Cybersecurity

Fasilitas Riset Terkena Ransomware Setelah Siswa Menginstal Software Bajakan

May 7, 2021 by Winnie the Pooh

Berhati-hatilah saat menggunakan software bajakan. Seorang siswa di sebuah lembaga penelitian bio-molekuler yang tidak disebutkan namanya di Eropa secara tidak sengaja membuka pintu untuk serangan ransomware pada organisasi tersebut setelah menginstal sebuah perangkat lunak yang sudah di “crack”, menurut firma keamanan Sophos.

Lembaga penelitian telah melakukan penelitian COVID-19 dan memiliki kemitraan erat dengan universitas lokal, memungkinkan mahasiswa untuk terhubung ke jaringan internal fasilitas melalui klien akses jarak jauh dari Citrix. Sayangnya, seorang siswa dengan akses ke jaringan mengunduh perangkat lunak bajakan, yang membantu mengekspos fasilitas penelitian ke serangan itu.

Menurut Sophos, siswa yang tidak disebutkan namanya itu “menginginkan salinan pribadi dari perangkat lunak visualisasi data yang telah mereka gunakan untuk bekerja”. Namun, satu lisensi untuk perangkat lunak dapat menghabiskan biaya ratusan dolar per tahun. Hasilnya, siswa tersebut mencari versi “crack” dari produk perangkat lunak untuk digunakan pada laptop Windows.

“Namun, file tersebut sebenarnya adalah malware murni dan upaya penginstalan segera memicu peringatan keamanan dari Windows Defender”, kata Sophos.

Tiga belas hari setelah perangkat lunak bajakan dipasang, sambungan protokol desktop jarak jauh yang misterius dibuat ke lembaga penelitian menggunakan kredensial masuk siswa. “Sepuluh hari setelah koneksi ini dibuat, ransomware Ryuk diluncurkan,” tambah Sophos.

Selengkapnya: PCmag

Penyebaran Crypto-Stealer Baru bernama ‘Panda’ melalui Discord

May 6, 2021 by Winnie the Pooh

Pencuri informasi baru lainnya – Panda Stealer – sedang disebarkan melalui kampanye spam di seluruh dunia.

Pada hari Selasa, peneliti Trend Micro mengatakan bahwa mereka pertama kali melihat pencuri baru pada bulan April. Gelombang terbaru kampanye spam memiliki dampak terbesar di Australia, Jerman, Jepang, dan AS.

Email spam menyamar sebagai permintaan kutipan bisnis untuk memikat korban agar mengklik file Excel yang berbahaya. Para peneliti menemukan 264 file yang mirip dengan Panda Stealer di VirusTotal, dengan beberapa di antaranya dibagikan oleh pelaku ancaman di Discord.

Namun, pelaku ancaman juga dapat menggunakan Discord untuk berbagi build Panda Stealer satu sama lain, kata Trend Micro.

Setelah Panda merasa nyaman, ia mencoba untuk meningkatkan detail seperti private keys dan transaksi sebelumnya dari dompet cryptocurrency, termasuk Bytecoin (BCN), Dash (DASH), Ethereum (ETH) dan Litecoin (LTC).

Selain mencuri dompet, ia juga dapat mengambil kredensial dari aplikasi, termasuk NordVPN, Telegram, Discord, dan Steam. Panda juga dapat mengambil tangkapan layar dari komputer yang terinfeksi dan menghapus data dari peramban, termasuk cookies dan kata sandi.

Panda Stealer adalah tweak dari malware Collector Stealer, juga dikenal sebagai DC Stealer, yang telah ditemukan dijual di forum bawah tanah dan melalui Telegram hanya dengan $ 12.

Selengkapnya: Threat Post

Aplikasi Office 365 yang Berbahaya Adalah Orang Dalam Terbaik

May 6, 2021 by Winnie the Pooh

Penipu yang menargetkan pengguna Microsoft Office 365 semakin beralih ke tautan khusus yang mengarahkan pengguna ke halaman masuk email organisasi mereka sendiri. Setelah pengguna masuk, tautan tersebut meminta mereka untuk memasang aplikasi berbahaya yang memberi penyerang akses yang terus-menerus dan bebas kata sandi ke email dan file pengguna mana pun, yang keduanya kemudian dijarah untuk meluncurkan malware dan penipuan phishing melawan orang lain.

Serangan ini dimulai dengan tautan email yang ketika diklik memuat bukan situs phishing tetapi halaman masuk Office 365 pengguna yang sebenarnya – baik itu di microsoft.com atau domain perusahaan mereka. Setelah masuk, pengguna mungkin melihat prompt yang terlihat seperti ini:

Aplikasi berbahaya ini memungkinkan penyerang untuk melewati otentikasi multi-faktor, karena mereka disetujui oleh pengguna setelah pengguna tersebut telah masuk. Selain itu, aplikasi akan tetap ada di akun Office 365 pengguna tanpa batas waktu hingga dihapus, dan akan bertahan bahkan setelah akun melakukan reset kata sandi.

Minggu ini, vendor keamanan pesan Proofpoint menerbitkan beberapa data baru saat muncul aplikasi Office 365 yang berbahaya ini, mencatat bahwa persentase tinggi pengguna Office akan jatuh ke skema ini.

Ryan Kalember, wakil presiden eksekutif strategi keamanan siber Proofpoint, mengatakan 55 persen pelanggan perusahaan telah menghadapi serangan aplikasi berbahaya ini pada satu titik atau lainnya.

Selengkapnya: Krebs On Security

Bagaimana Penyerang Menggunakan Akun yang Disusupi untuk Membuat dan Mendistribusikan Aplikasi OAuth Berbahaya

May 6, 2021 by Winnie the Pooh

Open authorization atau aplikasi “OAuth” menambahkan fitur bisnis dan peningkatan antarmuka pengguna ke platform cloud utama seperti Microsoft 365 dan Google Workspace. Sayangnya, mereka juga merupakan vektor ancaman baru karena semakin banyak pelaku kejahatan yang menggunakan aplikasi OAuth 2.0 berbahaya (atau malware cloud) untuk menyedot data dan mengakses informasi sensitif.

Proofpoint telah mengamati banyak bentuk serangan phishing token OAuth dan penyalahgunaan aplikasi OAuth, yang ideal bagi penyerang untuk melakukan pengintaian, meluncurkan serangan antar karyawan, dan mencuri file serta email dari platform cloud.

Serangan aplikasi berbahaya sering kali menargetkan akun wakil presiden, pengelola akun, perwakilan sumber daya manusia, dan kepala bagian keuangan — jenis pengguna yang memiliki akses ke data yang sangat sensitif. Jika berhasil, penyerang mendapatkan akses persisten dan independen ke email (termasuk membaca, menulis, mengirim, dan mengatur aturan kotak surat), file, kontak, catatan, obrolan Microsoft Teams, dan lainnya. Dalam beberapa kasus, mereka mengalihkan pengguna ke situs phishing setelah pengguna menyetujui aplikasi tersebut.

Penyerang pertama-tama akan membuat kode berbahaya mereka dan menyimpannya di server web, yang dapat diakses melalui URL (URL aplikasi berbahaya). Setelah menyusupi akun cloud target, penyerang kemudian membuat aplikasi di bagian “pendaftaran aplikasi” di portal Azure, menandai aplikasi tersebut sebagai “aplikasi multi-tenant” dengan pengaturan “web”, menambahkan URL berbahaya dari kode mereka ke aplikasi. Karena kode berbahaya memerlukan izin akses ke sumber daya, penyerang menambahkan izin yang relevan pada halaman aplikasi, di bawah tab “Izin API”.

Selengkapnya: ProofPoint

Report: Q1 2021 Serangan DDoS dan insiden BGP

May 6, 2021 by Winnie the Pooh

Tahun 2021 dimulai dengan catatan tinggi bagi Qrator Labs: pada 19 Januari, perusahaan mereka merayakan hari jadinya yang ke-10. Tak lama kemudian, pada bulan Februari, jaringan perusahaan memitigasi serangan DDoS 750 Gbps yang cukup mengesankan berdasarkan amplifikasi DNS lama dan terkenal.

Selain itu, ada aliran insiden BGP yang konstan; beberapa menjadi anomali perutean global. Qrator Labs mulai melaporkannya di akun Twitter mereka yang baru dibuat untuk Qrator.Radar.

Namun demikian, dengan berakhirnya kuartal pertama tahun ini, kita dapat melihat lebih dekat statistik serangan DDoS dan insiden BGP untuk Januari – Maret 2021.

Vektor serangan DDoS 3 teratas pada Q1 2021 adalah IP flood, tercatat 35,31% dari semua serangan; UDP flood sebesar 18,25%; dan SYN flood bertanggung jawab atas 13,74% dari serangan Q1.

Vektor-vektor terpisah tersebut sekarang hanya sebagian kecil, dalam hal statistik serangan, dari kombinasi campuran pertama: IP flood + UDP flood, yang pada Q1 menghasilkan 11,37% dan menempati posisi keempat, secara efektif mengalahkan TCP flood dalam statistik mereka.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Qrator Labs

Ini adalah Dunia Teknologi Operasional, dan Penyerang Tinggal di dalamnya

May 6, 2021 by Winnie the Pooh

Pada April 2021, pemerintah AS mengumumkan upaya baru untuk melindungi sistem kontrol industri (ICS) dari serangan siber.

Bagi komunitas keamanan siber, pengumuman tersebut mungkin tidak mengejutkan. Kerentanan dalam infrastruktur kritis seperti ICS dan teknologi operasional (OT) yang menjalankannya telah sering menjadi berita utama.

Dari ancaman sistem air publik hingga penelitian hingga undang-undang yang diusulkan, keamanan ICS tetap menjadi masalah utama di sektor publik dan swasta. Jika OT yang menjalankan sistem infrastruktur kritis dikompromikan, hal itu bisa menimbulkan konsekuensi yang menghancurkan.

Jaringan listrik dan pipa dianggap sebagai sistem OT di dalam lingkungan ICS. Beberapa ahli berpendapat bahwa brankas bank, teknologi penyortiran mesin, ban berjalan dan pemanas otomatis, sistem ventilasi dan pendingin udara juga merupakan OT. Mereka disebut infrastruktur penting karena suatu alasan.

Teknologi operasional adalah tulang punggung dari proses global yang menjalankan kehidupan kita sehari-hari, itulah mengapa memahami ancaman terhadapnya dan kerentanan yang mengeksposnya sangat penting.

Salah satu presentasi unggulan di konferensi virtual IBM Think 2021 pada 11 dan 12 Mei, yang disampaikan oleh Wakil Presiden Keamanan Teknologi Operasi Marty Edwards dan Kepala Teknologi Peretasan X-Force Red Steve Ocepek, akan membahas lanskap ancaman lingkungan OT.

Sebagai pendahulu dari pembicaraan mereka, Security Intelligence mewawancarai Edwards dan Ocepek tentang keamanan OT, berbagai jalur serangan terhadap OT, kerentanan yang memungkinkan penyerang berhasil dan bagaimana organisasi dapat mengurangi risiko kompromi OT.

Simak wawancara tersebut melalui link di bawah ini;
Sumber: Security Intelligence

Bug 21Nails Exim yang kritis mengekspos jutaan server

May 6, 2021 by Winnie the Pooh

Kerentanan kritis yang baru ditemukan di perangkat lunak agen transfer email (MTA) Exim memungkinkan penyerang jarak jauh yang tidak terautentikasi mengeksekusi kode arbitrer dan mendapatkan hak istimewa root di server email dengan konfigurasi default atau umum.

Cacat keamanan (total 10 dapat dieksploitasi dari jarak jauh dan 11 secara lokal) yang ditemukan dan dilaporkan oleh Tim Riset Qualys secara kolektif dikenal sebagai 21Nails.

Semua versi yang dirilis sebelum Exim 4.94.2 rentan terhadap serangan yang mencoba mengeksploitasi kerentanan 21Nails.

Server MTA seperti Exim adalah sasaran empuk serangan karena, dalam banyak kasus, mereka dapat dijangkau melalui Internet dan menyediakan titik masuk sederhana bagi penyerang ke dalam jaringan target.

“Setelah dieksploitasi, mereka dapat mengubah setelan email sensitif di server email, memungkinkan musuh membuat akun baru di server email target”, jelas Qualys.

Pencarian BinaryEdge menemukan lebih dari 3.564.945 server email Exim menjalankan versi rentan akan adanya serangan melalui Internet. Jika tidak ditambal sesegera mungkin, semua server ini dapat menjadi korban serangan eksekusi perintah jarak jauh yang masuk jika tidak segera ditambal terhadap kerentanan 21Nails.

Oleh karena itu, semua pengguna Exim harus segera meningkatkan ke versi Exim terbaru yang tersedia untuk memblokir serangan masuk yang menargetkan server mereka yang rentan.

Selengkapnya: Bleeping Computer

Serangan phishing di seluruh dunia menghasilkan tiga jenis malware baru

May 5, 2021 by Winnie the Pooh Leave a Comment

Kampanye phishing berskala global yang menargetkan organisasi di seluruh dunia di berbagai industri dengan rangkaian malware yang belum pernah terlihat sebelumnya dikirim melalui umpan yang disesuaikan secara khusus.

Serangan itu menghantam setidaknya 50 organisasi dari berbagai industri dalam dua gelombang, pada 2 Desember dan antara 11 dan 18 Desember, menurut laporan Mandiant.

UNC2529, bagaimana peneliti ancaman Mandiant menyebut kelompok ancaman yang “tidak dikategorikan” di balik kampanye ini, telah menyebarkan tiga jenis malware baru ke komputer target menggunakan umpan phishing khusus.

Malware yang digunakan oleh UNC2529 dalam serangan ini sangat disamarkan untuk menghalangi analisis, dan mencoba menghindari deteksi dengan menyebarkan muatan dalam memori jika memungkinkan.

Sepanjang dua gelombang serangan, grup ancaman menggunakan email phishing dengan tautan ke pengunduh berbasis JavaScript (dijuluki DOUBLEDRAG) atau dokumen Excel dengan makro tertanam yang mengunduh dropper berbasis PowerShell dalam memori (dikenal sebagai DOUBLEDROP) dari penyerang ‘server perintah-dan-kontrol (C2).

Kemudian DOUBLEDROP memuat backdoor di dalam memory (bernama DOUBLEBACK), malware yang dibuat dalam versi 32-bit dan 64-bit, yang diimplementasikan sebagai PE dynamic library.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings