Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Keamanan Serius: Phishing tanpa link, saat phisher menggunakan halaman web mereka sendiri

by Leave a Comment

Dalam beberapa hari terakhir kami menerima dua kampanye phishing – satu dikirim oleh pembaca yang bijaksana dan yang lainnya dikirim secara langsung kepada kami – yang kami pikir akan menceritakan kisah visual yang berguna.

Pelaku penipuan ini biasanya berasal dari dua geng kriminal yang berbeda, beroperasi secara independen, tetapi mereka menggunakan trik serupa yang perlu diketahui.

3 Ciri ciri email Phising
Sebagian besar penipuan phishing dikirimkan melalui email dan Anda mungkin telah menerima ratusan atau bahkan ribuan selama hihdup anda, namun umumnya mereka menggunakan tiga tahap ini :

1. Email yang berisi URL untuk diklik
Terkadang penjahat menyebar jaring dengan menggunakan frasa seperti “Pelanggan yang Terhormat”, “Bapak / Ibu yang Terhormat”, atau bahkan hanya “Halo”.

Namun terkadang mereka tahu nama penyedia listrik atau bank Anda; terkadang mereka tidak tahu tapi kebetulan menebak dengan benar; terkadang mereka memalsukan masalah dengan menulis beberapa teks umum yang cukup untuk menarik minat Anda.

Pesan email tidak terlalu panjang, yang perlu dilakukan adalah bagaimana agar anda mengeklik link berbahaya mereka.

Mengklik tautan phishing seharusnya sudah cukup aman, asalkan Anda berhati-hati selanjutnya, tetapi tetap saja pasti membawa anda selangkah lebih dekat ke masalah.

2. Halaman web tempat Anda perlu login untuk melangkah lebih jauh
Biasanya setelah anda mengeklik link tersebut, akan muncul halaman untuk login, dan sering kali itu adalah tiruan yang sangat mirip dengan web aslinya yang dibuat hanya dengan membajak HTML, gambar, font, stylesheet, dan JavaScript dari situs asli dan memasangnya di tempat lain.

Halaman penipu sering kali berada di situs resmi yang telah diretas untuk bertindak sebagai pembuka yang dapat dipercaya untuk serangan tersebut.

3. Situs web tempat data yang Anda masukkan ke dalam formulir login akan dikirim
Kadang-kadang situs tiruan akan diunggah ke situs yang sama yang digunakan pengguna terkadang para penjahat menggunakan situs pihak ketiga yang mungkin mengumpulkan data dari beberapa kampanye phishing yang berbeda pada waktu yang bersamaan.

Secara teknis, tautan yang dapat diklik ke situs (2) muncul di dalam email (1) sebagai apa yang dikenal sebagai hyperlink, dienkode ke dalam HTML menggunakan apa yang disebut tag anchor, ditulis sebagai , seperti ini:

Teks antara dan biasanya muncul di browser Anda dengan warna biru untuk menunjukkan bahwa Anda dapat mengkliknya untuk menuju link ke tempat lain.
Namun sebenarnya link yang dapat diklik itu bukanlah tujuan Anda selanjutnya.
Target tautan, seringkali berupa URL yang mengarah ke situs web lain, diberikan oleh nilai HREF = … yang muncul bersama dengan :

Jika Anda ingin melihat indikator yang tepat, Anda perlu mengetahui bahwa bagian dikenal sebagai tag, yang -nya adalah tag penutup yang cocok. Bagian HREF = … disebut sebagai atribut tag

Selengkapnya ; Naked Security Sophos

Patch CVE-2020-1472 Netlogon Secure Channel sekarang!

by

Netlogon Remote Protocol atau disebut MS-NRPC adalah antarmuka RPC yang digunakan secara eksklusif oleh perangkat yang bergabung dengan domain tertentu. MS-NRPC menyertakan metode otentikasi dan metode untuk membuat Netlogon secure channel. Pembaruan ini memberlakukan perilaku klien Netlogon tertentu untuk menggunakan Secure RPC dengan Netlogon Secure Channel antara komputer client dan Domain Controllers (DC) direktori aktif (AD).

Pembaruan keamanan ini mengatasi kerentanan dengan memberlakukan Secure RPC saat menggunakan Netlogon Secure Channel di rilis secara bertahap yang dijelaskan di bagian Pembaruan. Untuk memberikan perlindungan AD, semua DC harus diperbarui karena mereka akan memberlakukan Secure RPC dengan Netlogon Secure Channel. Ini termasuk read only domain controller (RODC).

Pada halaman advisori, Microsoft merilis langkah-langkah untuk menutup celah CVE-2020-1472 :

1.UPDATE Domain Controller anda dengan update yang dirilis pada 11 Agustus 2020 atau setelahnya.
2.CARI perangkat yang mempunyai celah melalui monitoring event log.
3.CATAT perangkat yang sudah tidak mendapatkan update karena riskan terhadap koneksi yang rentan.
4.AKTIFKAN enforcement mode untuk mengatasi CVE-2020-1472 dalam organisasi anda.

Harap segera patch perangkat anda pada situs resmi Microsoft disini.

Bagi pengguna Foxit, lakukan patch sekarang !

by

Foxit Software, perusahaan perangkat lunak China yang mengembangkan perangkat lunak dan alat Portable Document Format (PDF) yang digunakan untuk membuat, mengedit, menandatangani, dan mengamankan file dan dokumen digital. Telah merilis update kemanan pada beberapa perangkat softwarenya, diantara lain :

    • Foxit Reader 10.1 and Foxit PhantomPDF 10.1
      3D Plugin Beta 10.1.0.37494
      Foxit PhantomPDF Mac and Foxit Reader Mac 4.1

    • Meski Foxit terkena insiden Data Breach pada 30 Agustus lalu, nampaknya Foxit tetap optimis akan perkemnbangan software mereka, seperti yang dikutip adlam website nya:
    “Tanggapan yang cepat untuk kerusakan perangkat lunak dan kerentanan keamanan telah, dan akan terus menjadi, prioritas utama bagi semua orang di Foxit Software. Meskipun ancaman adalah fakta, kami bangga mendukung solusi PDF paling canggih di pasar. Berikut adalah informasi tentang beberapa penyempurnaan yang membuat perangkat lunak kami semakin kuat.” < Jadi bagi kalian pemakai aplikasi Foxit, segera lakukan Update di halaman resmi Foxit disini ya !

    Eksploitasi Microsoft Netlogon terus meningkat

    by Leave a Comment

    Cisco Talos melacak lonjakan upaya eksploitasi terhadap kerentanan Microsoft CVE-2020-1472, peningkatan bug hak istimewa di Netlogon, yang diuraikan dalam laporan Microsoft Patch Tuesday Agustus. Kerentanan berasal dari cacat dalam skema otentikasi kriptografi yang digunakan oleh Netlogon Remote Protocol yang – antara lain – dapat digunakan untuk memperbarui sandi komputer dengan memalsukan token otentikasi untuk fungsionalitas Netlogon tertentu. Cacat ini memungkinkan penyerang meniru identitas komputer mana pun, termasuk pengontrol domain itu sendiri dan mendapatkan akses ke kredensial admin domain.

    Ciri-ciri Netlogon:

    • Klien mengirimkan tantangan klien yang mencakup tantangan delapan byte.
      Server merespons dengan tantangan server termasuk tantangan delapan byte-nya.
      Klien dan server menghitung kunci sesi bersama
      Klien mengenkripsi kunci sesi bersama yang menghasilkan kredensial klien
      Server mengenkripsi kunci sesi bersama yang menghasilkan kredensial server

    • Microsoft saat ini menangani kerentanan ini dalam perilisan dua bagian mitigasi secara bertahap. Microsoft menguraikan rencananya dalam sebuah halaman advisori yang mengatakan, “Untuk pedoman tentang cara mengelola perubahan yang diperlukan untuk kerentanan ini dan informasi lebih lanjut tentang peluncuran bertahap, lihat Bagaimana mengelola perubahan dalam koneksi aman Netlogon yang terkait dengan CVE-2020-1472. Ketika fase kedua pembaruan Windows tersedia pada K1 2021, pelanggan akan diberi tahu melalui revisi kerentanan keamanan ini. Jika Anda ingin diberi tahu ketika pembaruan ini dirilis, kami menyarankan Anda mendaftar ke pengirim pemberitahuan keamanan agar diberi tahu tentang perubahan konten pada dokumen advisori ini. ”

    Source : Cisco Talos

    Siapa dalang di Balik Pemadaman 911 pada14 daerah Senin lalu?

    by

    Sistem darurat 911 mati selama lebih dari satu jam pada hari Senin di 14 negara bagian AS. Pemadaman listrik menyebabkan banyak outlet berita berspekulasi bahwa masalah tersebut terkait dengan platform layanan web Azure Microsoft, yang juga sedang berjuang dengan pemadaman yang meluas pada saat itu. Namun, berbagai sumber memberi tahu KrebsOnSecurity bahwa masalah 911 berasal dari semacam snafu teknis yang melibatkan Intrado dan Lumen, dua perusahaan yang bersama-sama menangani panggilan 911 untuk wilayah Amerika Serikat yang luas.

    Pada Senin, 28 September, beberapa negara bagian termasuk Arizona, California, Colorado, Delaware, Florida, Illinois, Indiana, Minnesota, Nevada, North Carolina, North Dakota, Ohio, Pennsylvania dan Washington melaporkan pemadaman pada layanan 911 akibat pemadaman listrik di berbagai kota dan daerah.

    Beberapa laporan berita menunjukkan pemadaman mungkin terkait dengan gangguan layanan yang sedang berlangsung di Microsoft. Namun juru bicara mengatakan kepada KrebsOnSecurity, “kami tidak melihat indikasi bahwa pemadaman multi-negara 911 adalah akibat dari gangguan layanan Azure kemarin.”

    Namun menurut pejabat di Henderson County, NC, yang mengalami 911 kegagalannya sendiri kemarin, Intrado mengatakan pemadaman itu disebabkan oleh masalah dengan penyedia layanan yang tidak ditentukan.

    “Pada 28 September 2020, pukul 16.30 MT, Penyedia Layanan 911 kami mengamati kondisi internal jaringan mereka yang berdampak pada pengiriman panggilan 911,” bunyi pernyataan yang diberikan Intrado kepada pejabat daerah. “Dampaknya telah dimitigasi, dan layanan dipulihkan dan dipastikan berfungsi pada pukul 17:47 MT. Penyedia layanan kami sedang bekerja untuk mencari akar masalah. ”

    Penyedia layanan yang dirujuk dalam pernyataan Intrado tampaknya adalah Lumen, sebuah firma komunikasi dan penyedia 911 yang hingga saat ini dikenal sebagai CenturyLink Inc. Melihat halaman status perusahaan menunjukkan beberapa sistem Lumen mengalami gangguan layanan total atau parsial pada hari Senin, termasuk jaringan cloud private dan internal serta jaringan sistem kontrolnya.

    Halaman status Lumen menunjukkan cloud pribadi dan internal perusahaan serta jaringan sistem kontrol mengalami gangguan atau gangguan layanan pada hari Senin.

    Dalam pernyataan yang diberikan kepada KrebsOnSecurity, Lumen menyalahkan masalah tersebut pada Intrado.

    “Sekitar pukul 16.30. MT, beberapa pelanggan Lumen terpengaruh oleh peristiwa mitra vendor yang memengaruhi 911 layanan di AZ, CO, NC, ND, MN, SD, dan UT, ”bunyi pernyataan itu. “Layanan dipulihkan dalam waktu kurang dari satu jam dan semua lalu lintas 911 dirutekan dengan benar saat ini. Mitra vendor sedang dalam proses menyelidiki acara tersebut. ”

    Layaknya bukan suatu kebetulan kedua perusahaan ini sekarang beroperasi dengan nama baru, karena ini bukan pertama kalinya masalah di antara keduanya mengganggu akses 911 untuk sejumlah besar orang Amerika.

    Korea Utara mencoba meretas 11 pejabat Dewan Keamanan PBB

    by

    Sebuah kelompok peretas yang sebelumnya terkait dengan pemerintah Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat Dewan Keamanan Perserikatan Bangsa-Bangsa.

    Serangan diungkapkan dalam laporan PBB bulan lalu, terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

    Serangan tersebut dikaitkan dengan kelompok hacker Korea Utara yang dikenal dengan nama sandi Kimsuky.

    Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB

    Source : Member State
    atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

    Negara yang melaporkan serangan Kimsuky ke Dewan Keamanan PBB itu juga mengatakan bahwa kampanye serupa juga dilakukan terhadap anggota pemerintahannya sendiri, dengan beberapa serangan terjadi melalui WhatsApp, dan bukan hanya email.

    Laporan PBB, yang melacak dan merinci tanggapan Korea Utara terhadap sanksi internasional, juga mencatat bahwa kampanye ini telah aktif selama lebih dari setahun.

    Dalam laporan serupa yang diterbitkan pada Maret, Dewan Keamanan PBB mengungkapkan dua kampanye Kimsuky lainnya terhadap pejabat.
    Yang pertama adalah serangkaian serangan spear-phishing terhadap 38 alamat email yang terkait dengan pejabat Dewan Keamanan – semuanya adalah anggota Dewan Keamanan pada saat serangan itu.

    Yang kedua adalah operasi yang dirinci dalam laporan dari Badan Keamanan Siber Nasional Prancis [PDF]. Terhitung sejak Agustus 2019, ini adalah serangan spear-phishing terhadap pejabat dari China, Prancis, Belgia, Peru, dan Afrika Selatan, yang semuanya adalah anggota Dewan Keamanan PBB pada saat itu.

    Source : ZDNet

    Peretas membocorkan file yang dicuri dalam serangan ransomware K-Electric Pakistan

    by

    Minggu ini, Netwalker telah merilis arsip file berukuran 8,5 GB yang diduga dicuri dari K-Electric selama serangan ransomware pada September lalu.

    Perusahaan keamanan siber Pakistan, Rewterz, yang memeriksa isi arsip, mengatakan kepada BleepingComputer bahwa arsip itu berisi informasi sensitif seperti data keuangan, informasi pelanggan, laporan teknik, catatan pemeliharaan, dan banyak lagi.
    Data yang dibocorkan
    Data ini mencakup laporan laba rugi yang tidak diaudit, diagram teknik untuk turbin, dan gambar pernyataan pelanggan yang ditandai dari K-Electric.

    Daata Pelanggan K-Electric

    Dengan beragam informasi yang diungkapkan sebagai bagian dari serangan ini, pelanggan harus berhati-hati bahwa informasi pribadi mereka mungkin telah tersebar.
    Penting juga bagi K-Electric untuk bersikap transparan tentang info yang dibuka sehingga karyawan dan pelanggan dapat melindungi diri mereka sendiri dengan memadai.
    BleepingComputer telah menghubungi K-Electric untuk pernyataan lebih lanjut namun belum menerima balasan.

    Source : Bleeping Computer