Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Security

Cyber Security

Spammer Menggunakan Malware Squirrelwaffle untuk Menjatuhkan Cobalt Strike

by

Ancaman malware baru bernama Squirrelwaffle telah muncul di alam liar, mendukung aktor dengan pijakan awal dan cara untuk menjatuhkan malware ke sistem dan jaringan yang disusupi.

Alat malware baru menyebar melalui kampanye spam yang menjatuhkan Qakbot dan Cobalt Strike di kampanye terbaru. Ditemukan oleh para peneliti di Cisco Talos, Squirrelwaffle adalah salah satu alat yang muncul sebagai pengganti Emotet tak lama setelah gangguan penegakan hukum pada botnet yang banyak digunakan.

Ancaman baru ini pertama kali muncul pada September 2021, dengan volume distribusi memuncak pada akhir bulan itu. Sementara kampanye spam terutama menggunakan kampanye email rantai balasan curian dalam bahasa Inggris, pelaku ancaman juga menggunakan email Prancis, Jerman, Belanda, dan Polandia.

Email ini berisi hyperlink ke arsip ZIP berbahaya yang dihosting di server web yang dikendalikan penyerang dan biasanya menyertakan lampiran .doc atau .xls berbahaya yang menjalankan kode penghapus malware jika dibuka.

Pada beberapa dokumen yang diambil sampelnya dan dianalisis oleh peneliti Talos, para aktor menggunakan platform penandatanganan DocuSign sebagai umpan untuk mengelabui penerima agar mengaktifkan makro di suite MS Office mereka.

Kode yang terkandung memanfaatkan pembalikan string untuk kebingungan, menulis skrip VBS ke %PROGRAMDATA%, dan menjalankannya.

Tindakan ini mengambil Squirrelwaffle dari salah satu dari lima URL hardcode, mengirimkannya dalam bentuk file DLL ke sistem yang disusupi.

Squirrelwaffle loader kemudian menyebarkan malware seperti Qakbot atau alat pengujian penetrasi Cobalt Strike yang banyak disalahgunakan.

Cobalt Strike adalah alat pengujian penetrasi yang sah yang dirancang sebagai kerangka kerja serangan untuk menguji infrastruktur organisasi untuk menemukan celah keamanan dan kerentanan.

Namun, versi Cobalt Strike yang retak juga digunakan oleh pelaku ancaman (biasanya terlihat digunakan selama serangan ransomware) untuk tugas pasca-eksploitasi setelah menggunakan beacon, yang memberi mereka akses jarak jauh yang terus-menerus ke perangkat yang disusupi.

Squirrelwaffle juga menampilkan daftar blokir IP yang diisi dengan perusahaan riset keamanan terkemuka sebagai cara untuk menghindari deteksi dan analisis.

Semua komunikasi antara Squirrelwaffle dan infrastruktur C2 dienkripsi (XOR+Base64) dan dikirim melalui permintaan HTTP POST.

Pelaku ancaman memanfaatkan server web yang sebelumnya disusupi untuk mendukung aspek distribusi file dari operasi mereka, dengan sebagian besar situs ini menjalankan WordPress 5.8.1.

Di server ini, musuh menyebarkan skrip “antibot” yang membantu mencegah deteksi dan analisis topi putih.

Aktor mapan lainnya telah menerapkan beberapa metode yang tercakup dalam laporan Cisco Talos di masa lalu.

Dengan demikian, Squirrelwaffle mungkin merupakan reboot Emotet oleh anggota yang menghindari penegakan hukum atau pelaku ancaman lain yang mencoba mengisi kekosongan yang ditinggalkan oleh malware terkenal.

Karena pemanfaatannya yang meningkat, Cisco Talos menyarankan semua organisasi dan profesional keamanan untuk mengetahui TTP yang digunakan dalam kampanye malware ini.

Source: Bleeping Computer

Polisi Membubarkan Grup Penipuan Online yang Berhasil Meraup 166 Triliun Rupiah

by

Polisi melakukan 106 penangkapan dalam membubarkan kegiatan kejahatan terorganisir yang menggunakan phishing dan business email compromise attacks.

Polisi telah membongkar grup yang terkait dengan mafia Italia yang menipu ratusan korban melalui serangan phishing dan jenis penipuan online lainnya.

Operasi gabungan dipimpin oleh Polisi Nasional Spanyol (Policia Nacional), dengan dukungan dari Polisi Nasional Italia (Polizia di Stato), Europol dan Eurojust dan telah mengakibatkan 106 penangkapan di seluruh Spanyol dan Italia.

Menurut Europol, operasi kejahatan menggunakan serangan phishing, pertukaran SIM, dan business email compromise (BEC) dan diperkirakan menghasilkan keuntungan selama satu tahun sekitar € 10 juta yang setara dengan $ 11,7 juta dollar amerika atau 166 triliun rupiah.

Digambarkan sebagai “terorganisir dengan sangat baik”, kelompok itu terdiri dari sejumlah pakar kejahatan komputer yang bertugas membuat domain phishing dan melakukan penipuan dunia maya. Individu lain yang terlibat dalam jaringan kriminal ada perantara uang dan pakar pencucian uang(money-laundering), termasuk pakar cryptocurrency.

Bekerja di Kepulauan Canary, Spanyol, para penjahat menipu para korban (kebanyakan dari Italia) untuk mengirim sejumlah besar uang ke rekening bank yang mereka kendalikan, sebelum melakukan money-laundering.

Menurut FBI, BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan, meraup sampai sampai miliaran dollar per tahun.

Selain 106 penangkapan, 118 rekening bank telah dibekukan dan sejumlah perangkat telah disita, termasuk 224 kartu kredit, kartu SIM, dan terminal point-of-sale.

Polisi menyelidiki kelompok itu selama lebih dari setahun sebelum melakukan penangkapan. Sebagai bagian dari operasi, Europol mengerahkan dua analis dan satu ahli forensik ke Tenerife, Spanyol dan satu analis ke Italia. Europol juga mendanai pengerahan tiga penyelidik Italia ke Tenerife untuk mendukung pihak berwenang Spanyol selama penyelidikan.

source: ZDNet

Phishing, ransomware, serangan aplikasi web mendominasi pelanggaran data pada tahun 2021, kata Verizon Business DBIR

by

Aplikasi web mewakili 39% dari semua pelanggaran data pada tahun lalu dengan serangan phishing melonjak 11% dan ransomware naik 6% dari tahun lalu, menurut Laporan Investigasi Pelanggaran Data Bisnis Verizon.

Laporan tersebut, berdasarkan 5.358 pelanggaran dari 83 kontributor di seluruh dunia, menyoroti bagaimana pandemi COVID-19 berpindah ke cloud dan pekerjaan jarak jauh membuka beberapa jalan bagi kejahatan dunia maya.

Verizon Business menemukan bahwa 61% dari semua pelanggaran melibatkan data kredensial. Sejalan dengan tahun-tahun sebelumnya, kelalaian manusia merupakan ancaman terbesar bagi keamanan.

Setiap industri di DBIR memiliki nuansa keamanannya sendiri. Misalnya, 83% data yang dikompromikan di industri keuangan dan asuransi adalah data pribadi, kata Verizon Business. Perawatan kesehatan terganggu oleh kesalahan pengiriman dokumen elektronik atau kertas. Di sektor publik, rekayasa sosial adalah teknik pilihan.

Berdasarkan wilayah, pelanggaran Asia Pasifik biasanya disebabkan oleh motivasi finansial dan phishing. Di EMEA, serangan aplikasi web, intrusi sistem, dan manipulasi psikologis adalah hal yang biasa.

selengkapnya : www.zdnet.com

Nightmare week for security vendors: Now a Trend Micro bug is being exploited in the wild

by

Perusahaan keamanan siber AS-Jepang Trend Micro mengungkapkan pada hari Rabu bahwa pelaku ancaman mulai menggunakan bug dalam produk antivirusnya untuk mendapatkan hak admin pada sistem Windows sebagai bagian dari serangannya.

Kerentanan, dilacak sebagai CVE-2020-24557, memengaruhi Apex One dan OfficeScan XG perusahaan, dua produk keamanan tingkat lanjut yang ditujukan untuk pelanggan perusahaan.

Bug tersebut ditemukan tahun lalu oleh Christopher Vella, seorang peneliti kerentanan di Microsoft, yang secara pribadi melaporkan masalah tersebut ke Trend Micro melalui program akuisisi bug Zero-Day Initiative milik perusahaan.

Trend Micro menambal masalah tersebut pada Agustus 2020, tetapi dalam pembaruan untuk penasihat keamanan awalnya yang diposting pada hari Rabu, perusahaan keamanan tersebut mengatakan telah mengetahui insiden di mana bug yang sama ini dipersenjatai untuk menyerang beberapa pelanggannya.

“Cacat spesifik ada dalam logika yang mengontrol akses ke folder Misc,” kata tim ZDI tahun lalu. “Penyerang dapat memanfaatkan kerentanan ini untuk meningkatkan hak istimewa dan mengeksekusi kode dalam konteks SISTEM.”

Berdasarkan uraian masalah ini, bug tidak dapat digunakan untuk membobol sistem tetapi digunakan sebagai langkah kedua dalam rantai eksploitasi multi-fase setelah peretas telah menanam kode berbahaya di komputer korban dan menggunakan bug untuk mengambil kendali penuh. dari sistem yang terinfeksi.

Meskipun Trend Micro tidak membagikan detail apa pun tentang para penyerang, sebuah sumber yang mengetahui serangan tersebut mengatakan kepada The Record bahwa bug itu digunakan oleh ancaman persisten tingkat lanjut (APT), istilah yang biasanya digunakan untuk merujuk pada kelompok spionase dunia maya yang disponsori negara.

Bug ini sekarang menjadi kerentanan keempat di produk keamanan Apex One dan OfficeScan XG yang telah dieksploitasi di alam liar setelah CVE-2019-18187, CVE-2020-8467, dan CVE-2020-8468.

Tiga yang pertama disalahgunakan pada 2019 dan 2020, dengan yang pertama digunakan oleh kelompok spionase dunia maya Tiongkok selama serangan terhadap Mitsubishi Electric.

selengkapnya : therecord.media

61 persen karyawan gagal dalam kuis keamanan siber dasar

by

Hampir 70% karyawan yang disurvei dalam survei baru mengatakan bahwa mereka baru-baru ini menerima pelatihan keamanan siber dari pemberi kerja mereka, namun 61% tetap gagal saat diminta untuk mengikuti kuis dasar tentang topik tersebut.

Ini adalah salah satu temuan utama dari studi penelitian – yang dilakukan oleh TalentLMS atas nama Kenna Security – yang berusaha memahami kebiasaan keamanan siber dari sekitar 1.200 pekerja, serta pengetahuan mereka tentang praktik terbaik dan kemampuan untuk mengenali ancaman keamanan.

Berikut adalah beberapa sorotan lain yang menggarisbawahi mengapa kejahatan dunia maya telah menjadi bisnis bernilai triliunan dolar:

  • Hanya 17% dari mereka yang disurvei yang bekerja di layanan informasi lulus kuis, dibandingkan dengan 57% pegawai perawatan kesehatan. Namun, 93% responden yang bekerja di layanan informasi melaporkan menerima pelatihan keamanan siber, dibandingkan dengan 67% responden perawatan kesehatan.
  • 60% karyawan yang gagal dalam kuis keamanan siber melaporkan bahwa mereka merasa aman dari ancaman. Hebatnya, 74% responden yang menjawab setiap pertanyaan secara tidak benar melaporkan merasa aman.
  • Meskipun sebagian besar sudah terbiasa dengan teknologi, karyawan berusia 18-24 tahun secara kolektif menunjukkan performa terburuk dalam kuis, dengan hanya 16% yang lulus. Di antara kelompok demografis usia, 25 hingga 34 tahun terikat dengan mereka yang berusia 54 ke atas untuk kinerja kolektif terbaik, dengan tingkat kelulusan 43%.

James McQuiggan, advokat kesadaran keamanan di KnowBe4, mengatakan organisasi harus mengadakan penilaian simulasi phishing berulang dan pelatihan tambahan sepanjang tahun, selain pelatihan berbasis komputer.

selengkapnya : www.scmagazine.com

Apex Legends sedang mempertimbangkan tindakan hukum untuk menghentikan peretas dan serangan DDoS

by

Apex Legends telah mengalami masalah yang meningkat dengan cheater dan serangan DDoS, membuat game ini tidak dapat dimainkan untuk beberapa orang. Tim pengembangan di Respawn telah mengonfirmasi bahwa mereka sedang menjajaki semua jalan untuk mengakhirinya.

Masalahnya telah mencapai titik puncak karena streamer populer dan pemain peringkat tinggi telah menjadi sasaran peretas yang sangat invasif.

Para peretas ini tidak hanya menggunakan cheat seperti aimbots dan wallhack, tetapi juga menemukan cara untuk menyusup ke lobi pemain, dan bahkan menghentikan mereka untuk terhubung ke server.

Ini disorot oleh Twitch streamer ShivFPS, yang telah mengomel terhadap para peretas. Para peretas mengatakan mereka akan lebih baik kepada streamer yang melakukan apa yang mereka katakan, tetapi Shiv tidak memainkan permainan mereka.

selengkapnya : www.dexerto.com

Haruskah perusahaan lebih khawatir tentang serangan cyber firmware?

by

Survei terhadap 1.000 pembuat keputusan keamanan dunia maya di perusahaan di berbagai industri di Inggris, AS, Jerman, Jepang, dan China telah mengungkapkan bahwa 80% perusahaan telah mengalami setidaknya satu serangan firmware dalam dua tahun terakhir.

Namun hanya 29% dari anggaran keamanan yang telah dialokasikan untuk melindungi firmware.

Namun, laporan baru ini muncul setelah kerentanan keamanan signifikan baru-baru ini yang memengaruhi sistem email Exchange Microsoft yang banyak digunakan.

Dan raksasa komputasi itu meluncurkan serangkaian komputer Windows 10 ekstra aman tahun lalu yang dikatakan akan mencegah firmware dirusak.

Jadi, apakah ini hanya upaya untuk mengalihkan perhatian dan menjual lebih banyak PC, atau haruskah bisnis lebih khawatir?

Semakin banyak penjahat dunia maya yang merancang malware yang diam-diam merusak firmware di motherboard, yang memberi tahu PC untuk memulai, atau dengan firmware di driver perangkat keras.

Ini adalah cara licik untuk menerobos dengan rapi sistem operasi komputer atau perangkat lunak apa pun yang dirancang untuk mendeteksi perangkat lunak jahat, karena kode firmware ada di perangkat keras, yang merupakan lapisan di bawah sistem operasi.

Pakar keamanan mengatakan kepada BBC bahwa meskipun departemen TI mengikuti praktik terbaik keamanan dunia maya seperti menambal kerentanan keamanan dalam perangkat lunak, atau melindungi jaringan perusahaan dari gangguan jahat, banyak perusahaan masih melupakan firmware.

“Orang-orang tidak memikirkannya dalam kaitannya dengan tambalan mereka – ini tidak sering diperbarui, dan jika ada, terkadang hal itu merusak sesuatu,” jelas peneliti keamanan siber Australia Robert Potter.

Mr Potter membangun pusat operasi keamanan dunia maya di Washington Post dan telah memberi nasihat kepada pemerintah Australia tentang keamanan dunia maya.

“Penambalan firmware terkadang rumit, jadi bagi banyak perusahaan, ini menjadi titik buta.”

selengkapnya :www.bbc.com

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek