Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bank sentral Selandia Baru mengatakan sistem datanya dilanggar

by

Reserve Bank of New Zealand mengatakan pada hari Minggu bahwa pihaknya menanggapi suatu pelanggaran pada salah satu sistem datanya.

Layanan berbagi file pihak ketiga yang digunakan oleh bank sentral untuk berbagi dan menyimpan beberapa informasi sensitif diakses secara ilegal, kata bank tersebut dalam sebuah pernyataan.

Gubernur RBNZ Adrian Orr mengatakan pelanggaran tersebut telah diatasi tetapi menambahkan akan membutuhkan waktu untuk memahami implikasi penuh dari pelanggaran ini.

“Sifat dan tingkat informasi yang berpotensi diakses masih ditentukan, tetapi mungkin termasuk beberapa informasi yang sensitif secara komersial dan pribadi,” kata Orr dalam sebuah pernyataan.

Pada bulan Agustus, operator bursa saham Selandia Baru dilanda serangan siber. InPhySec, sebuah firma keamanan siber independen yang ditugaskan untuk meninjau serangan siber, mengatakan bahwa volume, kecanggihan, dan persistensi serangan itu belum pernah terjadi sebelumnya di Selandia Baru.

Sumber: Reuters

Kerentanan zero-day Windows PsExec mendapat micropatch gratis

by

Micropatch gratis yang memperbaiki kerentanan local privilege escalation (LPE) di alat manajemen Microsoft Windows PsExec sekarang tersedia melalui platform 0patch.

PsExec adalah pengganti telnet yang sepenuhnya interaktif yang memungkinkan admin sistem menjalankan program pada sistem jarak jauh. Alat PsExec juga diintegrasikan dan digunakan oleh alat perusahaan untuk meluncurkan file executable dari jarak jauh di komputer lain.

Zero-day PsExec ini disebabkan oleh kerentanan named pipe hijacking (juga dikenal sebagai named pipe squatting) yang memungkinkan penyerang mengelabui PsExec agar membuka kembali named pipe yang dibuat dengan jahat dan memberinya izin Sistem Lokal.

Setelah berhasil mengeksploitasi bug, pelaku ancaman akan dapat menjalankan proses sewenang-wenang sebagai Sistem Lokal yang secara efektif memungkinkan mereka untuk mengambil alih mesin.

Peneliti malware Tenable, David Wells, menemukan kerentanan tersebut dan mengungkapkannya kepada publik pada 9 Desember 2020, 90 hari setelah memberitahu Microsoft dan mereka gagal untuk menambal bug tersebut.

Saat meneliti kerentanan dan membuat bukti konsep, Wells dapat mengonfirmasi bahwa zero-say memengaruhi beberapa versi Windows dari Windows XP hingga Windows 10.

Di bawah ini adalah demo video yang menunjukkan bagaimana micropatch yang dirilis oleh 0patch mencegah eksploitasi zero-day ini pada sistem Windows yang menjalankan PsExec.

Sumber: Bleeping Computer

FBI memperingatkan Egregor ransomware yang memeras bisnis di seluruh dunia

by

Biro Investigasi Federal AS (FBI) telah mengirimkan peringatan peringatan keamanan kepada perusahaan sektor swasta bahwa operasi ransomware Egregor secara aktif menargetkan dan memeras bisnis di seluruh dunia.

FBI mengatakan dalam TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Rabu bahwa Egregor mengklaim telah menyerang dan membahayakan lebih dari 150 korban sejak agensi tersebut pertama kali mengamati aktivitas jahat ini pada September 2020.

Email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP) yang tidak aman atau Virtual Private Networks adalah beberapa vektor serangan yang digunakan oleh aktor Egregor untuk mendapatkan akses dan bergerak secara lateral dalam jaringan korban mereka.

Egregor menggunakan Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner, dan AdFind untuk eskalasi hak istimewa dan pergerakan jaringan lateral.

FBI juga membagikan daftar langkah-langkah mitigasi yang direkomendasikan yang akan membantu mempertahankan diri dari serangan Egregor:

  • Cadangkan data penting secara offline.
  • Pastikan salinan data penting ada di cloud atau di hard drive eksternal atau perangkat penyimpanan.
  • Amankan cadangan Anda dan pastikan data tidak dapat diakses untuk modifikasi atau penghapusan dari sistem tempat data berada.
  • Instal dan perbarui perangkat lunak anti-virus atau anti-malware secara teratur di semua host.
  • Hanya gunakan jaringan yang aman dan hindari menggunakan jaringan Wi-Fi publik.
  • Gunakan otentikasi dua faktor dan jangan klik pada lampiran atau tautan yang tidak diminta dalam email.
  • Prioritaskan penambalan produk dan aplikasi akses jarak jauh yang dapat diakses publik, termasuk kerentanan RDP terbaru (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
  • Tinjau file .bat dan .dll yang mencurigakan, file dengan data pengintaian (seperti file .log), dan alat eksfiltrasi.
  • Konfigurasikan RDP secara aman dengan membatasi akses, menggunakan otentikasi multi-faktor atau kata sandi yang kuat.

Sumber: Bleeping Computer

Penulis malware Linux menggunakan crypter Ezuri Golang agar tidak terdeteksi

by

Beberapa pembuat malware menggunakan crypter “Ezuri” dan loader memori untuk membuat kode mereka tidak terdeteksi oleh produk antivirus.

Menurut laporan yang dirilis oleh AT&T Alien Labs, beberapa pelaku ancaman menggunakan Ezuri crypter untuk mengemas malware mereka dan menghindari deteksi antivirus.

Meskipun malware Windows telah diketahui menyebarkan taktik serupa, pelaku ancaman sekarang menggunakan Ezuri untuk menyusup ke lingkungan Linux juga.

Ditulis dalam Go, Ezuri bertindak sebagai crypter dan loader untuk binari ELF (Linux). Menggunakan AES, Ezuri mengenkripsi kode malware dan, pada dekripsi, mengeksekusi muatan berbahaya secara langsung di dalam memori tanpa menghasilkan file apa pun di disk.

Sampel malware yang biasanya terdeteksi oleh sekitar 50% mesin antivirus di VirusTotal, menghasilkan 0 deteksi saat dienkripsi dengan Ezuri, pada saat penelitian AT&T.

Bahkan saat ini, seperti yang diamati oleh BleepingComputer, sampel yang dikemas dalam Ezuri memiliki tingkat deteksi kurang dari 5% pada VirusTotal.

Selama beberapa bulan terakhir, Caspi dan Martinez mengidentifikasi beberapa pembuat malware yang mengemas sampel mereka dengan Ezuri.

Ini termasuk grup kejahatan siber, TeamTnT, yang aktif setidaknya sejak April 2020.

Sumber: Bleeping Computer

Geng Ryuk Ransomware diperkirakan telah menghasilkan lebih dari $150 juta dari serangan ransomware

by

Operator ransomware Ryuk diyakini telah mendapatkan Bitcoin senilai lebih dari $150 juta dari pembayaran tebusan setelah adanya gangguan di perusahaan di seluruh dunia.

Dalam laporan bersama yang diterbitkan hari ini, perusahaan ancaman intel, Advanced Intelligence dan perusahaan keamanan siber HYAS mengatakan mereka melacak pembayaran ke 61 alamat Bitcoin yang sebelumnya dikaitkan dan terkait dengan serangan ransomware Ryuk.

Apa yang menurut kedua perusahaan aneh adalah bahwa sementara kelompok ransomware lain biasanya menggunakan pertukaran yang kurang dikenal untuk menguangkan dana, Ryuk mengubah Bitcoin menjadi mata uang fiat nyata menggunakan akun di dua portal kripto yang sangat terkenal, seperti Binance dan Huobi, sebagian besar kemungkinan menggunakan identitas yang dicuri.

Sumber: AdvIntel

Angka terakhir datang dari Februari 2020, ketika pejabat FBI berbicara di konferensi keamanan RSA. Pada saat itu, FBI mengatakan bahwa Ryuk sejauh ini merupakan geng ransomware paling menguntungkan yang aktif, telah menghasilkan lebih dari $61,26 juta dari pembayaran tebusan antara Februari 2018 dan Oktober 2019, berdasarkan keluhan yang diterima oleh FBI Internet Crime Complaint. Pusat.

Sumber: FBI

Dengan laporan hari ini dan angka $150 juta, jelas bahwa Ryuk telah mempertahankan posisinya di puncak, setidaknya, untuk saat ini.

Sumber: ZDNet

Serangan side-channel baru dapat memulihkan kunci enkripsi dari kunci keamanan Google Titan

by

Duo peneliti keamanan Prancis telah menemukan kerentanan yang memengaruhi chip yang digunakan di dalam Google Titan dan kunci keamanan perangkat keras YubiKey.

Kerentanan memungkinkan pelaku ancaman untuk memulihkan kunci enkripsi utama yang digunakan oleh kunci keamanan perangkat keras untuk menghasilkan token kriptografi untuk operasi otentikasi dua faktor (2FA).

Setelah diperoleh, kedua peneliti keamanan tersebut mengatakan bahwa kunci enkripsi, kunci privat ECDSA, akan memungkinkan pelaku ancaman untuk mengkloning Titan, YubiKey, dan kunci lainnya untuk melewati prosedur 2FA.

Dalam laporan PDF 60 halaman, Victor Lomne dan Thomas Roche, peneliti NinjaLab yang berbasis di Montpellier, menjelaskan seluk-beluk serangan tersebut, yang juga dilacak sebagai CVE-2021-3011.

Untuk mengeksploitasi kunci keamanan Google Titan atau Yubico, penyerang harus terlebih dahulu mendapatkan kunci keamanan tersebut.

Biasanya, jenis serangan ini berada di luar jangkauan peretas biasa, tetapi peneliti keamanan memperingatkan bahwa pelaku ancaman tertentu, seperti badan intelijen tiga huruf, biasanya memiliki kemampuan untuk melakukan ini.

Mengenai tipe apa saja yang rentan, para peneliti mengatakan mereka menguji serangan mereka pada chip NXP A7005a, yang saat ini digunakan untuk model kunci keamanan berikut:

  • Kunci Keamanan Google Titan (semua versi)
  • Yubico Yubikey Neo
  • Feitian FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21
  • Feitian FIDO NFC USB-C / K40

Sumber: ZDNet

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

by

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet

Alipay di antara delapan aplikasi China yang dilarang dalam perintah eksekutif Trump terbaru

by

Presiden Amerika Serikat Donald Trump yang akan keluar telah menandatangani perintah eksekutif baru, kali ini ditujukan pada delapan aplikasi Cina yang baru.

Delapan aplikasi tersebut adalah Alipay, CamScanner, QQ Wallet, SHAREit, Tencent QQ, VMate, WeChat Pay, dan WPS Office.

“Cepatnya dan meluasnya penyebaran aplikasi seluler dan desktop tertentu dan perangkat lunak lain di Amerika Serikat yang dikembangkan atau dikendalikan oleh orang-orang di Republik Rakyat Cina, termasuk Hong Kong dan Makau (Cina), terus mengancam keamanan nasional, kebijakan luar negeri, dan ekonomi Amerika Serikat,” perintah eksekutif menyatakan.

Melanjutkan pembenaran yang dia gunakan pada bulan Agustus ketika mengecam TikTok dan WeChat, Trump mengatakan delapan aplikasi tersebut dapat mengakses dan menangkap banyak informasi dari pengguna, termasuk informasi pribadi yang sensitif dan informasi pribadi.

Dia mengatakan pengumpulan data semacam itu mengancam untuk menyediakan Republik Rakyat China dan Partai Komunis China akses ke informasi pribadi dan kepemilikan orang Amerika, yang “akan mengizinkan China untuk melacak lokasi karyawan dan kontraktor federal, dan membuat dokumen informasi pribadi”.

Dengan demikian, perintah, yang dimulai dalam 45 hari, melarang transaksi apa pun oleh siapa pun, atau terkait dengan properti apa pun, tunduk pada yurisdiksi Amerika Serikat, dengan orang-orang yang mengembangkan atau mengendalikan delapan aplikasi perangkat lunak, atau dengan anak perusahaan mereka.

Sumber: ZDNet