Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

by

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet

Cobalt Strike dan Metasploit menyumbang seperempat dari total server C&C malware pada tahun 2020

by

Cobalt Strike dan Metasploit, dua toolkit pengujian penetrasi yang biasanya digunakan oleh peneliti keamanan, telah digunakan untuk menghosting lebih dari seperempat dari semua server command and control (C&C) malware yang telah diterapkan pada tahun 2020,perusahaan intelijen ancaman Recorded Future mengatakan dalam sebuah laporan hari ini.

Perusahaan keamanan tersebut mengatakan telah melacak lebih dari 10.000 server C&C malware tahun lalu, di lebih dari 80 jenis malware.

Menurut Recorded Future, dua dari perangkat pengujian penetrasi ini sekarang telah menjadi dua teknologi teratas yang paling banyak digunakan untuk menghosting server C&C malware – yaitu Cobalt Strike (13,5% dari total server C&C malware 2020) dan Metasploit (dengan 10,5%).

Laporan Recorded Future juga melihat aspek lain dari operasi server C&C malware. Pengamatan lain termasuk:

  • Rata-rata, server perintah dan kontrol memiliki umur (yaitu, jumlah waktu server meng-host infrastruktur berbahaya) selama 54,8 hari.
  • Memantau hanya penyedia hosting “mencurigakan” yang dapat meninggalkan titik buta, karena 33% server C&C dihosting di AS, banyak di penyedia yang memiliki reputasi baik.
  • Penyedia hosting yang memiliki server perintah dan kontrol paling banyak pada infrastruktur mereka semuanya berbasis di AS: Amazon, Digital Ocean, dan Choopa.

sumber : ZDNET

Alipay di antara delapan aplikasi China yang dilarang dalam perintah eksekutif Trump terbaru

by

Presiden Amerika Serikat Donald Trump yang akan keluar telah menandatangani perintah eksekutif baru, kali ini ditujukan pada delapan aplikasi Cina yang baru.

Delapan aplikasi tersebut adalah Alipay, CamScanner, QQ Wallet, SHAREit, Tencent QQ, VMate, WeChat Pay, dan WPS Office.

“Cepatnya dan meluasnya penyebaran aplikasi seluler dan desktop tertentu dan perangkat lunak lain di Amerika Serikat yang dikembangkan atau dikendalikan oleh orang-orang di Republik Rakyat Cina, termasuk Hong Kong dan Makau (Cina), terus mengancam keamanan nasional, kebijakan luar negeri, dan ekonomi Amerika Serikat,” perintah eksekutif menyatakan.

Melanjutkan pembenaran yang dia gunakan pada bulan Agustus ketika mengecam TikTok dan WeChat, Trump mengatakan delapan aplikasi tersebut dapat mengakses dan menangkap banyak informasi dari pengguna, termasuk informasi pribadi yang sensitif dan informasi pribadi.

Dia mengatakan pengumpulan data semacam itu mengancam untuk menyediakan Republik Rakyat China dan Partai Komunis China akses ke informasi pribadi dan kepemilikan orang Amerika, yang “akan mengizinkan China untuk melacak lokasi karyawan dan kontraktor federal, dan membuat dokumen informasi pribadi”.

Dengan demikian, perintah, yang dimulai dalam 45 hari, melarang transaksi apa pun oleh siapa pun, atau terkait dengan properti apa pun, tunduk pada yurisdiksi Amerika Serikat, dengan orang-orang yang mengembangkan atau mengendalikan delapan aplikasi perangkat lunak, atau dengan anak perusahaan mereka.

Sumber: ZDNet

Pembaruan Wajib Kebijakan Privasi WhatsApp Memungkinkan Data Pengguna Dibagikan Dengan Facebook

by

Syarat dan kebijakan privasi terbaru WhatsApp memungkinkan aplikasi perpesanan populer tersebut untuk berbagi sejumlah besar data pengguna dengan Facebook.

Pengguna WhatsApp hari ini menerima pemberitahuan yang memberi tahu mereka tentang persyaratan layanan dan kebijakan privasi aplikasi yang diperbarui.

Pemberitahuan tersebut memberikan gambaran umum tentang tiga pembaruan utama, yang mencakup bagaimana WhatsApp memproses data pengguna, bagaimana bisnis dapat menggunakan layanan yang dihosting Facebook untuk menyimpan dan mengelola obrolan WhatsApp mereka, dan bagaimana WhatsApp akan segera bermitra dengan Facebook untuk menawarkan integrasi yang lebih dalam di semua produk perusahaan induk.

Perubahan, yang akan mulai berlaku pada 8 Februari 2021, bersifat wajib dan pengguna tidak akan dapat terus menggunakan WhatsApp kecuali mereka menerima persyaratan tersebut.

Persyaratan dan kebijakan privasi baru tampaknya dibuat berdasarkan perubahan yang diumumkan pada Juli 2020 lalu, namun pembaruan sebelumnya ini menawarkan kepada pengguna opsi untuk menahan informasi akun WhatsApp mereka agar tidak dibagikan dengan Facebook. Pembaruan terbaru menghilangkan opsi ini.

Pengguna yang menyetujui persyaratan yang diperbarui, informasi pribadi mereka seperti pendaftaran akun WhatsApp dan nomor telepon, data transaksi, informasi terkait layanan, informasi interaksi, informasi perangkat seluler, alamat IP, dan “informasi lain yang diidentifikasi … atau diperoleh setelah pemberitahuan kepada Anda atau berdasarkan persetujuan Anda,” akan dibagikan dengan Facebook.

Sumber: MacRumors

Setelah menolak membayar tebusan, data sensitif dari distributor suku cadang mobil yang berbasis di AS dibocorkan oleh peretas

by

Arsip 3GB yang konon milik NameSouth, sebuah toko suku cadang mobil yang berbasis di AS, telah dibocorkan secara terbuka oleh grup ransomware NetWalker.

NameSouth tampaknya menjadi korban terbaru dari geng ransomware yang muncul sekitar tahun 2019. Target NetWalker tersebar di berbagai industri, dengan arsip data yang dicuri dari sekitar seratus bisnis yang menjadi korban yang diposting secara publik di situs web geng tersebut hingga saat ini.

Arsip NameSouth yang dibocorkan oleh NetWalker mencakup data rahasia perusahaan dan dokumen sensitif, termasuk data keuangan dan akuntansi, pernyataan kartu kredit, informasi pribadi karyawan, dan berbagai dokumen hukum.

Dilihat dari tanggal pembuatan file cadangan, arsip tersebut diambil dari jaringan NameSouth pada tanggal 26 November. Tampaknya data tersebut bocor beberapa hari kemudian, setelah perusahaan melewatkan tenggat waktu yang diberikan geng ransomware untuk membayar tebusan.

Geng ransomware NetWalker cenderung menawarkan data yang dibocorkan pasca-pelanggaran secara gratis, dan hanya memberi label harga setelah data diunduh beberapa kali. Ada kemungkinan besar bahwa cepat atau lambat, data rahasia perusahaan tersebut dapat digunakan oleh pihak yang jahat untuk tujuan jahat.

Sumber: Cyber News

Mozilla Firefox menonaktifkan tombol backspace untuk mencegah kehilangan data

by

Mozilla Firefox menonaktifkan tombol backspace browser untuk mencegah pengguna kehilangan data yang diketik ke dalam formulir secara tidak sengaja.

Pada tahun 2014, Google menghapus kemampuan untuk kembali ke halaman sebelumnya dengan menggunakan tombol backspace karena dapat menyebabkan hilangnya data yang dimasukkan ke dalam formulir di halaman saat ini.

Tujuh tahun lalu, Mozilla membuka posting bug untuk membahas apakah tombol backspace harus dinonaktifkan tetapi pada saat itu memutuskan untuk tidak membuat perubahan apa pun.

Lebih dari enam tahun kemudian, Mozilla akhirnya memutuskan untuk menerapkan perubahan ini setelah Firefox dan Internet Explorer 11 adalah satu-satunya browser yang mendukung pintasan keyboard ini.

“Untuk mencegah kehilangan data pengguna saat mengisi formulir, tombol Backspace sebagai pintasan navigasi untuk “Kembali satu halaman” sekarang dinonaktifkan. Untuk mengaktifkan kembali pintasan keyboard Backspace, Anda dapat mengubah about:config preference browser.backspace_action menjadi 0. Anda juga dapat menggunakan pintasan Alt + Left arrow (Command + Left arrow di Mac) sebagai gantinya,” Firefox Release Manager Pascal Chevrel ditambahkan ke catatan rilis Firefox Nightly 86.0a1.

Sumber: Bleeping Computer

NSA membagikan panduan, alat untuk mengurangi protokol enkripsi yang lemah

by

National Security Agency (NSA) telah membagikan panduan tentang cara mendeteksi dan mengganti versi protokol Transport Layer Security (TLS) yang sudah usang dengan varian terbaru dan aman.

Badan intelijen AS juga menyoroti bahaya di balik penggunaan TLS yang sudah tidak digunakan lagi termasuk risiko paparan data sensitif dan dekripsi lalu lintas jaringan dalam serangan man-in-the-middle.

“NSA merekomendasikan bahwa hanya TLS 1.2 atau TLS 1.3 yang digunakan dan SSL 2.0, SSL 3.0, TLS 1.0, dan TLS1.1 tidak digunakan”, bunyi panduan tersebut.

Sumber: NSA

Panduan NSA ditargetkan pada pemimpin keamanan siber Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB), serta analis keamanan jaringan dan administrator sistem.

Namun, karena risiko yang berasal dari enkripsi lemah protokol TLS yang tidak digunakan lagi memengaruhi semua jaringan, panduan ini harus diikuti oleh semua “pemilik dan operator jaringan” yang ingin mengurangi eksposur risiko dan memperkuat sistem mereka terhadap serangan menggunakan vektor serangan ini.

Lembar Informasi Keamanan Siber yang dirilis oleh NSA [PDF] memberikan informasi ekstensif untuk semua administrator jaringan tentang versi TLS yang tidak digunakan lagi, rangkaian sandi, dan mekanisme pertukaran kunci, serta konfigurasi TLS yang direkomendasikan, strategi deteksi, dan perbaikan.

Sumber: Bleeping Computer

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

by

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet