Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

AT&T Alien Labs menemukan malware Golang (BotenaGo) baru yang menargetkan jutaan router dan perangkat IoT dengan lebih dari 30 eksploitasi

by

AT&T Alien Labs™ telah menemukan malware baru yang ditulis dalam bahasa pemrograman sumber terbuka Golang.

Dikerahkan dengan lebih dari 30 eksploitasi, ia berpotensi menargetkan jutaan router dan perangkat IoT.

BotenaGo memiliki lebih dari 30 fungsi exploit yang berbeda untuk menyerang target.

Malware membuat pintu belakang dan menunggu untuk menerima target untuk diserang dari operator jarak jauh melalui port 19412 atau dari modul terkait lainnya yang berjalan di mesin yang sama.

Belum jelas aktor ancaman mana yang berada di balik malware dan jumlah perangkat yang terinfeksi.

Saat ini, BotenaGo memiliki tingkat deteksi antivirus (AV) yang masih rendah dengan hanya 6/62 AV yang diketahui terlihat di VirusTotal.

Selengkapnya: AT&T Cybersecurity

TrickBot bekerja sama dengan phisher Shatak untuk serangan ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.

Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.

Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.

Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.

Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.

Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.

Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.

Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Selengkapnya: Bleeping Computer

Peretas Menargetkan Perangkat Apple di Hong Kong untuk Menyebarluaskan Serangan

by

Setidaknya sejak akhir Agustus, para peretas canggih menggunakan kelemahan di macOS dan iOS untuk memasang malware di perangkat Apple yang mengunjungi situs web media dan pro-demokrasi yang berbasis di Hong Kong.

Serangan watering hole membuat jaring semakin lebar, tanpa pandang bulu menempatkan backdoor pada iPhone atau Mac apa pun yang mengunjungi salah satu halaman yang terpengaruh.

Apple telah menambal berbagai bug yang memungkinkan kampanye terungkap. Namun sebuah laporan hari Kamis dari Grup Analisis Ancaman Google (TAG) menunjukkan betapa agresifnya para peretas dan seberapa luas jangkauan mereka.

Ini adalah kasus lain dari kerentanan yang sebelumnya tidak diungkapkan, atau zero-days, yang dieksploitasi di alam liar oleh penyerang.

Serangan iOS dan macOS memiliki pendekatan yang berbeda, tetapi keduanya menyatukan beberapa kerentanan sehingga penyerang dapat mengambil kendali perangkat korban untuk menginstal malware mereka.

TAG tidak dapat menganalisis seluruh rantai eksploitasi iOS, tetapi mereka mampu mengidentifikasi kerentanan utama Safari yang digunakan peretas untuk meluncurkan serangan. Versi macOS melibatkan eksploitasi kerentanan WebKit dan bug kernel. Semua itu sudah ditambal oleh Apple sepanjang tahun 2021, dan eksploitasi macOS yang digunakan dalam serangan itu sebelumnya dipresentasikan dalam pembicaraan konferensi April dan Juli oleh Pangu Lab.

Para peneliti menekankan bahwa malware yang dikirim ke target melalui serangan watering hole dibuat dengan hati-hati dan “tampaknya merupakan produk rekayasa perangkat lunak yang ekstensif.” Itu memiliki desain modular, mungkin komponen yang berbeda dapat digunakan pada waktu yang berbeda dalam serangan multi-tahap.

Selengkapnya: Wired

Snapshot yang tidak dapat diubah bertujuan untuk menetralisir ransomware

by

Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.

Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.

Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.

Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.

Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.

Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.

Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.

Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.

Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.

Selengkapnya: Computer Weekly

Peretas negara Iran menggunakan malware yang telah di-upgrade dalam serangan terhadap perusahaan telekomunikasi

by

APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.

Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.

Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.

Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.

Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari domain generation algorithms (DGA).

Kedua backdoor berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.

Menurut analisis, yang mengungkapkan adanya pembaruan terus-menerus dari beacon dan payload, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.

Kelompok peretas ini diyakini bermotivasi politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.

Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.

Selengkapnya: Bleeping Computer

Peretas TeamTNT Menargetkan Server Docker Yang Tidak Dikonfigurasi Dengan Baik

by

Server Docker yang dikonfigurasi dengan buruk sedang aktif ditargetkan oleh grup peretasan TeamTNT dalam kampanye yang sedang berlangsung dimulai dari bulan lalu.

Menurut sebuah laporan oleh para peneliti di TrendMicro, para aktor memiliki tiga tujuan berbeda: untuk menginstal cryptominers Monero, memindai instance Docker yang rentan terhadap Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama.

Seperti yang diilustrasikan dalam alur kerja serangan, serangan dimulai dengan membuat wadah pada host yang rentan menggunakan Docker REST API yang terbuka.

Alamat IP yang digunakan untuk infrastruktur TeamTNT saat ini (45[.]9[.]148[.]182) telah dikaitkan dengan beberapa domain yang melayani malware di masa lalu.

TrendMicro melaporkan bahwa kampanye ini juga menggunakan akun Docker Hub yang disusupi yang dikendalikan oleh TeamTNT untuk menghapus gambar Docker yang berbahaya.

Menggunakan akun Docker Hub yang disusupi membuat titik distribusi lebih andal bagi para aktor, karena lebih sulit untuk dipetakan, dilaporkan, dan dihapus.

TeamTNT adalah aktor canggih yang terus-menerus mengembangkan tekniknya, mengubah fokus penargetan jangka pendek tetapi tetap menjadi ancaman konstan bagi sistem Docker yang rentan.

Mereka pertama kali membuat worm untuk mengeksploitasi Docker dan Kubernetes secara massal pada Agustus 2020.

Selengkapnya: Bleeping Computer

MediaMarkt terkena ransomware Hive, tebusan awal $240 juta

by

Raksasa ritel elektronik MediaMarkt telah menderita ransomware Hive dengan permintaan tebusan awal sebesar $240 juta, menyebabkan sistem TI ditutup dan operasi toko terganggu di Belanda dan Jerman.

MediaMarkt adalah pengecer elektronik konsumen terbesar di Eropa, dengan lebih dari 1.000 toko di 13 negara. MediaMarkt mempekerjakan sekitar 53.000 karyawan dan memiliki total penjualan €20,8 miliar.

MediaMarkt mengalami serangan ransomware Minggu malam hingga Senin pagi yang mengenkripsi server dan workstation dan menyebabkan penutupan sistem TI untuk mencegah penyebaran serangan.

Sementara penjualan online terus berfungsi seperti yang diharapkan, mesin kasir tidak dapat menerima kartu kredit atau mencetak tanda terima di toko yang terkena dampak. Pemadaman sistem juga mencegah pengembalian barang karena ketidakmampuan untuk mencari pembelian sebelumnya.

Media lokal melaporkan bahwa komunikasi internal MediaMarkt memberi tahu karyawan untuk menghindari sistem terenkripsi dan memutuskan mesin kasir dari jaringan.

BleepingComputer telah mengkonfirmasi bahwa operasi Hive Ransomware berada di balik serangan itu dan awalnya menuntut jumlah uang tebusan yang sangat besar, tetapi tidak realistis, $ 240 juta untuk menerima decryptor untuk file terenkripsi.

Meskipun tidak jelas apakah data yang tidak terenkripsi telah dicuri sebagai bagian dari serangan, ransomware Hive diketahui mencuri file dan mempublikasikannya di situs kebocoran data ‘HiveLeaks’ jika uang tebusan tidak dibayarkan.

Selengkapnya: Bleeping Computer

Ini Alasan Mengapa Anda Harus Menghapus Google Chrome di Ponsel Android Anda

by

Peringatan baru untuk pengguna Google Chrome, karena browser tersebut ditemukan memanen data ponsel sensitif tanpa disadari pengguna.

Bulan lalu, aplikasi Facebook terungkap melacak pergerakan pengguna iPhone, mengakses akselerometer perangkat setiap saat.

Facebook adalah pemanen data paling rakus di dunia, dan informasi sensitif ini dapat digunakan untuk memantau perilaku, menghubungkan nya dengan jumlah data yang luar biasa besar yang dikumpulkannya.

Tetapi Facebook bukanlah pemanen data paling sukses di dunia—hadiah itu diberikan kepada Google. Tidak seperti Facebook, yang telah terpukul keras oleh langkah-langkah privasi terbaru Apple, pendapatan iklan digital Google terus melonjak.

Sementara Facebook mengumpulkan informasi ini untuk dirinya sendiri, Chrome dengan senang hati mengumpulkannya untuk orang lain—pada dasarnya memungkinkan informasi yang sangat sensitif tentang setiap aktivitas Anda, setiap perilaku Anda.

Peneliti Tommy Mysk memperingatkan bahwa “sensor gerak dapat diakses oleh semua situs web di Android/Chrome secara default, [sedangkan] Safari/iOS melindungi akses dengan izin.” Namun, yang jauh lebih buruk adalah Chrome melakukan ini bahkan saat disetel ke mode penjelajahan pribadi atau “penyamaran/incognito”.

Anda dapat menonaktifkan akses ke sensor gerak ponsel Anda di Chrome pada Android di Pengaturan Situs—tetapi Anda akan melihat bahwa Google merekomendasikan untuk membiarkannya menyala.

Cara Disable Motion Access

Selengkapnya: Forbes