Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kelompok peretasan menggunakan 11 zero-day untuk menyerang pengguna Windows, iOS, Android

by

Project Zero, tim zero-day bug-hunting Google, menemukan sekelompok peretas yang menggunakan 11 zero-day dalam serangan yang menargetkan pengguna Windows, iOS, dan Android dalam satu tahun.

Tim Project Zero mengungkapkan bahwa kelompok peretasan di balik serangan ini menjalankan dua kampanye terpisah, pada bulan Februari dan Oktober 2020.

Laporan bulan ini menampilkan penggunaan tujuh zero-day setelah sebelumnya diterbitkan pada Januari menunjukkan bagaimana empat zero-day digunakan bersama dengan eksploitasi n-day untuk meretas target potensial.

Sama seperti sebelumnya, penyerang menggunakan beberapa lusin situs web yang menghosting dua server exploit, masing-masing menargetkan pengguna iOS dan Windows atau Android.

“Dalam pengujian kami, kedua server exploit ada di semua domain yang ditemukan,” kata anggota tim Project Zero, Maddie Stone.

“Setelah sidik jari awal (tampaknya didasarkan pada asal alamat IP dan user-agent), iframe disuntikkan ke situs web yang mengarah ke salah satu dari dua server exploit.”

Sumber: Google Project Zero

Secara keseluruhan, saat menganalisis kampanye Oktober 2020, para peneliti Project Zero menemukan:

  • satu rantai eksploitasi yang menargetkan Windows 10 yang sepenuhnya ditambal menggunakan Google Chrome
  • dua rantai parsial menargetkan 2 perangkat Android berbeda yang sepenuhnya ditambal yang menjalankan Android 10 menggunakan Google Chrome dan Samsung Browser
  • beberapa eksploitasi RCE untuk iOS 11-13 dan eksploitasi eskalasi hak istimewa untuk iOS 13 (dengan bug yang dieksploitasi hadir hingga iOS 14.1)

Selengkapnya: Bleeping Computer

Perusahaan Siber Swiss Mengatakan Telah Mengakses Server dari Peretas SolarWinds

by

Sebuah perusahaan keamanan siber Swiss mengatakan telah mengakses server yang digunakan oleh kelompok peretas yang terkait dengan pelanggaran SolarWinds, mengungkapkan rincian tentang siapa yang menjadi target penyerang dan bagaimana mereka melakukan operasi mereka. Perusahaan, PRODAFT, juga mengatakan para peretas telah melanjutkan kampanye mereka hingga bulan ini.

Peneliti PRODAFT mengatakan mereka dapat membobol infrastruktur komputer peretas dan meninjau bukti kampanye besar-besaran antara Agustus dan Maret, yang menargetkan ribuan perusahaan dan organisasi pemerintah di seluruh Eropa dan AS. Tujuan dari kelompok peretasan, yang dijuluki SilverFish oleh peneliti, untuk memata-matai korban dan mencuri data, menurut laporan PRODAFT.

SilverFish melakukan serangan siber yang “sangat canggih” pada setidaknya 4.720 target, termasuk lembaga pemerintah, penyedia TI global, lusinan lembaga perbankan di AS dan UE, perusahaan audit / konsultan besar, salah satu produsen test kit Covid-19 terkemuka di dunia serta perusahaan penerbangan dan pertahanan, menurut laporan tersebut.

Para peretas menggunakan metode lain untuk menyerang korban mereka selain kerentanan dalam perangkat lunak SolarWinds, menurut para peneliti.

Marcin Kleczynski, kepala eksekutif dan salah satu pendiri Malwarebytes, mengatakan penemuan SilverFish memperkuat gagasan bahwa lebih dari satu kelompok mengeksploitasi SolarWinds.

Meskipun demikian, laporan tersebut menawarkan wawasan tentang bagaimana organisasi peretasan tersebut beroperasi.

Peretas SilverFish mempertahankan jam kerja reguler dan paling aktif Senin hingga Jumat antara jam 8 pagi dan 8 malam, kata laporan itu. Para peretas mengoperasikan server di Rusia dan Ukraina, dan berbagi beberapa server yang sama dengan kelompok peretas kriminal terkenal Rusia yang dikenal sebagai Evil Corp., kata laporan itu.

PRODAFT mengatakan para peretas adalah “kelompok spionase siber yang terorganisir dengan sangat baik”, dengan empat tim bernama 301, 302, 303, dan 304 yang bertanggung jawab atas pembobolan komputer korban mereka.

Selengkapnya: Bloomberg

Penipu memanfaatkan Clubhouse yang sedang populer untuk mendorong aplikasi Android berbahaya

by

Sebuah aplikasi jahat baru sedang berputar-putar dengan berpura-pura menjadi versi Android Clubhouse yang paling banyak dicari.

Clubhouse adalah aplikasi obrolan audio khusus undangan yang memungkinkan pengguna mendengarkan percakapan secara real-time. Perhatian di sekitar aplikasi meledak setelah Elon Musk men-tweet tentang aplikasi tersebut, tetapi sebagai layanan gratis yang hanya tersedia saat ini di iOS, pemegang perangkat Android mungkin merasa agak ketinggalan.

Startup tersebut belum meluncurkan Clubhouse versi Android, tetapi hingga saat itu, para penipu berharap untuk dapat menipu pengguna agar mengunduh perangkat lunak berbahaya.

Pada hari Jumat, ESET mengungkapkan penemuan aplikasi Android yang disajikan dari tiruan situs web Clubhouse. Meskipun untungnya tidak ditemukan telah terselip pada jaring keamanan di Google Play – gudang resmi untuk aplikasi Android – peneliti Lukas Stefanko mengatakan situs web tersebut menggunakan tombol “Dapatkan di Google Play” untuk mencoba dan membodohi pengunjung agar percaya bahwa aplikasi itu sah.

Sumber: ESET

Jika diunduh dan dijalankan, .APK berbahaya akan menyebarkan BlackRock, Trojan perbankan yang mampu melakukan pencurian data ekstensif.

Dalam hal pencurian informasi, BlackRock tidak hanya dapat mencuri informasi perangkat / OS dan pesan teks. Sebaliknya, ESET mengatakan malware tersebut dilengkapi untuk mencuri konten dari 458 layanan online.

Selengkapnya: ZDNet

Microsoft Defender Antivirus sekarang secara otomatis memitigasi kerentanan Exchange Server

by

Microsoft telah menerapkan alat mitigasi otomatis dalam Defender Antivirus untuk mengatasi kerentanan kritis di Exchange Server.

Pada 18 Maret, raksasa Redmond mengatakan perangkat lunak tersebut akan secara otomatis memitigasi CVE-2021-26855, kerentanan parah yang secara aktif dieksploitasi di alam liar.

Microsoft merilis perbaikan darurat untuk kelemahan keamanan pada 2 Maret dan memperingatkan bahwa kelompok ancaman yang disponsori negara bernama Hafnium secara aktif mengeksploitasi bug, dan sejak itu, puluhan ribu organisasi dicurigai telah diserang.

Setidaknya ada 10 grup advanced persistent threat (APT) lainnya telah memanfaatkan peluang pada patch yang lambat atau terfragmentasi.

Penerapan pembaruan intelijen keamanan terkini untuk Microsoft Defender Antivirus dan System Center Endpoint Protection berarti bahwa mitigasi akan diterapkan pada server Exchange yang rentan saat perangkat lunak diterapkan, tanpa masukan lebih lanjut dari pengguna.

Menurut perusahaan, Antivirus Pertahanan Microsoft akan secara otomatis mengidentifikasi jika server rentan dan menerapkan perbaikan mitigasi sekali per mesin.

Jika pembaruan otomatis tidak diaktifkan, disarankan agar pengguna menginstal pembaruan baru secara manual dan memastikan perangkat lunak mereka ditingkatkan ke setidaknya versi 1.333.747.0, atau yang lebih baru. Perlindungan cloud tidak diperlukan untuk menerima perbaikan mitigasi tetapi perusahaan merekomendasikan agar fitur ini diaktifkan sebagai praktik terbaik.

Sumber: ZDNet

Kerentanan kritis F5 BIG-IP sekarang ditargetkan dalam serangan yang sedang berlangsung

by

Pada hari Kamis, perusahaan keamanan siber NCC Group mengatakan bahwa mereka berhasil mendeteksi eksploitasi liar dari kerentanan kritis yang baru-baru ini ditambal di perangkat jaringan F5 BIG-IP dan BIG-IQ.

Upaya eksploitasi telah dimulai awal minggu ini dan telah meningkat selama 24 jam terakhir, dengan aktivitas pemindaian massal terdeteksi oleh NCC Group dan Bad Packets.

“Mulai minggu ini dan terutama dalam 24 jam terakhir (18 Maret 2021) kami telah mengamati berbagai upaya eksploitasi terhadap infrastruktur honeypot kami,” kata Rich Warren dan Sander Laarhoven dari NCC Group.

Kerentanan keamanan yang coba dieksploitasi oleh penyerang ini adalah eksekusi perintah jarak jauh (RCE) yang tidak diautentikasi yang dilacak sebagai CVE-2021-22986, dan ini memengaruhi sebagian besar versi perangkat lunak F5 BIG-IP dan BIG-IQ.

Beberapa peneliti keamanan telah membagikan kode eksploitasi bukti konsep setelah merekayasa balik patch BIG-IP.

Eksploitasi bug yang berhasil (dengan tingkat keparahan 9.8 / 10) dapat menyebabkan gangguan sistem secara penuh, termasuk perpindahan lateral ke jaringan internal dan intersepsi lalu lintas aplikasi pengontrol.

Sumber: Bleeping Computer

Raksasa komputer Acer terkena serangan ransomware senilai $ 50 juta

by

Raksasa komputer Acer telah terkena serangan ransomware REvil di mana pelaku ancaman menuntut tebusan terbesar yang diketahui hingga saat ini, $50.000.000.

Acer adalah produsen elektronik dan komputer Taiwan yang terkenal dengan laptop, desktop, dan monitor. Acer mempekerjakan sekitar 7.000 karyawan dan menghasilkan $ 7,8 miliar pada 2019.

Kemarin, geng ransomware mengumumkan di situs kebocoran data mereka bahwa mereka telah membobol Acer dan membagikan beberapa gambar dari file yang diduga dicuri sebagai bukti.

Gambar yang bocor ini untuk dokumen yang mencakup spreadsheet keuangan, saldo bank, dan komunikasi bank.

Sumber: BleepingComputer

Menanggapi pertanyaan dari BleepingComputer, Acer tidak memberikan jawaban yang jelas mengenai apakah mereka mengalami serangan ransomware REvil, sebaliknya mengatakan bahwa mereka “melaporkan situasi abnormal baru-baru ini” ke LEA dan DPA yang relevan.

Setelah menerbitkan berita mengenai ini, Valery Marchive dari LegMagIT menemukan sampel REvil ransomware yang digunakan dalam serangan Acer yang menuntut tebusan $ 50 juta.

Segera setelah itu, BleepingComputer menemukan sampel tersebut dan dapat mengonfirmasi bahwa berdasarkan catatan tebusan dan percakapan korban dengan penyerang, sampel tersebut berasal dari serangan siber di Acer.

Selengkapnya: Bleeping Computer

Rusia mengaku bersalah atas upaya peretasan dan pemerasan Tesla

by

Warga negara Rusia Egor Igorevich Kriuchkov telah mengaku bersalah merekrut karyawan Tesla untuk menanam malware yang dirancang untuk mencuri data dalam jaringan Nevada Gigafactory Tesla.

Tujuan akhirnya adalah memeras perusahaan menggunakan informasi sensitif yang dicuri dari server Tesla sebagai pengaruh untuk meyakinkan perusahaan agar membayar uang tebusan untuk menghindari kebocoran data.

Untuk meyakinkan karyawan perusahaan agar bertindak sebagai orang dalam bagi geng kriminalnya, Kriuchkov mengatakan kepadanya bahwa dia akan dibayar $ 1.000.000 bitcoin setelah malware tersebut disebarkan di jaringan perusahaan, menurut dokumen pengadilan.

Kriuchkov juga mengatakan kepada karyawan Tesla bahwa dia sebelumnya terlibat dalam “proyek” serupa lainnya di mana salah satu perusahaan korban membayar $ 4 juta setelah merundingkan uang tebusan dari $ 6 juta.

Kriuchkov menjelaskan bahwa “‘kelompok’ tersebut telah melakukan ‘proyek khusus’ ini dengan sukses dalam beberapa kesempatan, dan mengidentifikasi beberapa perusahaan yang menjadi sasaran,” menurut dakwaan.

Karyawan Tesla juga diberitahu bahwa selama “proyek khusus” mereka menargetkan jaringan Tesla, para penjahat akan meluncurkan serangan Distributed Denial of Service (DDoS) untuk mengalihkan perhatian dari upaya orang dalam untuk menyebarkan malware.

CEO Tesla, Elon Musk, kemudian mengonfirmasi dalam balasan Twitter bahwa Kriuchkov memang mencoba merekrut karyawan Tesla untuk membantu skema pemerasannya.

Terdakwa ditangkap pada Agustus 2020 setelah menerima panggilan telepon dari agen FBI dan bergegas meninggalkan AS untuk menghindar.

Dia didakwa satu bulan kemudian dan didakwa dengan tuduhan konspirasi yang sengaja menyebabkan kerusakan pada komputer yang dilindungi, menghadapi hukuman maksimum lima tahun penjara dan denda $ 250.000.

Selengkapnya: Bleeping Computer

REvil ransomware memiliki mode enkripsi ‘Windows Safe Mode’ baru

by

Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam Windows Safe Mode, kemungkinan besar menghindari deteksi oleh perangkat lunak keamanan dan untuk kesuksesan yang lebih besar saat mengenkripsi file.

Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, argumen baris perintah -smode baru ditambahkan yang memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.

Untuk melakukan ini, REvil akan menjalankan perintah berikut untuk memaksa komputer boot ke Safe Mode with Networking ketika Windows restart berikutnya.

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

Kemudian membuat autorun ‘RunOnce’ bernama ‘*franceisshit’ yang menjalankan ‘bcdedit /deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.

Sumber: BleepingComputer

Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.

Tepat sebelum proses keluar, itu akan membuat autorun RunOnce tambahan bernama ‘AstraZeneca’, mungkin tentang pertimbangan Prancis baru-baru ini tentang penggunaan vaksin. Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat berjalan, ransomware akan mencegah pengguna meluncurkan program apa pun melalui Task Manager hingga selesai mengenkripsi perangkat.

Setelah perangkat dienkripsi, ini akan memungkinkan sisa urutan boot untuk dilanjutkan, dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.

Selengkapnya: Bleeping Computer