Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Akademisi menemukan lapisan tersembunyi di Great Firewall China

by

Sebuah tim akademisi dari University of Maryland telah menemukan lapisan tersembunyi sebelumnya dalam sistem sensor Great Firewall China.

Diperkenalkan pada akhir 90-an, Great Firewall (GFW) adalah sistem kotak tengah yang dipasang di titik pertukaran internet China dan penyedia layanan internet yang memungkinkan pemerintah untuk mencegat lalu lintas internet, mengendus kontennya, dan memblokir koneksi ke situs web dan server yang dianggap tidak dapat diterima oleh negara.

Meskipun ada mekanisme sensor yang berbeda di dalam Great Firewall China yang melayani protokol yang berbeda, sistemnya yang paling kuat dan canggih secara teknis adalah yang dimaksudkan untuk menangani lalu lintas web terenkripsi HTTPS.

Saat ini, mekanisme sensor HTTPS ini mencakup dua sistem terpisah.

Yang pertama, dan yang tertua, adalah yang bekerja dengan mencegat koneksi HTTPS pada tahap awal dan kemudian melihat bidang data koneksi yang disebut SNI, yang memperlihatkan domain yang coba diakses pengguna.

Yang kedua, diperkenalkan tahun lalu, mirip dengan yang pertama tetapi melayani koneksi HTTPS yang menggunakan protokol modern yang mengenkripsi bidang SNI (sebagai eSNI).

Karena sistem ini tidak dapat melihat apa yang pengguna domain coba akses, mekanisme sensor ini jauh lebih tumpul karena GFW hanya memblokir semua koneksi di mana bidang eSNI terdeteksi.

Namun dalam makalah penelitian [PDF], akademisi dari University of Maryland mengungkapkan bahwa mereka menemukan sistem penyaringan HTTPS SNI sekunder bekerja secara paralel dengan yang pertama.

“Ini sebenarnya adalah penemuan yang tidak disengaja, dan sesuatu yang kami temukan di tahun 2019,” Kevin Bock, Ph.D. kandidat di departemen ilmu komputer di University of Maryland, mengatakan kepada The Record dalam email.

“Kami mulai menemukan strategi aneh di mana Geneva [sistem penghindaran sensor] dapat menghindari sensor di bagian pertama handshake TLS (di mana penyensoran dipahami terjadi), tetapi masih gagal lebih dalam di jabat tangan.”

Bock dan rekan-rekannya mengatakan sistem ini sama efektifnya dengan lapisan pertama dalam menyensor lalu lintas HTTPS, bahkan jika itu mengintervensi pada tahap terakhir koneksi.

“Penemuan ini berarti bahwa GFW sekarang menjalankan setidaknya tiga middlebox berbeda secara paralel dengan menyensor HTTPS: dua untuk koneksi berbasis SNI dan keluarga middlebox lainnya sepenuhnya untuk menyensor koneksi berbasis ESNI,” tambah peneliti.

Sumber: The Record

Ransomware Atom Silo baru menargetkan server Confluence yang rentan

by

Atom Silo, grup ransomware yang baru ditemukan, menargetkan kerentanan Confluence Server dan Pusat Data yang baru-baru ini ditambal dan dieksploitasi secara aktif untuk menyebarkan muatan ransomware mereka.

Atlassian Confluence adalah ruang kerja tim perusahaan berbasis web yang sangat populer yang membantu karyawan berkolaborasi dalam berbagai proyek.

Pada 25 Agustus, Atlassian mengeluarkan pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh (RCE) Confluence yang dilacak sebagai CVE-2021-26084 dan sedang aktif dieksploitasi.

Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah pada server yang belum ditambal dari jarak jauh.

Penemuan ini dibuat oleh para peneliti SophosLabs saat menyelidiki insiden baru-baru ini. Mereka juga menemukan bahwa ransomware yang digunakan oleh grup baru ini hampir identik dengan LockFile, yang sangat mirip dengan yang digunakan oleh grup ransomware LockBit.

Namun, operator Atom Silo menggunakan “beberapa teknik baru yang membuatnya sangat sulit untuk diselidiki, termasuk side-loading library dynamic-link berbahaya yang dirancang untuk mengganggu perangkat lunak perlindungan titik akhir.”

Setelah mengkompromikan server Confluence dan memasang backdoor, pelaku ancaman menjatuhkan backdoor tersembunyi tahap kedua menggunakan side-loading DLL untuk meluncurkannya pada sistem yang dilanggar.

Payload Ransomware yang disebarkan oleh Atom Silo juga dilengkapi dengan driver kernel berbahaya yang digunakan untuk mengganggu solusi perlindungan titik akhir dan menghindari deteksi.

Rincian teknis lebih lanjut tentang Atom Silo dan taktik gerakan lateral dapat ditemukan dalam laporan SophosLabs.

Sumber: Bleeping Computer

Perusahaan yang Mengarahkan Miliaran Pesan Teks Diam-diam Mengatakan Telah Diretas

by

Sebuah perusahaan yang merupakan bagian penting dari infrastruktur telekomunikasi global yang digunakan oleh AT&T, T-Mobile, Verizon dan beberapa lainnya di seluruh dunia seperti Vodafone dan China Mobile, diam-diam mengungkapkan bahwa peretas telah berada di dalam sistemnya selama bertahun-tahun, berdampak pada lebih dari 200 kliennya dan berpotensi memiliki jutaan pengguna ponsel di seluruh dunia.

Perusahaan, Syniverse, mengungkapkan dalam pengajuan tanggal 27 September dengan Komisi Keamanan dan Pertukaran AS bahwa “individu atau organisasi yang tidak dikenal memperoleh akses tidak sah ke basis data dalam jaringannya pada beberapa kesempatan, dan informasi masuk yang memungkinkan akses ke atau dari Data Elektroniknya. Lingkungan Transfer (EDT) dikompromikan untuk sekitar 235 pelanggannya.”

Seorang mantan karyawan Syniverse yang bekerja pada sistem EDT memberi tahu Motherboard bahwa sistem tersebut memiliki informasi tentang semua jenis catatan panggilan.

Syniverse berulang kali menolak untuk menjawab pertanyaan spesifik dari Motherboard tentang skala pelanggaran dan data spesifik apa yang terpengaruh, tetapi menurut orang yang bekerja di operator telepon, siapa pun yang meretas Syniverse dapat memiliki akses ke metadata seperti panjang dan biaya, penelepon dan nomor penerima, lokasi pihak dalam panggilan, serta isi pesan teks SMS.

Perusahaan menulis bahwa mereka menemukan pelanggaran pada Mei 2021, tetapi peretasan dimulai pada Mei 2016.

Syniverse menyediakan layanan tulang punggung untuk operator nirkabel seperti AT&T, Verizon, T-Mobile, dan beberapa lainnya di seluruh dunia.

Itu berarti pelanggaran data yang baru-baru ini ditemukan dan selama bertahun-tahun berpotensi mempengaruhi jutaan — jika bukan miliaran — pengguna ponsel, tergantung pada operator apa yang terpengaruh.

Sumber: Vice

Membuat Sinyal Nirkabel dengan Kabel Ethernet untuk Mencuri Data dari Sistem Air-Gapped

by

Mekanisme eksfiltrasi data yang baru ditemukan menggunakan kabel Ethernet sebagai “antena pemancar” untuk secara diam-diam menyedot data yang sangat sensitif dari air-gapped systems, menurut penelitian terbaru.

“Sangat menarik bahwa kabel yang datang untuk melindungi celah udara menjadi kerentanan celah udara dalam serangan ini,” Dr. Mordechai Guri, kepala R&D di Pusat Penelitian Keamanan Siber di Universitas Ben Gurion Negev di Israel, kepada The Hacker News.

Dijuluki “LANtenna Attack”, teknik baru ini memungkinkan kode berbahaya di komputer dengan celah udara untuk mengumpulkan data sensitif dan kemudian menyandikannya melalui gelombang radio yang berasal dari kabel Ethernet seolah-olah itu adalah antena.

Sinyal yang ditransmisikan kemudian dapat dicegat oleh penerima software-defined radio (SDR) terdekat secara nirkabel, memecahkan kode data, dan mengirimkannya ke penyerang yang berada di ruangan yang berdekatan.

“Khususnya, kode berbahaya dapat berjalan dalam proses mode pengguna biasa dan berhasil beroperasi dari dalam mesin virtual,” catat para peneliti dalam makalah berjudul “LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables.”

Sebagai tindakan pencegahan, para peneliti mengusulkan pelarangan penggunaan penerima radio di dalam dan di sekitar jaringan yang memiliki celah udara dan memantau aktivitas lapisan tautan kartu antarmuka jaringan untuk setiap saluran rahasia, serta mengganggu sinyal, dan menggunakan pelindung logam untuk membatasi medan elektromagnetik agar tidak mengganggu atau memancar dari kabel berpelindung.

Sumber: The Hacker News

Pelaku Ancaman Menyalahgunakan Bot Telegram untuk Membahayakan Akun PayPal

by

Penjahat dunia maya menggunakan bot Telegram untuk mencuri token kata sandi satu kali (OTP) dan menipu orang melalui bank dan sistem pembayaran online, termasuk PayPal, Apple Pay, dan Google Pay, menurut penelitian baru.

Para peneliti dari Intel 471 menemukan kampanye tersebut telah beroperasi sejak Juni, dalam sebuah laporan yang diterbitkan Rabu.

“Otentikasi dua faktor adalah salah satu cara termudah bagi orang untuk melindungi akun online apa pun,” catat para peneliti dalam posting tersebut. “Jadi, tentu saja para penjahat berusaha menghindari perlindungan itu.”

Pelaku ancaman menggunakan bot dan channel Telegram dan berbagai taktik untuk mendapatkan informasi akun, termasuk menelepon korban, dan menyamar sebagai bank dan layanan yang sah, kata para peneliti.

Melalui rekayasa sosial, pelaku ancaman juga menipu orang untuk memberi mereka OTP atau kode verifikasi lainnya melalui perangkat seluler, yang kemudian digunakan penjahat untuk melakukan penipuan uang, kata mereka.

Memang, bot Telegram telah menjadi alat populer bagi penjahat dunia maya, yang telah menggunakannya dengan berbagai cara sebagai bagian dari penipuan pengguna. Kampanye serupa ditemukan pada bulan Januari, dijuluki Classiscam, di mana bot dijual sebagai layanan oleh penjahat dunia maya berbahasa Rusia dengan tujuan mencuri uang dan data pembayaran dari korban Eropa. Pelaku ancaman lain telah ditemukan menggunakan bot Telegram dengan cara yang agak unik sebagai perintah-dan-kontrol untuk spyware.

Dalam hal ini, peneliti Intel 471 mengamati dan menganalisis aktivitas kampanye terkait tiga bot—dijuluki SMSRanger, BloodOTPbot, dan SMS Buster.

Selengkapnya: The Threat Post

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

by

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

Alat Spyware Terkenal Ditemukan Bersembunyi Di Bawah Empat Lapisan Obfuscation

by

FinFisher/FinSpy, spyware komersial yang terkenal dan sangat kontroversial yang dijual oleh perusahaan Jerman FinFisher ke negara-bangsa dan penegak hukum untuk tujuan pengawasan, sekarang membungkus dirinya dalam empat lapisan obfuscation dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Para peneliti di perusahaan keamanan Kaspersky yang berbasis di Moskow membutuhkan waktu delapan bulan untuk melakukan reverse engineering dan analisis penuh untuk mengungkap versi baru spyware yang sangat tersembunyi ini untuk Windows, Mac OS, dan Linux.

Selain metode obfuscation empat lapis, spyware juga sekarang menggunakan bootkit UEFI (Unified Extensible Firmware Interface) untuk menginfeksi targetnya, dan juga mengenkripsi malware dalam memori, menurut para peneliti. Penelitian tim Kaspersky dimulai pada 2019, dan mereka akhirnya membagikan temuan mereka di KTT Analis Keamanan online Kaspersky.

Para peneliti sebelumnya telah menemukan installer berbahaya untuk TeamViewer, VLC Media Player, dan WinRAR yang tidak memiliki tautan ke malware yang diketahui. Tetapi ketika mereka menemukan situs web berbahasa Burma dengan installer yang sama, serta sampel FinFisher untuk Android, mereka berputar kembali ke installer sebelumnya dan menghubungkan titik-titik ke FinFisher/FinSpy.

Bagaimana FinSpy masuk ke mesin korban yang diteliti oleh para peneliti tidak diketahui, tetapi mungkin saja penyerang memiliki akses fisik atau mencuri kredensial administratif.

Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global (GReAT) Kaspersky mengatakan para korban entah bagaimana mengunduh dan secara tidak sengaja menginstal malware tahap pertama.

Selengkapnya: Dark Reading

Penyerang SolarWinds Menyerang Server Active Directory dengan FoggyWeb Backdoor

by

Pelaku ancaman di balik serangan rantai pasokan SolarWinds yang terkenal telah mengirimkan malware baru untuk mencuri data dan mempertahankan kegigihan di jaringan korban, menurut temuan para peneliti.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) telah mengamati APT yang disebut Nobelium menggunakan pintu belakang pasca-eksploitasi yang dijuluki FoggyWeb, untuk menyerang server Active Directory Federation Services (AD FS). AD FS memungkinkan sistem masuk tunggal (SSO) di seluruh aplikasi berbasis cloud di lingkungan Microsoft, dengan berbagi identitas digital dan hak kepemilikan.

Serangan dimulai sejak April, tulis Ramin Nafisi dari MSTIC dalam sebuah posting blog yang diterbitkan hari Senin.

Nobelium menggunakan “beberapa taktik untuk mengejar pencurian kredensial” untuk mendapatkan hak admin ke server AD FS, tulis Nafisi. Kemudian, setelah server disusupi, kelompok ancaman menyebarkan FoggyWeb “untuk mengekstrak dari jarak jauh database konfigurasi server AD FS yang disusupi, sertifikat penandatanganan token yang didekripsi, dan sertifikat token-dekripsi,” katanya, yang dapat digunakan untuk menembus akun cloud pengguna.

Selain mengekstrak data sensitif dari jarak jauh, FoggyWeb juga mencapai persistence dan berkomunikasi dengan server perintah-dan-kontrol (C2) untuk menerima komponen berbahaya tambahan dan menjalankannya, tambah Nafisi.

Microsoft telah memberi tahu semua pelanggan yang diamati menjadi sasaran atau disusupi oleh FoggyWeb, serta menyertakan daftar lengkap indikator kompromi pada posting blog nya. Perusahaan juga telah merekomendasikan beberapa tindakan mitigasi untuk organisasi, termasuk: Audit infrastruktur lokal dan cloud untuk mengidentifikasi perubahan apa pun yang mungkin telah dilakukan aktor untuk mempertahankan akses; menghapus akses pengguna dan aplikasi, meninjau masing-masing konfigurasi, dan menerbitkan kembali kredensial baru yang kuat; dan menggunakan modul keamanan perangkat keras untuk mencegah eksfiltrasi data sensitif.

Microsoft juga menyarankan agar semua pelanggan meninjau konfigurasi Server AD FS mereka dan menerapkan perubahan apa pun yang diperlukan untuk mengamankan sistem dari serangan.

Selengkapnya: The Threat Post