Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft: Tujuan peretas SolarWinds adalah data cloud para korban

by

Seperti yang dijelaskan oleh Tim Defender Microsoft 365, setelah menyusup ke jaringan target dengan bantuan backdoor Sunburst, tujuan penyerang dibalik peretasan SolarWinds adalah untuk mendapatkan akses ke aset cloud korban.

“Dengan pijakan awal yang tersebar luas ini, para penyerang kemudian dapat memilih organisasi tertentu yang ingin mereka terus operasikan (sementara yang lain tetap menjadi pilihan kapan saja selama backdoor dipasang dan tidak terdeteksi)”, jelas Microsoft.

Artikel Microsoft sebelumnya tentang serangan rantai pasokan SolarWinds dan panduan dari Badan Keamanan Nasional (NSA) juga mengisyaratkan fakta bahwa tujuan akhir penyerang adalah menghasilkan token SAML (Security Assertion Markup Language) untuk memalsukan token otentikasi yang memungkinkan akses ke sumber daya cloud.

Sumber: Microsoft

Microsoft juga merinci prosedur langkah demi langkah yang digunakan oleh penyerang untuk mendapatkan akses ke aset cloud korban mereka:

  1. Menggunakan SolarWinds DLL yang telah dikompromikan untuk mengaktifkan backdoor yang memungkinkan penyerang untuk mengontrol dan mengoperasikan perangkat dari jarak jauh

  2. Menggunakan akses backdoor untuk mencuri kredensial, meningkatkan hak istimewa, dan bergerak secara lateral untuk mendapatkan kemampuan membuat token SAML yang valid menggunakan salah satu dari dua metode berikut:
    1. Mencuri sertifikat penandatanganan SAML (Jalur 1)
    2. Menambahkan atau mengubah kepercayaan federasi yang sudah ada (Jalur 2)

  3. Menggunakan token SAML yang dibuat penyerang untuk mengakses sumber daya cloud dan melakukan tindakan yang mengarah ke eksfiltrasi email dan persistensi di cloud

NSA merekomendasikan penerapan otentikasi multi-faktor, menghapus aplikasi yang tidak perlu dengan kredensial, menonaktifkan otentikasi lama, dan menggunakan Modul Keamanan Perangkat Keras (HSM) yang memvalidasi FIPS untuk mengamankan private key.

Sumber: Bleeping Computer

Kawasaki mengungkapkan adanya pelanggaran keamanan dan potensi kebocoran data

by

Kawasaki Heavy Industries Jepang mengumumkan pelanggaran keamanan dan potensi kebocoran data setelah akses tidak sah ke server perusahaan Jepang dari beberapa kantor di luar negeri.

“Hasil penyelidikan menyeluruh, perusahaan menemukan bahwa beberapa informasi dari kantor luar negeri mungkin telah bocor ke pihak luar,” kata Kawasaki dalam sebuah pernyataan yang dipublikasikan pada hari Senin.

“Saat ini, perusahaan belum menemukan bukti kebocoran informasi ke jaringan eksternal.”

Perusahaan juga mengatakan bahwa mereka mengambil tindakan untuk memantau dan membatasi akses ke server Jepangnya dari situs perusahaan lain setelah menemukan pelanggaran keamanan.

Kawasaki menemukan bahwa pihak yang tidak berwenang mengakses server di Jepang dari kantor di Thailand pada 11 Juni 2020. Semua komunikasi antara dua situs tersebut dihentikan pada hari yang sama setelah penemuan tersebut.

“Namun, ada akses tidak sah lainnya ke server di Jepang dari situs luar negeri yang lain (Indonesia, Filipina, dan Amerika Serikat) kemudian ditemukan,” tambah Kawasaki.

Koneksi tidak sah dari kantor luar negeri di Thailand, Indonesia, dan Filipina ditemukan antara 11 Juni dan 8 Juli, dengan Kawasaki memutus semua komunikasi antar situs.

Saluran komunikasi dipulihkan pada 30 November setelah menerapkan pembatasan komunikasi jaringan, menjalankan audit keamanan sekitar 30.000 terminal di jaringan perusahaan Jepang dan Thailand, dan mengkonfirmasikan bahwa tidak ada koneksi tidak sah yang dibuat ke server Jepang setelah bulan Agustus.

Sumber: Bleeping Computer

Skimmer kartu multi-platform ditemukan di Shopify dan BigCommerce

by

Skimmer kartu kredit multi-platform yang baru ditemukan dapat mengumpulkan informasi pembayaran di toko yang disusupi yang didukung oleh Shopify, BigCommerce, Zencart, dan Woocommerce.

Meskipun biasanya dirancang untuk menargetkan satu jenis platform e-commerce, jenis baru malware skimming web ini dapat mengambil alih proses pembayaran di toko-toko menggunakan beberapa sistem manajemen toko online dengan memasukkan halaman pembayaran yang berbahaya.

Skimmer baru ini (juga dikenal sebagai skrip Magecart) juga dapat menyalahgunakan sistem hosted e-commerce seperti Shopify dan BigCommerce, seperti yang ditemukan oleh para peneliti di perusahaan keamanan cyber Belanda Sansec.

Itu dilakukan dengan menampilkan halaman pembayaran palsu sebelum pelanggan mendarat di formulir checkout yang sebenarnya dan menggunakan keylogger untuk mencegat pembayaran dan informasi pribadi.

Skimmer juga akan memberikan error setelah pelanggan menekan tombol “Lanjutkan” untuk mengirimkan informasi kartu kredit mereka untuk menghindari deteksi dan tidak menaikkan tanda alarm apa pun, mengarahkan mereka kembali ke proses pembayaran dan formulir pembayaran yang sah.

Sumber: Sansec
Sumber: Sansec

Teknik menarik lainnya yang digunakan oleh skimmer ini adalah caranya mengeksfiltrasi data ke domain yang dibuat secara otomatis berdasarkan counter dan dikodekan menggunakan pengkodean base64.

Ini juga memberikan petunjuk tentang berapa lama kampanye Magecart ini telah berjalan, mengingat domain eksfiltrasi yang dihasilkan secara terprogram pertama kali didaftarkan pada tanggal 31 Agustus 2020 untuk pertama kalinya.

Sumber: Bleeping Computer

Malware yang dihosting di GitHub menghitung muatan Cobalt Strike dari gambar Imgur

by

Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.

Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.

Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.

Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.

Sumber: BleepingComputer

Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.

Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.

Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.

IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.

Sumber: Bleeping Computer

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

by

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

  • Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

  • Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

  • Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

  • Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

  • Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Peringatan Adobe Flash mulai bermunculan di Windows 10

by

Adobe akan menghentikan dukungan untuk Flash, sesuatu yang telah direncanakan bertahun-tahun, dan sekarang memastikan pengguna Windows 10 mengetahuinya sebelum waktu itu tiba.

Flash telah lama menjadi kekurangan terbesar dari keamanan di Internet dan sebagian besar Web telah menjauh darinya demi teknologi yang lebih modern dan lebih standar. Adobe pasti memainkan kartu keamanan cukup banyak mencoba untuk menakut-nakuti pengguna menggunakan Flash. Bukan berarti mereka punya banyak pilihan pada Januari tahun depan.

Setelah 31 Desember 2020, Adobe secara resmi akan berhenti mendukung Flash. Dan mulai 12 Januari 2021, pemutar Adobe Flash dan hampir semua plugin Flash tidak akan lagi memutar konten flash. Meskipun demikian, bukan berarti Flash player dan plugin secara otomatis menjadi tidak aktif dan aman, itulah sebabnya Adobe dan Microsoft mengambil langkah ekstra untuk tidak disalahkan atas kompromi komputer.

Adobe telah mulai memunculkan peringatan di Windows 10 yang memberi tahu pengguna tentang tenggat waktu dan menyarankan mereka untuk menghapus program Flash Player. Sekalipun tidak digunakan, perangkat lunak masih dapat dieksploitasi untuk mendapatkan akses jarak jauh ke PC, terutama jika tidak lagi mendapat pembaruan keamanan. Pengguna hanya diberikan dua opsi untuk mencopot pemasangan atau diingatkan nanti.

Microsoft juga telah merencanakan tindakan yang lebih drastis yang secara otomatis akan menghapus Flash untuk Anda. Mereka akan meluncurkan pembaruan Windows opsional tahun depan yang akan menghapus Flash pada komputer Windows Anda. Namun, hal itu hanya memengaruhi Flash yang dipasang Windows 10 itu sendiri dan pengguna masih harus mencopot pemasangan pemutar Flash lain secara manual, dengan anggapan pembuat browser juga tidak melakukannya untuk mereka.

Sumber: Slashgear

Vietnam menjadi sasaran dalam serangan rantai pasokan yang kompleks

by

Sekelompok peretas misterius telah melakukan serangan rantai pasokan yang cerdik terhadap perusahaan swasta dan lembaga pemerintah Vietnam dengan memasukkan malware ke dalam perangkat lunak resmi milik pemerintah.

Serangan itu, ditemukan oleh firma keamanan ESET dan dirinci dalam laporan bernama “Operation SignSight,” menargetkan Otoritas Sertifikasi Pemerintah Vietnam (VGCA), organisasi pemerintah yang menerbitkan sertifikat digital yang dapat digunakan untuk menandatangani dokumen resmi secara elektronik.

Setiap warga negara Vietnam, perusahaan swasta, dan bahkan lembaga pemerintah lainnya yang ingin mengirimkan file ke pemerintah Vietnam harus menandatangani dokumen mereka dengan sertifikat digital yang kompatibel dengan VGCA.

ESET mengatakan bahwa sekitar tahun ini, peretas masuk ke situs web agensi, yang terletak di ca.gov.vn, dan memasukkan malware ke dalam dua aplikasi klien VGCA yang ditawarkan untuk diunduh di situs tersebut.

Kedua file tersebut adalah aplikasi klien 32-bit (gca01-client-v2-x32-8.3.msi) dan 64-bit (gca01-client-v2-x64-8.3.msi) untuk pengguna Windows.

ESET mengatakan bahwa antara 23 Juli dan 5 Agustus tahun ini, kedua file tersebut berisi trojan backdoor bernama PhantomNet, juga dikenal sebagai Smanager.

Malware itu tidak terlalu rumit namun hanyalah kerangka gambar untuk plugin yang lebih kuat, kata para peneliti.

Plugin tersebut memiliki fungsionalitas untuk mengambil pengaturan proxy untuk melewati firewall perusahaan dan kemampuan untuk mengunduh dan menjalankan aplikasi (berbahaya) lainnya.

Pada hari ESET menerbitkan laporannya, VGCA juga secara resmi mengakui pelanggaran keamanan dan menerbitkan tutorial tentang bagaimana pengguna dapat menghapus malware dari sistem mereka.

Sumber: ZDNet

PSA: Penipuan phishing Chase berpura-pura sebagai peringatan penipuan

by

Penipuan phishing skala besar sedang berlangsung yang berpura-pura sebagai pemberitahuan keamanan dari Chase yang menyatakan bahwa aktivitas penipuan telah terdeteksi dan menyebabkan akun penerima diblokir.

Diberitakan oleh BleepingComputer bahwa beberapa orang menerima penipuan “Pemberitahuan Keamanan” Chase palsu yang sama yang mencoba mencuri kredensial perbankan mereka.

Salah satu penerima mengatakan mereka tertipu setelah kartu mereka ditolak dalam pembelian online dan mengira email itu adalah peringatan penipuan Chase yang sah.

Email phishing ini menyatakan bahwa akun Chase penerima diblokir setelah aktivitas mencurigakan terdeteksi. Untuk “membuka” akun, penerima diminta untuk mengklik tombol ‘Restore Now’ di email, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika tombol ‘Restore Now’ diklik, penerima akan dibawa ke halaman yang meminta mereka untuk masuk ke akun Chase mereka. Jika mereka memasukkan informasi login mereka, informasi tersebut akan dikirim ke penyerang, yang kemudian akan memiliki akses ke akun tersebut.

Penting untuk diingat bahwa peringatan penipuan Chase tidak pernah meminta Anda memasukkan informasi atau kredensial login Anda. Sebaliknya, email yang sah hanya meminta Anda untuk mengonfirmasi apakah transaksi itu sah dengan mengklik tombol di email.

Sumber: Bleeping Computer