Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Crime

Cyber Crime

Korea Utara mencoba meretas 11 pejabat Dewan Keamanan PBB

by

Sebuah kelompok peretas yang sebelumnya terkait dengan pemerintah Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan diungkapkan dalam laporan PBB bulan lalu, terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok hacker Korea Utara yang dikenal dengan nama sandi Kimsuky.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB

Source : Member State
atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Negara yang melaporkan serangan Kimsuky ke Dewan Keamanan PBB itu juga mengatakan bahwa kampanye serupa juga dilakukan terhadap anggota pemerintahannya sendiri, dengan beberapa serangan terjadi melalui WhatsApp, dan bukan hanya email.

Laporan PBB, yang melacak dan merinci tanggapan Korea Utara terhadap sanksi internasional, juga mencatat bahwa kampanye ini telah aktif selama lebih dari setahun.

Dalam laporan serupa yang diterbitkan pada Maret, Dewan Keamanan PBB mengungkapkan dua kampanye Kimsuky lainnya terhadap pejabat.
Yang pertama adalah serangkaian serangan spear-phishing terhadap 38 alamat email yang terkait dengan pejabat Dewan Keamanan – semuanya adalah anggota Dewan Keamanan pada saat serangan itu.

Yang kedua adalah operasi yang dirinci dalam laporan dari Badan Keamanan Siber Nasional Prancis [PDF]. Terhitung sejak Agustus 2019, ini adalah serangan spear-phishing terhadap pejabat dari China, Prancis, Belgia, Peru, dan Afrika Selatan, yang semuanya adalah anggota Dewan Keamanan PBB pada saat itu.

Source : ZDNet

Perusahaan Antivirus Tiongkok Ternyata Bagian dari Serangan ‘Supply Chain’ APT41

by

Departemen Kehakiman AS telah mendakwa tujuh warga negara China sebagai peretasan yang menargetkan lebih dari 100 perusahaan game online dan teknologi tinggi. Pemerintah menuduh orang-orang tersebut menggunakan email phishing yang mengandung malware dan serangan “Supply Chain” untuk mencuri data dari perusahaan dan pelanggan mereka. Salah satu terduga peretas pertama kali diprofilkan pada tahun 2012 sebagai pemilik perusahaan antivirus China.

Kegiatan APT41 berlangsung dari pertengahan 2000 hingga saat ini. Awal tahun ini, grup tersebut terkait dengan kampanye malware yang sangat agresif yang mengeksploitasi kerentanan dalam produk jaringan yang banyak digunakan, termasuk Router Cisco dan D-Link, serta peralatan Citrix dan Pulse VPN. Firma keamanan FireEye menjuluki blitz peretasan itu sebagai “salah satu kampanye terluas yang dilakukan oleh aktor spionase dunia maya China yang kami amati dalam beberapa tahun terakhir”.

Pemerintah menuding kelompok itu memonetisasi akses terlarangnya dengan menyebarkan ransomware dan tools “cryptojacking” (menggunakan sistem yang terkompromi untuk menambang cryptocurrency seperti Bitcoin). Selain itu, geng tersebut menargetkan perusahaan video game dan pelanggan mereka dalam upaya untuk mencuri item digital berharga yang dapat dijual kembali, seperti poin, kekuatan, dan item lain yang dapat digunakan untuk meningkatkan pengalaman bermain game.

APT41 diketahui menyembunyikan malware-nya di dalam resume palsu yang dikirim ke target. Itu juga menyebarkan serangan rantai pasokan yang lebih kompleks, di mana mereka akan meretas perusahaan perangkat lunak dan memodifikasi kode dengan malware.

Anvisoft

Salah satu pria yang didakwa sebagai bagian dari APT41, Tan DaiLin berusia 35 tahun, adalah subjek dari cerita KrebsOnSecurity 2012 yang berusaha menjelaskan produk antivirus China yang dipasarkan sebagai Anvisoft. Pada saat itu, produk tersebut telah masuk dalam “whitelist” atau ditandai sebagai aman oleh vendor antivirus yang lebih mapan, meskipun perusahaan tersebut tampaknya tidak menanggapi keluhan pengguna dan pertanyaan tentang kepemimpinan dan asal-usulnya.

Anvisoft mengklaim berbasis di California dan Kanada, tetapi penelusuran pada nama merek perusahaan menemukan catatan pendaftaran merek dagang yang menempatkan Anvisoft di zona teknologi tinggi Chengdu di Provinsi Sichuan, China.

Tinjauan atas catatan pendaftaran situs web Anvisoft menunjukkan bahwa domain perusahaan awalnya dibuat oleh Tan DaiLin, seorang peretas China terkenal yang menggunakan alias “Wicked Rose” dan “Withered Rose”. Saat itu, DaiLin berusia 28 tahun.

Seperti dicatat oleh TechCrunch, setelah dakwaan diajukan, jaksa penuntut mengatakan bahwa mereka memperoleh surat perintah untuk menyita situs web, domain, dan server yang terkait dengan operasi grup, secara efektif menutupnya dan menghambat operasi mereka.

“Para peretas yang diduga masih diyakini berada di China, tetapi tuduhan tersebut berfungsi sebagai upaya hukuman sosial yang digunakan oleh Departemen Kehakiman dalam beberapa tahun terakhir terhadap penyerang dunia maya yang didukung negara,” tulis Zack Whittaker dari TechCrunch.

Source : KerbsOnSecurity

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

by

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost

Ransomware Ini Mempunyai Trik Licik Untuk Mengirimkan Malware

by

Salah satu penjahat ransomware yang paling berbahaya merapkan taktik baru untuk membuat serangan tidak terdeteksi hingga, trik ini kemungkinan besar dipinjam dari grup ransomware lain.
Yang membuat Maze sangat berbahaya adalah selain memeras bitcoin berjumlah 6 digit untuk sebuah kunci dekripsi, mereka mengancam akan menerbitkan data internal yang dicuri jika tuntutan pemerasan mereka tidak dipenuhi.

Taktik ini sebelumnya digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana untuk mengirimkan ransomware.
Peneliti keamanan siber di Sophos menemukan kesamaan antara taktik baru Maze dan teknik yang dipelopori oleh Ragnar Locker saat menyelidiki serangan ransomware Maze pada bulan Juli.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.
Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat, tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu mereka terdeteksi sebagai serangan sampai serangan dimulai dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak terlindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos.

Organisasi dapat melindungi dari serangan yang disebarkan dengan cara memblokir penggunaan aplikasi yang tidak perlu pada mesin, sehingga penyerang tidak dapat mengeksploitasinya.

Langkah-langkah lain yang dapat diambil organisasi untuk menghindari menjadi korban serangan ransomware termasuk memastikan bahwa patch keamanan diterapkan sesegera mungkin untuk mencegah peretas mengeksploitasi kerentanan yang diketahui, sorganisasi juga harus menerapkan multi- otentikasi faktor atau MFA

“Perlindungan terhadap serangan ransomware tidak hanya membutuhkan perangkat lunak keamanan canggih, tetapi juga pemburu ancaman dan tim Incident Response yang dapat melihat tanda-tanda penyusup di jaringan mereka dan mengambil tindakan yang sesuai untuk menetralkan ancaman,” kata McKenzie

Source : ZDNet

Amerika menuntut 5 peretas China, 2 kaki tangannya dengan kampanye serangan siber yang luas

by

Jaksa federal pada hari Rabu mengumumkan dakwaan terhadap lima peretas China yang dituduh melanggar lebih dari 100 perusahaan, lembaga kebijakan, universitas, dan lembaga pemerintah di seluruh dunia.

Departemen Kehakiman menguraikan skema besar-besaran yang mencuri kode sumber dan data bisnis utama lainnya dari perusahaan telekomunikasi dan energi, penyedia medis, perusahaan pengembangan perangkat lunak, organisasi nirlaba, dan perusahaan video game.

Para peretas menggunakan email spearphishing, memalsukan sertifikat digital, dan mengeksploitasi kerentanan terkenal untuk menembus target mereka. Dalam beberapa kasus, mereka meretas perusahaan yang menyediakan layanan ke perusahaan lain dan menggunakan akses tersebut untuk masuk ke jaringan pelanggan korban mereka.

Dua terdakwa, Zhang Haoran dan Tan Dailin, diduga mulai meretas perusahaan video game pada November 2014 dan memodifikasi sistem game untuk mengisi akun mereka dengan barang digital.

Tiga peretas lainnya, Jiang Lizhi, Qian Chuan dan Fu Qiang, diduga melakukan kampanye penyusupan yang lebih luas ke dalam bisnis, universitas, dan kelompok hak asasi manusia melalui perusahaan mereka, Chengdu 404.

Jiang dan Qiang diduga berpartisipasi dalam aktivitas peretasan yang oleh para peneliti dikaitkan dengan grup bernama APT41 dan “Wicked Panda”.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Politico

Weave Scope dieksploitasi dalam serangan terhadap lingkungan cloud

by

TeamTNT telah menambahkan perangkat lunak Weave Scope yang sah ke perangkat serangannya dalam upaya menyusup ke lingkungan cloud.

Menurut penelitian baru yang diterbitkan oleh perusahaan keamanan siber Intezer dan Microsoft minggu ini, ini mungkin pertama kalinya Weave Scope disertakan dalam serangan berbasis cloud.

TeamTNT sebelumnya telah dikaitkan ke serangan terhadap instalasi Docker dan Kubernetes. Bulan lalu, pelaku ancaman juga memiliki kaitan dengan botnet penambangan cryptocurrency yang mampu mencuri kredensial AWS dari server. Grup ini juga diketahui mengunggah image Docker yang berbahaya ke Docker Hub.

Microsoft mengatakan bahwa image berbahaya yang terlihat pada pertengahan Agustus disebarkan dari repositori yang tidak terlihat dalam serangan sebelumnya. Satu image Docker, khususnya, pause-amd64: 3.3, terhubung ke server yang berbasis di Jerman yang berisi skrip berbahaya dan alat tambahan yang digunakan oleh grup.

Weave Works ‘Weave Scope adalah perangkat lunak visualisasi dan pemantauan sumber terbuka untuk Docker, Kubernetes, Sistem Operasi Cloud Terdistribusi (DC / OS), dan AWS Elastic Compute Cloud (ECS), yang memungkinkan pengguna untuk menonton proses yang sedang berjalan dan koneksi jaringan kontainer di lingkungan cloud melalui antarmuka khusus. Perangkat lunak ini juga mengizinkan administrator untuk menjalankan shell dalam cluster sebagai root, dan tidak memerlukan autentikasi secara default.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Peretas Mencuri $ 5,4 Juta Dari Bursa Cryptocurrency Eterbase

by

Penjahat dunia maya berhasil menjarah pertukaran cryptocurrency digital lainnya.

Pertukaran cryptocurrency Eropa Eterbase minggu ini mengungkapkan pelanggaran besar-besaran pada jaringannya oleh sekelompok peretas yang tidak dikenal yang mencuri cryptocurrency senilai 5,4 juta dolar.

Eterbase, yang kini memasuki mode pemeliharaan hingga masalah keamanan teratasi, menggambarkan dirinya sebagai Pertukaran Aset Digital Premier Eropa.

Berbasis di Bratislava, Slovakia, dan diluncurkan pada 2019, Eterbase adalah platform pertukaran mata uang kripto kecil yang berfokus pada integrasi kripto ke SEPA (melalui akun IBAN individu), dukungan multi-aset, dan kepatuhan terhadap peraturan.

Pada Senin malam, pelaku ancaman jahat berhasil menyerbu enam dompet panas Eterbase untuk Bitcoin, Ethereum, XRP, Tezos, Algorand, dan TRON dan mentransfer dana ke dompet mereka yang dikelola di enam bursa kripto saingan, Eterbase melaporkan di saluran Telegram pada hari Selasa.

Menurut tweet yang diposting oleh bursa yang terpengaruh, Eterbase melacak sebagian besar dana yang dicuri ke bursa terpusat, termasuk Binance, HitBTC, dan Huobi, dan menghubungi tim dukungan mereka untuk bantuan lebih lanjut.

Perusahaan telah memberi tahu otoritas penegak hukum setempat dan pelanggan yang terpengaruh, memastikan bahwa mereka memiliki cukup modal untuk memenuhi semua kewajiban dan mengambil semua langkah yang diperlukan untuk memastikan bahwa jumlah setoran klien mereka tidak mengalami kerusakan akibat peretasan.

Berita lebih lanjut dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

DDoS Aktor jahat menargetkan NZX, Moneygram, Braintree, dan jasa keuangan lainnya

by

Selama beberapa minggu terakhir, geng kriminal telah meluncurkan serangan DDoS terhadap beberapa penyedia layanan keuangan terbesar di dunia itu menuntut pembayaran Bitcoin sebagai biaya menghentikan serangan mereka.

Grup tersebut menyerang layanan pengiriman uang MoneyGram, YesBank India, Worldpay, PayPal, Braintree, dan Venmo. Bursa Selandia Baru (NZX) yang diserang selama tiga hari berturut-turut ini juga menjadi salah satu korban grup.

Para penyerang telah diidentifikasi sebagai kelompok yang sama dalam laporan Akamai yang diterbitkan 17 Agustus lalu.

Grup tersebut menggunakan nama lain seperti Armada Collective dan Fancy Bear. keduanya dipinjam dari grup peretas yang lebih terkenal untuk mengirim email ke perusahaan dan mengancam serangan DDoS yang dapat melumpuhkan operasi dan meminta para korban membayar permintaan tebusan yang sangat besar dalam Bitcoin .

Jenis serangan semacam itu disebut “pemerasan DDoS” atau “DDoS-for-Bitcoin” dan pertama kali terlihat pada musim panas 2016.

Selama beberapa tahun terakhir, kelompok pemeras DDoS menyampaikan ancaman mereka dan menyerang korban, tetapi sebagian besar dari upaya pemerasan ini hanya memberikan ancaman palsu.

Namun, grup yang aktif bulan ini adalah salah satu yang paling berbahaya yang terlihat sejak awal tren ini di tahun 2016.