Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Ransomware REvil tutup lagi setelah situs Tor dibajak

by

Operasi ransomware REvil kemungkinan telah ditutup sekali lagi setelah orang tak dikenal membajak portal pembayaran Tor dan blog kebocoran data mereka.

Situs Tor offline, dengan aktor ancaman yang berafiliasi dengan operasi REvil memposting ke forum peretasan XSS bahwa seseorang membajak domain geng.

Hal ini pertama kali ditemukan oleh Dmitry Smilyanets dari Recorded Future, dan menyatakan bahwa orang yang tidak dikenal membajak layanan tersembunyi Tor (domain onion) dengan kunci pribadi yang sama dengan situs Tor REvil dan kemungkinan memiliki cadangan situs tersebut.

Aktor ancaman mengatakan bahwa mereka tidak menemukan tanda-tanda kompromi ke server mereka tetapi akan mematikan operasi untuk sementara.

Pelaku ancaman kemudian mengatakan kepada afiliasi untuk menghubunginya untuk mendapatkan kunci dekripsi melalui Tox, kemungkinan agar afiliasi dapat terus memeras korban mereka dan memberikan dekripsi jika uang tebusan dibayarkan.

Untuk meluncurkan layanan tersembunyi Tor (domain .onion), Anda perlu membuat pasangan kunci privat dan publik, yang digunakan untuk menginisialisasi layanan.

Kunci pribadi harus diamankan dan hanya dapat diakses oleh admin tepercaya, karena siapa pun yang memiliki akses ke kunci ini dapat menggunakannya untuk meluncurkan layanan .onion yang sama di server mereka sendiri.

Karena pihak ketiga dapat membajak domain, itu berarti mereka juga memiliki akses ke kunci pribadi layanan tersembunyi.

Malam ini, 0_neday sekali lagi memposting ke topik forum peretasan, tetapi kali ini mengatakan bahwa server mereka telah disusupi dan bahwa siapa pun yang melakukannya menargetkan pelaku ancaman.

Saat ini, tidak diketahui siapa yang mengkompromikan server mereka.

Ketika Bitdefender dan penegak hukum memperoleh akses ke kunci master dekripsi REvil dan merilis dekripsi gratis, beberapa pelaku ancaman percaya bahwa FBI atau penegak hukum lainnya telah memiliki akses ke server sejak itu diluncurkan kembali.

Karena tidak ada yang tahu apa yang terjadi pada Unknown, ada kemungkinan juga pelaku ancaman mencoba untuk mendapatkan kembali kendali atas operasi tersebut.

Selengkapnya: Bleeping Computer

Mantan Analis Keamanan Microsoft Mengklaim Office 365 Sengaja Menghosting Malware Selama Bertahun-tahun

by

Pada hari Jumat, peneliti keamanan siber TheAnalyst menjelaskan di Twitter bagaimana malware BazarLoader mengarah ke ransomware yang dapat sangat memengaruhi industri kesehatan, di antara industri lainnya.

Dia kemudian memanggil Microsoft, menanyakan apakah perusahaan memiliki “tanggung jawab dalam hal ini ketika mereka TAHU bahwa mereka meng-hosting ratusan file yang mengarah ke hal ini,” di samping hal yang tampaknya menjadi file berbahaya yang di-host di OneDrive.

Untuk mendukung ini, mantan analis keamanan Microsoft Kevin Beaumont menjawab, mengatakan bahwa Microsoft tidak dapat menyebut dirinya sebagai pemimpin keamanan karena penyalahgunaan Office365 dan OneDrive terjadi selama bertahun-tahun.

Dia melanjutkan, menjelaskan bahwa menghapus sesuatu dari OneDrive adalah proses mimpi buruk dengan waktu reaksi yang agak lambat, menjadikan Microsoft “hoster malware terbaik di dunia selama sekitar satu dekade, karena O365.”

Namun, ini bukan masalah eksklusif Microsoft atau masalah baru, karena kita juga telah melihat malware yang dihosting di platform lain di masa lalu.

Menurut penelitian oleh Bern University of Applied Sciences, Google dan Cloudflare saat ini berada di antara jaringan hosting malware online teratas. Dengan demikian, seluruh industri teknologi harus lebih baik dalam menemukan konten berbahaya yang dihosting di servernya sebelum mencari masalah di tempat lain.

Bagaimanapun, semoga, insiden ini akan mendorong Microsoft untuk mengambil tindakan tegas yang dapat membantu melindungi jutaan orang dan ribuan organisasi dari serangan malware.

Sumber: Hot Hardware

Wanita Diduga Meretas Sekolah Penerbangan, Mengizinkan Pesawat Dengan Masalah Pemeliharaan untuk Terbang

by

Seorang wanita diduga meretas sistem sekolah pelatihan penerbangan di Florida untuk menghapus dan merusak informasi yang terkait dengan pesawat sekolah. Dalam beberapa kasus, pesawat yang sebelumnya memiliki masalah perawatan telah “diizinkan” untuk terbang, menurut laporan polisi. Peretasan itu, menurut CEO sekolah, bisa membahayakan pilot.

Lauren Lide, 26 tahun yang pernah bekerja di sekolah Pelatihan Penerbangan Melbourne, mengundurkan diri dari posisinya sebagai Manajer Operasi Penerbangan pada akhir November 2019, setelah perusahaan memecat ayahnya. Berbulan-bulan kemudian, dia diduga meretas ke dalam sistem bekas perusahaannya, menghapus dan mengubah catatan, dalam upaya nyata untuk membalas mantan majikannya, menurut catatan pengadilan yang diperoleh dari Motherboard pelaku.

Derek Fallon, CEO Melbourne Flight Training menelepon polisi pada 17 Januari 2020, dan melaporkan bahwa lima hari sebelumnya, dia masuk ke akunnya untuk Flight Circle, aplikasi yang digunakan perusahaannya untuk mengelola dan melacak pesawatnya, dan menemukan bahwa ada informasi yang hilang.

Fallon menemukan bahwa seseorang telah menghapus catatan terkait pesawat dengan masalah perawatan dan pengingat inspeksi semuanya telah dihapus, “artinya pesawat yang mungkin tidak aman untuk terbang sengaja dibuat ‘layak terbang,'” menurut dokumen yang ditulis oleh Polisi Bandara Melbourne petugas.

“Antara waktu data diubah dan diperbaiki, itu adalah situasi yang bisa membahayakan kehidupan manusia,” kata Fallon dalam pernyataan tertulis. Fallon kemudian menghentikan semua penerbangan.

Selengkapnya: Vice

Google memperingatkan lonjakan aktivitas oleh peretas yang didukung negara

by

Google telah memperingatkan lonjakan aktivitas peretas yang didukung pemerintah tahun ini, termasuk serangan dari kelompok Iran yang menargetkan universitas Inggris.

Grup pencari mengatakan bahwa sejauh ini pada tahun 2021 telah mengirim lebih dari 50.000 peringatan kepada pemegang akun bahwa mereka telah menjadi target upaya phishing atau malware yang didukung pemerintah. Ini merupakan peningkatan sepertiga pada periode yang sama tahun lalu, kata Google dalam sebuah blogpost, dengan kenaikan yang dikaitkan dengan “kampanye yang luar biasa besar” oleh kelompok peretasan Rusia yang dikenal sebagai APT28, atau Fancy Bear.

Namun, pos Google berfokus pada kelompok yang terkait dengan Pengawal Revolusi Iran, yang dikenal sebagai APT35, atau Charming Kitten, yang secara teratur melakukan serangan phishing – di mana, misalnya, email digunakan untuk mengelabui seseorang agar menyerahkan informasi sensitif atau memasang malware.

“Ini adalah salah satu kelompok yang kami ganggu selama siklus pemilihan AS 2020 karena menargetkan staf kampanye,” tulis Ajax Bash, dari grup analisis ancaman Google. “Selama bertahun-tahun kelompok ini telah membajak akun, menyebarkan malware, dan menggunakan teknik baru untuk melakukan spionase yang selaras dengan kepentingan pemerintah Iran.”

Dalam satu serangan di awal tahun 2021, APT35 menyerang situs web yang berafiliasi dengan universitas Inggris menggunakan teknik yang telah dicoba dan diuji: mengarahkan pengguna ke halaman web yang disusupi di mana mereka didorong untuk masuk melalui penyedia layanan email mereka – Gmail, Hotmail atau Yahoo misalnya – untuk melihat webinar. Pengguna juga diminta kode otentikasi faktor kedua, yang langsung menuju ke APT35.

Selengkapnya: The Guardian

Kampanye MirrorBlast Baru yang Eksplosif Menargetkan Perusahaan Keuangan

by

Tim Morphisec Labs telah melacak versi baru kampanye yang menargetkan organisasi keuangan. Dijuluki “MirrorBlast” oleh ET Labs, kampanye serangan saat ini yang dilacak tim Labs dimulai pada awal September. Ada kegiatan serupa pada April 2021 juga, tetapi kampanye saat ini dimulai baru-baru ini.

Rantai serangan infeksi memiliki kesamaan dengan taktik, teknik, dan prosedur yang biasa digunakan oleh kelompok ancaman TA505 yang diduga berbasis di Rusia. Kesamaan meluas ke rantai serangan, fungsionalitas GetandGo, muatan akhir, dan kesamaan dalam pola nama domain.

Pada bulan September peneliti mengamati kampanye malspam yang mengirimkan dokumen Excel sebagai lampiran. Kampanye ini menargetkan beberapa sektor dari Kanada, Amerika Serikat, Hong Kong, Eropa, dan banyak lagi.

Rantai serangan dimulai dengan dokumen lampiran email, tetapi pada tahap selanjutnya, itu berubah untuk menggunakan URL proksi umpan Google dengan SharePoint dan umpan OneDrive, yang bertindak sebagai permintaan berbagi file. URL ini mengarah ke SharePoint yang disusupi atau situs OneDrive palsu yang digunakan penyerang untuk menghindari deteksi, selain persyaratan masuk (SharePoint) yang membantu menghindari sandboxing.

MirrorBlast memiliki deteksi yang rendah pada VirusTotal karena makro yang sangat ringan yang tertanam dalam file Excel-nya, membuatnya sangat berbahaya bagi organisasi yang bergantung pada keamanan berbasis deteksi dan sandboxing

Selengkapnya: Security Boulevard

Kampanye phishing DocuSign menargetkan karyawan berpangkat rendah

by

Pelaku phishing mengikuti tren baru yang menargetkan karyawan non-eksekutif tetapi masih memiliki akses ke area berharga dalam suatu organisasi.

Seperti yang dilaporkan oleh peneliti Avanan, setengah dari semua email phishing yang mereka analisis dalam beberapa bulan terakhir menyamar sebagai non-eksekutif, dan 77% di antaranya menargetkan karyawan pada tingkat yang sama.

Sebelumnya, pelaku phishing akan menyamar sebagai CEO dan CFO untuk mengelabui karyawan perusahaan dalam serangan phishing yang ditargetkan.

Ini masuk akal karena mengirim instruksi dan membuat permintaan mendesak sebagai karyawan berpangkat tinggi meningkatkan kemungkinan kepatuhan oleh penerima pesan ini.

Seperti yang dijelaskan Avanan dalam laporannya, trik khas yang digunakan dalam kampanye ini adalah keterlibatan DocuSign, platform penandatanganan dokumen berbasis cloud yang sah.

Aktor menawarkan DocuSign sebagai metode penandatanganan alternatif dalam email yang mereka kirim, dan meminta penerima memasukkan kredensial mereka untuk melihat dokumen dan menandatanganinya.

Meskipun email ini dibuat agar terlihat seperti pesan DocuSign yang sah, mereka tidak dikirim dari platform. Pada email DocuSign asli, pengguna tidak pernah diminta untuk memasukkan kata sandi, melainkan kode otentikasi yang dikirim melalui email ke penerima.

Dalam kesibukan pekerjaan sehari-hari, kemungkinan beberapa karyawan akan tertipu oleh pesan ini dan memperlakukannya sebagai permintaan DocuSign nyata, memasukkan kredensial email mereka dan menyerahkannya kepada pelaku phishing.

Selengkapnya: Bleeping Computer

Ad Blocker Chrome Berbahaya Menyuntikkan Iklan Di Belakang Layar

by

Ekstensi pemblokiran iklan AllBlock Chromium telah ditemukan menyuntikkan tautan afiliasi tersembunyi yang menghasilkan komisi untuk pengembang.

Ekstensi ini masih tersedia di Toko Web Chrome dan mempromosikan dirinya sebagai pemblokir iklan yang berfokus pada YouTube dan Facebook untuk mencegah pop-up dan mempercepat penjelajahan.

Namun, menurut peneliti di Imperva, ekstensi tersebut sebenarnya melakukan kampanye injeksi iklan yang menipu yang menyebabkan URL yang sah dialihkan ke tautan afiliasi yang dikendalikan oleh pengembang ekstensi.

Injeksi iklan adalah proses memasukkan iklan atau tautan ke halaman web yang biasanya tidak menghostingnya, memungkinkan penipu menghasilkan uang dari iklan atau mengarahkan orang ke situs afiliasi untuk mendapatkan komisi.

Skrip injection iklan bahkan menampilkan teknik evasion (pengelakan) seperti mengecualikan mesin pencari Rusia yang besar, membersihkan konsol debug setiap 100 md, dan deteksi aktif variabel Firebug yang diinisialisasi.

Dengan melihat lebih dalam pada AllBlock, tim Imperva menemukan skrip yang mereka cari di “bg.js,” yang menyuntikkan kode ke setiap tab baru yang dibuka di browser.

Pengembang ekstensi telah menambahkan beberapa objek dan variabel yang tidak berbahaya ke dalam cuplikan JavaScript berbahaya dalam upaya untuk mengaburkan eksekusi kode.

Namun, beberapa bukti IP dan domain mengaitkan ekstensi ini dengan kampanye Pbot, yang telah aktif setidaknya sejak 2018.

Selengkapnya: Bleeping Computer

Ransomware Yanluowang Baru Digunakan Dalam Serangan Perusahaan Yang Ditargetkan

by

Jenis ransomware baru dan masih dalam pengembangan sedang digunakan dalam serangan yang sangat bertarget terhadap entitas perusahaan seperti yang ditemukan oleh Tim Pemburu Ancaman Symantec dari Broadcom.

Malware, dijuluki Yanluowang ransomware (setelah dewa Cina Yanluo Wang, salah satu dari sepuluh raja neraka) berdasarkan ekstensi yang ditambahkan ke file terenkripsi pada sistem yang disusupi.

Baru-baru ini terlihat saat menyelidiki insiden yang melibatkan organisasi terkenal setelah mendeteksi aktivitas mencurigakan yang melibatkan alat kueri Active Directory baris perintah AdFind yang sah.

AdFind biasanya digunakan oleh operator ransomware untuk tugas pengintaian termasuk mendapatkan akses ke informasi yang diperlukan untuk pergerakan lateral melalui jaringan korban mereka.

Dalam beberapa hari setelah para peneliti menemukan penggunaan AdFind yang mencurigakan, para penyerang juga berusaha untuk menyebarkan muatan ransomware Yanluowang mereka di seluruh sistem organisasi yang dilanggar.

Setelah digunakan, Yanluowang akan menghentikan mesin virtual hypervisor, mengakhiri semua proses yang diambil oleh alat pendahulu (termasuk SQL dan Veeam), mengenkripsi file dan menambahkan ekstensi .yanluowang.

Pada sistem yang terenkripsi, Yanluowang juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korbannya untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

“Jika aturan penyerang dilanggar, operator ransomware mengatakan mereka akan melakukan serangan distributed denial of service (DDoS) terhadap korban, serta melakukan ‘panggilan ke karyawan dan mitra bisnis’,” tambah peneliti Broadcom.

Indikator kompromi termasuk hash malware dapat ditemukan di akhir laporan Symantec Threat Hunter Team.

Meskipun dalam pengembangan, Yanluowang masih merupakan malware berbahaya mengingat ransomware adalah salah satu ancaman terbesar yang dihadapi organisasi di seluruh dunia.

Selengkapnya: Bleeping Computer