Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

DeathStalker APT Menambah Keseruan dengan Malware PowerPepper Malware

by

Serangkaian teknik obfuscation memanas untuk hacking-for-hire operation. Kelompok ancaman persisten lanjutan (APT) DeathStalker memiliki senjata baru yang menarik: Backdoor yang sangat tersembunyi yang oleh para peneliti dijuluki PowerPepper, digunakan untuk memata-matai sistem yang ditargetkan.

DeathStalker menawarkan layanan tentara bayaran, spionase untuk disewa yang menargetkan sektor keuangan dan hukum, menurut para peneliti di Kaspersky. Mereka mencatat bahwa grup tersebut telah ada setidaknya sejak 2012 (pertama kali terlihat pada 2018), menggunakan serangkaian teknik, taktik, dan prosedur (TTP) yang relatif dasar dan menjual jasanya kepada penawar tertinggi. Namun, pada November, kelompok itu ditemukan menggunakan implan malware baru, dengan taktik obfuscation yang berbeda.

“DeathStalker telah memanfaatkan beberapa jenis malware dan rantai pengiriman selama bertahun-tahun, dari Python dan Janicab berbasis VisualBasic, hingga Powersing berbasis PowerShell, melewati Evilnum berbasis JavaScript,” kata para peneliti dalam posting Kamis. “DeathStalker juga secara konsisten memanfaatkan teknik anti-deteksi dan penghindaran antivirus, serta rantai pengiriman yang rumit, yang akan menjatuhkan banyak file pada sistem file target.” Malware khusus ini menonjol, karena menaikkan level panas pada taktik obfuscation-nya.

sumber : ThreatPost

VMware Memberi Perbaikan untuk Bug Zero-Day yang Sebelumnya Kritis

by

VMware telah menambal bug zero-day yang terungkap pada akhir November – escalation-of-privileges yang memengaruhi Workspace One dan platform lainnya, untuk sistem operasi Windows dan Linux. VMware juga telah merevisi peringkat keparahan CVSS untuk bug menjadi “penting”, turun dari kritis.

Cybersecurity and Infrastructure Security Agency (CISA) A.S. awalnya menandai kerentanan keamanan yang belum ditambal pada 23 November, yang memengaruhi 12 versi VMware di seluruh portofolio Cloud Foundation, Identity Manager, vRealize Suite Lifecycle Manager, dan Workspace One. Itu dilaporkan ke perusahaan oleh National Security Agency (NSA).

Dilacak sebagai CVE-2020-4006, bug tersebut memungkinkan injeksi perintah, menurut nasihat perusahaan. Meskipun bug tersebut awalnya diberi nilai 9,1 dari 10 pada skala keparahan CVSS, penyelidikan lebih lanjut menunjukkan bahwa penyerang mana pun akan memerlukan kata sandi yang disebutkan dalam pembaruan, membuatnya jauh lebih sulit untuk dieksploitasi secara efektif. Peringkatnya sekarang 7,2, menjadikannya “penting” daripada “kritis”.

“Akun ini bersifat internal untuk produk yang terkena dampak dan kata sandi ditetapkan pada saat penerapan,” menurut penasehat. “Aktor jahat harus memiliki sandi ini untuk mencoba mengeksploitasi CVE-2020-4006.” Kata sandi perlu diperoleh melalui taktik seperti phishing atau brute forcing / credential stuffing, tambahnya.

Saat kerentanan terungkap pada bulan November, perusahaan mengeluarkan solusi “untuk solusi sementara guna mencegah eksploitasi CVE-2020-4006”, dengan konsekuensi bahwa perubahan pengaturan yang dikelola konfigurator dapat dilakukan saat solusi tersebut diterapkan.

sumber : ThreatPost

Geng ransomware sekarang menjadi korban panggilan dingin jika mereka memulihkan dari cadangan tanpa membayar

by

Dalam upaya untuk menekan korban, beberapa geng ransomware sekarang menelepon korban di ponsel mereka jika mereka curiga bahwa perusahaan yang diretas mungkin mencoba memulihkan dari cadangan dan menghindari membayar tuntutan tebusan.

Kelompok ransomware yang telah terlihat memanggil korban di masa lalu termasuk Sekhmet (sekarang sudah tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk, juru bicara perusahaan keamanan cyber Emsisoft mengatakan kepada ZDNet pada hari Kamis. Arete IR dan Emsisoft mengatakan bahwa mereka juga telah melihat template dengan skrip dalam panggilan telepon yang diterima oleh pelanggan mereka. Menurut rekaman panggilan yang dilakukan atas nama geng ransomware Maze, dan dibagikan dengan ZDNet, penelepon tersebut memiliki aksen yang berat, menunjukkan bahwa mereka bukan penutur asli bahasa Inggris.

Di bawah ini adalah transkrip panggilan yang telah disunting, yang disediakan oleh salah satu firma keamanan sebagai contoh, dengan nama korban dihapus:

“Kami mengetahui adanya perusahaan IT pihak ketiga yang bekerja di jaringan Anda. Kami terus memantau dan mengetahui bahwa Anda menginstal antivirus SentinelOne di semua komputer Anda. Tetapi Anda harus tahu bahwa itu tidak akan membantu. Jika Anda ingin berhenti membuang-buang waktu dan memulihkan data Anda minggu ini, kami menganjurkan agar Anda mendiskusikan situasi ini dengan kami dalam obrolan atau masalah dengan jaringan Anda tidak akan pernah berakhir.”

sumber : ZDNET

Ransomware Menjadi Bisnis Serius dan Menguntungkan – Semua yang Perlu Kamu Ketahui

by

Apa itu Ransomware?

Penjahat siber menggunakan encrypted ransomware yang menjadi jenis paling umum karena sulit untuk memecahkan enkripsi dan menghapus malware.

Ransomware mengenkripsi file seolah-olah mereka secara aktif dienkripsi, tetapi sebenarnya, mereka disembunyikan dalam file terpisah, yang menunggu serangkaian kondisi yang ditentukan untuk dibuka sebelum mereka didekripsi.

Dalam kasus ransomware, virus dapat mengenkripsi file tanpa sepengetahuan atau persetujuan pengguna.

Kunci enkripsi dibuat secara offline dan disematkan di malware sebelum dikirim untuk menyerang Anda, atau tertanam di malware yang dikirim selama serangan.

Setelah file Anda dienkripsi, virus akan membuat tutorial tentang cara mendapatkan kunci dekripsi yang tersedia untuk Anda jika Anda membayar uang tebusan. Anda akan diperlihatkan tautan untuk mengunduh decoder yang diperlukan.

Jenis-jenis Ransomware

  • Encryption Ransomware
  • Screen-locking Ransomware
  • Master Boot Record (MBR) Ransomware
  • Web Servers Encrypting Ransomware
  • Mobile Ransomware

Timeline Ransomware

Vektor Serangan Ransomware

Ketika perusahaan yang telah diserang oleh ransomware selama bertahun-tahun diperiksa, serangan phishing email, remote desktop protocol (RDP), dan kerentanan keamanan adalah 3 alasan utama.

Aktor ancaman seperti REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP, dan Nefilim telah menggunakan sistem Citrix yang rentan terhadap CVE-2019–19781 sebagai titik masuk untuk serangan ransomware.

Vektor Serangan Lainnya;

  • Penggunaan perangkat media berbahaya
  • Situs web yang disusupi
  • Download file yang terinfeksi
  • Aplikasi seluler berbahaya
  • Aplikasi pesan berbahaya
  • Penggunaan kata sandi yang lemah
  • Kebijakan keamanan yang buruk

Bagaimana Melindungi Diri Anda?

  • Tentukan inventaris aset digital kamu.
  • Sesuaikan pengaturan anti-spam kamu dengan benar dan gunakan filter spam yang kuat.
  • Jangan membuka email yang mencurigakan dan lampirannya.
  • Hindari memberikan informasi pribadi.
  • Gunakan fitur Show File Extensions.
  • Tambal perangkat lunak kamu dan perbarui terus

Dan ingat, jangan pernah membayar tebusan yang diminta oleh pelaku. Perusahaan penegak hukum dan Keamanan TI telah bergabung untuk mengganggu bisnis penjahat siber dengan koneksi ransomware. Dengan tidak membayar tebusan, kamu telah membantu mereka untuk menghentikan adanya serangan ransomware lainnya. Karena sebagian besar pelaku termotivasi secara finansial untuk menyebarkan ransomware dan mendapatkan uang secara mudah dari sana.

Sumber: Medium The Startup

Pengecer nasional Kmart mengalami serangan ransomware

by

Diberitakan oleh BleepingComputer, department store AS Kmart telah mengalami serangan ransomware yang berdampak pada layanan back-end di perusahaan tersebut.

Kmart mengalami serangan siber oleh operasi ransomware Egregor minggu ini yang mengakibatkan perangkat dan server di jaringan mereka terinkripsi.

Catatan tebusan yang dibagikan dengan BleepingComputer menunjukkan bahwa domain Windows ‘KMART’ disusupi dalam serangan itu.

Sementara toko online terus beroperasi, ‘Situs Sumber Daya Manusia Transformco,’ 88sears.com, saat ini sedang offline. Karyawan mengatakan bahwa pemadaman ini disebabkan oleh serangan ransomware baru-baru ini.

Egregor dikenal karena mencuri file yang tidak dienkripsi sebelum menyebarkan ransomware mereka. Operasi ransomware kemudian mengancam untuk memposting data di situs kebocoran data ransomware jika uang tebusan tidak dibayarkan.

Tidak diketahui apakah penyerang mencuri data, berapa banyak perangkat yang dienkripsi, atau jumlah tebusan yang diminta oleh kelompok kejahatan siber Egregor.

Sumber: Bleeping Computer

Malware pencuri kartu kredit bersembunyi di ikon berbagi media sosial

by

Malware web skimming yang baru ditemukan mampu bersembunyi di depan mata untuk menyuntikkan skrip skimmer kartu pembayaran ke toko online yang disusupi.

Pembuat malware menggunakan muatan berbahaya yang disembunyikan sebagai tombol media sosial yang meniru platform profil tinggi seperti Facebook, Twitter, dan Instagram.

Skimmer kartu kredit adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan siber Magecart di halaman pembayaran situs e-commerce yang disusupi.

Setelah dimuat di toko yang ditargetkan, skrip secara otomatis memanen pembayaran dan informasi pribadi yang dikirimkan oleh pelanggan dan mengekstraknya ke server di bawah kendali aktor Magecart.

Malware baru ini ditemukan oleh para peneliti di perusahaan keamanan siber Belanda Sansec yang berfokus pada pertahanan situs web e-commerce dari serangan skimming digital (juga dikenal sebagai Magecart).

Syntax untuk menyembunyikan kode sumber skimmer sebagai tombol media sosial dengan sempurna meniru elemen ‘svg’ yang diberi nama menggunakan nama platform media sosial (misalnya, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full, dan google_full).

Meskipun ini bukan pertama kalinya pelaku ancaman menggunakan skimmer yang disembunyikan dalam gambar yang tampak dengan bantuan steganografi, malware ini adalah yang pertama yang menggunakan “gambar yang benar-benar valid”.

Sumber: Bleeping Computer

8% dari semua aplikasi Google Play rentan terhadap bug keamanan lama

by

Sekitar 8% aplikasi Android yang tersedia di Google Play Store resmi rentan terhadap cacat keamanan di library Android populer, menurut pemindaian yang dilakukan musim gugur ini oleh perusahaan keamanan Check Point.

Cacat keamanan ada di versi lama Play Core, library Java yang disediakan oleh Google yang dapat disematkan oleh pengembang di dalam aplikasi mereka untuk berinteraksi dengan portal resmi Play Store.

Library Play Core sangat populer karena dapat digunakan oleh pengembang aplikasi untuk mengunduh dan menginstal pembaruan yang dihosting di Play Store, modul, paket bahasa, atau bahkan aplikasi lain.

Awal tahun ini, peneliti keamanan dari Oversecured menemukan kerentanan utama (CVE-2020-8913) di library Play Core yang dapat disalahgunakan oleh aplikasi berbahaya yang diinstal pada perangkat pengguna untuk memasukkan kode jahat ke dalam aplikasi lain dan mencuri data sensitif – seperti kata sandi, foto, kode 2FA, dan lainnya.

Google menambal bug di Play Core 1.7.2, dirilis pada bulan Maret, tetapi menurut temuan baru oleh Check Point, tidak semua pengembang telah memperbarui library Play Core yang disertakan dengan aplikasi mereka, membuat penggunanya mudah terkena serangan pencurian data dari aplikasi jahat yang dipasang di perangkat mereka.

Sumber: checkpoint

Menurut pemindaian yang dilakukan oleh Check Point pada bulan September, enam bulan setelah patch Play Core tersedia, 13% dari semua aplikasi Play Store masih menggunakan library ini, tetapi hanya 5% yang menggunakan versi yang diperbarui (aman), dengan sisanya membiarkan pengguna terkena serangan.

Di antara aplikasi dengan basis pengguna terbesar yang gagal diperbarui, Check Point mencantumkan aplikasi seperti Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber, dan Booking.com.

Sumber: ZDNet

Versi TrickBot baru dapat merusak firmware UEFI / BIOS

by

Operator botnet malware TrickBot telah menambahkan kemampuan baru yang memungkinkan mereka berinteraksi dengan firmware BIOS atau UEFI komputer yang terinfeksi.

Kemampuan baru ini terlihat di dalam bagian dari modul TrickBot baru, pertama kali terlihat pada akhir Oktober, perusahaan keamanan Advanced Intelligence dan Eclypsium mengatakan dalam joint report yang diterbitkan pada 3 Desember 2020.

Modul baru ini membuat para peneliti keamanan khawatir karena fitur-fiturnya akan memungkinkan malware TrickBot untuk membangun pijakan yang lebih gigih pada sistem yang terinfeksi, pijakan yang memungkinkan malware bertahan dari penginstalan ulang OS.

Selain itu, AdvIntel dan Eclypsium mengatakan fitur modul baru dapat digunakan lebih dari sekadar persistence yang lebih baik, seperti:

  • Melakukan bricking perangkat dari jarak jauh pada tingkat firmware melalui koneksi jarak jauh malware yang khas.
  • Melewati kontrol keamanan seperti BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, kontrol perlindungan endpoint seperti A/V, EDR, dll.
  • Menyiapkan serangan lanjutan yang menargetkan kerentanan Intel CSME, beberapa di antaranya memerlukan akses flash SPI.
  • Membalikkan ACM atau pembaruan kode mikro yang menambal kerentanan CPU seperti Spectre, MDS, dll.

Kabar baiknya adalah bahwa “sejauh ini, modul TrickBot hanya memeriksa pengontrol SPI untuk memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak, dan belum terlihat memodifikasi firmware itu sendiri,” menurut AdvIntel dan Eclypsium.

Namun, Modul ini juga dapat digunakan dalam serangan ransomware, di mana geng TrickBot sering terlibat dengan menyewakan akses ke jaringan botnya kepada kru ransomware.

Sumber: AdvIntel

Selama beberapa minggu terakhir, operasi TrickBot telah memperlihatkan banyak pembaruan, dari teknik obfuscation baru, infrastruktur perintah dan kontrol baru, dan kampanye spam baru.

Sumber: ZDNet