Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Infostealer ZingoStealer baru menjatuhkan lebih banyak malware, cryptominers

by

Malware pencuri informasi baru yang disebut ZingoStealer telah ditemukan dengan fitur pencurian data yang kuat dan kemampuan untuk memuat payload tambahan atau menambang Monero.

Malware baru ini dibuat dan dirilis secara gratis oleh sekelompok pelaku ancaman bernama “Haskers Gang,” yang baru-baru ini berusaha menjual kode sumbernya seharga $500.

Segera setelah para peneliti di Cisco Talos melihat penawaran itu, ZingoStealer berpindah tangan dan dipindahkan ke aktor ancaman baru yang akan melakukan upaya pengembangan.

ZingoStealer pertama kali muncul di komunitas kejahatan dunia maya pada Maret 2022, dipromosikan di saluran berbahasa Rusia sebagai pencuri info yang “siap pakai,” yang kuat dalam bentuk .NET yang dapat dieksekusi.

Hanya dengan 300 rubel, bernilai sekitar $3,64, pengguna juga dapat membeli opsi bawaan yang menampilkan crypter obfuscation (melalui ExoCrypt) untuk meningkatkan ketahanan terhadap deteksi AV.

Sejauh ini, ZingoStealer telah terlihat menginfeksi komputer melalui celah perangkat lunak, dan cheat video game yang dipromosikan di YouTube, tetapi vektor infeksi dapat bervariasi setiap saat.

Semua info yang dicuri disimpan di folder “C:\Users\AppData\Local\GinzoFolder”, di-zip, dan dieksfiltrasi ke server operator.

ZingoStealer juga memiliki malware penambangan cryptocurrency XMRig untuk menggunakan komputer korban untuk keuntungan finansial langsung.

Fitur ini ditambahkan dalam rilis terbaru, dan menggunakan PowerShell untuk menambahkan pengecualian yang diperlukan pada Windows Defender dan menjalankan penambang.

Selengkapnya: Bleeping Computer

Security BUKAN Hanya Hacking!

by

Sebagian alasan mengapa banyak wanita tidak memasuki bidang ini adalah karena kesalahpahaman umum tentang apa yang sebenarnya dilakukan oleh para profesional keamanan.

Orang-orang menonton Mr. Robot atau terhubung dengan praktisi yang hanya memposting tentang peretasan, sehingga mempromosikan persepsi bahwa pilihan karir dunia maya terlarang karena keahlian itu diperlukan untuk masuk.

Sebagai praktisi, kami menghabiskan banyak waktu kami untuk mencoba MENGHENTIKAN peretas, cracker, script kiddies, dll. dari memengaruhi aset penting atau merusak situs web dan menyebabkan kerusakan reputasi. Ini mungkin mengejutkan banyak orang, tetapi kami juga melakukan banyak membaca dan meneliti dan mengutuk dan menggaruk-garuk kepala, semuanya bukan untuk menjadi Sony atau Target berikutnya.

Apakah kita perlu memahami bagaimana peretas beroperasi dan bagaimana mereka melakukan apa yang mereka lakukan? Sangat. Apakah kita perlu menjadi peretas yang hebat untuk mencapai tujuan itu? Tentu saja tidak.

Faktanya, banyak dari kita yang tidak berhasil sama sekali, namun berhasil merancang sistem dan solusi yang dapat dipertahankan yang mampu menggagalkan dan membingungkan peretas. JADI, adegan dari Mr. Robot bukanlah hal yang biasa…setidaknya bagi kebanyakan dari kita.

Ada beberapa yang tugas utamanya adalah “meretas dengan tujuan” – kami menyebut orang-orang itu sebagai penguji penetrasi atau “pena” dan mereka menghabiskan siang dan malam mereka mencari kerentanan dan eksploitasi dalam sistem dan mengeksploitasinya sejauh yang diizinkan oleh keterlibatan.

Mereka dapat dikenali dari lingkaran hitam yang mengelilingi mata mereka dan gumaman mereka yang tak henti-hentinya tentang bir dan pizza. Mereka kemudian NAMUN (dan inilah bagian integralnya) bekerja dengan perusahaan yang mereka tembus untuk membantu mereka memperbaiki masalah sehingga peretas yang lebih jahat tidak akan memasukkan mereka ke dalam berita.

Selengkapnya: Keirsten Brager

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

by

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry

Kode Open-Source Melakukan Sabotase untuk Menghapus Komputer Rusia dan Belarusia

by

Seorang teknolog dan pengelola perangkat lunak open source yang populer telah dengan sengaja menyabotase kode mereka sendiri untuk menghapus data pada komputer yang menggunakan program tersebut di Rusia dan Belarusia, dan telah menghadapi reaksi balasan besar-besaran karena melakukannya, menurut pesan yang diposting di repositori pengkodean Github .

Berita tersebut menandakan potensi kerugian dari hacktivisme digital, dengan langkah tersebut kemungkinan berdampak pada orang-orang biasa yang menggunakan kode tersebut.

RIAEvangelist adalah pengelola perangkat lunak yang disebut “node-ipc,” alat jaringan yang terkadang diunduh lebih dari satu juta kali seminggu. RIAEvangelist merilis dua modul yang disebut “peacenotwar” dan “oneday-test” baru-baru ini, Bleeping Computer melaporkan pada hari Kamis. Peacenotwar, yang oleh RIAEvangelist digambarkan sebagai “protestware”, kemudian dimasukkan sebagai dependensi dalam kode node-ipc, yang berarti beberapa versi node-ipc mungkin dibundel dengan peacenotwar.

“Kode ini berfungsi sebagai contoh non-destruktif mengapa mengontrol modul pada node penting. Ini juga berfungsi sebagai protes tanpa kekerasan terhadap agresi Rusia yang mengancam dunia saat ini. Modul ini akan menambahkan pesan perdamaian di desktop pengguna Anda, dan hanya akan melakukannya jika belum ada hanya untuk bersikap sopan,” tulis RIAEvangelist dalam deskripsi untuk kode peacenotwar. Deskripsi RIAEvangelist juga menjelaskan bagaimana orang lain dapat menambahkan modul ke kode mereka untuk mengambil bagian dalam protes digital.

Selengkapnya: VICE

Formulir kontak situs web perusahaan digunakan untuk menyebarkan malware BazarBackdoor

by

Malware BazarBackdoor yang tersembunyi sekarang menyebar melalui formulir kontak situs web daripada email phishing biasa untuk menghindari deteksi oleh perangkat lunak keamanan.

BazarBackdoor adalah malware backdoor tersembunyi yang dibuat oleh grup TrickBot dan sekarang sedang dikembangkan oleh operasi ransomware Conti. Malware ini memberikan akses jarak jauh kepada pelaku ancaman ke perangkat internal yang dapat digunakan sebagai landasan peluncuran untuk pergerakan lateral lebih lanjut dalam jaringan.

Malware BazarBackdoor biasanya menyebar melalui email phishing yang menyertakan dokumen berbahaya yang mengunduh dan menginstal malware.

Namun, karena secure email gateways menjadi lebih baik dalam mendeteksi malware droppers ini, distributor beralih ke cara baru untuk menyebarkan malware.

Dalam laporan baru oleh Abnormal Security, analis menjelaskan bahwa kampanye distribusi baru yang dimulai pada Desember 2021 menargetkan korban perusahaan dengan BazarBackdoor, dengan kemungkinan tujuan menyebarkan Cobalt Strike atau muatan ransomware.

Alih-alih mengirim email phishing ke target, pelaku ancaman pertama-tama menggunakan formulir kontak perusahaan untuk memulai komunikasi.

Misalnya, dalam salah satu kasus yang dilihat oleh analis Abnormal, pelaku ancaman menyamar sebagai karyawan di perusahaan konstruksi Kanada yang mengajukan permintaan penawaran penawaran produk melalui formulis kontak yang ada di website perusahaan.

Setelah karyawan menanggapi email phishing, penyerang mengirim kembali file ISO berbahaya yang dianggap relevan dengan negosiasi.

Karena mengirim file ini secara langsung tidak mungkin atau akan memicu peringatan keamanan, pelaku ancaman menggunakan layanan berbagi file seperti TransferNow dan WeTransfer.

Lampiran arsip ISO berisi file .lnk dan file .log. Idenya di sini adalah untuk menghindari deteksi AV dengan mengemas muatan dalam arsip dan meminta pengguna mengekstraknya secara manual setelah mengunduh.

File .lnk berisi instruksi perintah yang membuka jendela terminal menggunakan binari Windows yang ada dan memuat file .log, yang pada kenyataannya adalah DLL BazarBackdoor.

Selengkapnya: Bleeping Computer

Malware yang menyamar sebagai alat keamanan menargetkan Tentara TI Ukraina

by

Kampanye malware baru memanfaatkan kesediaan orang untuk mendukung perang cyber Ukraina melawan Rusia untuk menginfeksi mereka dengan Trojan pencuri kata sandi.

Bulan lalu, pemerintah Ukraina mengumumkan Angkatan Darat TI baru yang terdiri dari sukarelawan di seluruh dunia yang melakukan serangan siber dan serangan DDoS terhadap entitas Rusia.

Inisiatif ini telah menghasilkan curahan dukungan oleh banyak orang di seluruh dunia yang telah membantu menargetkan organisasi dan situs Rusia, bahkan jika aktivitas itu dianggap ilegal.

Seperti biasa dengan distributor malware, pelaku ancaman mengambil keuntungan dari Angkatan Darat TI dengan mempromosikan alat DDoS palsu di Telegram yang memasang kata sandi dan trojan pencuri informasi.

Dalam sebuah laporan baru oleh Cisco Talos, para peneliti memperingatkan bahwa pelaku ancaman meniru alat DDoS yang disebut “Liberator”, yang merupakan website bomber untuk digunakan melawan outlet propaganda Rusia.

Sementara versi yang diunduh dari situs sebenarnya “bersih”, dan kemungkinan ilegal untuk digunakan, yang beredar di Telegram ternyata menyembunyikan muatan malware, dan tidak ada cara untuk membedakannya sebelum menjalankannya karena keduanya tidak ditandatangani secara digital.

Malware yang dijatuhkan pada sistem korban melakukan pemeriksaan anti-debug sebelum dijalankan dan kemudian mengikuti langkah injeksi proses untuk memuat pencuri informasi Phoenix ke dalam memori.

Pencuri info tersebut dapat mengumpulkan data dari browser web, alat VPN, Discord, lokasi sistem file, dan dompet cryptocurrency, dan mengirimkannya ke alamat jarak jauh, dalam kasus ini, IP Rusia.

Peneliti Talos menemukan bahwa IP khusus ini telah mendistribusikan Phoenix sejak November 2021. Oleh karena itu, perubahan tema baru-baru ini menunjukkan bahwa kampanye ini hanyalah upaya oportunistik untuk mengeksploitasi perang di Ukraina demi keuntungan finansial.

Selengkapnya: Bleeping Computer

Hampir 30% bug plugin WordPress kritis tidak mendapatkan tambalan

by

Patchstack, pemimpin dalam keamanan WordPress dan intelijen ancaman, telah merilis whitepaper untuk menyajikan keadaan keamanan WordPress pada tahun 2021, dan laporan tersebut memberikan gambaran yang mengerikan.

Lebih detailnya, 2021 telah melihat pertumbuhan 150% dalam kerentanan yang dilaporkan dibandingkan dengan tahun sebelumnya, sementara 29% dari kelemahan kritis dalam plugin WordPress tidak pernah menerima pembaruan keamanan.

Ini mengkhawatirkan mengingat WordPress adalah sistem manajemen konten paling populer di dunia, digunakan di 43,2% dari semua situs web di luar sana.

Dari semua kerentanan yang dilaporkan pada tahun 2021, hanya 0,58% yang ada di inti WordPress, dengan sisanya berada di tema dan plugin untuk platform, yang berasal dari berbagai sumber dan pengembang yang berbeda.

Khususnya, 91,38% dari kekurangan ini ditemukan di plugin gratis, sedangkan add-on WordPress berbayar/premium hanya menyumbang 8,62% dari total, mencerminkan prosedur pemeriksaan dan pengujian kode yang lebih baik.

PatchStack juga melaporkan bahwa cross-site scripting (XSS) menduduki puncak daftar dengan jenis kelemahan WordPress yang paling banyak dilaporkan pada tahun 2021, diikuti oleh “campuran”, cross-site request forgery, SQL injection, dan unggahan file yang sewenang-wenang.

Sekitar 42% situs WordPress memiliki setidaknya satu komponen rentan pada tahun 2021, dari rata-rata 18 yang diinstal. Meskipun jumlah ini lebih rendah dari 23 plugin yang dipasang di situs pada tahun 2020, masalahnya tetap ada karena enam dari 18 plugin sudah usang.

Selengkapnya: Bleeping Computer

Intel, AMD, Arm memperingatkan bug CPU eksekusi spekulatif baru

by

Peneliti keamanan telah menemukan cara baru untuk melewati pertahanan berbasis perangkat keras yang ada untuk eksekusi spekulatif dalam prosesor komputer modern dari Intel, AMD, dan Arm.

Ketiga produsen CPU tersebut telah menerbitkan saran yang disertai dengan pembaruan mitigasi dan rekomendasi keamanan untuk mengatasi masalah yang baru ditemukan yang memungkinkan bocornya informasi sensitif meskipun ada perlindungan berbasis isolasi.

Teknik eksekusi spekulatif dirancang untuk mengoptimalkan kinerja CPU dengan menjalankan beberapa tugas terlebih dahulu (branch prediction) sehingga informasi tersedia saat diperlukan.

Pada tahun 2018, para peneliti menemukan cara untuk membocorkan informasi yang berasal dari perhitungan proaktif ini, dengan menyebutkan kerentanan terkait Meltdown and Spectre.

Sejak itu, vendor telah merilis mitigasi berbasis perangkat lunak seperti “Retpoline” yang mengisolasi cabang tidak langsung dari eksekusi spekulatif. Pembuat chip juga telah mengatasi masalah dengan perbaikan perangkat keras seperti eIBRS dari Intel dan CSV2 dari Arm.

Para peneliti di VUSec merinci dalam laporan teknis hari ini tentang metode baru untuk melewati semua mitigasi yang ada dengan memanfaatkan apa yang mereka sebut sebagai Branch History Injection (BHI).

Makalah ini menggarisbawahi bahwa sementara mitigasi perangkat keras masih mencegah penyerang yang tidak memiliki hak untuk menyuntikkan entri prediktor untuk kernel, mengandalkan sejarah global untuk memilih target menciptakan metode serangan yang sebelumnya tidak diketahui.

Intel menanggapi temuan ini dengan menetapkan dua kerentanan tingkat menengah, CVE-2022-0001 dan CVE-2022-0002, dan merekomendasikan pengguna untuk menonaktifkan akses ke runtime terkelola dalam mode istimewa.

Untuk daftar lengkap rekomendasi mitigasi, lihat halaman khusus ini, sementara daftar semua model prosesor yang terpengaruh tersedia di sini.

Arm juga telah menerbitkan buletin keamanan tentang masalah ini, karena serangan history poisoning baru memengaruhi beberapa produk Cortex-A dan Neoverse-nya.

Selengkapnya: Bleeping Computer