Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

by

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

by

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki penggunaan zero-day dalam serangan

by

Google telah merilis Chrome 100.0.4896.127 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang secara aktif digunakan oleh pelaku ancaman dalam serangan.

Sementara Google menyatakan bahwa pembaruan Chrome ini akan diluncurkan dalam beberapa minggu ke depan, pengguna dapat langsung menerimanya dengan masuk ke menu Chrome > Help > About Google Chrome.

Karena bug ini dieksploitasi secara aktif dalam serangan, sangat disarankan agar Anda melakukan pemeriksaan manual untuk pembaruan baru dan meluncurkan kembali browser untuk menerapkannya.

Bug zero-day yang diperbaiki dilacak sebagai CVE-2022-1364 dan merupakan tipe kelemahan kebingungan tingkat keparahan tinggi di mesin JavaScript Chrome V8.

Sementara tipe kelemahan kebingungan umumnya menyebabkan browser crash setelah eksploitasi yang berhasil dengan membaca atau menulis memori di luar batas buffer, penyerang juga dapat mengeksploitasinya untuk mengeksekusi kode arbitrer.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, namun tidak memberikan rincian lebih lanjut mengenai bagaimana serangan ini dilakukan.

Segera perbarui browser Google Chrome Anda.

Selengkapnya: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

by

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Infostealer ZingoStealer baru menjatuhkan lebih banyak malware, cryptominers

by

Malware pencuri informasi baru yang disebut ZingoStealer telah ditemukan dengan fitur pencurian data yang kuat dan kemampuan untuk memuat payload tambahan atau menambang Monero.

Malware baru ini dibuat dan dirilis secara gratis oleh sekelompok pelaku ancaman bernama “Haskers Gang,” yang baru-baru ini berusaha menjual kode sumbernya seharga $500.

Segera setelah para peneliti di Cisco Talos melihat penawaran itu, ZingoStealer berpindah tangan dan dipindahkan ke aktor ancaman baru yang akan melakukan upaya pengembangan.

ZingoStealer pertama kali muncul di komunitas kejahatan dunia maya pada Maret 2022, dipromosikan di saluran berbahasa Rusia sebagai pencuri info yang “siap pakai,” yang kuat dalam bentuk .NET yang dapat dieksekusi.

Hanya dengan 300 rubel, bernilai sekitar $3,64, pengguna juga dapat membeli opsi bawaan yang menampilkan crypter obfuscation (melalui ExoCrypt) untuk meningkatkan ketahanan terhadap deteksi AV.

Sejauh ini, ZingoStealer telah terlihat menginfeksi komputer melalui celah perangkat lunak, dan cheat video game yang dipromosikan di YouTube, tetapi vektor infeksi dapat bervariasi setiap saat.

Semua info yang dicuri disimpan di folder “C:\Users\AppData\Local\GinzoFolder”, di-zip, dan dieksfiltrasi ke server operator.

ZingoStealer juga memiliki malware penambangan cryptocurrency XMRig untuk menggunakan komputer korban untuk keuntungan finansial langsung.

Fitur ini ditambahkan dalam rilis terbaru, dan menggunakan PowerShell untuk menambahkan pengecualian yang diperlukan pada Windows Defender dan menjalankan penambang.

Selengkapnya: Bleeping Computer

Security BUKAN Hanya Hacking!

by

Sebagian alasan mengapa banyak wanita tidak memasuki bidang ini adalah karena kesalahpahaman umum tentang apa yang sebenarnya dilakukan oleh para profesional keamanan.

Orang-orang menonton Mr. Robot atau terhubung dengan praktisi yang hanya memposting tentang peretasan, sehingga mempromosikan persepsi bahwa pilihan karir dunia maya terlarang karena keahlian itu diperlukan untuk masuk.

Sebagai praktisi, kami menghabiskan banyak waktu kami untuk mencoba MENGHENTIKAN peretas, cracker, script kiddies, dll. dari memengaruhi aset penting atau merusak situs web dan menyebabkan kerusakan reputasi. Ini mungkin mengejutkan banyak orang, tetapi kami juga melakukan banyak membaca dan meneliti dan mengutuk dan menggaruk-garuk kepala, semuanya bukan untuk menjadi Sony atau Target berikutnya.

Apakah kita perlu memahami bagaimana peretas beroperasi dan bagaimana mereka melakukan apa yang mereka lakukan? Sangat. Apakah kita perlu menjadi peretas yang hebat untuk mencapai tujuan itu? Tentu saja tidak.

Faktanya, banyak dari kita yang tidak berhasil sama sekali, namun berhasil merancang sistem dan solusi yang dapat dipertahankan yang mampu menggagalkan dan membingungkan peretas. JADI, adegan dari Mr. Robot bukanlah hal yang biasa…setidaknya bagi kebanyakan dari kita.

Ada beberapa yang tugas utamanya adalah “meretas dengan tujuan” – kami menyebut orang-orang itu sebagai penguji penetrasi atau “pena” dan mereka menghabiskan siang dan malam mereka mencari kerentanan dan eksploitasi dalam sistem dan mengeksploitasinya sejauh yang diizinkan oleh keterlibatan.

Mereka dapat dikenali dari lingkaran hitam yang mengelilingi mata mereka dan gumaman mereka yang tak henti-hentinya tentang bir dan pizza. Mereka kemudian NAMUN (dan inilah bagian integralnya) bekerja dengan perusahaan yang mereka tembus untuk membantu mereka memperbaiki masalah sehingga peretas yang lebih jahat tidak akan memasukkan mereka ke dalam berita.

Selengkapnya: Keirsten Brager

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

by

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry

Kode Open-Source Melakukan Sabotase untuk Menghapus Komputer Rusia dan Belarusia

by

Seorang teknolog dan pengelola perangkat lunak open source yang populer telah dengan sengaja menyabotase kode mereka sendiri untuk menghapus data pada komputer yang menggunakan program tersebut di Rusia dan Belarusia, dan telah menghadapi reaksi balasan besar-besaran karena melakukannya, menurut pesan yang diposting di repositori pengkodean Github .

Berita tersebut menandakan potensi kerugian dari hacktivisme digital, dengan langkah tersebut kemungkinan berdampak pada orang-orang biasa yang menggunakan kode tersebut.

RIAEvangelist adalah pengelola perangkat lunak yang disebut “node-ipc,” alat jaringan yang terkadang diunduh lebih dari satu juta kali seminggu. RIAEvangelist merilis dua modul yang disebut “peacenotwar” dan “oneday-test” baru-baru ini, Bleeping Computer melaporkan pada hari Kamis. Peacenotwar, yang oleh RIAEvangelist digambarkan sebagai “protestware”, kemudian dimasukkan sebagai dependensi dalam kode node-ipc, yang berarti beberapa versi node-ipc mungkin dibundel dengan peacenotwar.

“Kode ini berfungsi sebagai contoh non-destruktif mengapa mengontrol modul pada node penting. Ini juga berfungsi sebagai protes tanpa kekerasan terhadap agresi Rusia yang mengancam dunia saat ini. Modul ini akan menambahkan pesan perdamaian di desktop pengguna Anda, dan hanya akan melakukannya jika belum ada hanya untuk bersikap sopan,” tulis RIAEvangelist dalam deskripsi untuk kode peacenotwar. Deskripsi RIAEvangelist juga menjelaskan bagaimana orang lain dapat menambahkan modul ke kode mereka untuk mengambil bagian dalam protes digital.

Selengkapnya: VICE