Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Crime

Cyber Crime

Garda Nasional untuk Membantu Jaringan Kesehatan Vermont Setelah Serangan Cyber

by

Gubernur Vermont telah memanggil Garda Nasional untuk membantu Jaringan Kesehatan Universitas Vermont menanggapi serangan dunia maya yang serius. Enam rumah sakit di Jaringan Kesehatan UVM mengalami masalah jaringan yang signifikan menyusul serangan yang melanda sepekan dari tanggal 25 Oktober.
Dampak serangan terhadap layanan bervariasi di berbagai organisasi afiliasi jaringan. Pemadaman listrik di sejumlah sistem sedang dialami di University of Vermont Medical Center di Burlington, di mana beberapa prosedur elektif yang tidak mendesak telah dijadwalkan ulang. Staf tidak dapat mengakses jadwal janji temu dan beberapa atau semua informasi pasien. Studi tidur telah dibatalkan dan pemindaian radiologi rawat jalan ditunda.

Di Vermont, pasien yang mengunjungi Medical Center Porter di Middlebury atau Medical Center Central Vermont di Berlin telah diperingatkan untuk mengharapkan waktu tunggu yang lebih lama. Selain itu, komunikasi elektronik antara Home Health & Hospice di Colchester dan Medical Center UVM telah terganggu oleh pemadaman listrik.
Di New York, portal pasien rumah sakit untuk Medical Center Alice Hyde di Malone saat ini terputus dan komunikasi elektronik antara Medical Center UVM dan Rumah Sakit Komunitas Elizabethtown terputus.

Kemarin, Gubernur Vermont Phil Scott mengerahkan Tim Respons Maya Gabungan Garda Nasional Vermont untuk membantu tim TI Jaringan Kesehatan UVM dalam meninjau ribuan komputer dan perangkat pengguna akhir. Sementara “kemajuan yang stabil” sedang dilakukan untuk pemulihan total, Jaringan Kesehatan UVM tidak dapat mengatakan dengan pasti kapan semua sistem akan dipulihkan. Data pasien tampaknya tidak terungkap oleh insiden keamanan.

sumber : Infosecurity Magazine

Google merisilis zero-day baru yang sedang dieksploitasi hacker

by

Google telah menjatuhkan rincian kerentanan yang sebelumnya tidak diungkapkan di Windows, yang dikatakan oleh peretas secara aktif mengeksploitasi. Akibatnya, Google memberi Microsoft waktu seminggu untuk memperbaiki kerentanan tersebut. Tenggat waktu itu datang dan pergi, dan Google menerbitkan detail kerentanan siang ini.

Kerentanan tersebut tidak memiliki nama tetapi diberi label CVE-2020-17087, dan memengaruhi setidaknya Windows 7 dan Windows 10.

Project Zero Google, kelompok elit pemburu bug keamanan yang membuat penemuan tersebut, mengatakan bahwa bug tersebut memungkinkan penyerang untuk meningkatkan tingkat akses pengguna mereka di Windows. Penyerang menggunakan kerentanan Windows sehubungan dengan bug terpisah di Chrome, yang diungkapkan dan diperbaiki Google minggu lalu. Bug baru ini memungkinkan penyerang untuk keluar dari kotak pasir Chrome, biasanya diisolasi dari aplikasi lain, dan menjalankan malware di sistem operasi.

Namun tidak jelas siapa penyerang atau motif mereka. Direktur Threat Intelligence Google Shane Huntley mengatakan bahwa serangan itu “ditargetkan” dan tidak terkait dengan pemilihan AS.

Seorang juru bicara Microsoft juga menambahkan bahwa serangan yang dilaporkan “sangat terbatas dan bertarget di internet, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas.”

Ini adalah yang terbaru dari daftar kelemahan utama yang memengaruhi Windows tahun ini. Microsoft mengatakan pada bulan Januari bahwa Badan Keamanan Nasional membantu menemukan bug kriptografi di Windows 10, meskipun tidak ada bukti eksploitasi. Namun pada bulan Juni dan September, Homeland Security mengeluarkan peringatan atas dua bug Windows “kritis” – satu yang memiliki kemampuan untuk menyebar ke seluruh internet, dan yang lainnya dapat memperoleh akses penuh ke seluruh jaringan Windows.

