Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ancaman Siber

Ancaman Siber

Eksperimen Honeypot mengungkapkan apa yang diinginkan peretas dari perangkat IoT

by

​Eksperimen honeypot selama tiga tahun yang menampilkan interaksi rendah perangkat IoT yang disimulasikan dari berbagai jenis dan lokasi memberikan gambaran yang jelas tentang mengapa aktor menargetkan perangkat tertentu.

Perangkat IoT (Internet of Things) adalah pasar yang sedang booming yang mencakup perangkat kecil yang terhubung ke internet seperti kamera, lampu, bel pintu, TV pintar, sensor gerak, speaker, termostat, dan banyak lagi.

Diperkirakan bahwa pada tahun 2025, lebih dari 40 miliar perangkat ini akan terhubung ke Internet, menyediakan titik masuk jaringan atau sumber daya komputasi yang dapat digunakan dalam penambangan kripto yang tidak sah atau sebagai bagian dari kawanan DDoS.

Tiga komponen ekosistem honeypot yang dibuat oleh para peneliti di NIST dan University of Florida termasuk server farm, vetting system, dan infrastruktur pengambilan dan analisis data.

Tiga jenis utama honeypots adalah sebagai berikut:

  • HoneyShell – Meniru Busybox
  • HoneyWindowsBox – Meniru perangkat IoT yang menjalankan OS Windows
  • HoneyCamera – Meniru berbagai kamera IP dari Hikvision, D-Link, dan perangkat lainnya.

Eksperimen ini menghasilkan data dari 22,6 juta hit besar, dengan sebagian besar menargetkan honeypot HoneyShell.

Sumber: BleepingComputer

Para peneliti menemukan bahwa honeypots HoneyShell dan HoneyCamera ditargetkan terutama untuk perekrutan DDoS dan sering juga terinfeksi varian Mirai atau penambang koin.

Infeksi penambang koin adalah pengamatan paling umum di honeypot Windows, diikuti oleh virus, dropper, dan trojan.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Operator telekomunikasi yang ditargetkan dalam kampanye peretasan spionase baru-baru ini

by

Para peneliti telah melihat kampanye peretasan spionase baru yang menargetkan penyedia layanan telekomunikasi dan TI di Timur Tengah dan Asia.

Kampanye telah dilakukan selama enam bulan terakhir, dan ada hubungan tentatif dengan aktor yang didukung Iran, MERCURY (alias MuddyWater, SeedWorm, atau TEMP.Zagros).

Laporan tersebut berasal dari Tim Pemburu Ancaman di Symantec, yang telah mengumpulkan bukti dan sampel perangkat dari serangan baru-baru ini di Israel, Yordania, Kuwait, Arab Saudi, Uni Emirat Arab, Pakistan, Thailand, dan Laos.

Penyerang tampaknya paling tertarik pada Server Exchange yang rentan, yang mereka gunakan untuk penyebaran shell web.

Setelah pelanggaran awal, mereka mencuri kredensial akun dan bergerak secara lateral di jaringan perusahaan. Dalam beberapa kasus, mereka menggunakan pijakan mereka untuk berporos ke organisasi lain yang terhubung.

Meskipun vektor infeksi tidak diketahui, Symantec dapat menemukan kasus file ZIP bernama “Special discount program.zip,” yang berisi installer untuk aplikasi perangkat lunak desktop jarak jauh. Pelaku ancaman mungkin mendistribusikan email spear-phishing ke target tertentu.

Meskipun atribusinya tidak pasti, Symantec mencatat dua alamat IP yang tumpang tindih dengan infrastruktur yang digunakan dalam serangan MuddyWater yang lebih lama.

Selain itu, perangkat yang digunakan memiliki beberapa kesamaan dengan serangan Maret 2021 yang dilaporkan oleh peneliti Trend Micro.

Namun, banyak aktor yang didukung negara Iran menggunakan alat yang tersedia dan secara teratur beralih infrastruktur, dan dengan demikian, tidak ada atribusi konklusif yang dapat dibuat saat ini.

Selengkapnya: Bleeping Computer

Peretas menginfeksi plugin WordPress acak untuk mencuri kartu kredit

by

Dengan musim belanja Natal, pelaku ancaman pencurian kartu meningkatkan upaya mereka untuk menginfeksi toko online dengan skimmer tersembunyi, jadi administrator harus tetap waspada.

Tren terbaru adalah menyuntikkan skimmer kartu ke dalam file plugin WordPress, menghindari direktori inti ‘wp-admin’ dan ‘wp-includes’ yang dipantau secara ketat di mana sebagian besar injeksi berumur pendek.

Menurut sebuah laporan baru oleh Sucuri, peretas yang melakukan pencurian kartu kredit pertama-tama meretas situs WordPress dan menyuntikkan backdoor ke situs web untuk persistence.

Backdoor ini memungkinkan peretas untuk mempertahankan akses ke situs, bahkan jika administrator memasang pembaruan keamanan terbaru untuk WordPress dan memasang plugin.

Ketika penyerang menggunakan backdoor di masa depan, itu akan memindai daftar pengguna administrator dan menggunakan cookie otorisasi dan login pengguna saat ini untuk mengakses situs.

Pelaku ancaman kemudian menambahkan kode berbahaya mereka ke plugin acak, dan menurut Sucuri, banyak skrip bahkan tidak dikaburkan.

Namun, ketika memeriksa kode tersebut, para analis memperhatikan bahwa plugin pengoptimalan gambar berisi referensi ke WooCommerce dan menyertakan variabel yang tidak ditentukan. Plugin ini tidak memiliki kerentanan dan diyakini telah dipilih oleh pelaku ancaman secara acak.

Administrator dapat mengikuti beberapa tindakan perlindungan untuk menjaga situs mereka bebas skimmer atau meminimalkan waktu infeksi sebanyak mungkin.

Pertama, area wp-admin harus dibatasi hanya untuk alamat IP tertentu. Kemudian, bahkan jika backdoor disuntikkan, aktor tidak dapat mengakses situs bahkan jika mereka mencuri cookie administrator.

Kedua, pemantauan integritas file melalui pemindai sisi server aktif harus diterapkan di situs web, memastikan bahwa tidak ada perubahan kode yang tidak diketahui dalam waktu lama.

Terakhir, biasakan membaca log dan melihat detail secara mendalam. Misalnya, perubahan file, tema, atau pembaruan plugin selalu tercermin dalam log.

Selengkapnya: Bleeping Computer