Cybersecurity

Peretas negara Korea Utara meretas entitas penelitian COVID-19

December 30, 2020 by Winnie the Pooh

Peretas negara Korea Utara yang dilacak sebagai Lazarus Group baru-baru ini membobol organisasi yang terlibat dalam penelitian dan pengembangan vaksin COVID-19.

Untuk melakukan itu, mereka menyusup ke jaringan perusahaan farmasi dan kementerian kesehatan pemerintah pada bulan September dan Oktober.

Setelah menyusup ke jaringan mereka, peretas negara bagian Korea Utara menyebarkan Bookcode (secara eksklusif digunakan oleh Lazarus) dan malware wAgent dengan kemampuan backdoor.

Dalam serangan yang terjadi pada 27 Oktober, malware wAgent memiliki “skema infeksi yang sama dengan malware yang digunakan oleh grup Lazarus sebelumnya dalam serangan terhadap bisnis cryptocurrency.”

Dalam serangan yang menargetkan perusahaan farmasi mulai 25 September, operator Lazarus menggunakan malware Bookcode untuk mengumpulkan informasi sistem, “registri sam dump yang berisi hash sandi”, dan info Active Directory.

Meskipun di masa lalu para peretas menyebarkan malware ini dalam serangan rantai pasokan dan melalui spearphishing, dalam hal ini vektor serangan tidak ditemukan.

Kaspersky tidak mengungkapkan identitas perusahaan farmasi yang dikompromikan dalam serangan ini, tetapi mereka mengatakan bahwa mereka terlibat dalam pengembangan vaksin COVID-19 dan juga “diberi wewenang untuk memproduksi dan mendistribusikan vaksin COVID-19”.

Sumber: Bleeping Computer

Whirlpool raksasa peralatan rumah tangga terkena serangan ransomware Nefilim

December 30, 2020 by Winnie the Pooh

Whirlpool raksasa peralatan rumah tangga mengalami serangan ransomware oleh geng ransomware Nefilim yang mencuri data sebelum mengenkripsi perangkat.

Whirlpool adalah salah satu pembuat aplikasi rumah terbesar di dunia dengan peralatan di bawah namanya dan KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit, dan Bauknecht. Whirlpool mempekerjakan 77.000 orang di 59 pusat penelitian manufaktur & teknologi di seluruh dunia dan menghasilkan pendapatan sekitar $20 miliar untuk tahun 2019.

Selama akhir pekan, geng ransomware Nefilim menerbitkan file yang dicuri dari Whirlpool selama serangan ransomware. Data yang bocor termasuk dokumen terkait tunjangan karyawan, permintaan akomodasi, permintaan informasi medis, pemeriksaan latar belakang, dan banyak lagi.

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa geng ransomware Nefilim menyerang Whirlpool pada akhir pekan pertama bulan Desember.

Nefilim bukanlah operasi ransomware yang sangat aktif tetapi dikenal karena serangan terhadap korban besar dan terkenal lainnya di masa lalu. Korban lain yang diserang oleh Nefilim termasuk Orange S.A., Dussman Group, Luxottica, dan Toll Group.

Sumber: Bleeping Computer

Situs ‘WeLeakInfo’: Polisi Inggris Menangkap 21 Orang yang Diduga adalah Pengguna

December 30, 2020 by Winnie the Pooh

Badan Kejahatan Nasional Inggris mengatakan 21 orang telah ditangkap karena dicurigai membeli informasi identitas pribadi dari situs WeLeakInfo. Pihak berwenang mengatakan situs tersebut menyediakan akses ke lebih dari 12 miliar catatan pribadi yang diambil dari 10.000 pelanggaran data.

Penangkapan, yang berlangsung selama lima minggu mulai bulan November, adalah bagian dari penyelidikan yang sedang berlangsung yang berasal dari penyitaan situs WeLeakInfo pada bulan Januari oleh lembaga penegak hukum dari AS, Inggris, dan Uni Eropa.

Selama beroperasi, domain WeLeakInfo mengembangkan reputasi untuk menjual nama, alamat email, nama pengguna, nomor telepon, dan kata sandi untuk akun online kepada penjahat, yang dapat membeli langganan hanya dengan $2 sehari, menurut Departemen Kehakiman AS (DOJ), yang membantu memfasilitasi penyitaan situs tersebut pada bulan Januari.

WeLeakInfo berfungsi sebagai database dan mesin pencari, mengindeks data yang dicuri untuk memudahkan pelanggan mencari melalui data yang dicuri, kata DOJ.

Para ahli mengatakan bahwa basis data terlalu sering membantu penjahat terlibat dalam apa yang disebut dengan serangan credential stuffing, di mana kredensial yang bocor dari pelanggaran satu situs dapat digunakan untuk mendapatkan akses ke situs lain.

21 orang yang ditangkap di Inggris diduga menggunakan situs WeLeakInfo untuk berbagai tujuan, termasuk pembelian dan penjualan alat siber berbahaya seperti Trojan akses jarak jauh, alias RAT, serta untuk membeli “cryptors”, yang dapat digunakan untuk mengaburkan kode di malware, menurut NCA.

Sumber: Data Breach Today

930.000 data Anak-Anak dalam Pelanggaran Data dari Yayasan Amal Bill & Melinda Gates, GetSchooled

December 30, 2020 by Winnie the Pooh

Financial Times adalah yang pertama merilis berita (29 Desember 2020) mengenai pelanggaran data yang terjadi pada GetSchooled, sebuah badan amal yang didirikan oleh Bill & Melinda Gates Foundation yang bekerja sama dengan Viacom.

Pelanggaran ini terjadi saat GetSchooled (getschooled.com) membiarkan database mereka terbuka dan dapat diakses oleh siapa saja dengan browser dan koneksi internet.

Menurut TurgenSec, pelanggaran data tersebut berdampak pada 930 ribu individu, terdiri dari anak-anak (10-16 tahun), beberapa adalah dewasa muda, dan beberapa mahasiswa.

Informasi yang dibobol berisi detail pribadi ekstensif anak-anak, remaja, dan dewasa muda termasuk: alamat lengkap, sekolah, PII siswa lengkap termasuk nomor telepon dan email siswa, detail kelulusan, usia, jenis kelamin, dan banyak lagi.

Pelanggaran tersebut diungkapkan oleh TurgenSec (turgensec.com) kepada GetSchooled pada tanggal 18 November 2020 dan GetSchooled menutup pelanggaran pada tanggal 21 Desember, lebih dari sebulan kemudian.

Menurut Financial Times, Get Schooled membantah ukuran pelanggaran, dengan mengatakan bahwa hanya sekitar 250.000 akun dibiarkan terbuka. Mereka menambahkan bahwa di bawah sepertiga dari akun tersebut, sekitar 75.000, ditautkan ke alamat email yang tetap aktif. Diperkirakan sekitar 20.000 nomor telepon dan 12.000 alamat surat dapat diakses, tetapi tidak ada tanggal lahir atau rincian keuangan yang dimasukkan dalam database yang telah disusupi.

Sumber: Threat Technology

Microsoft: Tujuan peretas SolarWinds adalah data cloud para korban

December 30, 2020 by Winnie the Pooh

Seperti yang dijelaskan oleh Tim Defender Microsoft 365, setelah menyusup ke jaringan target dengan bantuan backdoor Sunburst, tujuan penyerang dibalik peretasan SolarWinds adalah untuk mendapatkan akses ke aset cloud korban.

“Dengan pijakan awal yang tersebar luas ini, para penyerang kemudian dapat memilih organisasi tertentu yang ingin mereka terus operasikan (sementara yang lain tetap menjadi pilihan kapan saja selama backdoor dipasang dan tidak terdeteksi)”, jelas Microsoft.

Artikel Microsoft sebelumnya tentang serangan rantai pasokan SolarWinds dan panduan dari Badan Keamanan Nasional (NSA) juga mengisyaratkan fakta bahwa tujuan akhir penyerang adalah menghasilkan token SAML (Security Assertion Markup Language) untuk memalsukan token otentikasi yang memungkinkan akses ke sumber daya cloud.

Microsoft juga merinci prosedur langkah demi langkah yang digunakan oleh penyerang untuk mendapatkan akses ke aset cloud korban mereka:

Menggunakan SolarWinds DLL yang telah dikompromikan untuk mengaktifkan backdoor yang memungkinkan penyerang untuk mengontrol dan mengoperasikan perangkat dari jarak jauh

Menggunakan akses backdoor untuk mencuri kredensial, meningkatkan hak istimewa, dan bergerak secara lateral untuk mendapatkan kemampuan membuat token SAML yang valid menggunakan salah satu dari dua metode berikut:
1. Mencuri sertifikat penandatanganan SAML (Jalur 1)
2. Menambahkan atau mengubah kepercayaan federasi yang sudah ada (Jalur 2)

Menggunakan token SAML yang dibuat penyerang untuk mengakses sumber daya cloud dan melakukan tindakan yang mengarah ke eksfiltrasi email dan persistensi di cloud

NSA merekomendasikan penerapan otentikasi multi-faktor, menghapus aplikasi yang tidak perlu dengan kredensial, menonaktifkan otentikasi lama, dan menggunakan Modul Keamanan Perangkat Keras (HSM) yang memvalidasi FIPS untuk mengamankan private key.

Sumber: Bleeping Computer

Kawasaki mengungkapkan adanya pelanggaran keamanan dan potensi kebocoran data

December 30, 2020 by Winnie the Pooh

Kawasaki Heavy Industries Jepang mengumumkan pelanggaran keamanan dan potensi kebocoran data setelah akses tidak sah ke server perusahaan Jepang dari beberapa kantor di luar negeri.

“Hasil penyelidikan menyeluruh, perusahaan menemukan bahwa beberapa informasi dari kantor luar negeri mungkin telah bocor ke pihak luar,” kata Kawasaki dalam sebuah pernyataan yang dipublikasikan pada hari Senin.

“Saat ini, perusahaan belum menemukan bukti kebocoran informasi ke jaringan eksternal.”

Perusahaan juga mengatakan bahwa mereka mengambil tindakan untuk memantau dan membatasi akses ke server Jepangnya dari situs perusahaan lain setelah menemukan pelanggaran keamanan.

Kawasaki menemukan bahwa pihak yang tidak berwenang mengakses server di Jepang dari kantor di Thailand pada 11 Juni 2020. Semua komunikasi antara dua situs tersebut dihentikan pada hari yang sama setelah penemuan tersebut.

“Namun, ada akses tidak sah lainnya ke server di Jepang dari situs luar negeri yang lain (Indonesia, Filipina, dan Amerika Serikat) kemudian ditemukan,” tambah Kawasaki.

Koneksi tidak sah dari kantor luar negeri di Thailand, Indonesia, dan Filipina ditemukan antara 11 Juni dan 8 Juli, dengan Kawasaki memutus semua komunikasi antar situs.

Saluran komunikasi dipulihkan pada 30 November setelah menerapkan pembatasan komunikasi jaringan, menjalankan audit keamanan sekitar 30.000 terminal di jaringan perusahaan Jepang dan Thailand, dan mengkonfirmasikan bahwa tidak ada koneksi tidak sah yang dibuat ke server Jepang setelah bulan Agustus.

Sumber: Bleeping Computer

Skimmer kartu multi-platform ditemukan di Shopify dan BigCommerce

December 29, 2020 by Winnie the Pooh

Skimmer kartu kredit multi-platform yang baru ditemukan dapat mengumpulkan informasi pembayaran di toko yang disusupi yang didukung oleh Shopify, BigCommerce, Zencart, dan Woocommerce.

Meskipun biasanya dirancang untuk menargetkan satu jenis platform e-commerce, jenis baru malware skimming web ini dapat mengambil alih proses pembayaran di toko-toko menggunakan beberapa sistem manajemen toko online dengan memasukkan halaman pembayaran yang berbahaya.

Skimmer baru ini (juga dikenal sebagai skrip Magecart) juga dapat menyalahgunakan sistem hosted e-commerce seperti Shopify dan BigCommerce, seperti yang ditemukan oleh para peneliti di perusahaan keamanan cyber Belanda Sansec.

Itu dilakukan dengan menampilkan halaman pembayaran palsu sebelum pelanggan mendarat di formulir checkout yang sebenarnya dan menggunakan keylogger untuk mencegat pembayaran dan informasi pribadi.

Skimmer juga akan memberikan error setelah pelanggan menekan tombol “Lanjutkan” untuk mengirimkan informasi kartu kredit mereka untuk menghindari deteksi dan tidak menaikkan tanda alarm apa pun, mengarahkan mereka kembali ke proses pembayaran dan formulir pembayaran yang sah.

Teknik menarik lainnya yang digunakan oleh skimmer ini adalah caranya mengeksfiltrasi data ke domain yang dibuat secara otomatis berdasarkan counter dan dikodekan menggunakan pengkodean base64.

Ini juga memberikan petunjuk tentang berapa lama kampanye Magecart ini telah berjalan, mengingat domain eksfiltrasi yang dihasilkan secara terprogram pertama kali didaftarkan pada tanggal 31 Agustus 2020 untuk pertama kalinya.

Sumber: Bleeping Computer

Malware yang dihosting di GitHub menghitung muatan Cobalt Strike dari gambar Imgur

December 29, 2020 by Winnie the Pooh

Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.

Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.

Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.

Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.

Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.

Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.

Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.

IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings