Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Matikan Ponsel Anda Setiap Malam Selama Lima Menit, Kata Australia Kepada Warga

by

Australia’s prime minister, Anthony Albanese, has told residents they should turn their smartphones off and on again once a day as a cybersecurity measure – and tech experts agree.

Albanese said the country needed to be proactive to thwart cyber risks, as he announced the appointment of Australia’s inaugural national cybersecurity coordinator.

“We need to mobilise the private sector, we need to mobilise, as well, consumers,” the prime minister said on Friday.

“Kita semua memiliki tanggung jawab. Hal-hal sederhana, matikan ponsel Anda setiap malam selama lima menit. Untuk orang-orang yang menonton ini, lakukan itu setiap 24 jam, lakukan saat Anda menyikat gigi atau apa pun yang Anda lakukan.”

Nasihat pemerintah Australia bukanlah hal baru. Pada tahun 2020, Badan Keamanan Nasional Amerika Serikat mengeluarkan pedoman praktik terbaik untuk keamanan perangkat seluler, termasuk me-reboot smartphone seminggu sekali untuk mencegah peretasan.

Meskipun melakukan boot ulang setiap hari mungkin tampak sebagai ukuran dasar, para ahli yakin ini dapat membantu, dalam beberapa kasus.

Dr Priyadarsi Nanda adalah dosen senior di University of Technology Sydney yang berspesialisasi dalam pengembangan keamanan siber.

Dia mengatakan me-reboot ponsel secara teratur dapat meminimalkan risiko karena secara paksa menutup semua aplikasi dan proses yang berjalan di latar belakang yang dapat memantau pengguna atau mengumpulkan data dengan jahat.

shaghaghi mengatakan bahwa dengan apa yang disebut eksploitasi tanpa klik – serangan canggih yang tidak memerlukan tindakan dari pengguna untuk memberikan akses kepada musuh – me-reboot smartphone “dapat menantang penyerang karena mereka mungkin perlu menemukan cara alternatif untuk mengeksploitasi perangkat sekali. dihidupkan kembali”.

“reboot ulang perangkat Anda secara teratur membantu saat perangkat Anda tidak dikompromikan dengan malware yang terus-menerus, seperti mengaktifkan mode pesawat.”

Shaghaghi mengatakan smartphone dapat membahayakan privasi melalui aplikasi yang dengan jahat melacak lokasi dan mendengarkan percakapan. Berhati-hati terhadap aplikasi yang diinstal pengguna dan izin yang mereka berikan adalah langkah keamanan siber penting lainnya, katanya.

sumber : theguardian.com

Android GravityRAT Mengincar Cadangan WhatsApp

by

MalwareHunterTeam, yang membagikan hash untuk sampel GravityRAT melalui tweet. Berdasarkan nama file APK, aplikasi berbahaya tersebut diberi nama BingeChat dan mengklaim menyediakan fungsionalitas perpesanan. Kami menemukan situs web bingechat[.]net tempat sampel ini mungkin telah diunduh

Situs web distribusi aplikasi perpesanan BingeChat yang berbahaya

Situs web harus menyediakan aplikasi jahat setelah mengetuk tombol UNDUH APLIKASI; namun, pengunjung harus masuk. Kami tidak memiliki kredensial, dan pendaftaran ditutup. Kemungkinan besar operator hanya membuka pendaftaran ketika mereka mengharapkan korban tertentu untuk berkunjung, mungkin dengan alamat IP tertentu, geolokasi, URL khusus, atau dalam jangka waktu tertentu. Oleh karena itu, kami percaya bahwa calon korban sangat ditargetkan.

Layanan saat ini tidak menyediakan pendaftaran

Meskipun kami tidak dapat mengunduh aplikasi BingeChat melalui situs web, kami dapat menemukan URL di VirusTotal (https://downloads.bingechat[.]net/uploadA/c1d8bad13c5359c97cab280f7b561389153/BingeChat.zip) yang berisi aplikasi Android BingeChat berbahaya . Aplikasi ini memiliki hash yang sama dengan aplikasi di tweet yang disebutkan sebelumnya, yang berarti URL ini adalah titik distribusi untuk sampel GravityRAT khusus ini.


Nama domain yang sama juga dirujuk dalam kode aplikasi BingeChat – petunjuk lain bahwa bingechat[.]net digunakan untuk distribusi

Aplikasi berbahaya tidak pernah tersedia di Google Play Store. Ini adalah versi trojan dari aplikasi Android OMEMO Instant Messenger (IM) sumber terbuka yang sah, tetapi dicap sebagai BingeChat. OMEMO IM adalah pembangunan kembali Percakapan klien Android Jabber.

Kode HTML dari situs berbahaya menyertakan bukti bahwa kode tersebut disalin dari situs resmi preview.colorlib.com/theme/BingeChat/ pada 5 Juli 2022, menggunakan alat otomatis HTTrack; colorlib.com adalah situs resmi yang menyediakan tema WordPress untuk diunduh, tetapi tema BingeChat sepertinya sudah tidak tersedia lagi di sana. Domain bingechat[.]net didaftarkan pada 18 Agustus 2022.

Log generated by the HTTrack tool and recorded in the malicious distribution website’s HTML code

Kami tidak tahu bagaimana calon korban terpikat, atau ditemukan, situs web jahat. Menimbang bahwa pengunduhan aplikasi tergantung pada memiliki akun dan pendaftaran akun baru tidak memungkinkan bagi kami, kami yakin bahwa calon korban menjadi sasaran khusus. Skema ikhtisar serangan ditunjukkan pada Gambar dibawah.

GravityRAT distribution mechanism

SpaceCobra telah menyadarkan kembali GravityRAT untuk menyertakan fungsionalitas yang diperluas guna mengekstrak cadangan WhatsApp Messenger dan menerima perintah dari server C&C untuk menghapus file. Sama seperti sebelumnya, kampanye ini menggunakan aplikasi perpesanan sebagai penutup untuk mendistribusikan backdoor GravityRAT. Grup di balik malware menggunakan kode IM OMEMO yang sah untuk menyediakan fungsionalitas obrolan untuk aplikasi perpesanan berbahaya BingeChat dan Chatico.

Menurut telemetri ESET, pengguna di India menjadi sasaran RAT versi Chatico yang diperbarui, mirip dengan kampanye SpaceCobra yang didokumentasikan sebelumnya. Versi BingeChat didistribusikan melalui situs web yang memerlukan pendaftaran, kemungkinan hanya terbuka ketika penyerang mengharapkan korban tertentu untuk berkunjung, mungkin dengan alamat IP tertentu, geolokasi, URL khusus, atau dalam jangka waktu tertentu. Bagaimanapun, kami yakin kampanye ini sangat bertarget.

Eksklusif: Badan-badan pemerintah Amerika Serikat terkena serangan siber global.

by

Beberapa lembaga pemerintah federal Amerika Serikat telah menjadi korban serangan siber global oleh para penjahat siber Rusia yang memanfaatkan kerentanan dalam perangkat lunak yang banyak digunakan, menurut sebuah lembaga keamanan cyber Amerika Serikat.

Lembaga Keamanan Siber dan Infrastruktur Amerika Serikat “sedang memberikan dukungan kepada beberapa lembaga pemerintah federal yang mengalami intrusi yang mempengaruhi aplikasi MOVEit mereka,” kata Eric Goldstein, asisten direktur eksekutif lembaga tersebut untuk keamanan cyber, dalam sebuah pernyataan kepada CNN pada hari Kamis. “Kami sedang bekerja dengan giat untuk memahami dampaknya dan memastikan pemulihan yang tepat waktu.”

Selain lembaga pemerintah Amerika Serikat, “beberapa ratus” perusahaan dan organisasi di Amerika Serikat dapat terkena dampak dari serangan ini, kata seorang pejabat senior CISA kepada wartawan pada hari Kamis, mengutip perkiraan dari para ahli swasta.

Kelompok ransomware Clop, yang diduga bertanggung jawab, dikenal karena menuntut tebusan jutaan dolar. Namun, tidak ada tuntutan tebusan yang diajukan kepada lembaga pemerintah federal, kata pejabat senior itu kepada wartawan dalam sesi briefing latar belakang.

Respons CISA ini datang saat Progress Software, perusahaan Amerika Serikat yang membuat perangkat lunak yang dieksploitasi oleh para peretas, mengumumkan bahwa mereka telah menemukan kerentanan kedua dalam kode tersebut yang sedang mereka upayakan untuk diperbaiki.

Departemen Energi adalah salah satu dari beberapa lembaga pemerintah federal yang diretas dalam kampanye peretasan global yang sedang berlangsung, kata juru bicara departemen itu kepada CNN.

Selengkapnya: CNN

U.S. and International Partners Release Comprehensive Cyber Advisory on LockBit Ransomware ubah ke bahasa indonesia ChatGPT Amerika Serikat dan Mitra Internasional Merilis Panduan Komprehensif tentang Ransomware LockBit.

by

Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat, Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), dan otoritas keamanan Siber dari Australia, Kanada, Inggris Raya, Jerman, Prancis, dan Selandia Baru (CERT NZ, NCSC-NZ) hari ini menerbitkan Panduan Keamanan Siber bersama yang berjudul Understanding Ransomware Threat Actors: LockBit.

Panduan bersama ini merupakan sumber daya komprehensif yang mencakup alat-alat umum, eksploitasi, serta taktik, teknik, dan prosedur (TTP) yang digunakan oleh afiliasi LockBit, beserta mitigasi yang direkomendasikan bagi organisasi untuk mengurangi kemungkinan dan dampak insiden ransomware di masa depan.

Pelaku ancaman yang menggunakan LockBit, Ransomware-as-a-Service (RaaS) yang paling banyak digunakan dan prolifik secara global pada tahun 2022 dan 2023, telah menyerang organisasi dengan berbagai ukuran di berbagai sektor infrastruktur kritis. Untuk membantu organisasi memahami dan membela diri dari ancaman global ini dan jumlah afiliasi LockBit yang tidak terhubung satu sama lain, panduan ini mencakup:

  • Daftar sekitar 30 alat perangkat lunak gratis dan open source yang digunakan oleh pelaku LockBit,
  • Lebih dari 40 TTP mereka yang dipetakan ke MITRE ATT&CK,
  • Kerentanan dan eksposur umum yang diamati (CVE) yang digunakan untuk eksploitasi,
  • Evolusi LockBit RaaS bersama dengan tren dan statistik global, dan
  • Sumber daya dan layanan yang tersedia dari lembaga penyusun dan mitigasi yang direkomendasikan untuk membantu melindungi dari aktivitas LockBit di seluruh dunia.

Selengkapnya: CISA

Reverse Engineering Terminator alias Zemana AntiMalware/AntiLogger Driver

by

Baru-baru ini, seorang aktor ancaman (TA) yang dikenal sebagai SpyBot memposting sebuah alat, di forum peretasan Rusia, yang dapat menghentikan perangkat lunak antivirus/Endpoint Detection & Response (EDR/XDR). IMHO, semua hype di balik pengumuman ini sama sekali tidak dapat dibenarkan karena ini hanyalah contoh lain dari teknik serangan Bring Your Own Rentan Driver (BYOVD) yang terkenal: di mana driver bertanda tangan yang sah dijatuhkan ke mesin korban dan kemudian digunakan untuk menonaktifkan keamanan solusi dan/atau mengirimkan muatan tambahan.

Teknik ini memerlukan hak administratif dan penerimaan Kontrol Akun Pengguna (UAC) agar dapat berfungsi dengan baik, dan ini bukan salah satu yang paling tersembunyi. Selain itu, jika penyerang sudah menjadi admin lokal di mesin, tidak ada batas keamanan yang dapat dilintasi karena selalu GAME OVER; kemungkinannya tidak terbatas dari perspektif serangan itu.

Meskipun saya telah melihat banyak materi dari komunitas defensif (mereka cepat dalam hal ini) tentang mekanisme deteksi, IOC, kebijakan pencegahan, dan intelijen, saya merasa beberapa jalur kode rentan lain yang mungkin lebih menarik dalam driver ini belum dieksplorasi. maupun dibahas.

Zemana memiliki dua lini produk:

  • Zemana AntiMalware, zamguard64.sys
  • Zemana AntiLogger, zam64.sys

Meskipun namanya berbeda, drivernya sama (mereka juga berbagi hash yang sama); mari selami driver Zemana (zam64.sys).

Jika TA lebih teliti dengan analisisnya, mereka akan menemukan bahwa driver Zemana adalah paket awal kit ransomware yang sempurna, dan mereka akan menggunakannya daripada hanya menjualnya:

  • Itu dapat menghentikan proses: yang sempurna untuk mematikan AV/EDR/XDR dan produk keamanan lainnya.
  • Itu dapat memberikan kemampuan eskalasi hak istimewa: membantu untuk kegigihan.
  • Ini memiliki akses Baca/Tulis disk SCSI mentah sewenang-wenang yang dapat dimanfaatkan untuk melakukan enkripsi disk penuh.

Saya sangat berharap Microsoft akan menambahkan driver ini ke daftar blokir, karena mudah dipersenjatai untuk serangan paling jahat.

selengkapnya : github.com

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

by

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Evolusi Ancaman Teknologi Informasi Kuartal Pertama 2023

by

Targeted Attacks

BlueNoroff memperkenalkan metode baru untuk bypass MotW

Pada akhir tahun 2022, peneliti melaporkan aktivitas BlueNoroff, aktor ancaman yang bermotivasi finansial dan dikenal mencuri mata uang kripto. Pelaku ancaman biasanya mengeksploitasi dokumen Word, menggunakan file shortcut untuk intrusi awal. Namun, baru-baru ini grup tersebut telah mengadopsi metode baru untuk mengirimkan malware-nya.
Salah satunya, yang dirancang untuk menghindari bendera Mark-of-the-Web (MotW), adalah penggunaan format file .ISO (optical disk image) dan .VHD (virtual hard disk). MotW adalah ukuran keamanan Windows — sistem menampilkan pesan peringatan saat seseorang mencoba membuka file yang diunduh dari internet.

BlueNoroff
BlueNoroff

Roaming Mantis menerapkan DNS changer baru

Peneliti juga terus melacak aktivitas Roaming Mantis (alias Shaoye), aktor ancaman mapan yang menargetkan negara-negara di Asia. Dari 2019 hingga 2022, pelaku ancaman ini terutama menggunakan ‘smishing’ untuk mengirim tautan ke laman landasnya, dengan tujuan mengendalikan perangkat Android yang terinfeksi dan mencuri informasi perangkat, termasuk kredensial pengguna.

Namun, pada September 2022, peneliti menganalisis malware Android Wroba.o baru, yang digunakan oleh Roaming Mantis, dan menemukan fungsi pengubah DNS yang diterapkan untuk menargetkan router Wi-Fi tertentu yang digunakan terutama di Korea Selatan.

Roaming Mantis
Roaming Mantis

BadMagic: APT baru yang berhubungan dengan konflik Russia-Ukraina

Sejak awal konflik Rusia-Ukraina, peneliti telah mengidentifikasi sejumlah besar serangan dunia maya geo-politik, sebagaimana diuraikan dalam ikhtisar kami tentang serangan dunia maya yang terkait dengan konflik tersebut.

Oktober lalu, peneliti mengidentifikasi infeksi aktif organisasi pemerintah, pertanian, dan transportasi yang berlokasi di Donetsk, Lugansk, dan Krimea. Vektor awal kompromi tidak jelas, tetapi detail tahap selanjutnya menyiratkan penggunaan spear-phishing atau yang serupa. Target menavigasi ke URL yang mengarah ke arsip ZIP yang dihosting di server web berbahaya. Arsip ini berisi dua file: dokumen umpan (peneliti menemukan versi PDF, XLSX, dan DOCX) dan file LNK berbahaya dengan ekstensi ganda (mis. PDF.LNK) yang, ketika dibuka, menyebabkan infeksi.

BadMagic
BadMagic

Malware

Prilex menargetkan transaksi contactless pada credit card

Prilex telah berevolusi dari malware yang berfokus pada ATM menjadi ancaman PoS tercanggih yang pernah kami lihat sejauh ini. Pelaku ancaman melampaui pengikis memori lama yang terlihat dalam serangan PoS, hingga malware yang sangat canggih yang menyertakan skema kriptografi unik, penambalan perangkat lunak target secara real-time, memaksa penurunan versi protokol, memanipulasi kriptogram, melakukan apa yang disebut “transaksi GHOST” dan kredit penipuan kartu — bahkan pada kartu chip-dan-PIN.

Saat menyelidiki suatu insiden, kami menemukan sampel Prilex baru, dan salah satu fitur baru mencakup kemampuan untuk memblokir transaksi nirsentuh. Transaksi ini menghasilkan pengidentifikasi unik yang valid hanya untuk satu transaksi, menjadikannya tidak berharga bagi penjahat dunia maya. Dengan memblokir transaksi, Prilex mencoba memaksa pelanggan memasukkan kartu mereka untuk melakukan transaksi chip-dan-PIN, memungkinkan penjahat dunia maya untuk mengambil data dari kartu menggunakan teknik standar mereka.

Mencuri cryptocurrency menggunakan Tor browser palsu

Kami baru-baru ini menemukan kampanye pencurian mata uang kripto yang sedang berlangsung yang memengaruhi lebih dari 15.000 pengguna di 52 negara. Para penyerang menggunakan teknik yang telah ada selama lebih dari satu dekade dan awalnya digunakan oleh Trojan perbankan untuk mengganti nomor rekening bank. Namun, dalam kampanye baru-baru ini, penyerang menggunakan Tor Browser versi Trojan untuk mencuri mata uang kripto.

Target mengunduh Tor Browser versi Trojan dari sumber daya pihak ketiga yang berisi arsip RAR yang dilindungi kata sandi — kata sandi digunakan untuk mencegahnya terdeteksi oleh solusi keamanan. Setelah file dijatuhkan ke komputer target, ia mendaftarkan dirinya sendiri di mulai otomatis sistem dan menyamar sebagai ikon untuk aplikasi populer, seperti uTorrent.

Crypto Stealer
Crypto Stealer

Malvertising menggunakan search engine

Dalam beberapa bulan terakhir, kami mengamati peningkatan jumlah kampanye berbahaya yang menggunakan Iklan Google sebagai sarana untuk mendistribusikan dan mengirimkan malware. Setidaknya dua pencuri berbeda, Rhadamanthys dan RedLine, menyalahgunakan rencana promosi mesin pencari untuk mengirimkan muatan berbahaya ke komputer korban.

Mereka tampaknya menggunakan teknik yang sama untuk meniru situs web yang terkait dengan perangkat lunak terkenal, seperti Notepad ++ dan Blender 3D. Pelaku ancaman membuat salinan situs web perangkat lunak yang sah dan menggunakan “typosquatting” (menggunakan merek atau nama perusahaan yang dieja salah sebagai URL) atau “combosquatting” (seperti di atas, tetapi menambahkan kata acak sebagai URL) untuk membuat situs terlihat sah. Mereka kemudian membayar untuk mempromosikan situs di mesin pencari untuk mendorongnya ke bagian atas hasil pencarian — sebuah teknik yang dikenal sebagai “malvertising”.

Se

Malvertising
Malvertising

Selengkapnya: Secure List

Pengelola Kata Sandi Chrome Google mendapatkan fitur keamanan dan utilitas baru

by

Google Password Manager, yang terintegrasi ke dalam Chrome di desktop, Android, dan iOS, melakukan perbaikan kecil dengan sejumlah fitur keamanan dan utilitas baru. Salah satunya fiturnya dirancang untuk membuat Anda menggunakannya dengan benar sejak awal, dengan memungkinkan Anda mengunggah file .csv dari layanan pesaing.

Pada pembaruan Google Password Manager yang terakhir, penambahan catatan ke detail login yang disimpan. Jika ada pin tambahan atau pertanyaan keamanan yang perlu Anda ingat jawabannya, informasi tersebut sekarang dapat disimpan bersama dengan kata sandi akun tersebut.

Yang perlu Anda lakukan hanyalah memilih kata sandi, klik “catatan,” dan kemudian “edit.” Setelah Anda menambahkan informasinya, cukup tekan simpan, dan itu akan disimpan secara aman. Saat login, klik ikon kunci untuk mengakses apa yang Anda tulis.

Dalam hal keamanan, Google menambahkan lebih banyak pilihan otentikasi biometrik di desktop Anda. Langkah ini memungkinkan Anda untuk memerlukan sidik jari atau pengenalan wajah sebelum kata sandi Anda diisi otomatis. Ini adalah pilihan yang baik jika Anda menggunakan komputer bersama dan ingin menjaga privasi akun Anda.

Di iOS, Google Password Manager akan menandai kata sandi yang digunakan ulang dan kata sandi yang lemah di tab “Pemeriksaan Kata Sandi” — tempat pemberitahuan tentang kata sandi yang kompromi berada. Penanda tambahan akan diluncurkan dalam beberapa bulan mendatang, sementara otentikasi biometrik untuk desktop akan segera tersedia. Anda dapat mengakses semua pembaruan kenyamanan tersebut sekarang.

Selengkapnya: engadget