Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

PoetRAT Muncul Kembali dalam Serangan di Azerbaijan Di Tengah Meningkatnya Konflik

by

Iterasi baru dari spyware PoetRAT, dengan peningkatan keamanan operasional, kode yang efisiensi dan membingungkan, sedang beredar di Azerbaijan, menargetkan sektor publik dan organisasi penting lainnya seiring dengan meningkatnya konflik negara dengan Armenia atas wilayah yang disengketakan.

Peneliti intelijen ancaman telah mengamati beberapa serangan baru menggunakan malware yang menunjukkan “perubahan dalam kemampuan aktor” dan “kedewasaan menuju keamanan operasional yang lebih baik,” sambil mempertahankan taktik spear-phishing untuk memikat pengguna agar mengunduh dokumen berbahaya, peneliti Cisco Talos mengungkapkan dalam sebuah posting blog, hari Selasa kemarin.

PoetRAT muncul pada bulan April sebagai backdoor yang bertindak sebagai ujung tombak untuk kerangka spionase yang lebih besar.

Kali ini, serangan tersebut menggunakan dokumen Microsoft Word yang diduga berasal dari pemerintah Azerbaijan – lengkap dengan Lambang Nasional Azerbaijan di pojok atas – untuk menginstal PoetRAT di dua file terpisah pada mesin korban, menurut peneliti Warren Mercer, Paul Rascagneres. dan Vitor Ventura.

Perbedaan antara kampanye sebelumnya dan yang terbaru termasuk perubahan dalam bahasa pemrograman yang digunakan untuk malware dari skrip Python ke Lua.

Kampanye terbaru juga menampilkan beberapa taktik baru untuk menghindari deteksi, catat para peneliti. Ini termasuk protokol eksfiltrasi baru untuk menyembunyikan aktivitas penyerang, serta “teknik obfuscation tambahan untuk menghindari deteksi berdasarkan string atau signatures,” termasuk Base64 dan algoritme kompresi LZMA, catat para peneliti.

Korban kampanye termasuk VIP Azerbaijan dan organisasi di sektor publik, dengan penyerang yang menunjukkan akses ke informasi sensitif, seperti paspor diplomatik milik beberapa warga negara.

Berita selengkapnya:
Source: Threat Post

Keamanan email di tempat kerja dalam lima langkah

by

David Mitchell, Direktur Senior Manajemen Produk Email di Sophos, membagikan kiat utamanya untuk mengoptimalkan keamanan email di tempat kerja.

Data terbaru dari SophosLabs menunjukkan bahwa pada September 2020, 97% spam berbahaya yang ditangkap oleh perangkap spam mereka adalah email phishing, untuk mencari kredensial atau informasi lainnya.

Phishing tetap menjadi taktik yang sangat efektif bagi penyerang, terlepas dari tujuan akhirnya.

Contoh yang bagus adalah munculnya Business Email Compromise (BEC). Tidak lagi terbatas pada pesan yang dieja atau diformat dengan buruk yang berpura-pura datang dari CEO dan menuntut transfer dana yang signifikan secara langsung dan rahasia, iterasi terbaru lebih halus dan lebih cerdas.

Lima langkah untuk mengamankan email organisasi Anda

Berikut adalah lima langkah penting untuk mengamankan email organisasi Anda.

Langkah 1: Instal solusi keamanan multi-kemampuan yang cerdas yang akan menyaring, mendeteksi, dan memblokir sebagian besar hal buruk sebelum mencapai Anda
Untuk mempertahankan jaringan, data, dan karyawan Anda dari serangan berbasis email yang berkembang pesat, Anda harus mulai dengan perangkat lunak keamanan yang efektif. Agar solusi keamanan Anda berfungsi dengan baik, Anda juga perlu menyetel kontrol yang sesuai untuk email masuk dan keluar.

Langkah 2: Terapkan langkah-langkah canggih untuk autentikasi email
Solusi keamanan email Anda harus dapat memeriksa setiap email masuk terhadap aturan autentikasi yang ditetapkan oleh domain asal email tersebut. Cara terbaik untuk melakukannya adalah dengan menerapkan satu atau lebih standar yang diakui untuk autentikasi email.

