Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware baru ini menggunakan serangan overlay jarak jauh untuk membajak rekening bank Anda

by

Para peneliti telah menemukan bentuk baru sebuah malware menggunakan serangan overlay jarak jauh untuk menyerang pemegang rekening bank Brasil.

Varian malware baru, yang dijuluki Vizom oleh IBM, sedang digunakan dalam kampanye aktif di seluruh Brasil yang dirancang untuk menyusupi rekening bank melalui layanan keuangan online.

Pada hari Selasa, peneliti keamanan IBM Chen Nahman, Ofir Ozer, dan Limor Kessem mengatakan malware tersebut menggunakan taktik yang menarik untuk tetap tersembunyi dan membahayakan perangkat pengguna secara real-time – yaitu, teknik overlay jarak jauh dan pembajakan DLL.

Vizom menyebar melalui kampanye phishing berbasis spam dan menyamar sebagai perangkat lunak konferensi video populer, alat yang telah menjadi sangat penting keberadaanya untuk bisnis dan acara sosial karena pandemi virus corona.

Setelah malware mendarat di PC Windows yang rentan, Vizom pertama-tama akan menyerang direktori AppData untuk memulai rantai infeksi. Dengan memanfaatkan pembajakan DLL, malware akan mencoba memaksa pemuatan DLL berbahaya dengan menamai varian berbasis Delphi miliknya sendiri dengan nama yang diharapkan oleh perangkat lunak yang sah di direktori mereka.

Dengan membajak “logika inheren” sistem, IBM mengatakan sistem operasi tersebut tertipu untuk memuat malware Vizom sebagai child proses dari file konferensi video yang sah. DLL bernama Cmmlib.dll, file yang terkait dengan Zoom.

Sebuah dropper kemudian akan meluncurkan zTscoder.exe melalui command prompt dan muatan kedua, sebuah Remote Access Trojan (RAT), diekstrak dari server jarak jauh – dengan trik pembajakan yang sama dilakukan pada browser Internet Vivaldi.

Karena Vizom telah menerapkan kemampuan RAT, penyerang dapat mengambil alih sesi yang dikompromikan dan overlay konten untuk mengelabui korban agar mengirimkan akses dan kredensial akun untuk rekening bank mereka. Vizom juga dapat mengambil tangkapan layar melalui fungsi cetak dan kaca pembesar Windows.

Berita selengkapnya:
Source: ZDNet

Ancaman Peretasan Jarak Jauh Windows 10 Baru Dikonfirmasi — Perbarui Sekarang

by

Departemen Keamanan Dalam Negeri, Keamanan Siber, dan Badan Keamanan Infrastruktur (CISA) A.S. tidak asing lagi merekomendasikan agar pengguna Windows menerapkan pembaruan keamanan sebagai masalah yang mendesak.

Tepat satu bulan yang lalu, pada 18 September, CISA merilis Petunjuk Darurat langka yang memaksa pengguna Windows Server agen federal untuk memperbarui satu pembaruan tersebut dalam waktu tiga hari. Saat ini tidak ada persyaratan untuk dipatuhi, juga tidak ada bukti bahwa celah ini dieksploitasi di alam liar.

Tidak lama setelah peluncuran perbaikan keamanan Patch Tuesday bulanan, yang mencakup 87 kerentanan di mana 11 di antaranya dianggap kritis, Microsoft mengonfirmasi dua pembaruan keamanan out-of-band lainnya pada hari Kamis, 15 Oktober.

Meskipun dinilai “penting” daripada kritis oleh Microsoft, keduanya dapat memungkinkan penyerang untuk mengambil kendali sistem Windows Anda melalui eksploitasi eksekusi kode jarak jauh.

Satu, CVE-2020-17023, adalah kerentanan di editor Kode Visual Studio. Yang lainnya, CVE-2020-17022, menyangkut kerentanan eksekusi kode jarak jauh di Perpustakaan Codec Microsoft Windows, khususnya cara menangani objek di memori.

Perbaikan untuk kerentanan ini tidak datang melalui proses Pembaruan Windows biasa, seperti biasanya. Sebaliknya, itu disajikan secara otomatis oleh Microsoft Store. Dengan asumsi, pengguna memiliki pembaruan aplikasi Microsoft Store yang dikonfigurasi untuk memperbarui secara otomatis. Sangat disarankan untuk memeriksa pengaturan Microsoft Store Anda untuk memastikannya; dengan begitu, Anda akan mendapatkan perlindungan yang Anda butuhkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Ini adalah Dua Alasan Utama Dibalik 65% Denda GDPR

by

Analisis baru dari perusahaan penemuan data Exonar mengungkapkan bahwa organisasi di seluruh Eropa telah menderita denda GDPR lebih dari £313 juta (US$ 404 juta) karena gagal melindungi data pribadi pelanggan/karyawan dan tidak memiliki keamanan siber yang sesuai.

Exonar mengklaim bahwa sejauh ini 50 penalti dengan total £482 juta (US$ 622 juta) telah dikeluarkan berdasarkan GDPR, di mana 65% di antaranya terutama disebabkan oleh dua masalah utama – keamanan yang tidak memadai dan penyimpanan data yang tidak aman.

Hampir 39% dari denda GDPR disebabkan oleh tindakan keamanan yang tidak memadai di organisasi, yang memengaruhi perusahaan termasuk British Airways, Active Assurances, dan DSK Bank, dengan total denda sebesar £ 188.865.900 (US$ 243.727.981) hingga saat ini.

Menyimpan data tidak aman bertanggung jawab atas 26% denda sebesar £123.663.350 (US$ 159.562.925) yang memengaruhi organisasi terkenal termasuk Marriott, Deutsche Wohnen, dan 1 & 1 Telecom.

Selain itu, penggunaan ilegal informasi identitas pribadi (PII) dan gagal memenuhi Permintaan Akses Subjek Data (DSAR) bertanggung jawab atas 19% denda sebesar £92.055.300 (US$ 118.774.866).

Denda 16% yang tersisa berjumlah £77.135.050 (US$ 99.540.611) disebabkan oleh berbagai masalah seperti kegagalan Uber untuk melaporkan pelanggaran dengan cukup cepat, Pembagian data yang salah dari Unicredit, dan H&M memberikan €35,2 (US $41,1 juta) besar-besaran bulan ini untuk penggunaan data karyawan yang melanggar hukum.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Cisomag

Serangan DDoS Berukuran Tiga Kali Lipat karena Permintaan Tebusan Muncul Kembali

by

Kuartal terakhir tahun 2020 telah terjadi gelombang serangan aplikasi web yang telah menggunakan surat tebusan untuk menargetkan bisnis di sejumlah industri.

Menurut penelitian dari Akamai, serangan terbesar ini mengirimkan lebih dari 200 Gbps traffic ke target mereka sebagai bagian dari kampanye berkelanjutan Bits Per Second (BPS) dan Packets Per Second (PPS) yang lebih tinggi daripada serangan serupa yang ditampilkan beberapa minggu sebelumnya.

“Sebelum Agustus, vektor sinyal telah digunakan terutama untuk menargetkan industri game,” klaim perusahaan. “Mulai bulan Agustus, serangan ini tiba-tiba beralih ke organisasi keuangan.”

Akamai menjelaskan bahwa tidak ada vektor baru yang terlibat dalam rangkaian serangan ini, karena sebagian besar lalu lintas dihasilkan oleh reflektor dan sistem yang digunakan untuk memperkuat lalu lintas.

Namun, beberapa organisasi mulai menerima email yang ditargetkan dengan ancaman serangan DDoS, yang akan diluncurkan kecuali sejumlah uang tebusan telah dibayarkan.

Sementara Akamai mengatakan banyak email pemerasan yang akhirnya tertangkap oleh filter spam, tidak semua target bersedia mengakui bahwa mereka telah menerima email dari para penyerang.

Kampanye ini memuncak pada bulan Agustus dan September, “dan mencapai puncaknya, mungkin saat penyerang yakin bahwa mereka telah dimitigasi dan mulai mengubah taktik mereka.” Ini termasuk langkah untuk menggunakan serangan lapisan tiga dan empat, yang biasanya ditargetkan pada pusat data, situs web, dan API.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Info Security

Ketika ‘pembusukan kode’ menjadi masalah hidup atau mati, terutama pada Internet of Things

by

Kurangnya perhatian yang diberikan pada perangkat lunak yang mengatur hal-hal IoT. Ini bisa menjadi tantangan yang menakutkan, karena, tidak seperti infrastruktur TI terpusat, ada, menurut satu perkiraan, setidaknya 30 miliar perangkat IoT sekarang di dunia, dan setiap detik, 127 perangkat IoT baru terhubung ke internet.

Banyak dari perangkat ini tidak bodoh. Namun yang ingin ditekankan disini adalah banyak perangkat lunak yang perlu untuk dirawat.

Untuk sensor di dalam lemari es atau mesin cuci, ketika ada masalah perangkat lunak berarti ketidaknyamanan. Di dalam mobil atau kendaraan, itu berarti masalah. Untuk perangkat lunak yang menjalankan perangkat medis, ini bisa berarti hidup atau mati.

“Code rot” adalah salah satu sumber masalah potensial untuk perangkat ini. Itu terjadi ketika lingkungan di sekitar perangkat lunak berubah, ketika perangkat lunak menurun, atau karena hutang teknis terakumulasi saat perangkat lunak dimuat dengan peningkatan atau pembaruan.

Itu dapat menghambat bahkan sistem perusahaan yang dirancang dengan sangat baik.

Pembusukan kode bukan satu-satunya masalah yang tersembunyi di perangkat lunak perangkat medis. Sebuah studi baru-baru ini dari Universitas Stanford menemukan data pelatihan yang digunakan untuk algoritme AI di perangkat medis hanya berdasarkan sampel kecil pasien. Sebagian besar algoritme, 71 persen, dilatih pada kumpulan data dari pasien hanya di tiga wilayah geografis – California, Massachusetts, dan New York-” dan bahwa sebagian besar negara bagian sama sekali tidak mewakili pasien.”

Semakin banyak komputasi dan pengembangan perangkat lunak bergerak ke edge. Tantangannya adalah menerapkan prinsip pengembangan cerdas, manajemen siklus hidup perangkat lunak, dan kontrol kualitas yang dipelajari selama bertahun-tahun di pusat data hingga ke edge, dan menerapkan otomatisasi dalam skala yang lebih luas untuk menjaga miliaran perangkat tetap terkini.

Berita selengkapnya dapat di baca pada tautan di bawah ini:
Source: ZDNet

FIN11: Grup peretasan dipromosikan menjadi elit kejahatan siber keuangan

by

Peneliti keamanan telah mengidentifikasi grup kejahatan siber keuangan baru yang sangat aktif.

Cakupan FIN11 sangat luas: targetnya mencakup universitas, lembaga pemerintah, dan organisasi di sektor utilitas, farmasi, serta pengiriman dan logistik, menurut laporan yang diterbitkan oleh perusahaan keamanan siber AS Mandiant.

Sebelumnya, pada 2017 dan 2018, grup fokus pada sektor keuangan, ritel, dan restoran.

Aktivitas yang terkait dengan FIN11 pertama kali terungkap pada tahun 2016, tetapi Mandiant sekarang telah ‘meluluskan’ aktor ancaman ke status ‘FIN’, grup ancaman keuangan pertama yang mendapatkan penunjukan dalam tiga tahun.

Salah satu alasan promosi grup tersebut adalah beralihnya ke pemerasan hibrida, “menggabungkan ransomware dengan pencurian data untuk menekan korbannya agar menyetujui tuntutan pemerasan”, dengan tuntutan tebusan mencapai hingga US $10 juta.

Grup tersebut menggunakan file Microsoft Office yang berbahaya untuk memberikan iming-iming keuangan konvensional termasuk ‘pesanan penjualan’, ‘laporan bank’, dan ‘faktur’, tetapi baru-baru ini mereka menargetkan perusahaan farmasi dengan iming-iming termasuk ‘laporan penelitian’ dan bahkan ‘kecelakaan laboratorium’. Dokumen tersebut mengirimkan pengunduh FRIENDSPEAK, yang pada gilirannya menyebarkan backdoor MIXLABEL.

Elliot Rose, kepala cybersecurity di PA Consulting, mengatakan penunjukan grup FIN baru melanjutkan tren yang sedang berkembang.

Kelompok ancaman FIN berbeda dari kelompok APT sejauh mereka biasanya lebih canggih dan menuntut tanggapan yang berbeda dari tim keamanan.

“Mereka cenderung menargetkan korban mereka melalui analisis media sosial dan spear phishing terkait, yang telah menyebabkan pelanggaran informasi yang serius, dan mereka mendaftar, melalui perusahaan palsu, yang tidak bersalah dalam bentuk pentester dan pengembang, untuk membantu mereka dalam aktivitas kriminal mereka.” jelas Rose.

Ini berarti bahwa “pendidikan karyawan memainkan peran kunci, di samping teknologi, dalam memerangi ancaman. Itu berarti memberi tahu mereka untuk sangat berhati-hati dengan apa yang mereka posting di media sosial atau untuk menghindari mengklik tautan di email atau mengungkapkan informasi kepada siapa pun bahwa mereka tidak sepenuhnya yakin siapa yang mereka katakan. Berpikir sebelum Anda mengeklik adalah pertahanan utama!”

Laporan tersebut dapat diakses melalui layanan intelijen ancaman Mandiant.

Berita selengkapnya:
Source: The Daily Swig

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

by

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

Sumber: SANS ISC InfoSec Forums

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Sumber: SANS ISC InfoSec Forums

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums

CVE-2020-16898: Windows ICMPv6 Router Advertisement RRDNS Option Remote Code Execution Vulnerability

by

Johannes B. Ullrich, Ph.D. , Dekan Riset, SANS Technology Institute, telah membagikan detail mengenai kerentanan CVE-2020-16898.

Satu kerentanan yang mendapat perhatian para “defenders” minggu ini adalah CVE-2020-16898. Kerentanan, yang terkadang disebut “Bad Neighbor”, dapat digunakan untuk mengeksekusi arbitrary code di sistem Windows. Untuk mengeksploitasi kerentanan, penyerang harus mengirim router advertisement ICMPv6 yang dibuat secara khusus.

Apa Itu Router Advertisement?

Beberapa peneliti kadang menyebutnya sebagai “DHCP Lite”. IPv6 tidak terlalu mengandalkan DHCP untuk mengelola alamat IP. Lagi pula, kita mendapatkan banyak IPv6, dan kebutuhan untuk “mendaur ulang” alamat IP cukup banyak. Router akan mengirimkan router advertisement secara berkala atau sebagai tanggapan atas permintaan router yang dikirim oleh host yang baru saja bergabung dengan jaringan. Semua host yang “berbicara” dengan IPv6 akan mendengarkan router advertisement untuk mempelajari konfigurasi jaringan. Bahkan jika Anda menggunakan DHCPv6, Anda masih memerlukan router advertisement untuk mengetahui gateway default.

Satu lagi opsi yang ditambahkan baru-baru ini mencakup daftar server DNS rekursif. Ini “melengkapi” analogi DHCP-Lite dengan menawarkan gateway, alamat IP, dan server DNS. Data yang sama biasanya ditemukan di server DHCP.

Bagaimana server DNS rekursif (RDNSS) dikodekan dalam router advertisement?

Opsi router advertisement mengikuti format standar “Type/Length/Value”. Mereka mulai dengan satu byte yang menunjukkan type (25 = RDNSS), diikuti dengan byte yang menunjukkan length, dua byte yang telah disisihkan (reserved), dan “masa pakai” 4-byte. Ditambah, tentu saja, alamat IP server DNS.

Sumber: SANS ISC InfoSec Forums

Seperti tipikal IPv6, panjangnya ditunjukkan dalam kelipatan 8-byte. Jadi panjang “1” menunjukkan bahwa opsi kita adalah 8 byte. Kolom awal (Type, Length, Reserved, Lifetime) sama persis 8 byte panjangnya. Setiap alamat IP panjangnya 16 byte.

Untuk satu alamat IP, panjangnya adalah “3”. Setiap alamat IP menambahkan “2” (2 x 8 Bytes) lainnya. Akibatnya, panjangnya harus selalu ganjil.

Kerentanan dipicu jika panjangnya genap, dan lebih besar dari 3. Misalnya, pertimbangkan paket ini dengan panjang “4”:

Sumber: SANS ISC InfoSec Forums

Delapan byte terakhir dari alamat IP kedua tidak lagi termasuk dalam panjangnya. Dan di sinilah Windows menjadi bingung. Wireshark juga agak membingungkan:

Sumber: SANS ISC InfoSec Forums

Wireshark masih menampilkan kedua alamat IP tetapi juga mengenali bahwa ada data di luar panjang opsi.

Seberapa buruk kah ini?

Ini buruk karena ini memungkinkan eksekusi arbitrary code. Tetapi penyerang harus dapat mengirim paket dari jaringan korban. Bahkan host yang terekspos tidak dapat diserang dari “seluruh internet”, hanya di dalam subnet. Penyerang juga harus mengatasi fitur anti-eksploitasi di Windows 10 (pengacakan tata letak alamat dan semacamnya), yang memerlukan kebocoran informasi kedua, kerentanan, dan eksploitasi.

Apa yang dapat dilakukan?

Penambalan mungkin adalah solusi paling sederhana dan paling mudah, yang paling tidak mungkin menyebabkan masalah. Pilihan lain:

  • Microsoft menawarkan kemampuan untuk mematikan fitur RDNSS sebagai opsi. Ini bisa, tentu saja, kembali menghantui Anda nanti saat Anda mulai menggunakan opsi ini.
  • Berbagai IDS telah merilis signature untuk mendeteksi serangan tersebut.
  • Beberapa switch menawarkan fitur “Router Advertising Guard” yang dapat membatasi router advertisement. Mungkin itu akan membantu.

Sumber: SANS ISC InfoSec Forums