News 419 - Naga Cyber Defense

Target UEA serangan cyber setelah kesepakatan Israel, kata pejabat

December 11, 2020 by Winnie the Pooh

DUBAI (Reuters) – Uni Emirat Arab menjadi sasaran serangan dunia maya setelah menjalin hubungan formal dengan Israel, kata kepala keamanan dunia maya negara Teluk Arab itu pada Minggu.

UEA pada bulan Agustus memutuskan hubungan dengan kebijakan Arab selama beberapa dekade ketika setuju untuk menjalin hubungan dengan Israel dalam sebuah tindakan yang membuat marah warga Palestina dan beberapa negara dan komunitas Muslim. Bahrain dan Sudan mengikuti.

Kuwaiti mengatakan sektor keuangan menjadi sasaran tetapi tidak merinci lebih lanjut. Dia tidak mengatakan apakah ada serangan yang berhasil atau memberikan rincian siapa pelakunya. Dia juga mengatakan pada konferensi bahwa jumlah serangan dunia maya di UEA meningkat tajam setelah dimulainya pandemi virus korona. Kuwait mengatakan secara tradisional banyak serangan di kawasan itu berasal dari Iran, tanpa menyebutkan siapa yang berada di belakangnya.

Iran juga mengatakan telah menjadi korban peretasan.

sumber : Reuters

Gedung Putih merancang perintah eksekutif yang dapat membatasi perusahaan komputasi Cloud global

December 11, 2020 by Winnie the Pooh

Pemerintahan Trump sedang mempertimbangkan perintah eksekutif yang akan membiarkan pemerintah membatasi operasi internasional perusahaan komputasi cloud AS seperti Amazon dan Microsoft dalam upaya melindungi dari serangan siber asing, kata orang-orang yang mengetahui masalah tersebut kepada POLITICO. Perintah eksekutif akan memungkinkan Departemen Perdagangan untuk melarang penyedia cloud AS bermitra dengan perusahaan cloud asing yang menawarkan tempat berlindung yang aman bagi peretas dan memberi Menteri Perdagangan kemampuan untuk melarang penyedia asing tersebut beroperasi di AS, empat orang mengatakan kepada POLITICO.

Draf perintah tersebut dirancang untuk mencegah aktor asing yang berniat jahat menggunakan penyedia layanan cloud untuk melakukan serangan dunia maya dengan cepat dan tanpa nama, menurut tiga orang yang mengetahui perintah tersebut. Hal ini juga akan memberi AS mekanisme lain untuk menjaga China, yang telah berulang kali dianggap oleh pejabat AS sebagai ancaman ekonomi dan keamanan, dan yang telah dijadikan prioritas utama oleh Presiden Donald Trump dalam pemerintahannya.

Seorang pejabat AS mengatakan kepada POLITICO bahwa pemerintah tidak akan secara teratur membatasi operasi perusahaan komputasi cloud Amerika di luar negeri, melainkan menggunakan perintah eksekutif sebagai alat lain untuk mengatasi potensi ancaman keamanan siber. Perusahaan teknologi AS khawatir perintah eksekutif yang diusulkan, jika diterapkan secara luas, dapat memberi pemerintah kekuatan baru untuk ikut campur dalam transaksi bisnisnya di luar negeri dan memperumit hubungannya dengan banyak pemerintah asing. Perintah eksekutif, jika itu terjadi, dapat menimbulkan masalah bagi perusahaan dengan bisnis yang ada di China atau mereka yang ingin memasuki pasar yang sangat menguntungkan. Pejabat AS tersebut mengatakan bahwa perintah eksekutif tidak diminta oleh China saja, tetapi bahwa pemerintah memiliki kekhawatiran khusus tentang peretas dan perusahaan cloud China. Nahal Toosi berkontribusi untuk laporan ini.

sumber : Politico

Ransomware RegretLocker baru menargetkan mesin virtual Windows

December 11, 2020 by Winnie the Pooh

Ransomware baru bernama RegretLocker menggunakan berbagai fitur canggih yang memungkinkannya mengenkripsi hard drive virtual dan menutup file yang terbuka untuk enkripsi. RegretLocker ditemukan pada bulan Oktober dan merupakan ransomware sederhana dalam hal tampilan karena tidak berisi catatan tebusan bertele-tele dan menggunakan email untuk komunikasi daripada situs pembayaran Tor. Saat mengenkripsi file, itu akan menambahkan ekstensi .mouse yang terdengar tidak berbahaya ke nama file yang dienkripsi.

Apa yang kurang dalam penampilannya, bagaimanapun, itu menggantikan fitur-fitur canggih yang biasanya tidak kita lihat dalam infeksi ransomware, seperti di bawah ini.

RegretLocker memasang hard disk virtual. Saat membuat mesin virtual Windows Hyper-V, hard disk virtual dibuat dan disimpan dalam file VHD atau VHDX. File hard disk virtual ini berisi image disk mentah, termasuk tabel partisi dan partisi drive, dan seperti drive disk biasa, ukurannya dapat berkisar dari beberapa gigabyte hingga terabyte. Ketika ransomware mengenkripsi file di komputer, tidak efisien untuk mengenkripsi file besar karena memperlambat kecepatan seluruh proses enkripsi.

Dalam sampel ransomware yang ditemukan oleh MalwareHunterTeam dan dianalisis oleh Vitali Kremez dari Intel Canggih, RegretLocker menggunakan teknik menarik untuk memasang file disk virtual sehingga setiap filenya dapat dienkripsi secara individual. Setelah drive virtual dipasang sebagai disk fisik di Windows, ransomware dapat mengenkripsi masing-masing satu per satu, yang meningkatkan kecepatan enkripsi. Selain menggunakan Virtual Storage API, RegretLocker juga menggunakan Windows Restart Manager API untuk menghentikan proses atau layanan Windows yang membuat file tetap terbuka selama enkripsi. Saat menggunakan API ini, Kremez memberi tahu BleepingComputer jika nama suatu proses berisi ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’, atau ‘svchost.exe’, ransomware tidak akan menghentikannya. Daftar pengecualian ini kemungkinan besar digunakan untuk mencegah penghentian program kritis atau yang digunakan oleh pelaku ancaman untuk mengakses sistem yang dikompromikan.

Fitur Windows Restart Manager hanya digunakan oleh beberapa ransomware seperti REvil (Sodinokibi), Ryuk, Conti, ThunderX / Ako, Medusa Locker, SamSam, dan LockerGoga. RegretLocker tidak terlalu aktif saat ini, tetapi ini adalah keluarga baru yang perlu kita awasi.

sumber : BleepingComputer

250.000 database MySQL curian dijual di situs lelang dark web

December 11, 2020 by Winnie the Pooh

Peretas telah menyiapkan situs lelang di dark web untuk menjual 250.000 database yang dicuri dari puluhan ribu server MySQL yang dibobol.

Seluruh koleksi berukuran tujuh terabyte dan merupakan bagian dari database ransom business yang tercatat naik tajam sejak Oktober.

Kembali pada bulan Mei, BleepingComputer melaporkan tentang penyerang yang mencuri database SQL dari toko online dan mengancam korban bahwa data mereka akan diketahui publik jika mereka tidak membayar 0,06 BTC.

Peneliti di Guardicore memantau skema tersebut sepanjang tahun dan melihat peningkatan tajam dalam aktivitas sejak 3 Oktober.

Penyerang telah berpindah dari clear web ke dark web, membuat situs lelang yang mencantumkan 250.000 basis data dari 83.000 server yang dibobol yang terungkap di web publik.

Basis data MySQL yang dijual di situs lelang berukuran mulai dari 20 byte hingga gigabyte, dan ditawarkan dengan jumlah yang sama – 0,03 bitcoin atau $ 545 dengan harga saat ini.

Dalam laporannya, Guardicore menegaskan bahwa hasil data dari serangan otomatis non-target yang menggunakan brute force untuk mendapatkan akses ke data.

Admin harus menghindari mengekspos database, jika memungkinkan, atau setidaknya mengaktifkan akses ke database tersebut melalui koneksi non publik yang aman, dan melengkapi pertahanan ini dengan visibilitas jaringan yang baik.

Sumber: Bleeping Computer

Peretas dapat menggunakan koneksi server tidak aman WinZip untuk menjatuhkan malware

December 11, 2020 by Winnie the Pooh

Komunikasi klien-server dalam versi tertentu dari alat kompresi file WinZip tidak aman dan dapat dimodifikasi untuk menyajikan malware atau konten palsu kepada pengguna.

WinZip telah menjadi utilitas lama bagi pengguna Windows dengan kebutuhan pengarsipan file di luar dukungan yang dibangun di dalam sistem operasi.

WinZip saat ini di versi 25 tetapi rilis sebelumnya memeriksa server untuk pembaruan melalui koneksi yang tidak terenkripsi, kelemahan yang dapat dieksploitasi oleh aktor jahat.

Martin Rakhmanov dari Trustwave SpiderLabs menangkap lalu lintas dari versi alat yang rentan untuk menunjukkan komunikasi yang tidak terenkripsi.

Mengingat sifat saluran komunikasi yang tidak aman, Rakhmanov mengatakan bahwa lalu lintas dapat “dirampas, dimanipulasi, atau dibajak” oleh penyerang di jaringan yang sama dengan pengguna WinZip.

Satu risiko yang berasal dari tindakan ini adalah DNS poisoning, yang mengelabui aplikasi agar mengambil pembaruan palsu dari server web jahat.

Pada versi WinZip yang rentan, penyerang juga dapat memperoleh informasi yang berpotensi sensitif seperti nama pengguna dan kode pendaftaran.

Peneliti mengatakan bahwa skenario ini juga disertai dengan risiko mengeksekusi kode arbitrary pada mesin korban karena WinZip menawarkan beberapa API “kuat” ke JavaScript.

Dengan dirilisnya WinZip 25, komunikasi cleartext tidak lagi terjadi. Pengguna disarankan untuk memperbarui ke versi yang terbaru.

Sumber: Bleeping Computer

Kerentanan eksekusi kode jarak jauh ditemukan di platform seluler Starbucks

December 11, 2020 by Winnie the Pooh

Bug potensial eksekusi kode jarak jauh (RCE) telah ditambal di salah satu domain seluler Starbucks.

Raksasa kopi AS menjalankan platform bug bounty di HackerOne. Laporan kerentanan baru yang dikirimkan oleh Kamil “ko2sec” Onur Özkaleli, pertama kali dikirimkan pada 5 November dan dipublikasikan pada 9 Desember, menjelaskan masalah RCE yang ditemukan di mobile.starbucks.com.sg, sebuah platform untuk pengguna Singapura.

Menurut advisory, ko2sec menemukan endpoint .ashx di mobile.starbucks.com.sg yang dimaksudkan untuk menangani file gambar.

Namun, endpoint tidak membatasi upload jenis file, yang berarti penyerang yang menyalahgunakan masalah tersebut dan berpotensi mengupload file berbahaya lalu mengeksekusi kode arbitrer dari jarak jauh.

CVE belum dikeluarkan untuk kerentanan kritis tetapi skor keparahan 9,8 telah ditambahkan ke laporan.

RCE bukan satu-satunya pengajuan yang dibuat peneliti ke Starbucks. Pada bulan Oktober, Ko2sec menggambarkan eksploitasi pengambilalihan akun di situs web Starbucks Singapura yang disebabkan oleh open test environments.

Sangat memungkinkan untuk menargetkan pengguna dengan mengetahui alamat email mereka, melihat informasi pribadi mereka, dan bahkan menggunakan kredit apa pun yang dimuat di dompet akun mereka untuk melakukan pembelian.

Sumber: ZDNet

Operator Trojan njRAT sekarang menggunakan Pastebin sebagai alternatif dari server perintah pusat

December 11, 2020 by Winnie the Pooh

Operator njRAT Remote Access Trojan (RAT) memanfaatkan terowongan Pastebin C2 untuk menghindari pengawasan oleh peneliti keamanan siber.

Pada hari Rabu, tim cybersecurity Palo Alto Networks Unit 42 mengatakan njRAT, juga dikenal sebagai Bladabindi, digunakan untuk mendownload dan mengeksekusi payload tahap sekunder dari Pastebin, menghilangkan kebutuhan untuk membangun server command-and-control (C2) tradisional.

Tim peneliti tersebut mengatakan bahwa varian njRAT akan memanggil URL singkat yang ditautkan ke Pastebin dalam upaya untuk “menghindari deteksi oleh produk keamanan dan meningkatkan kemungkinan pengoperasian tanpa diketahui”.

Dikembangkan di .NET, njRAT adalah Trojan yang banyak digunakan yang mampu membajak fungsi mesin yang disusupi dari jarak jauh, termasuk mengambil screenshot, exfiltrasi data, keylogging, dan mematikan proses seperti program antivirus.

“Terowongan Pastebin C2” yang sekarang digunakan, seperti yang dijelaskan oleh para peneliti, menciptakan jalur antara infeksi njRAT dan muatan baru. Dengan Trojan bertindak sebagai pengunduh, itu akan mengambil data yang dikodekan di Pastebin, decode, dan deploy.

Palo Alto mengatakan arsitektur perintah berbasis Pastebin masih aktif dan banyak digunakan oleh RAT untuk mengirimkan muatan sekunder.

Sumber: ZDNet

Microsoft mengekspos Adrozek, malware yang membajak Chrome, Edge, dan Firefox

December 11, 2020 by Winnie the Pooh

Microsoft telah meningkatkan kewaspadaan tentang jenis malware baru yang menginfeksi perangkat pengguna dan kemudian mulai memodifikasi browser dan pengaturannya untuk memasukkan iklan ke halaman hasil pencarian.

Dinamakan Adrozek, malware tersebut telah aktif setidaknya sejak Mei 2020 dan mencapai puncak absolutnya pada Agustus tahun ini ketika ia mengendalikan lebih dari 30.000 browser setiap hari.

Dalam laporannya, Tim Riset Defender Microsoft 365 yakin bahwa jumlah pengguna yang terinfeksi jauh lebih tinggi. Peneliti Microsoft mengatakan bahwa antara Mei dan September 2020, mereka mengamati “ratusan ribu” deteksi Adrozek di seluruh dunia.

Berdasarkan telemetri internal, konsentrasi korban tertinggi tampaknya berada di Eropa, diikuti oleh Asia Selatan dan Tenggara.

Microsoft mengatakan bahwa, saat ini, malware didistribusikan melalui skema pengunduhan drive-by klasik. Pengguna biasanya dialihkan dari situs sah ke shady domain tempat mereka tertipu untuk memasang perangkat lunak berbahaya.

Boobytrapped software menginstal malware Androzek, yang kemudian melanjutkan untuk mendapatkan persistensi booting ulang dengan bantuan registry key. Setelah persistensi terjamin, malware akan mencari peramban yang dipasang secara lokal seperti Microsoft Edge, Google Chrome, Mozilla Firefox, atau Peramban Yandex.

Adrozek juga memodifikasi beberapa file DLL browser untuk mengubah pengaturan browser dan menonaktifkan fitur keamanan untuk menghindari deteksi.

Microsoft mengatakan bahwa di Firefox, Adrozek juga berisi fitur sekunder yang mengekstrak kredensial dari browser dan mengunggah data ke server penyerang.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings