Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Serangan baru menggunakan keamanan Windows melewati zero-day untuk menjatuhkan malware

by

Serangan phishing baru menggunakan kerentanan Windows zero-day untuk menjatuhkan malware Qbot tanpa menampilkan peringatan keamanan Mark of the Web.

Saat file diunduh dari lokasi jauh yang tidak tepercaya, seperti Internet atau lampiran email, Windows menambahkan atribut khusus ke file yang disebut Mark of the Web.

Mark of the Web (MoTW) ini adalah aliran data alternatif yang berisi informasi tentang file, seperti zona keamanan URL asal file, perujuknya, dan URL unduhannya.

Saat pengguna mencoba membuka file dengan atribut MoTW, Windows akan menampilkan peringatan keamanan yang menanyakan apakah mereka yakin ingin membuka file tersebut.

“Sementara file dari Internet dapat bermanfaat, jenis file ini berpotensi membahayakan komputer Anda. Jika Anda tidak mempercayai sumbernya, jangan buka perangkat lunak ini,” bunyi peringatan dari Windows.

Bulan lalu, tim intelijen ancaman HP melaporkan bahwa serangan phishing mendistribusikan ransomware Magniber menggunakan file JavaScript.

File JavaScript ini tidak sama dengan yang digunakan di situs web tetapi merupakan file mandiri dengan ekstensi ‘.JS’ yang dijalankan menggunakan Windows Script Host (wscript.exe).

Setelah menganalisis file, Will Dormann, analis kerentanan senior di ANALYGENCE, menemukan bahwa pelaku ancaman menggunakan kerentanan zero-day Windows baru yang mencegah peringatan keamanan Mark of the Web ditampilkan.

Untuk mengeksploitasi kerentanan ini, file JS (atau jenis file lainnya) dapat ditandatangani menggunakan blok tanda tangan yang disandikan base64 tertanam, seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Selengkapnya: Bleeping Computer

Microsoft: Peretas menggunakan taktik ‘mengkhawatirkan’ ini untuk menghindari otentikasi multi-faktor

by

Microsoft telah menguraikan beberapa mitigasi untuk melindungi dari serangan pada otentikasi multi-faktor yang sayangnya akan membuat hidup lebih sulit bagi pekerja jarak jauh Anda.

Tiga tahun lalu, serangan terhadap otentikasi multi-faktor (MFA) sangat jarang sehingga Microsoft tidak memiliki statistik yang layak tentang mereka, terutama karena beberapa organisasi telah mengaktifkan MFA.

Tetapi dengan meningkatnya penggunaan MFA karena serangan terhadap kata sandi menjadi lebih umum, Microsoft telah melihat peningkatan penyerang yang menggunakan pencurian token dalam upaya mereka untuk menghindari MFA.

Dalam serangan ini, penyerang mengkompromikan token yang dikeluarkan untuk seseorang yang telah menyelesaikan MFA dan memutar ulang token tersebut untuk mendapatkan akses dari perangkat yang berbeda. Token merupakan inti dari platform identitas OAuth 2.0, termasuk Azure Active Directory (AD), yang bertujuan untuk membuat autentikasi lebih sederhana dan lebih cepat bagi pengguna, tetapi dengan cara yang masih tahan terhadap serangan kata sandi.

Juga: Pekerjaan keamanan siber: Lima cara untuk membantu Anda membangun karier

Selain itu, Microsoft memperingatkan bahwa pencurian token berbahaya karena tidak memerlukan keterampilan teknis yang tinggi, sulit untuk mendeteksi dan, karena teknik ini baru saja mengalami peningkatan, beberapa organisasi memiliki mitigasi.

“Baru-baru ini, Tim Deteksi dan Respons Microsoft (DART) telah melihat peningkatan penyerang yang menggunakan pencurian token untuk tujuan ini,” kata Microsoft dalam sebuah blogpost.

Selengkapnya: ZDNet

Undang-Undang Perangkat Lunak Sumber Terbuka Pengamanan AS tahun 2022 adalah langkah ke arah yang benar

by

Pemerintah AS telah bekerja dengan industri teknologi dan organisasi open source seperti Linux Foundation dan Open Source Security Foundation untuk menghasilkan sejumlah inisiatif dalam beberapa tahun terakhir.

Perintah Eksekutif Gedung Putih tentang Meningkatkan Keamanan Siber Negara tanpa diragukan lagi memulai inisiatif berikutnya dan menetapkan persyaratan bagi lembaga pemerintah untuk mengambil tindakan terhadap keamanan perangkat lunak dan, khususnya, keamanan sumber terbuka.

Pertemuan Gedung Putih yang penting dengan para pemimpin industri teknologi menghasilkan kelompok kerja yang aktif, dan hanya beberapa minggu kemudian, mereka mengeluarkan Rencana Mobilisasi Keamanan Perangkat Lunak Sumber Terbuka.

Rencana ini mencakup 10 aliran kerja dan anggaran yang dirancang untuk menangani area keamanan berprioritas tinggi dalam perangkat lunak sumber terbuka, mulai dari pelatihan dan tanda tangan digital, hingga tinjauan kode untuk proyek sumber terbuka teratas dan penerbitan tagihan perangkat lunak (SBOM).

Undang-undang tersebut secara langsung membahas tiga bidang fokus teratas untuk meningkatkan keamanan sumber terbuka: deteksi dan pengungkapan kerentanan, SBOM, dan OSPO.

Salah satu inisiatif pemerintah baru-baru ini mengenai keamanan open source adalah Secureing Open Source Software Act, undang-undang bipartisan oleh Senator AS Gary Peters, seorang Demokrat dari Michigan, dan Rob Portman, seorang Republikan dari Ohio.

Senator Peters dan Portman masing-masing adalah ketua dan anggota peringkat Komite Keamanan Dalam Negeri dan Urusan Pemerintah Senat. Mereka menghadiri audiensi Senat Log4j, dan kemudian memperkenalkan undang-undang ini untuk meningkatkan keamanan open source dan praktik terbaik di pemerintahan dengan menetapkan tugas direktur Cybersecurity and Infrastructure Security Agency (CISA).

Selengkapnya: Tech Crunch

Malware LodaRAT Muncul Kembali dengan Varian Baru Menggunakan Fungsionalitas yang Diperbarui

by

Malware LodaRAT telah muncul kembali dengan varian baru yang digunakan bersama dengan malware canggih lainnya, seperti RedLine Stealer dan Neshta.

“Kemudahan akses ke kode sumbernya menjadikan LodaRAT alat yang menarik bagi setiap pelaku ancaman yang tertarik dengan kemampuannya,” kata peneliti Cisco Talos, Chris Neal dalam sebuah artikel yang diterbitkan Kamis.

Selain dijatuhkan bersama keluarga malware lainnya, LodaRAT juga telah diamati dikirim melalui varian yang sebelumnya tidak diketahui dari trojan komoditas lain yang disebut Venom RAT, yang telah diberi nama kode S500.

Malware berbasis AutoIT, LodaRAT (alias Nymeria) dikaitkan dengan kelompok bernama Kasablanca dan mampu mengumpulkan informasi sensitif dari mesin yang disusupi.

Pada Februari 2021, versi Android dari malware muncul sebagai cara bagi pelaku ancaman untuk memperluas permukaan serangan mereka. Kemudian pada September 2022, Zscaler ThreatLabz menemukan mekanisme pengiriman baru yang melibatkan penggunaan pencuri informasi yang dijuluki Prynt Stealer.

Temuan terbaru dari Cisco Talos mendokumentasikan varian LodaRAT yang telah diubah yang telah terdeteksi di alam liar dengan fungsionalitas yang diperbarui, terutama memungkinkannya berkembang biak ke setiap perangkat penyimpanan lepasan yang terpasang dan mendeteksi proses antivirus yang sedang berjalan.

Selengkapnya: The Hacker News

42.000 Domain Penipu Digunakan oleh Peretas Tiongkok dalam Kampanye Phishing Besar

by

Kampanye phishing besar-besaran yang dioperasikan oleh kelompok peretasan China “Fangxiao” menempatkan ribuan orang dalam bahaya. Kampanye ini telah menggunakan 42.000 domain palsu untuk memfasilitasi serangan phishing. Domain penipu ini dirancang untuk mengarahkan pengguna ke aplikasi adware (periklanan malware), hadiah, dan situs kencan.

Cyjax, sebuah perusahaan solusi keamanan dan ancaman siber, menemukan 42.000 domain palsu yang digunakan dalam kampanye ini. Dalam posting blog Cyjax oleh Emily Dennison dan Alana Witten, penipuan itu digambarkan sebagai canggih, dengan kemampuan untuk “mengeksploitasi reputasi internasional, merek tepercaya di berbagai vertikal termasuk ritel, perbankan, perjalanan, farmasi, perjalanan dan energi”.

Penipuan dimulai dengan pesan WhatsApp berbahaya, di mana merek tepercaya ditiru. Contoh merek tersebut termasuk Emirates, Coca-Cola, McDonald’s, dan Unilever. Pesan ini memberi penerima tautan ke halaman web yang diberi daya pikat. Situs pengalihan tergantung pada alamat IP target, serta agen pengguna mereka.

Misalnya, McDonald’s mungkin mengklaim melakukan pemberian gratis. Ketika korban menyelesaikan pendaftaran mereka ke giveaway, unduhan malware Triada Trojan dapat dipicu. Malware juga dapat diinstal setelah mengunduh aplikasi tertentu, yang diminta untuk dipasang oleh korban agar dapat terus mengikuti giveaway.

Selengkapnya: Make Use Of

Ransomware adalah masalah global yang membutuhkan solusi global

by

kali ini tahun lalu, kami optimis. Sepertinya gelombang sedang menghidupkan ransomware setelah pemerintah AS mencetak beberapa kemenangan melawan penjahat dunia maya yang melakukan serangan yang semakin merusak ini: Departemen Kehakiman berhasil menyita $2,3 juta dalam bitcoin yang dibayarkan Colonial Pipeline ke geng ransomware DarkSide untuk mendapatkan kembali datanya , dan berbulan-bulan kemudian ia berperan dalam menjatuhkan geng ransomware REvil yang terkenal kejam.

Optimisme kami berumur pendek. Terlepas dari tindakan ini, 2022 tampaknya akan menjadi yang teratas tahun lalu sebagai tahun terburuk dalam catatan serangan ransomware; sebuah laporan baru-baru ini menunjukkan bahwa serangan telah meningkat sebesar 80% dari tahun ke tahun dan bahwa penjahat dunia maya yang bertanggung jawab atas serangan ini dengan mudah menghindari tindakan penegakan hukum dengan memanfaatkan ransomware sebagai layanan, atau hanya dengan mengubah citra.

“Jelas bahwa serangan ransomware sedang meningkat,” Matthew Prince, CEO Cloudflare, mengatakan kepada TechCrunch. “Pada September 2022, hampir satu dari setiap empat responden survei pelanggan kami melaporkan menerima serangan atau ancaman ransomware, bulan tertinggi sejauh ini di tahun 2022.”

Selengkapnya: Tech Crunch

Polisi membongkar jaringan streaming TV bajakan dengan 500.000 pengguna

by

Polisi Spanyol telah membongkar jaringan situs streaming bajakan yang mendistribusikan konten secara ilegal dari 2.600 saluran TV dan 23.000 film dan serial kepada sekitar 500.000 pengguna.

Penegakan hukum terjadi dalam operasi gabungan yang melibatkan polisi Spanyol dan EUROPOL, yang mengakibatkan penangkapan empat operator di Malaga.

Selain itu, 95 pengecer di Spanyol, Malta, Portugal, Siprus, Yunani, dan Inggris telah diidentifikasi.

Jaringan TV bajakan menggunakan banyak situs web untuk mengiklankan dan mempromosikan layanan streaming berbasis langganan, mencantumkan akses tak terbatas ke saluran dari berbagai platform.

Streaming langsung dari platform ini didekodekan dengan akun dan kata sandi yang dicuri atau disalahgunakan dan kemudian disiarkan ulang ke klien pemutar video pelanggan.

Pengecer membeli paket berlangganan dari operator organisasi dan menjualnya kembali ke ribuan orang di negara lokal mereka untuk mendapatkan keuntungan dari selisih harga.

Selama pencarian di lokasi tersangka, penegak hukum menemukan sepuluh panel administrasi yang terhubung ke 32 server streaming yang tersebar di Prancis, Spanyol, dan Belanda, yang menampung konten yang disebutkan di atas.

Polisi memutuskan panel administrasi ini, membuat platform bajak laut offline, dan menyita peralatan komputer, 2.800 Euro tunai, dan kendaraan senilai sekitar 180.000 Euro.

Pihak berwenang akan melanjutkan penyelidikan untuk menentukan apakah anggota inti lebih lanjut dari jaringan bajak laut beroperasi di Spanyol atau negara lain.

Menurut pengumuman polisi, jaringan streaming bajakan telah beroperasi sejak 2012, terus-menerus menghindari deteksi dengan mendirikan perusahaan cangkang baru.

Selengkapnya: Bleeping Computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer