gangguan proses, administrator perlu menambahkan opsi konfigurasi ‘ProcessTampering’ ke file konfigurasi. Sysmon hanya akan memantau kejadian dasar seperti pembuatan proses dan perubahan waktu file tanpa file konfigurasi.

Dengan mengaktifkan fitur ProcessTampering, saat proses hollowing atau proses herpaderping terdeteksi, Sysmon akan membuat entri ‘Event 25 – Process Tampering’ di Event Viewer.

Bagi Anda yang ingin mempelajari lebih lanjut tentang Sysmon, sangat disarankan agar Anda membaca dokumentasi di situs Sysinternals dan bermain-main dengan berbagai opsi konfigurasi.

Sumber: Bleeping Computer

Darknet Terbesar di Internet Baru Saja Diblokir

January 13, 2021 by Winnie the Pooh

Salah satu forum terbesar di internet untuk aktivitas kriminal, telah disita dan pria yang diyakini sebagai operatornya telah ditangkap, otoritas Eropa mengumumkan pada hari Selasa.

Hingga minggu ini, situs DarkMarket memiliki hampir setengah juta pengguna, lebih dari 200.000 re-sellers, dan dianggap sebagai salah satu tempat paling populer bagi penjahat yang ingin menukar obat-obatan, malware, data kartu kredit curian, dan kartu SIM secara digital.

Pihak berwenang, yang dipimpin oleh penegak hukum Jerman, berhasil mengganggu infrastruktur pasar, menyita lebih dari 20 server di Ukraina dan Moldova, tempat operasi tersebut tampaknya berada.

Para pejabat tidak memberikan rincian atas siapa yang ditangkap sehubungan dengan darknet — merujuk pada pria itu hanya sebagai “warga negara Australia” berusia 34 tahun yang tampaknya ditahan oleh polisi di suatu tempat dekat perbatasan Jerman-Denmark, lapor Barron.

Pemblokiran tersebut tampaknya merupakan bagian dari inisiatif penegakan hukum yang lebih besar yang menargetkan aktivitas darknet yang dimulai pada 2019 dengan pemblokiran layanan hosting CyberBunker, lapor Cyberscoop.

Para pejabat mengatakan pada hari Selasa bahwa informasi yang dikumpulkan dari penyitaan DarkMarket diharapkan akan mengarah pada penyelidikan lebih lanjut.

Sumber: Gizmodo

Malware Android ini mengklaim memberi peretas kendali penuh atas ponsel pintar Anda

January 13, 2021 by Winnie the Pooh

Kombinasi baru dari dua jenis malware yang lebih lama, yang memberi peretas akses ke hampir semua yang dilakukan pengguna di smartphone Android, dijual di forum bawah tanah hanya dengan $29,99 – bahkan menyediakan kemampuan untuk penjahat siber tingkat rendah sekalipun untuk mencuri data pribadi yang sensitif.

Remote administration tool (RAT) ‘Rogue’ menginfeksi korban dengan keylogger, memungkinkan penyerang untuk dengan mudah memantau penggunaan situs web dan aplikasi untuk mencuri nama pengguna dan kata sandi, serta data keuangan.

Malware tersebut mengancam spionase skala penuh pada perangkat dengan memantau lokasi GPS target, mengambil tangkapan layar, menggunakan kamera untuk mengambil gambar, secara diam-diam merekam audio dari panggilan dan banyak lagi.

Rogue telah dirinci oleh para peneliti keamanan siber di Check Point, yang mengatakan itu bukan bentuk malware yang sepenuhnya baru, melainkan kombinasi dari dua keluarga Android RAT sebelumnya – Cosmos dan Hawkshaw – dan mendemonstrasikan evolusi pengembangan malware di dark web.

Agar peretas berhasil menginstal Rogue, mereka dapat memilih metode infeksi, baik dengan phishing, melalui aplikasi jahat atau yang lainnya.

Setelah terpasang, Rogue akan mendaftarkan dirinya sebagai administrator perangkat dan menyembunyikan ikonnya dari layar beranda. Jika pengguna mencoba untuk mencabut kredensial administrator ini, sebuah pesan menanyakan “Apakah Anda yakin untuk menghapus semua data?”, sesuatu yang dapat membuat takut banyak orang untuk mencoba menghapus instalasi, takut mereka akan menghapus seluruh perangkat mereka.

Sumber: ZDNet

Google mengungkapkan operasi peretasan Windows dan Android yang canggih

January 13, 2021 by Winnie the Pooh

Google telah menerbitkan laporan enam bagian yang merinci operasi peretasan canggih yang terdeteksi oleh perusahaan tersebut pada awal 2020 dan yang menargetkan pemilik perangkat Android dan Windows.

Serangan itu dilakukan melalui dua server exploit yang memberikan rantai eksploitasi yang berbeda melalui serangan watering hole, kata Google.

“Satu server menargetkan pengguna Windows, yang lainnya menargetkan Android,” Project Zero, salah satu tim keamanan Google, mengatakan dalam posting pertama dari enam posting blog.

Google mengatakan bahwa kedua server exploit menggunakan kerentanan Google Chrome untuk mendapatkan pijakan awal pada perangkat korban. Setelah titik masuk awal dibuat di browser pengguna, penyerang menyebarkan exploit tingkat OS untuk mendapatkan kontrol lebih besar atas perangkat korban.

Rantai eksploitasi mencakup kombinasi kerentanan zero-day dan n-day.

Empat zero-day, yang semuanya ditambal pada musim semi 2020, adalah sebagai berikut:

CVE-2020-6418 – Kerentanan Chrome di TurboFan (diperbaiki pada Februari 2020)
CVE-2020-0938 – Kerentanan Font di Windows (diperbaiki pada April 2020)
CVE-2020-1020 – Kerentanan Font di Windows (diperbaiki pada April 2020)
CVE-2020-1027 – Kerentanan CSRSS Windows (diperbaiki pada April 2020)

“Rantai eksploitasi ini dibuat dengan baik, kode yang kompleks dengan berbagai metode eksploitasi baru, logging yang matang, teknik pasca-eksploitasi yang canggih dan diperhitungkan, serta pemeriksaan anti-analisis dan penargetan dalam jumlah besar,” kata Google.

Sumber: ZDNet

Jutaan Profil Sosial Dibocorkan oleh Data-Scrapers Cina

January 12, 2021 by Winnie the Pooh

Lebih dari 400GB data profil publik dan pribadi untuk 214 juta pengguna media sosial dari seluruh dunia telah terekspos ke internet – termasuk detail selebriti dan influencer media sosial di AS dan di tempat lain.

Kebocoran tersebut berasal dari database ElasticSearch yang salah dikonfigurasi yang dimiliki oleh perusahaan manajemen media sosial China, SocialArks, yang berisi informasi identitas pribadi (PII) dari pengguna Facebook, Instagram, LinkedIn, dan platform lain, menurut peneliti di Safety Detectives.

Server tersebut ditemukan terbuka tanpa perlindungan kata sandi atau enkripsi selama pemeriksaan alamat IP rutin pada database yang berpotensi tidak aman, kata para peneliti. Server tersebut dilaporkan berisi lebih dari 318 juta data secara total.

Data profil yang bocor termasuk 11.651.162 profil pengguna Instagram; 66.117.839 profil pengguna LinkedIn; 81.551.567 profil pengguna Facebook; dan 55.300.000 profil Facebook yang dihapus dalam beberapa jam setelah server terbuka ditemukan.

Data profil publik termasuk biografi, foto profil, total pengikut, pengaturan lokasi, detail kontak seperti alamat email dan nomor telepon, jumlah pengikut, jumlah komentar, tagar yang sering digunakan, nama perusahaan, posisi pekerjaan, dan lainnya.

Sumber: Threat Post

Malware Mac menggunakan AppleScripts ‘run-only’ untuk menghindari analisis

January 12, 2021 by Winnie the Pooh

Kampanye penambangan cryptocurrency yang menargetkan macOS menggunakan malware yang telah berevolusi menjadi varian kompleks yang memberi banyak masalah bagi para peneliti untuk menganalisisnya.

Malware ini dilacak sebagai OSAMiner dan telah berada di alam liar setidaknya sejak 2015. Namun, sulit untuk menganalisisnya karena payload diekspor sebagai file run-only AppleScript, yang membuat proses penguraiannya menjadi kode sumber menjadi sangat sulit.

Varian yang baru-baru ini diamati membuat analisis semakin sulit karena ia menyematkan run-only AppleScript ke dalam skrip lain dan menggunakan URL di halaman web publik untuk mengunduh penambang Monero yang sebenarnya.

OSAMiner biasanya menyebar melalui salinan game dan perangkat lunak bajakan, League of Legends dan Microsoft Office untuk macOS menjadi contoh yang lebih populer.

File AppleScript menyertakan sumber dan kode yang dikompilasi, tetapi mengaktifkan “run-only” hanya menyimpan versi yang dikompilasi sehingga kode yang dapat dibaca manusia tidak lagi tersedia, sehingga menghilangkan kemungkinan reverse engineering.

Pada akhir tahun 2020 peneliti keamanan di SentinelOne menemukan sampel baru OSAMiner yang memperumit “proses analisis yang sudah sulit”.

Namun, mereka dapat melakukan reverse engineering beberapa sampel yang mereka kumpulkan dengan menggunakan disassembler AppleScript yang kurang dikenal (Jinmo’s applescript-disassembler) dan alat dekompilasi yang dikembangkan secara internal yang disebut aevt_decompile.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings