Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

QBot Sekarang Menggunakan Ransomware Black Basta Dalam Serangan Bertenaga Bot

by

Geng ransomware Black Basta telah bermitra dengan operasi malware QBot untuk mendapatkan akses awal ke lingkungan perusahaan.

QBot (QuakBot) adalah malware Windows yang mencuri kredensial bank, kredensial domain Windows, dan mengirimkan muatan malware lebih lanjut pada perangkat yang terinfeksi.

Korban biasanya terinfeksi Qbot melalui serangan phishing dengan lampiran berbahaya. Meskipun dimulai sebagai trojan perbankan, ia telah memiliki banyak kolaborasi dengan geng ransomware lain, termasuk MegaCortex, ProLock, DoppelPaymer, dan Egregor.

Black Basta adalah operasi ransomware yang relatif baru yang dimulai dengan mengesankan, melanggar banyak perusahaan dalam waktu yang relatif singkat sambil menuntut pembayaran uang tebusan yang besar.

Analis di NCC Group menemukan kemitraan baru antara Qakbot dan Black Basta selama incident response baru-baru ini di mana mereka dapat mengidentifikasi teknik yang digunakan oleh aktor ancaman.

Sementara geng ransomware biasanya menggunakan QBot untuk akses awal, NCC mengatakan bahwa geng Black Basta menggunakannya untuk menyebar secara lateral ke seluruh jaringan.

Malware dari jarak jauh akan membuat layanan sementara pada host target dan mengonfigurasinya untuk menjalankan DLL-nya menggunakan regsvr32.exe.

Setelah Qakbot aktif dan berjalan, ia dapat menginfeksi berbagi jaringan dan drive, memaksa akun AD, atau menggunakan protokol berbagi file SMB (Server Message Block) untuk membuat salinannya sendiri atau menyebar melalui default admin shares menggunakan kredensial pengguna saat ini.

NCC menyatakan bahwa pelaku ancaman juga menonaktifkan Windows Defender untuk menghindari deteksi dan meminimalkan kemungkinan membahayakan keberhasilan langkah enkripsi.

Selengkapnya: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Kerangka Kerja Keamanan Siber NIST telah menjadi bahasa umum untuk keamanan siber internasional

by

Kerangka Kerja Keamanan Siber NIST menawarkan seperangkat pedoman yang jelas untuk menangani dan mengelola risiko keamanan siber, berdasarkan standar, pedoman, dan praktik terbaik yang ada yang diterbitkan oleh NIST.

Meskipun kerangka kerja ini awalnya dikembangkan untuk meningkatkan manajemen risiko yang berkaitan dengan infrastruktur penting di Amerika Serikat, tim keamanan dapat menggunakannya di sektor ekonomi atau masyarakat mana pun.

NIST dengan jelas menyatakan: “organisasi di luar Amerika Serikat juga dapat menggunakan kerangka kerja untuk memperkuat upaya keamanan siber mereka sendiri, dan kerangka kerja tersebut dapat berkontribusi untuk mengembangkan bahasa yang sama untuk kerja sama internasional dalam keamanan siber infrastruktur penting.”

Adapun Kerangka NIST, ada beberapa kegunaan inti yang perlu ditunjukkan. Awalnya, tim keamanan dapat memanfaatkan kerangka kerja sebagai panduan untuk membantu menentukan aktivitas mana yang paling penting untuk memastikan operasi kritis dan untuk membantu memprioritaskan investasi dan memaksimalkan dampak pengeluaran keamanan siber.

Bagi para praktisi, ini menjadi sumber yang sangat berguna yang harus dibagikan oleh industri. Pernyataan seperti dari Gedung Putih dan peringatan ransomware seperti ini yang dikeluarkan sebagai pemberitahuan bersama dari FBI, CISA, dan NSA perlu ditanggapi dengan serius.

Sementara lembaga pemerintah diharuskan mengikuti pedoman untuk melindungi infrastruktur penting, sebagian besar entitas saat ini beroperasi di sektor swasta. Ini juga terjadi secara internasional, di mana penjahat dunia maya tidak berbeda dan selalu berusaha mencari jalan masuk tanpa memperhatikan bagaimana suatu organisasi menyebarkan perusahaannya.

Selengkapnya: SC Magazine

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

by

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

  • CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
  • CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

F5 memperingatkan bug RCE BIG-IP kritis yang memungkinkan pengambilalihan perangkat

by

F5 telah mengeluarkan peringatan penasehat keamanan tentang cacat yang memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan untuk mengeksekusi perintah sistem sewenang-wenang, melakukan tindakan file, dan menonaktifkan layanan di BIG-IP.

Kerentanan dilacak sebagai CVE-2022-1388 dan memiliki peringkat keparahan CVSS v3 9,8, dikategorikan kritis. Eksploitasinya berpotensi mengarah pada pengambilalihan sistem secara menyeluruh.

Menurut penasihat keamanan F5, kelemahannya terletak pada komponen iControl REST dan memungkinkan aktor jahat mengirim permintaan yang tidak diungkapkan untuk melewati otentikasi iControl REST di BIG-IP.

Karena parahnya kerentanan dan penyebaran luas produk BIG-IP di lingkungan kritis, CISA (Cybersecurity and Infrastructure Security Agency) juga telah mengeluarkan peringatan hari ini.

Berikut daftar lengkap produk yang terpengaruh:

  • BIG-IP versions 16.1.0 to 16.1.2
  • BIG-IP versions 15.1.0 to 15.1.5
  • BIG-IP versions 14.1.0 to 14.1.4
  • BIG-IP versions 13.1.0 to 13.1.4
  • BIG-IP versions 12.1.0 to 12.1.6
  • BIG-IP versions 11.6.1 to 11.6.5

F5 telah merilis perbaikan di v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6, dan v13.1.5. Cabang 12.x dan 11.x tidak akan menerima patch perbaikan.

Selain itu, advisory tersebut menjelaskan bahwa Manajemen Terpusat BIG-IQ, F5OS-A, F5OS-C, dan Traffic SDC tidak terpengaruh oleh CVE-2022-1388.

F5 telah menyediakan tiga mitigasi efektif yang dapat digunakan sementara untuk mereka yang tidak dapat segera menerapkan pembaruan keamanan.

Selengkapnya: Bleeping Computer

Artist Pixiv, DeviantArt mendapat tawaran pekerjaan NFT yang mendorong malware

by

Pengguna di Pixiv, DeviantArt, dan platform online berorientasi pencipta lainnya melaporkan menerima banyak pesan dari orang-orang yang mengaku berasal dari proyek NFT “Cyberpunk Ape Executives”, dengan tujuan utama menginfeksi perangkat artis dengan malware pencuri informasi.

“Cyberpunk Ape Executives” adalah koleksi terbatas token non-fungible (NFT) mengikuti pendekatan klub tertutup yang telah memberikan ketenaran dan nilai astronomi pada usaha serupa.

Dilansir dari Malwarebytes, aktor ancaman menargetkan artis dengan tawaran untuk bekerja dengan orang-orang di belakang proyek dan merancang serangkaian karakter baru untuk memperluas koleksi dengan NFT baru, menawarkan kompensasi hingga $350 per hari.

Pesan yang dikirim ke artis berisi tautan yang, jika diklik, mengarah ke halaman unduhan MEGA dimana korban dapat mengunduh arsip RAR 4,1 MB yang dilindungi kata sandi bernama ‘Cyberpunk Ape Exemples (pass 111).rar’ yang berisi sampel Karya seni Eksekutif Kera Cyberpunk.

Di dalam arsip, para seniman akan menemukan GIF dari Cyberpunk Ape Executives NFTs, dan di antaranya, ada file executable yang dibuat agar terlihat seperti gambar GIF lainnya, mudah dipadukan dengan koleksi lainnya.

File executable ini adalah malware installer yang akan menginfeksi perangkat dengan trojan pencuri informasi dengan peluang bagus untuk melewati deteksi AV berdasarkan deteksi VirusTotal saat ini.

Malware pencuri informasi biasanya menargetkan informasi yang disimpan di browser, seperti kata sandi akun, dompet cryptocurrency, kartu kredit, atau bahkan file di disk.

Ketika pelaku ancaman mendapatkan kredensial akun dari akun terkenal dengan jumlah pengikut yang tinggi, mereka akan menggunakannya untuk mempromosikan penipuan yang sama ke lebih banyak pengguna.

Selengkapnya: Bleeping Computer

Peretas mencuri data yang tidak terdeteksi dari AS dan organisasi Eropa sejak 2019

by

Kelompok peretas China yang dikenal sebagai ‘Winnti’ telah secara diam-diam mencuri aset kekayaan intelektual seperti paten, hak cipta, merek dagang, dan data perusahaan lainnya – dan tetap tidak terdeteksi oleh peneliti keamanan serta target sejak 2019.

Winnti, juga dilacak sebagai APT41, adalah kelompok spionase dunia maya yang canggih dan sulit dipahami yang diyakini didukung oleh negara Tiongkok dan beroperasi atas nama kepentingan nasionalnya.

Kampanye kejahatan dunia maya yang ditemukan telah berlangsung setidaknya sejak 2019 dan menargetkan perusahaan teknologi dan manufaktur di Asia Timur, Eropa Barat, dan Amerika Utara.

Operasi kriminal ini dikenal sebagai ‘Operasi CuckooBees’ dan ditemukan oleh analis di Cybereason, yang mengungkapkan malware baru yang disebarkan oleh kelompok peretas terkenal, mekanisme yang mereka manfaatkan untuk penyusupan, dan metode pengiriman muatan rumit yang mereka gunakan.

Yang menjadi highlight dalam laporan Cybereason adalah malware Winnti baru yang dijuluki “DEPLOYLOG” dan metode penyalahgunaan mekanisme Windows CLFS (Common Log File System) untuk penyembunyian muatan.

Malware DEPLOYLOG, yang belum didokumentasikan sebelumnya, adalah DLL 64-bit (disamarkan sebagai “dbghelp.dll”) yang mengekstrak dan mengeksekusi payload terakhir Winnti, rootkit WINNKIT, dan kemudian membuat dua saluran komunikasi dengan remote C2 dan rootkit tingkat kernel.

Cybereason percaya bahwa karena kompleksitas, tersembunyi, dan kecanggihan Operasi CuckooBees, kemungkinan besar Winnti telah menginfeksi lebih banyak sistem perusahaan daripada yang dapat mereka verifikasi.

Selengkapnya: Bleeping Computer