Source : Techcrunch

Celah pada Magento dapat mengeksekusi kode pada Toko Online

by

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost

Peretas China Menargetkan Kampanye Biden Meniru McAfee Antivirus, Kata Google

by

Peretas menggunakan berbagai metode untuk menargetkan korbannya. mereka kerap memikat pengguna melalui email phishing. Sekarang, mereka telah menemukan cara unik lain meniru antivirus McAfee untuk mengelabui pengguna agar mengunduh malware.

Menurut tim keamanan Google, trik baru telah dikembangkan oleh kelompok peretas China APT31, juga dikenal sebagai Zirkonium, dan target utama mereka adalah orang-orang terkenal, termasuk kampanye pemilihan Presiden calon Demokrat AS Joe Biden. Google mengatakan targetnya adalah akun email pribadi stafnya.
Dalam sebuah posting blog pada hari Jumat, tim keamanan Google mengungkapkan bahwa mereka telah mengidentifikasi tautan email phishing yang dirancang untuk memikat korban agar mengunduh malware yang dikembangkan menggunakan kode Python. Melalui itu, peretas dapat mengubah kode berbahaya menggunakan Dropbox, layanan penyimpanan cloud gratis.

“Malware memungkinkan penyerang untuk mengunggah dan mengunduh file serta menjalankan perintah sewenang-wenang. Setiap bagian berbahaya dari serangan ini dihosting pada layanan yang sah, sehingga mempersulit pembela untuk mengandalkan sinyal jaringan untuk mendeteksi,” kata Shane Huntley, seorang peneliti keamanan dari Google di posting blog.

Menyamar sebagai McAfee Antivirus

Aspek paling menarik dari upaya peretasan ini adalah bahwa mereka mengembangkan teknik canggih untuk menyamarkan upaya phishing dalam versi perangkat lunak antivirus McAfee yang sah. “Target akan diminta untuk menginstal versi sah dari perangkat lunak antivirus McAfee dari GitHub, sementara malware itu secara bersamaan diinstal ke sistem secara diam-diam,” kata Huntley.

Namun, serangan malware tidak hanya menargetkan staf kampanye Biden. Sebelumnya, Microsoft juga mencatat bahwa anggota terkemuka dari komunitas hubungan internasional, akademisi dari lebih dari 15 universitas menjadi sasaran. Penggunaan perangkat lunak antivirus populer McAfee mungkin mengejutkan, tetapi Google mengatakan peretas yang didukung negara sebelumnya telah menggunakan perangkat lunak resmi untuk menyamarkan perangkat lunak jahat.

Google mengatakan serangan itu dari kelompok peretas China bernama APT31 yang diduga terkait dengan pemerintah negara itu. Raksasa teknologi itu telah mengembangkan sistem peringatan dan memfilter sebagian besar serangan berbahaya di masa lalu. Jika sistem Google mendeteksi upaya peretasan atau phishing yang didukung negara, ia akan mengirimkan peringatan, menjelaskan bahwa pemerintah asing mungkin bertanggung jawab. Huntley mengatakan bahwa Google telah membagikan temuan tersebut dengan FBI.

Microsoft dalam blognya bulan lalu juga mencatat bahwa setidaknya seorang staf kampanye pemilihan kembali Presiden AS Donald Trump juga menjadi sasaran APT31. Selain grup China, grup hacker Iran yang dikenal dengan APT35 juga sempat mengincar kampanye Trump dengan email phishing.

Source : ibtimes

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Korea Utara mencoba meretas 11 pejabat Dewan Keamanan PBB

by

Sebuah kelompok peretas yang sebelumnya terkait dengan pemerintah Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan diungkapkan dalam laporan PBB bulan lalu, terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok hacker Korea Utara yang dikenal dengan nama sandi Kimsuky.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB

Source : Member State
atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Negara yang melaporkan serangan Kimsuky ke Dewan Keamanan PBB itu juga mengatakan bahwa kampanye serupa juga dilakukan terhadap anggota pemerintahannya sendiri, dengan beberapa serangan terjadi melalui WhatsApp, dan bukan hanya email.

Laporan PBB, yang melacak dan merinci tanggapan Korea Utara terhadap sanksi internasional, juga mencatat bahwa kampanye ini telah aktif selama lebih dari setahun.

Dalam laporan serupa yang diterbitkan pada Maret, Dewan Keamanan PBB mengungkapkan dua kampanye Kimsuky lainnya terhadap pejabat.
Yang pertama adalah serangkaian serangan spear-phishing terhadap 38 alamat email yang terkait dengan pejabat Dewan Keamanan – semuanya adalah anggota Dewan Keamanan pada saat serangan itu.

Yang kedua adalah operasi yang dirinci dalam laporan dari Badan Keamanan Siber Nasional Prancis [PDF]. Terhitung sejak Agustus 2019, ini adalah serangan spear-phishing terhadap pejabat dari China, Prancis, Belgia, Peru, dan Afrika Selatan, yang semuanya adalah anggota Dewan Keamanan PBB pada saat itu.

Source : ZDNet

Perusahaan Antivirus Tiongkok Ternyata Bagian dari Serangan ‘Supply Chain’ APT41

by

Departemen Kehakiman AS telah mendakwa tujuh warga negara China sebagai peretasan yang menargetkan lebih dari 100 perusahaan game online dan teknologi tinggi. Pemerintah menuduh orang-orang tersebut menggunakan email phishing yang mengandung malware dan serangan “Supply Chain” untuk mencuri data dari perusahaan dan pelanggan mereka. Salah satu terduga peretas pertama kali diprofilkan pada tahun 2012 sebagai pemilik perusahaan antivirus China.

Kegiatan APT41 berlangsung dari pertengahan 2000 hingga saat ini. Awal tahun ini, grup tersebut terkait dengan kampanye malware yang sangat agresif yang mengeksploitasi kerentanan dalam produk jaringan yang banyak digunakan, termasuk Router Cisco dan D-Link, serta peralatan Citrix dan Pulse VPN. Firma keamanan FireEye menjuluki blitz peretasan itu sebagai “salah satu kampanye terluas yang dilakukan oleh aktor spionase dunia maya China yang kami amati dalam beberapa tahun terakhir”.

Pemerintah menuding kelompok itu memonetisasi akses terlarangnya dengan menyebarkan ransomware dan tools “cryptojacking” (menggunakan sistem yang terkompromi untuk menambang cryptocurrency seperti Bitcoin). Selain itu, geng tersebut menargetkan perusahaan video game dan pelanggan mereka dalam upaya untuk mencuri item digital berharga yang dapat dijual kembali, seperti poin, kekuatan, dan item lain yang dapat digunakan untuk meningkatkan pengalaman bermain game.

APT41 diketahui menyembunyikan malware-nya di dalam resume palsu yang dikirim ke target. Itu juga menyebarkan serangan rantai pasokan yang lebih kompleks, di mana mereka akan meretas perusahaan perangkat lunak dan memodifikasi kode dengan malware.

Anvisoft

Salah satu pria yang didakwa sebagai bagian dari APT41, Tan DaiLin berusia 35 tahun, adalah subjek dari cerita KrebsOnSecurity 2012 yang berusaha menjelaskan produk antivirus China yang dipasarkan sebagai Anvisoft. Pada saat itu, produk tersebut telah masuk dalam “whitelist” atau ditandai sebagai aman oleh vendor antivirus yang lebih mapan, meskipun perusahaan tersebut tampaknya tidak menanggapi keluhan pengguna dan pertanyaan tentang kepemimpinan dan asal-usulnya.

Anvisoft mengklaim berbasis di California dan Kanada, tetapi penelusuran pada nama merek perusahaan menemukan catatan pendaftaran merek dagang yang menempatkan Anvisoft di zona teknologi tinggi Chengdu di Provinsi Sichuan, China.

Tinjauan atas catatan pendaftaran situs web Anvisoft menunjukkan bahwa domain perusahaan awalnya dibuat oleh Tan DaiLin, seorang peretas China terkenal yang menggunakan alias “Wicked Rose” dan “Withered Rose”. Saat itu, DaiLin berusia 28 tahun.

Seperti dicatat oleh TechCrunch, setelah dakwaan diajukan, jaksa penuntut mengatakan bahwa mereka memperoleh surat perintah untuk menyita situs web, domain, dan server yang terkait dengan operasi grup, secara efektif menutupnya dan menghambat operasi mereka.

“Para peretas yang diduga masih diyakini berada di China, tetapi tuduhan tersebut berfungsi sebagai upaya hukuman sosial yang digunakan oleh Departemen Kehakiman dalam beberapa tahun terakhir terhadap penyerang dunia maya yang didukung negara,” tulis Zack Whittaker dari TechCrunch.

Source : KerbsOnSecurity

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

by

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost