Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kampanye phishing pintar menargetkan pengguna Office 365

by

Microsoft memperingatkan tentang kampanye phishing “lebih licik dari biasanya” yang sedang berlangsung yang ditujukan untuk pengguna Office 365.

Para phisher menggunakan berbagai tema sebagai umpan, dan email dikirim dari alamat email dari berbagai domain tingkat atas.

Alamat pengirim mengandung variasi kata “referral” – misalnya zreffertalt.com.com, refferal.net, irefferal.com, dan sejenisnya. Email dibuat agar terlihat seperti mengarah ke dokumen bersama yang disimpan di Microsoft SharePoint, platform kolaboratif berbasis web yang terintegrasi dengan Microsoft Office, dan menyertakan branding Microsoft.

Dokumen palsu itu konon laporan staf, “perubahan buku harga”, berisi informasi tentang bonus, dan sebagainya. Tetapi mengklik tautan akan membawa pengguna ke halaman phishing bertema Office 365.

“Email berisi dua URL yang memiliki header HTTP yang salah. URL phishing utama adalah sumber daya penyimpanan Google yang mengarah ke domain AppSpot yang mengharuskan pengguna untuk masuk sebelum akhirnya menyajikan domain Konten Pengguna Google lainnya dengan halaman phishing Office 365,” kata Microsoft.

“URL kedua terletak di dalam pengaturan notifikasi dan mengarah ke situs SharePoint yang disusupi yang digunakan penyerang untuk menambahkan legitimasi serangan. Kedua URL memerlukan masuk untuk melanjutkan ke halaman terakhir, melewati banyak kotak pasir.”

Selengkapnya: Help Net Security

BazarCaller – geng malware yang membujuk Anda untuk menginfeksi diri sendiri

by

Seperti yang mungkin Anda ketahui, ada dunia penipuan hybrid yang menarik yang menggabungkan penipuan berbasis email dan berbasis telepon.

Penipu dukungan teknis – orang-orang rendahan yang menemukan virus palsu di komputer Anda dan kemudian menagih Anda uang sungguhan karena berpura-pura menghapusnya – telah melakukan ini selama bertahun-tahun.

Mereka tahu bahwa calon korban telah diajari “untuk tidak mengklik” dan “berhati-hati terhadap tautan popup yang cerdik”, begitu banyak penipuan akhir-akhir ini mengundang Anda untuk menelepon nomor telepon lokal alih-alih mengklik tautan atau membuka lampiran.

Pada April 2021, Naked Security by Sophos memperingatkan kru malware yang menggunakan trik serupa untuk membujuk Anda agar menginfeksi diri sendiri dengan malware mereka, yang dikenal sebagai BazarLoader (juga dikenal sebagai BazaLoader), sehingga memberi mereka pijakan di komputer Anda untuk memasang hampir semua jenis serangan siber mereka inginkan.

Daripada memutuskan terlebih dahulu apakah mereka akan menyerang Anda dengan keylogger, pencuri data, atau serangan ransomware, penjahat yang berbicara dengan Anda di telepon membantu menjelaskan cara membuka file Office jebakan yang mereka kirimkan kepada Anda.

Dengan menipu Anda agar melewati pemeriksaan keamanan yang seharusnya membuat Anda tetap aman, mereka menanamkan bot atau program zombie ke komputer Anda yang dapat:

  • Mengunduh dan menjalankan program lain
  • Mengunduh dan menjalankan DLL
  • Mengunduh dan menjalankan file batch atau skrip PowerShell
  • Menghapus dirinya sendiri dari disk dan keluar

Selengkapnya: Naked Security

LockBit ransomware merekrut orang dalam untuk menembus jaringan perusahaan

by

Geng ransomware LockBit 2.0 secara aktif merekrut orang dalam perusahaan untuk membantu mereka menembus dan mengenkripsi jaringan. Sebagai imbalannya, orang dalam itu dijanjikan pembayaran jutaan dolar.

Banyak geng ransomware beroperasi sebagai Ransomware-as-a-Service, yang terdiri dari kelompok inti pengembang, yang memelihara ransomware dan situs pembayaran, dan merekrut afiliasi yang melanggar jaringan korban dan mengenkripsi perangkat.

Setiap pembayaran tebusan yang dilakukan korban kemudian dibagi antara kelompok inti dan afiliasi, dengan afiliasi biasanya menerima 70-80% dari jumlah total.

Dengan LockBit 2.0, geng ransomware mencoba menghapus perantara dan merekrut orang dalam untuk memberi mereka akses ke jaringan perusahaan.

Pada bulan Juni, operasi ransomware LockBit mengumumkan peluncuran ransomware-as-a-service LockBit 2.0 baru mereka.

Peluncuran ulang ini mencakup situs Tor yang didesain ulang dan berbagai fitur lanjutan, termasuk mengenkripsi perangkat secara otomatis di jaringan melalui kebijakan grup.

Dengan peluncuran ulang ini, LockBit juga telah mengubah wallpaper Windows yang ditempatkan pada perangkat terenkripsi untuk menawarkan “jutaan dolar” bagi orang dalam perusahaan yang menyediakan akses ke jaringan tempat mereka memiliki akun.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Spyware Cina Baru Digunakan dalam Serangan Spionase Siber yang Meluas

by

Seorang aktor ancaman yang diduga berasal dari China telah dikaitkan dengan serangkaian 10 serangan yang menargetkan Mongolia, Rusia, Belarusia, Kanada, dan AS dari Januari hingga Juli 2021 yang melibatkan penyebaran trojan akses jarak jauh (RAT) pada sistem yang terinfeksi, menurut penelitian baru.

Intrusi telah dikaitkan dengan ancaman persisten canggih bernama APT31 (FireEye), yang dilacak oleh komunitas keamanan siber sebagai moniker Zirkonium (Microsoft), Judgment Panda (CrowdStrike), dan Bronze Vinewood (Secureworks).

Kelompok tersebut adalah “aktor spionase cyber China-nexus yang berfokus pada perolehan informasi yang dapat memberikan keuntungan politik, ekonomi, dan militer kepada pemerintah China dan perusahaan milik negara,” menurut FireEye.

Positive Technologies, dalam sebuah tulisan yang diterbitkan Selasa, mengungkapkan dropper malware baru yang digunakan untuk memfasilitasi serangan, termasuk pengambilan muatan terenkripsi tahap berikutnya dari server perintah-dan-kontrol jarak jauh, yang kemudian didekodekan untuk mengeksekusi pintu belakang.

Kode berbahaya hadir dengan kapasitas untuk mengunduh malware lain, yang berpotensi menempatkan korban yang terkena dampak pada risiko lebih lanjut, serta melakukan operasi file, mengekstrak data sensitif, dan bahkan menghapus dirinya sendiri dari mesin yang disusupi.

Juga patut dicatat bahwa kesamaan malware dengan trojan bernama DropboxAES RAT yang digunakan oleh kelompok ancaman yang sama tahun lalu dan mengandalkan Dropbox untuk komunikasi command-and-control (C2), dengan banyak tumpang tindih yang ditemukan di teknik dan mekanisme yang digunakan untuk menyuntikkan kode serangan, mendaptkan persistence, dan mekanisme yang digunakan untuk menghapus alat spionase.

Selengkapnya: The Hacker News

Serangan phishing WeTransfer baru memalsukan berbagi file untuk mencuri kredensial

by

Menurut laporan dari Armorblox, penjahat dunia maya memalsukan sistem hosting file WeTransfer untuk melakukan serangan phishing kredensial di mana email palsu mengarah ke halaman phishing yang menampilkan branding Microsoft Excel.

Tujuan utama serangan ini adalah untuk mengambil kredensial email Office 365 korban. Perlu dicatat bahwa WeTransfer digunakan untuk berbagi file yang terlalu besar untuk dikirim melalui email.

Email phishing tampaknya dikirim oleh WeTransfer karena menggunakan nama pengirim Wetransfer dan memiliki judul Lihat File yang Dikirim Melalui WeTransfer.

Kesamaannya cukup untuk tampil sebagai email WeTransfer asli dan dapat dengan mudah menipu pengguna yang tidak menaruh curiga. Badan email juga membuat beberapa referensi ke organisasi target agar tampak sah.

Berbagai teknik telah digunakan untuk menghindari filter keamanan email konvensional dan memikat pengguna yang tidak curiga. Ini termasuk rekayasa sosial, karena judul email, konten, dan nama pengirim telah dirancang untuk menciptakan rasa “kepercayaan dan urgensi pada para korban,” tulis Mark Royall dari Armorblox dalam sebuah posting blog.

Teknik lain yang digunakan dalam kampanye ini adalah peniruan identitas brand. Gaya HTML email sangat mirip dengan WeTransfer, dan halaman phishing telah dirancang untuk muncul sebagai halaman login Microsoft Excel yang sah. Satu-satunya hal yang membuatnya tampak mencurigakan adalah Microsoft dieja sebagai MicroSoft.

Selengkapnya: Hackread

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer

Rekayasa sosial berjalan otomatis: bot robocall baru di Telegram dapat menipu Anda untuk memberikan kata sandi Anda

by

Saat ini, scammers tampaknya memiliki pekerjaan yang cocok untuk mereka karena jenis bot-for-hire baru mengambil alih dunia rekayasa sosial.

OTP Bot adalah jenis baru Telegram bot jahat yang dirancang untuk merobohkan korban yang tidak menaruh curiga dan menipu mereka agar memberikan kata sandi satu kali (OTP), yang kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank mereka. Lebih buruk lagi, basis pengguna bot model baru yang berkembang ini telah tumbuh ribuan dalam beberapa minggu terakhir.

Menurut peneliti CyberNews Martynas Vareikis, OTP Bot adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanan jahat kepada siapa pun yang bersedia membayar.

Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil kata sandi satu kali dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap, langsung ke jendela obrolan Telegram bot. “Bergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman, informasi tambahan ini dapat mencakup sesedikit alamat email korban,” kata Vareikis.

Bot itu sendiri dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada penjahat. Sementara itu, para penggunanya secara terbuka memamerkan keuntungan lima digit mereka dari menggeledah rekening bank target mereka.

Teknik penipuan paling populer yang digunakan oleh pelanggan Bot OTP disebut ‘penautan kartu’. Ini termasuk menghubungkan kartu kredit korban ke akun aplikasi pembayaran seluler mereka, dan kemudian menggunakannya untuk membeli kartu hadiah di toko fisik.

Selengkapnya: Cyber News

DeadRinger: APT China menyerang perusahaan telekomunikasi besar

by

Para peneliti telah mengungkapkan tiga kampanye spionase siber yang berfokus pada kompromi jaringan milik perusahaan telekomunikasi besar.

Pada hari Selasa, Cybereason Nocturnus menerbitkan laporan baru tentang penyerang cyber, diyakini bekerja untuk “kepentingan negara China” dan dikelompokkan dengan nama “DeadRinger.”

Menurut perusahaan keamanan siber tersebut, kampanye “yang sebelumnya tidak teridentifikasi” berpusat di Asia Tenggara — dan dengan cara yang mirip dengan bagaimana penyerang mengamankan akses ke korban mereka melalui vendor terpusat dalam kasus SolarWinds dan Kaseya, grup ini menargetkan perusahaan telekomunikasi.

Cybereason percaya serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan sponsor negara Tiongkok karena tumpang tindih dalam taktik dan teknik dengan APT Tiongkok lainnya yang diketahui.

Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan Microsoft Exchange Server — jauh sebelum dipublikasikan — penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial, pembuatan suar Cobalt Strike, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.

Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok pusat lain.

Selengkapnya: ZDNet