Standar industri utama adalah:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain Message Authentication Reporting and Conformance(DMARC)

Langkah 3: Didik karyawan tentang apa yang harus diwaspadai
Memberi tahu karyawan yang mengetahui tanda peringatan dari email yang mencurigakan adalah garis pertahanan yang luar biasa.
Anda dapat menerapkan pelatihan online formal, membagikan contoh ancaman terbaru, menjalankan pengujian, dan menunjukkan kepada mereka beberapa pemeriksaan standar.

Langkah 4: Didik karyawan tentang apa yang harus dilakukan ketika mereka menemukan sesuatu
Anda perlu memudahkan rekan kerja untuk melaporkan hal-hal yang tidak mereka yakini. Ini berarti memberi mereka proses sederhana, seperti kotak surat intranet untuk melaporkan pesan yang mencurigakan.

Langkah 5: Jangan lupa tentang email keluar
Email yang dikirim dari organisasi Anda akan dinilai sendiri oleh penerima berdasarkan metode autentikasi yang tercantum di atas. Anda perlu memastikan bahwa Anda memiliki kontrol yang kuat terhadap nama domain Anda sendiri. Anda mungkin juga ingin mempertimbangkan apa lagi yang perlu Anda pantau dan kendalikan terkait email keluar.

Apakah Anda memindai aktivitas yang tidak wajar atau pola perilaku yang tidak biasa yang dapat mengindikasikan akun email internal yang disusupi atau serangan cyber aktif, misalnya?

Ancaman email berkembang sepanjang waktu saat penyerang memanfaatkan teknologi baru, lingkungan baru, atau sekadar mengasah taktik manipulasi psikologis mereka. Tinjau keamanan email Anda secara teratur dan pastikan keamanannya mengikuti perubahan dalam organisasi dan teknik penyerang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Naked Security

Peringatan CISA memperingatkan serangan Emotet terhadap entitas pemerintah AS

by

Badan Keamanan Siber dan Infrastruktur (CISA) mengeluarkan peringatan untuk memperingatkan gelombang serangan Emotet yang telah menargetkan beberapa negara bagian dan pemerintah lokal di AS sejak Agustus.

Selama waktu itu, Sistem Deteksi Intrusi EINSTEIN milik agensi tersebut telah mendeteksi sekitar 16.000 peringatan terkait aktivitas Emotet.

Menurut para ahli dari CISA, serangan Emotet ditargetkan pada entitas pemerintah AS.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware tersebut digunakan dalam kampanye spam baru bertema COVID19.

Trojan perbankan terkenal juga digunakan untuk memberikan kode berbahaya lainnya, seperti Trickbot dan QBot trojan atau ransomware seperti Conti (TrickBot) atau ProLock (QBot).

Peringatan yang diterbitkan oleh CISA didasarkan pada data yang disediakan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC) dan CISA sendiri sejak Juli 2020.

CISA dan MS-ISAC merekomendasikan admin dan pengguna untuk menggunakan solusi antimalware untuk memblokir lampiran yang mencurigakan dan untuk memblokir alamat IP yang mencurigakan.

Peringatan tersebut mencakup mitigasi, Indikator Kompromi (IoCs) dan Teknik MITRE ATT&CK.

Malware untuk Penipuan Iklan Menjadi Lebih Canggih

by

Minggu lalu, Facebook mengungkapkan bahwa perusahaan telah menemukan serangan luas pada penggunanya yang telah membobol akun, mengumpulkan kredensial dan token sesi, dan menggunakan akses untuk membeli iklan, barang palsu, dan untuk membuat ulasan produk palsu.

Disebut SilentFade – yang menurut perusahaan adalah singkatan dari “Diam-diam Menjalankan Iklan Facebook dengan Eksploitasi” – sistem pengguna yang terinfeksi malware dan mengakibatkan biaya lebih dari $4 juta, Facebook menyatakan dalam analisisnya.

Kampanye ini – yang ditemukan Facebook pada Desember 2018 dan telah mengambil tindakan pada dua bulan kemudian, menghindari deteksi ancaman dengan mencuri cookie sesi dari pengguna dan masuk dari alamat IP yang secara geografis dekat dengan korban.

SilentFade juga menonaktifkan banyak peringatan dan pemberitahuan keamanan dan menggunakan exploit untuk mencegah pengguna membatalkan perubahan, menurut peneliti perusahaan.

Selain itu, SilentFade mencuri cookie yang berisi token sesi, yang sering dianggap lebih berharga daripada sandi, karena cookie merupakan bukti pasca-otentikasi bahwa pengguna memberikan kredensial yang benar. Dengan menggunakan cookie alih-alih mencuri nama pengguna dan kata sandi, penyerang sering menghindari otentikasi dua faktor.

Komponen pencuri cookie dari SilentFade menargetkan sejumlah besar browser, termasuk Chrome, Opera, Internet Explorer, Edge, dan lainnya.

Facebook telah memperkuat layanannya terhadap SilentFade dan serangan grup lainnya, tetapi menekankan bahwa platform media sosial lainnya mungkin masih terpengaruh oleh kampanye penipuan iklan.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: Dark Reading

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

by

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

  • Amerika Serikat (98,1% meningkat)
  • India (39,2% meningkat)
  • Sri Lanka (436% meningkat)
  • Rusia (57,9% meningkat)
  • Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Botnet HEH baru dapat menghapus router dan perangkat IoT

by

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

MosaicRegressor: Rootkit UEFI kedua ditemukan di alam liar

by

Rootkit UEFI kedua yang digunakan di alam liar ditemukan oleh peneliti keamanan selama investigasi seputar serangan dari tahun 2019 terhadap dua organisasi non-pemerintah (LSM).

Firmware UEFI (Unified Extensible Firmware Interface) memungkinkan malware yang sangat persisten mengingat bahwa itu diinstal dalam penyimpanan flash SPI yang disolder ke motherboard komputer sehingga tidak mungkin untuk dihilangkan melalui instalasi ulang OS atau penggantian hard drive.

Bootkit UEFI, dijuluki MosaicRegressor oleh peneliti Kaspersky Mark Lechtik dan Igor Kuznetsov yang menemukannya, adalah kerangka kerja malware modular dan multi-stage yang digunakan oleh peretas berbahasa Mandarin dalam operasi pencurian data dan spionase.

Hanya satu contoh lain dari bootkit UEFI yang digunakan di alam liar yang diketahui, yaitu LoJax, rootkit yang ditemukan oleh ESET pada tahun 2018.

LoJax disuntikkan oleh kelompok peretas APT28 berbahasa Rusia dalam perangkat lunak anti-theft LoJack yang sah dalam bentuk modul UEFI yang ditambal.

MosaicRegressor mempunyai beberapa downloader dan, terkadang, beberapa pemuat perantara yang tujuan akhirnya adalah mengunduh dan mengeksekusi muatan berbahaya pada mesin target.

Laporan lengkap Kaspersky (termasuk detail teknis) tentang bootkit MosaicRegressor UEFI multi-stage dan modular dapat ditemukan di sini (PDF).

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Grup peretas menyerang penyedia seluler untuk mencuri kartu kredit

by

Grup skimming kartu kredit Fullz House telah menyusupi dan menginjeksi situs web operator jaringan virtual seluler AS (MVNO) Boom! Seluler dengan skrip pencuri kartu kredit.

Jenis penyusupan ini dikenal sebagai serangan MageCart (alias web skimming atau e-skimming), yang terdiri dari pelaku ancaman yang menyuntikkan skrip JavaScript berbahaya dalam satu atau beberapa bagian situs web yang disusupi.

Skrip ini kemudian digunakan oleh peretas untuk mencuri pembayaran atau info pribadi yang dikirimkan oleh pelanggan situs.

Seperti yang ditemukan oleh Tim Intelijen Ancaman Malwarebytes, penyerang memasukkan satu baris kode yang memuat pustaka JavaScript eksternal dari paypal-debit[.]Com/cdn/ga.js, yang disamarkan sebagai skrip Google Analytics.

Skimmer kartu bekerja dengan mengumpulkan informasi kartu pembayaran dari bidang input setiap kali mendeteksi perubahan apa pun, segera mengeksfiltrasi data yang dipanen sebagai permintaan GET yang dikodekan menggunakan Base64.

Meskipun metode pasti yang digunakan oleh grup Fullz House Magecart untuk menyusup ke situs web Boom tidak diketahui, Malwarebytes mengamati bahwa situs perusahaan tersebut menjalankan PHP versi 5.6.40, sebuah versi yang tidak didukung sejak Januari 2019.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer