Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

by

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Pandemi Berikutnya Akan Menjadi Digital, dan Sudah Dimulai. Yang Perlu Anda Ketahui Tentang Meningkatnya Ancaman Ransomware

by

Selama liburan akhir pekan, REvil, grup peretas yang terkait dengan Rusia, tampaknya menargetkan setidaknya 20 penyedia layanan terkelola, yang menyediakan layanan keamanan jaringan TI dan backend untuk bisnis kecil dan menengah.

Itu adalah kelompok yang sama yang dikreditkan dengan serangan terhadap salah satu perusahaan pengepakan daging terbesar di A.S. Berita itu muncul setelah kelompok lain menutup pipa Kolonial awal tahun ini, menyebabkan gangguan di seluruh Pantai Timur.

Serangan Ransomware melibatkan peretas yang memasang perangkat lunak di jaringan yang mencegah pemiliknya mengakses perangkat atau data mereka. Pada dasarnya, mereka menculik bisnis Anda dan menuntut pembayaran uang tebusan sebagai imbalan untuk melepaskan jaringan Anda.

Meskipun hampir tidak mungkin untuk menghilangkan semua risiko ransomware, ada beberapa hal yang dapat Anda lakukan untuk membuat jaringan Anda menjadi target yang kurang diinginkan. Biasanya, penyerang mencari target bernilai tinggi dengan kerentanan yang mudah dieksploitasi.

Offline Backups

Salah satu alat paling sederhana dan paling efektif melawan ransomware adalah mencadangkan sistem Anda secara lokal secara teratur. Cadangan tersebut kemudian harus disimpan secara offline sehingga tidak dapat menjadi sasaran ransomware.

Batasi Izin

Umumnya, pakar keamanan merekomendasikan bahwa pengguna tertentu hanya memiliki tingkat hak minimum yang diperlukan untuk pekerjaan mereka. Dalam banyak kasus, perangkat lunak berbahaya tidak dapat mengambil alih komputer jika akun pengguna tidak memiliki kemampuan untuk membuat perubahan di tingkat root.

Selalu Perbarui Perangkat Lunak

Meskipun kita telah melihat contoh di mana kode berbahaya bersembunyi di perangkat lunak yang sah, secara umum, Anda lebih aman jika terus memperbarui sistem Anda secara teratur. Itu berarti baik dari segi patch keamanan untuk sistem operasi Anda, serta perangkat lunak antivirus yang dapat mengisolasi dan menghapus malware.

Jangan Klik Tautan Tidak Dikenal

Terakhir, jangan pernah mengklik tautan di email atau pesan teks yang bukan dari sumber tepercaya. Peretas menjadi jauh lebih canggih, artinya Anda harus semakin berhati-hati setiap kali membuka email, tetapi sebagai aturan umum, jika Anda tidak mengharapkan dikirimi sesuatu untuk diunduh dan dipasang, jangan klik tautannya.

Selengkapnya: INC

Penyerang Mempercepat Serangan Ransomware di Jaringan ICS

by

Serangan Ransomware berkembang pesat untuk menargetkan titik akhir Sistem Kontrol Industri (ICS) di seluruh dunia dengan peningkatan aktivitas yang signifikan selama setahun terakhir. Sebuah laporan oleh peneliti keamanan siber di Trend Micro menyoroti tren dominan ini.

Jaringan ICS yang mendukung utilitas penting, seperti air dan listrik, harus beroperasi penuh untuk menyediakan layanan. Semakin lama jaringan tersebut tidak aktif, semakin banyak gangguan yang ditimbulkannya.

Menurut laporan tersebut, serangan ransomware baru-baru ini hanya bermotivasi finansial karena menyerang jaringan ICS di pabrik operasional dan lingkungan manufaktur memiliki peluang tinggi untuk dibayar dengan cepat. Penjahat dunia maya menggunakan beberapa jenis ransomware yang berbeda yang menargetkan ICS. Namun, empat keluarga ransomware (Ryuk, Nefilm, Revil, dan LockBit) bertanggung jawab atas lebih dari setengah serangan ini.

Menurut laporan tersebut, AS adalah salah satu negara yang paling ditargetkan dengan kasus ransomware terbanyak yang memengaruhi ICS. Negara lain yang terkena dampak termasuk India, Taiwan, dan Spanyol.

Beberapa serangan ransomware telah diamati akhir-akhir ini yang menargetkan industri besar. Gangguan seperti itu pada sistem OT dan ICS di industri besar telah menyebabkan hasil yang parah dan kehilangan uang dalam jumlah besar.

Serangan ransomware DarkSide baru-baru ini di Colonial Pipeline menunjukkan bagaimana serangan ransomware terhadap target industri dapat memiliki konsekuensi yang sangat berbahaya bagi seluruh negara.

ICS, yang digunakan dalam infrastruktur kritis nasional, manufaktur, dan fasilitas lainnya, telah menjadi sasaran empuk bagi penyerang karena banyak dari sistem ini masih menjalankan versi OS yang lebih lama dan aplikasi yang belum ditambal. Oleh karena itu, lebih banyak yang perlu dilakukan untuk melindungi jaringan di fasilitas industri dari ancaman yang berkembang seperti itu.

Selengkapnya: Cyware

Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

by

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software

Interpol Tangkap Peretas Maroko yang Terlibat dalam Aktivitas Siber

by

Otoritas penegak hukum dengan Interpol telah menangkap aktor ancaman yang bertanggung jawab untuk menargetkan ribuan korban tanpa disadari selama beberapa tahun dan melakukan serangan malware pada perusahaan telekomunikasi, bank besar, dan perusahaan multinasional di Prancis sebagai bagian dari skema penipuan kartu kredit dan phishing global.

Investigasi dua tahun, dijuluki Operasi Lyrebird oleh organisasi internasional antar pemerintah, mengakibatkan penangkapan seorang warga negara Maroko yang dijuluki Dr HeX, perusahaan keamanan siber Group-IB mengungkapkan hari ini dalam sebuah laporan yang dibagikan kepada The Hacker News.

Dr HeX dikatakan telah “aktif setidaknya sejak 2009 dan bertanggung jawab atas sejumlah kejahatan dunia maya, termasuk phishing, deface, pengembangan malware, penipuan, dan carding yang mengakibatkan ribuan korban yang tidak curiga,” kata perusahaan keamanan siber itu.

Serangan dunia maya melibatkan penyebaran kit phishing yang terdiri dari halaman web yang memalsukan entitas perbankan di negara tersebut, diikuti dengan mengirim email massal yang meniru perusahaan yang ditargetkan, mendorong penerima email untuk memasukkan informasi login di situs web jahat.

Kredensial yang dimasukkan oleh korban yang tidak menaruh curiga di halaman web palsu kemudian diarahkan ke email pelaku. Setidaknya tiga kit phishing berbeda yang mungkin dikembangkan oleh aktor ancaman telah diekstraksi.

Selain itu, Group-IB juga dapat memetakan alamat email ke infrastruktur jahat yang digunakan oleh terdakwa dalam berbagai kampanye phishing, yang mencakup sebanyak lima alamat email, enam nama panggilan, dan akunnya di Skype, Facebook, Instagram dan YouTube.

Selengkapnya: The Hacker News

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

by

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

by

Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, dengan operator yang berbasis di Rusia – dijuluki “Wizard Spider” – dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Selengkapnya: The Hacker News

Pelajaran sejarah tentang security logging, dari syslogd hingga XDR

by

Ruang manajemen log dan manajemen informasi keamanan (SIEM) telah melalui sejumlah tahapan untuk sampai pada posisinya saat ini.

Yang menarik adalah bahwa kita memulai perjalanan dengan kasus penggunaan manajemen log yang berubah menjadi seluruh pasar, awalnya disebut pasar SIM, tetapi kemudian secara resmi diubah namanya menjadi informasi keamanan dan manajemen event (SIEM).

Setelah itu kita memasuki fase di mana data besar menjadi topik hangat dan pelanggan mulai mempermainkan ide untuk membangun solusi logging mereka sendiri. Umumnya tidak dengan hasil terbaik. Tapi itu tidak mencegah beberapa gerakan open source memasuki peta, yang sebagian besar sudah ‘mati’ hari ini. Tapi apa yang terjadi setelah itu bahkan lebih menarik.

Seluruh ruang mulai pecah menjadi beberapa ruang baru. Pertama adalah produk yang menyebut diri mereka analitik perilaku pengguna dan entitas (UEBA), kemudian SOAR, dan yang terbaru adalah XDR. Semuanya benar-benar bukan cabang dari SIEM.

Yang paling menarik adalah bahwa pasar UEBA yang berdiri sendiri hampir mati dan begitu juga pasar SOAR. Semua perusahaan terintegrasi (diakuisisi) ke dalam platform SIEM yang ada atau menambahkan SIEM sebagai kasus penggunaan tambahan ke platform mereka sendiri.

XDR telah menjadi perkembangan terbaru dan mungkin yang paling aneh dari semuanya. Beberapa vendor mencoba memasarkannya sebagai EDR++ dengan menambahkan beberapa data jaringan. Yang lain pada dasarnya menggunakan SIEM, tetapi membatasinya ke sumber data yang lebih sedikit dan serangkaian kasus penggunaan yang lebih fokus.

Meskipun itu bagus untuk pengguna akhir yang ingin menyelesaikan kasus penggunaan tersebut dengan memberi mereka pengalaman yang lebih baik, itu benar-benar tidak jauh berbeda dari apa yang dibuat untuk dilakukan oleh SIEM asli.

Selengkapnya: Venturebeat