Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bagaimana Peretas Memeras $ 1,14 juta dari University of California, San Francisco

by

Dilaporkan oleh BBC News, sebuah lembaga penelitian medis terkemuka yang bekerja untuk pengobatan Covid-19 mengakui telah membayar tebusan kepada para peretas sebesar $1,14 juta (Rp 16.377.547.725) setelah adanya negosiasi rahasia.

Geng penjahat Netwalker menyerang Universitas California San Francisco (UCSF) pada 1 Juni. Staf TI mencabut komputer dalam perlombaan untuk menghentikan penyebaran malware. Dan tip-off anonim memungkinkan BBC News untuk mengikuti negosiasi tebusan dalam obrolan langsung di dark web.

Pakar keamanan siber mengatakan negosiasi semacam ini sekarang terjadi di seluruh dunia – kadang-kadang dengan jumlah yang lebih besar – bertentangan dengan saran dari lembaga penegak hukum, termasuk FBI, Europol dan National Cyber Security Centre Inggris. Netwalker sendiri telah dikaitkan dengan setidaknya dengan dua serangan ransomware lain terhadap universitas dalam dua bulan terakhir.

Pada percakapan negoisasi yang dipublikasikan oleh BBC News, pihak Universitas awalnya meminta keringan tebusan sebesar $780,000 karena adanya pandemi coronavirus yang telah menghancurkan universitas secara finansial namun ditolak oleh pelaku. Setelah seharian bernegosiasi, UCSF mengatakan telah mengumpulkan semua uang yang tersedia dan dapat membayar $1,02 juta – tetapi para pelaku menolak tebusan di bawah $1,5 juta. Beberapa jam kemudian, universitas kembali dengan perincian tentang bagaimana ia memperoleh lebih banyak uang dan tawaran akhir sebesar $1.140.895. Dan hari berikutnya, 116,4 bitcoin ditransfer ke dompet elektronik Netwalker dan perangkat lunak dekripsi dikirim ke UCSF.

UCSF mengatakan kepada BBC News: “Data yang dienkripsi adalah data penting untuk beberapa pekerjaan akademik yang kami kejar sebagai universitas yang melayani kepentingan publik. Karena itu kami membuat keputusan sulit untuk membayar sebagian tebusan, sekitar $ 1,14 juta, kepada orang-orang di balik serangan malware dengan imbalan sebuah alat untuk membuka kunci data yang dienkripsi dan mengembalikan data yang mereka peroleh.”

Tetapi Jan Op Gen Oorth, dari Europol, yang menjalankan proyek bernama No More Ransom, mengatakan: “Korban tidak boleh membayar tebusan, karena ini membiayai penjahat dan mendorong mereka untuk melanjutkan kegiatan ilegal mereka. Sebaliknya, mereka harus melaporkannya ke polisi sehingga penegakan hukum dapat mengganggu perusahaan kriminal.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: BBC News

Serang Siber Besar-besaran di Australia Menggunakan Cryptojacking Exploits

by

Australian Cyber Security Center mengatakan sekelompok “aktor negara” meretas jaringan Australia pada 19 Juni dan salah satu kerentanan yang mereka eksploitasi terkait dengan serangan malware cryptojacking.

Menurut laporan yang dirilis pada 24 Juni, aktor mengeksploitasi empat kerentanan kritis di Telerik UI, termasuk CVE-2019-18935, yang baru-baru ini dimanfaatkan oleh geng malware Blue Mockingbird yang dilaporkan oleh Cointelegraph untuk menginfeksi ribuan sistem dengan XMRRig, sebuah Monero (XMR) perangkat lunak penambangan.

Di dalam laporan itu tertulis:
“Muatan eksploitasi lain diidentifikasi oleh ACSC paling umum ketika upaya aktor untuk melakukan reverse shell tidak berhasil. Ini termasuk: muatan yang berusaha untuk mengeksekusi reverse shell PowerShell; muatan yang berusaha menjalankan certutil.exe untuk mengunduh muatan lain; muatan yang mengeksekusi malware binery (diidentifikasi dalam advisory ini sebagai HTTPCore) yang sebelumnya diunggah oleh aktor tetapi tidak memiliki mekanisme persistence; payload yang menyebutkan path absolut dari web root dan menulis path itu ke file dalam web root.”

Beberapa pejabat Australia telah berasumsi bahwa Cina mungkin berada di belakang serangan cyber besar-besaran ini, karena masalah diplomatik telah meningkat antara kedua negara tersebut. Dikatakan serangan itu terjadi setelah Australia mencari penyelidikan tentang asal-usul virus COVID-19, sesuatu yang tidak diterima dengan baik oleh para pejabat negara Cina, karena mereka menganggapnya sebagai tuduhan “diskriminatif” dan menanggapi dengan pembalasan perdagangan. melawan negara Oceanic.

 

Baca berita selangkapnya:
Source: Cointelegraph | ACSC Advisory

Nvidia Memperingatkan Gamer dari Serangga Driver Grafis Yang Serius

by

Pembuat chip grafis Nvidia telah memperbaiki dua kerentanan tingkat tinggi pada driver grafisnya. Penyerang dapat mengeksploitasi kerentanan untuk melihat data sensitif, mendapatkan hak yang lebih tinggi atau meluncurkan serangan denial-of-service (DoS) di perangkat game Windows yang terpengaruh.

Driver grafis Nvidia (juga dikenal sebagai GPU Display Driver) untuk Windows digunakan pada perangkat yang ditargetkan untuk penggemar game; itu adalah komponen perangkat lunak yang memungkinkan sistem operasi dan program perangkat untuk menggunakan perangkat keras grafis tingkat tinggi yang dioptimalkan untuk permainan.

Salah satu kelemahannya, CVE-2020-5962, ada pada komponen Panel Kontrol Nvidia, yang menyediakan kontrol pengaturan driver grafis serta utilitas lain yang diinstal pada sistem. Cacat ini dapat memungkinkan penyerang dengan akses sistem lokal untuk merusak file sistem, yang dapat menyebabkan DoS atau peningkatan hak istimewa, menurut penasihat keamanan Nvidia, Rabu.

Kerentanan lain (CVE ‑ 2020-5963) ada di CUDA Driver, sebuah platform komputasi dan model pemrograman yang diciptakan oleh Nvidia. Masalahnya bermula dari kontrol akses yang tidak tepat dalam API Komunikasi Proses Antar pengemudi. Ini bisa mengarah pada eksekusi kode, DoS atau pengungkapan informasi.

Source: NVIDIA Advisory

Berbagai driver terpengaruh untuk pengguna Windows dan Linux, termasuk yang menggunakan perangkat lunak GeForce, Quadro, dan Tesla Nvidia. Daftarnya dapat dilihat pada gambar di bawah ini;

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post

Sebuah Spyware Tersembunyi di Dalam Perangkat Lunak Perpajakan Cina Yang Diduga Ditanamkan Oleh Aktor Negara-Bangsa

by

Dilansir dari NBCnews.com, sebuah vendor teknologi multinasional yang melakukan bisnis di China diinstruksikan oleh bank China untuk menginstal perangkat lunak untuk membayar pajak lokal pada awal tahun ini.

Perangkat lunak pajak itu sebenarnya sah, tetapi di dalam nya tertanam sesuatu yang tidak menyenangkan, menurut laporan baru oleh sebuah perusahaan keamanan swasta, Trustwave: Sepotong malware canggih yang memberi para penyerang akses penuh ke jaringan perusahaan.

Trustwavejuga mengatakan malware itu, yang diberi nama GoldenSpy, telah aktif pada bulan April, dan karena terdeteksi awal, perusahaan tidak yakin apakah itu pekerjaan pemerintah Cina atau kelompok kriminal. Tetapi kecanggihan malware itu, dan kurangnya hasil finansial yang cepat dan jelas, tampaknya menunjuk pada aktor negara-bangsa sebagai pelakunya, kata Brian Hussey, mantan spesialis siber FBI dan wakil presiden Trustwave untuk deteksi dan respons ancaman.

Trustwave mendeteksi malware itu setelah melihat beberapa “suar” yang mencurigakan dari jaringan klien. Mereka juga menemukan bahwa spyware diaktifkan dua jam setelah perangkat lunak pajak diinstal, dan secara diam-diam memasang pintu belakang (backdoor) yang memungkinkan penyerang memasang malware lain di dalam jaringan.

Kode berbahaya itu sangat canggih, kata Hussey. Ia memiliki apa yang disebutnya sebagai triple layer of persistence. GoldenSpy menginstal dirinya sendiri pada dua lokasi berbeda di jaringan, dan jika satu dihapus, secera otomatis akan mengaktifkan yang lainnya. Ada juga yang disebut modul pelindung, yang akan mengunduh dan menginstal salinan lain jika keduanya dihapus.

“Pada titik ini, kami tidak dapat menentukan seberapa luas penyebaran perangkat lunak ini,” kata laporan itu. “Kami saat ini mengetahui satu vendor teknologi / perangkat lunak yang ditargetkan dan kejadian yang sangat mirip terjadi di sebuah lembaga keuangan besar, tetapi ini dapat dimanfaatkan terhadap banyak perusahaan yang beroperasi dan membayar pajak di Cina atau mungkin ditargetkan hanya pada beberapa organisasi terpilih dengan akses ke informasi penting.”

“Kampanye GoldenSpy memiliki karakteristik yang sama dengan kampanye Advanced Persistent Threat (APT) terkoordinasi yang menargetkan perusahaan asing yang beroperasi di China,” kata laporan Trustwave.

Berita selengkapnya dapat dibaca pada tautan dibawah ini;
Source: NBC News

Peringatan — Apple Tiba-tiba Menangkap Bahas TikTok Sedang Memata-matai Jutaan Pengguna iPhone

by

Sebuah aplikasi, TikTok, tertangkap sedang mengintip pengguna iPhone, kata seorang peneliti keamanan Talal Haj Bakry dan Tommy Mysk. Mengingat kekhawatiran keamanan lain yang diangkat tentang aplikasi tersebut, serta kekhawatiran yang lebih luas mengingat asal-usul China-nya, ini menjadi masalah utama semua orang. Sebelumnya, pemilik TikTok Bytedance mengatakan kepada Forbes masalah ini terkait dengan adanya penggunaan SDK iklan Google yang sudah usang yang sedang diganti.

Dilansir dari Forbes, dengan dirilisnya peringatan clipboard baru dalam versi beta dari iOS 14, TikTok tampaknya telah tertangkap basah menyalahgunakan clipboard dengan cara yang sangat luar biasa. Jadi sepertinya TikTok tidak menghentikan praktik invasif ini pada bulan April seperti yang dijanjikan.

Menurut Telegraph, TikTok sekarang mengatakan masalah ini disebabkan oleh “fitur yang dirancang untuk mengidentifikasi perilaku spam yang berulang-ulang,” dan telah meyakinkan bahwa mereka telah “mengirimkan versi pembaruan aplikasi ke App Store dan menghapus fitur anti-spam untuk menghilangkan potensi kebingungan.”

TikTok juga mengatakan bahwa platform “berkomitmen untuk melindungi privasi pengguna dan transparan tentang cara kerja aplikasi kami.”

Sekarang ketika adanya perubahan keamanan dan privasi pada Apple iOS 14 telah menangkap mereka masih melakukan sesuatu yang seharusnya tidak mereka lakukan. Sesuatu yang mereka katakan sudah diperbaiki.

Masalah paling kritis dengan kerentanan ini adalah fungsionalitas clipboard universal Apple, yang berarti bahwa apa pun yang disalin di Mac atau iPad dapat dibaca oleh iPhone pengguna juga, dan sebaliknya. Jadi, jika TikTok aktif di ponsel Anda saat Anda bekerja, aplikasi ini pada dasarnya dapat membaca apa saja dan semua yang Anda salin di perangkat lain: Kata sandi, dokumen kerja, email sensitif, informasi keuangan. Apa pun.

Semua pengguna iPhone harus memperbarui ke versi terbaru TikTok segera setelah dirilis — dan mengingat itu secara aktif membaca clipboard Anda, Anda mungkin ingin mempertimbangkan menggunakan aplikasi itu sebelum adanya pembaruan.

 

Berita selengkapnya:
Source: Forbes

Lucifer: Malaikat Jahat Yang Menyalahgunakan Kerentanan Kritis Pada Mesin Windows

by

Jenis baru cryptojacking yang kuat dan malware berbasis DDoS mengeksploitasi kerentanan parah untuk menginfeksi mesin Windows.

Dilansir dari ZDNet, malware yang disebut Lucifer ini adalah bagian dari kampanye aktif yang menyerang host Windows dan menggunakan berbagai weaponized exploits dalam gelombang serangan terbaru yang diungkapkan oleh Unit 42 Palo Alto Networks.

Dalam sebuah blog, peneliti Ken Hsu, Durgesh Sangvikar, Zhibin Zhang dan Chris Navarrete mengatakan bahwa varian terbaru Lucifer, v.2, ditemukan pada 29 Mei ketika menyelidiki eksploitasi CVE-2019-9081, bug deserialisasi pada Laravel Framework yang dapat disalahgunakan untuk melakukan serangan eksekusi kode jarak jauh (RCE). Setelah diteliti lebih lanjut, tampaknya ini hanyalah satu dari banyak kerentanan yang digunakan oleh aktor malware.

Lucifer dianggap sebagai malware hybrid yang kuat yang mampu melakukan cryptojacking dan memanfaatkan mesin yang terinfeksi untuk melakukan serangan Distributed Denial-of-Service (DDoS).

Malware akan memindai TCP port 135 (RPC) dan 1433 (MSSQL) yang terbuka untuk menemukan target dan akan menggunakan serangan credential-stuffing untuk mendapatkan akses. Malware dapat menginfeksi targetnya melalui IPC, WMI, SMB, dan FTP melalui serangan brute-force, serta melalui MSSQL, RPC, dan berbagi jaringan, kata para peneliti.

Setelah berada pada mesin yang terinfeksi, malware menjatuhkan XMRig, sebuah program yang digunakan untuk menambang cryptocurrency Monero (XMR) secara diam-diam.

Lucifer juga akan terhubung ke server perintah-dan-kontrol (C2) untuk menerima perintah – seperti meluncurkan serangan DDoS – mentransfer data sistem curian, dan terus memberi informasi kepada operator tentang status penambang cryptocurrency Monero.

Untuk menyebar, Lucifer menggunakan berbagai kerentanan dan serangan brute-force untuk mengkompromikan host tambahan yang terhubung ke titik infeksi awal.

Lucifer juga akan berusaha menghindari deteksi atau melakukan reverse engineering dengan memeriksa keberadaan sanbox atau mesin virtual. Jika salah satunya ditemukan, maka malware akan memasuki “infinite loop” yang menghentikan operasi.

Gelombang serangan pertama menggunakan Lucifer v.1 terdeteksi pada 10 Juni. Sehari kemudian, malware ditingkatkan menjadi v.2, yang “mendatangkan malapetaka” pada mesin target, kata tim peneliti, dan pada saat penulisan serangan sedang berlangsung.

Baca berita selengkapnya pada tautan di bawah ini:
Source: ZDNet

Kompromi Copy-paste – Taktik, Teknik, dan Prosedur yang Digunakan Untuk Menargetkan Beberapa Jaringan di Australia

by

Pada hari kamis lalu (18/06) Pusat Keamanan Siber Australia (ACSC) mengumumkan bahwa Pemerintah Australia saat ini menyadari adanya penargetan berkelanjutan pemerintah dan perusahaan Australia oleh aktor berbasis negara yang canggih. Di dalam pengunguman tersebut ACSC juga mengeluarkan peringatan kepada organisasi-organisasi Australia, agar keduanya menyadari ancaman ini dan mengambil langkah segera untuk meningkatkan pertahanan jaringan mereka.

Peringatan ACSC yang berjudul ‘Copy-paste compromises’ berasal dari aktor yang menggunakan kode eksploit proof-of-concept, web shells, dan alat-alat lain yang disalin hampir identik dari sumber terbuka (open source).

Aktor ini telah diidentifikasi memanfaatkan sejumlah vektor akses awal, dengan yang paling umum adalah eksploitasi infrastruktur public-facing – terutama melalui penggunaan kerentanan eksekusi kode jarak jauh dalam versi Telerik UI yang tidak ditambal (patched).

Aktor ini juga telah menunjukkan kemampuan untuk dengan cepat memanfaatkan kode eksploitasi proof-of-concepts yang telah dipublikasikan untuk menargetkan jaringan yang diminati dan secara teratur melakukan pengintaian terhadap jaringan target untuk mencari layanan yang rentan, berpotensi mempertahankan daftar layanan public-facing agar dapat dengan cepat menargetkan kerentanan baru yang dirilis di masa mendatang.

Ketika eksploitasi infrastruktur public-facing tidak berhasil, ACSC telah mengidentifikasi aktor akan menggunakan berbagai teknik spearphishing. Spearphishing ini berbentuk:
– tautan ke situs web pemanen kredensial
– email dengan tautan ke file jahat, atau dengan file jahat yang langsung dilampirkan
– tautan yang mendorong pengguna untuk memberikan token OAuth Office 365 kepada aktor
– penggunaan layanan pelacakan email untuk mengidentifikasi email yang telah dibuka dan click-through event

Setelah akses awal tercapai, aktor memanfaatkan campuran open source dan alat khusus untuk bertahan, dan berinteraksi dengan, jaringan korban. Meskipun alat ditempatkan di dalam jaringan, aktor tersebut berpindah ke remote access yang sah menggunakan kredensial curian. Agar berhasil menanggapi ancaman terkait, semua akses harus diidentifikasi dan dihapus.

Dalam berinteraksi dengan jaringan korban, aktor diidentifikasi menggunakan situs web resmi Australia yang dikompromikan sebagai server C2 mereka. Terutama, perintah dan kontrol dilakukan menggunakan web shells dan lalu lintas HTTP/HTTPS. Teknik ini membuat pemblokiran geografis tidak efektif dan menambahkan legitimasi ke lalu lintas jaringan yang jahat selama penyelidikan.

Untuk memitigasi ancaman ini, ACSC telah merekomendasikan para IT Administrator di organisasi untuk:
– Melakukan tambalan (patching) dengan cepat untuk seluruh perangkat lunak, sistem operasi, dan perangkat yang menghadap ke internet (internet facing)
– Penggunaan otentikasi multi-faktor di semua layanan akses jarak jauh
– Meninjau dan menerapkan panduan ACSC pada Windows Event Logging and Forwarding dan System Monitoring.

Advisory selengkapnya dapat dibaca pada tautan berikut:
Source: ACSC

Kerentanan Keamanan Router Netgear Akhirnya Diperbaiki Setelah Enam Bulan

by

Netgear telah mengeluarkan tambalan (patch) untuk memperbaiki kerentanan keamanan di dua router yang dapat dieksploitasi oleh penyerang untuk mengambil kendali penuh perangkat dari jarak jauh.

Dua perangkat yang telah menerima tambalan adalah R6400v2 dan R6700v3. Namun, 77 router Netgear lainnya dilaporkan masih tetap rentan terhadap kerentanan zero-day yang dilaporkan ke perusahaan pada Januari tahun ini.

Kerentanan, yang terletak pada daemon HTTPD yang digunakan untuk mengelola router, ditemukan secara independen oleh Grimm’s Adam Nichols dan d4rkn3ss dari VNPT ISC Vietnam melalui Zero Day Initiative (ZDI).

Untuk mengeksploitasi kelemahan pada router Netgear, penyerang perlu membuat string yang dibuat khusus yang mampu mengeksekusi perintah pada perangkat tanpa harus mengautentikasi terlebih dahulu.

Dalam blognya, Nichols menjelaskan bahwa sementara cookie stack biasanya dapat mengurangi kerentanan ini, banyak router Netgear tidak menggunakannya, dengan mengatakan:

“Dalam sebagian besar perangkat lunak modern, kerentanan ini tidak dapat dieksploitasi. Perangkat lunak modern biasanya berisi stack cookie yang akan mencegah eksploitasi. Namun, R7000 tidak menggunakan stack cookies. Faktanya, dari semua produk Netgear yang menggunakan basis kode yang sama, hanya firmware D8500 versi 1.0.3.29 dan firmware R6300v2 versi 1.0.4.12-1.0.4.20 yang menggunakan stack cookie. Namun, versi D8500 dan R6300v2 yang lebih baru berhenti menggunakan stack cookies, membuat kerentanan ini sekali lagi dieksploitasi.”

Secara default, Daemon HTTPD router ini hanya dapat diakses melalui LAN, meskipun admin router dapat mengaktifkannya sehingga dapat diakses dari jarak jauh melalui internet. Namun, penyerang masih dapat membuat situs web berbahaya menggunakan JavaScript untuk melakukan serangan rebinding DNS yang akan memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh pada router yang tidak dapat diakses melalui internet.

Jika Anda memiliki router Netgear R6400v2 atau R6700v3, Anda dapat mengunduh hot-fix untuk memperbaiki kerentanannya sekarang, tetapi jika Anda memiliki salah satu dari 77 router yang terpengaruh, Anda kurang beruntung sampai perusahaan mengeluarkan patch untuk ke 77 router tersebut.

Selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tech Radar