News 414 - Naga Cyber Defense

Malware Emotet menyerang Pusat Kesehatan Umum Nasional Lituania

December 31, 2020 by Winnie the Pooh

Jaringan internal Pusat Kesehatan Masyarakat Nasional (NVSC) Lituania dan beberapa kota telah terinfeksi malware Emotet setelah kampanye besar-besaran yang menargetkan lembaga negara bagian.

“Ketika penerima yang terinfeksi membuka pesan yang terinfeksi, virus memasuki jaringan internal institusi,” kata pejabat NVSC dalam sebuah pernyataan yang diterbitkan hari ini.

“Komputer yang terinfeksi, setelah mengunduh file tambahan, mulai mengirim email palsu atau terlibat dalam jenis aktivitas berbahaya lainnya.”

Pejabat pemerintah Lithuania, perwakilan kementerian, dan ahli diagnostik epidemiologi yang sebelumnya telah dihubungi oleh spesialis NVSC melalui email semuanya telah menerima email yang terinfeksi Emotet dari sistem yang terinfeksi.

Sistem email NVSC telah ditutup sementara pada hari Selasa untuk menghentikan penyebaran virus lebih lanjut.

Spesialis teknologi informasi NVSC, bersama dengan para ahli dari Pusat Telekomunikasi Negara Bagian dan Pusat Keamanan Siber Nasional saat ini bekerja untuk membersihkan sistem yang terkena infeksi Emotet, serta memulihkan email NVSC dan memulihkan akses email.

Ini adalah kampanye Emotet besar kedua yang menargetkan Lituania tahun ini, yang sebelumnya terdeteksi oleh NKSC pada bulan Oktober.

NKSC menerbitkan sebuah laporan pada saat itu yang merekomendasikan target potensial (termasuk namun tidak terbatas pada lembaga negara dan perusahaan) untuk mengaktifkan dan mengkonfigurasi otentikasi email Sender Policy Framework (SPF) dengan benar.

Sumber: Bleeping Computer

Data breach T-Mobile mengeskpos nomor telepon serta catatan panggilan

December 31, 2020 by Winnie the Pooh

T-Mobile telah mengumumkan pelanggaran data yang mengekspos informasi jaringan milik pelanggan (CPNI), termasuk nomor telepon dan catatan panggilan.

Mulai kemarin, T-Mobile mulai mengirim pesan kepada pelanggan nya bahwa “insiden keamanan” membongkar informasi akun mereka.

Menurut T-Mobile, tim keamanannya baru-baru ini menemukan “akses tidak sah dan berbahaya” ke sistem mereka. Setelah membawa firma keamanan siber untuk melakukan penyelidikan, T-Mobile menemukan bahwa pelaku ancaman memperoleh akses ke informasi telekomunikasi yang dihasilkan oleh pelanggan, yang dikenal sebagai CPNI.

Informasi yang terungkap dalam pelanggaran ini termasuk nomor telepon, catatan panggilan, dan jumlah saluran pada akun.

T-Mobile menyatakan bahwa pelanggaran data ini tidak mengungkap nama pemegang akun, alamat fisik, alamat email, data keuangan, informasi kartu kredit, nomor jaminan sosial, ID pajak, kata sandi, atau PIN.

Dalam sebuah pernyataan kepada BleepingComputer, T-Mobile menyatakan bahwa pelanggaran ini mempengaruhi “sejumlah kecil pelanggan (kurang dari 0,2%)”. T-Mobile memiliki sekitar 100 juta pelanggan, yang setara dengan sekitar 200.000 orang yang terkena dampak pelanggaran ini.

Sumber: Bleeping Computer

Worm baru mengubah server Windows, Linux menjadi penambang Monero

December 31, 2020 by Winnie the Pooh

Sebuah Malware berbasis Golang yang baru ditemukan dan menyebar sendiri telah secara aktif menjatuhkan penambang cryptocurrency XMRig di server Windows dan Linux sejak awal Desember.

Malware multi-platform ini juga memiliki kemampuan worm yang memungkinkannya menyebar ke sistem lain dengan melakukan brute-forcing pada layanan publik (mis., MySQL, Tomcat, Jenkins, dan WebLogic) dengan sandi yang lemah seperti yang diungkapkan oleh peneliti keamanan Intezer Avigayil Mechtinger.

Para penyerang di balik kampanye ini telah secara aktif memperbarui kemampuan worm melalui server command-and-control (C2) sejak pertama kali terlihat yang mengisyaratkan malware yang dipelihara secara aktif.

Server C2 digunakan untuk meng-host skrip bash atau PowerShell dropper (tergantung pada platform yang ditargetkan), worm berbasis Golang, dan penambang XMRig dikerahkan untuk secara diam-diam menambang cryptocurrency Monero yang tidak dapat dilacak pada perangkat yang terinfeksi.

Malware secara otomatis akan mati sendiri jika mendeteksi bahwa sistem yang terinfeksi mendengarkan pada port 52013. Jika port tersebut tidak digunakan, worm akan membuka soket jaringannya sendiri.

Untuk bertahan dari serangan brute force yang diluncurkan oleh worm multi-platform baru ini, Anda harus membatasi login dan menggunakan sandi yang sulit ditebak pada semua layanan yang terpapar Internet, serta otentikasi dua faktor jika memungkinkan.

Sumber: Bleeping Computer

Peretas negara Korea Utara meretas entitas penelitian COVID-19

December 30, 2020 by Winnie the Pooh

Peretas negara Korea Utara yang dilacak sebagai Lazarus Group baru-baru ini membobol organisasi yang terlibat dalam penelitian dan pengembangan vaksin COVID-19.

Untuk melakukan itu, mereka menyusup ke jaringan perusahaan farmasi dan kementerian kesehatan pemerintah pada bulan September dan Oktober.

Setelah menyusup ke jaringan mereka, peretas negara bagian Korea Utara menyebarkan Bookcode (secara eksklusif digunakan oleh Lazarus) dan malware wAgent dengan kemampuan backdoor.

Dalam serangan yang terjadi pada 27 Oktober, malware wAgent memiliki “skema infeksi yang sama dengan malware yang digunakan oleh grup Lazarus sebelumnya dalam serangan terhadap bisnis cryptocurrency.”

Dalam serangan yang menargetkan perusahaan farmasi mulai 25 September, operator Lazarus menggunakan malware Bookcode untuk mengumpulkan informasi sistem, “registri sam dump yang berisi hash sandi”, dan info Active Directory.

Meskipun di masa lalu para peretas menyebarkan malware ini dalam serangan rantai pasokan dan melalui spearphishing, dalam hal ini vektor serangan tidak ditemukan.

Kaspersky tidak mengungkapkan identitas perusahaan farmasi yang dikompromikan dalam serangan ini, tetapi mereka mengatakan bahwa mereka terlibat dalam pengembangan vaksin COVID-19 dan juga “diberi wewenang untuk memproduksi dan mendistribusikan vaksin COVID-19”.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

December 30, 2020 by Winnie the Pooh

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer

Situs ‘WeLeakInfo’: Polisi Inggris Menangkap 21 Orang yang Diduga adalah Pengguna

December 30, 2020 by Winnie the Pooh

Badan Kejahatan Nasional Inggris mengatakan 21 orang telah ditangkap karena dicurigai membeli informasi identitas pribadi dari situs WeLeakInfo. Pihak berwenang mengatakan situs tersebut menyediakan akses ke lebih dari 12 miliar catatan pribadi yang diambil dari 10.000 pelanggaran data.

Penangkapan, yang berlangsung selama lima minggu mulai bulan November, adalah bagian dari penyelidikan yang sedang berlangsung yang berasal dari penyitaan situs WeLeakInfo pada bulan Januari oleh lembaga penegak hukum dari AS, Inggris, dan Uni Eropa.

Selama beroperasi, domain WeLeakInfo mengembangkan reputasi untuk menjual nama, alamat email, nama pengguna, nomor telepon, dan kata sandi untuk akun online kepada penjahat, yang dapat membeli langganan hanya dengan $2 sehari, menurut Departemen Kehakiman AS (DOJ), yang membantu memfasilitasi penyitaan situs tersebut pada bulan Januari.

WeLeakInfo berfungsi sebagai database dan mesin pencari, mengindeks data yang dicuri untuk memudahkan pelanggan mencari melalui data yang dicuri, kata DOJ.

Para ahli mengatakan bahwa basis data terlalu sering membantu penjahat terlibat dalam apa yang disebut dengan serangan credential stuffing, di mana kredensial yang bocor dari pelanggaran satu situs dapat digunakan untuk mendapatkan akses ke situs lain.

21 orang yang ditangkap di Inggris diduga menggunakan situs WeLeakInfo untuk berbagai tujuan, termasuk pembelian dan penjualan alat siber berbahaya seperti Trojan akses jarak jauh, alias RAT, serta untuk membeli “cryptors”, yang dapat digunakan untuk mengaburkan kode di malware, menurut NCA.

Sumber: Data Breach Today

930.000 data Anak-Anak dalam Pelanggaran Data dari Yayasan Amal Bill & Melinda Gates, GetSchooled

December 30, 2020 by Winnie the Pooh

Financial Times adalah yang pertama merilis berita (29 Desember 2020) mengenai pelanggaran data yang terjadi pada GetSchooled, sebuah badan amal yang didirikan oleh Bill & Melinda Gates Foundation yang bekerja sama dengan Viacom.

Pelanggaran ini terjadi saat GetSchooled (getschooled.com) membiarkan database mereka terbuka dan dapat diakses oleh siapa saja dengan browser dan koneksi internet.

Menurut TurgenSec, pelanggaran data tersebut berdampak pada 930 ribu individu, terdiri dari anak-anak (10-16 tahun), beberapa adalah dewasa muda, dan beberapa mahasiswa.

Informasi yang dibobol berisi detail pribadi ekstensif anak-anak, remaja, dan dewasa muda termasuk: alamat lengkap, sekolah, PII siswa lengkap termasuk nomor telepon dan email siswa, detail kelulusan, usia, jenis kelamin, dan banyak lagi.

Pelanggaran tersebut diungkapkan oleh TurgenSec (turgensec.com) kepada GetSchooled pada tanggal 18 November 2020 dan GetSchooled menutup pelanggaran pada tanggal 21 Desember, lebih dari sebulan kemudian.

Menurut Financial Times, Get Schooled membantah ukuran pelanggaran, dengan mengatakan bahwa hanya sekitar 250.000 akun dibiarkan terbuka. Mereka menambahkan bahwa di bawah sepertiga dari akun tersebut, sekitar 75.000, ditautkan ke alamat email yang tetap aktif. Diperkirakan sekitar 20.000 nomor telepon dan 12.000 alamat surat dapat diakses, tetapi tidak ada tanggal lahir atau rincian keuangan yang dimasukkan dalam database yang telah disusupi.

Sumber: Threat Technology

Microsoft: Tujuan peretas SolarWinds adalah data cloud para korban

December 30, 2020 by Winnie the Pooh

Seperti yang dijelaskan oleh Tim Defender Microsoft 365, setelah menyusup ke jaringan target dengan bantuan backdoor Sunburst, tujuan penyerang dibalik peretasan SolarWinds adalah untuk mendapatkan akses ke aset cloud korban.

“Dengan pijakan awal yang tersebar luas ini, para penyerang kemudian dapat memilih organisasi tertentu yang ingin mereka terus operasikan (sementara yang lain tetap menjadi pilihan kapan saja selama backdoor dipasang dan tidak terdeteksi)”, jelas Microsoft.

Artikel Microsoft sebelumnya tentang serangan rantai pasokan SolarWinds dan panduan dari Badan Keamanan Nasional (NSA) juga mengisyaratkan fakta bahwa tujuan akhir penyerang adalah menghasilkan token SAML (Security Assertion Markup Language) untuk memalsukan token otentikasi yang memungkinkan akses ke sumber daya cloud.

Microsoft juga merinci prosedur langkah demi langkah yang digunakan oleh penyerang untuk mendapatkan akses ke aset cloud korban mereka:

Menggunakan SolarWinds DLL yang telah dikompromikan untuk mengaktifkan backdoor yang memungkinkan penyerang untuk mengontrol dan mengoperasikan perangkat dari jarak jauh

Menggunakan akses backdoor untuk mencuri kredensial, meningkatkan hak istimewa, dan bergerak secara lateral untuk mendapatkan kemampuan membuat token SAML yang valid menggunakan salah satu dari dua metode berikut:
1. Mencuri sertifikat penandatanganan SAML (Jalur 1)
2. Menambahkan atau mengubah kepercayaan federasi yang sudah ada (Jalur 2)

Menggunakan token SAML yang dibuat penyerang untuk mengakses sumber daya cloud dan melakukan tindakan yang mengarah ke eksfiltrasi email dan persistensi di cloud

NSA merekomendasikan penerapan otentikasi multi-faktor, menghapus aplikasi yang tidak perlu dengan kredensial, menonaktifkan otentikasi lama, dan menggunakan Modul Keamanan Perangkat Keras (HSM) yang memvalidasi FIPS untuk mengamankan private key.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings