Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Korea Utara mencoba meretas 11 pejabat Dewan Keamanan PBB

by

Sebuah kelompok peretas yang sebelumnya terkait dengan pemerintah Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan diungkapkan dalam laporan PBB bulan lalu, terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok hacker Korea Utara yang dikenal dengan nama sandi Kimsuky.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB

Source : Member State
atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Negara yang melaporkan serangan Kimsuky ke Dewan Keamanan PBB itu juga mengatakan bahwa kampanye serupa juga dilakukan terhadap anggota pemerintahannya sendiri, dengan beberapa serangan terjadi melalui WhatsApp, dan bukan hanya email.

Laporan PBB, yang melacak dan merinci tanggapan Korea Utara terhadap sanksi internasional, juga mencatat bahwa kampanye ini telah aktif selama lebih dari setahun.

Dalam laporan serupa yang diterbitkan pada Maret, Dewan Keamanan PBB mengungkapkan dua kampanye Kimsuky lainnya terhadap pejabat.
Yang pertama adalah serangkaian serangan spear-phishing terhadap 38 alamat email yang terkait dengan pejabat Dewan Keamanan – semuanya adalah anggota Dewan Keamanan pada saat serangan itu.

Yang kedua adalah operasi yang dirinci dalam laporan dari Badan Keamanan Siber Nasional Prancis [PDF]. Terhitung sejak Agustus 2019, ini adalah serangan spear-phishing terhadap pejabat dari China, Prancis, Belgia, Peru, dan Afrika Selatan, yang semuanya adalah anggota Dewan Keamanan PBB pada saat itu.

Source : ZDNet

Spammer Menyelundupkan LokiBot Melalui Taktik Obfuscation URL

by

Pelaku spam mulai menggunakan teknik penyamaran URL rumit untuk menghindari deteksi – dan pada akhirnya menginfeksi korban dengan trojan LokiBot.

Taktik itu ditemukan dalam email spear-phishing baru-baru ini dengan lampiran PowerPoint, yang berisi makro berbahaya.

Saat file PowerPoint dibuka, dokumen mencoba mengakses URL melalui binary Windows (mshta.exe), dan ini menyebabkan berbagai malware diinstal ke sistem.

Proses ini bukan hal baru untuk pengunduh makro. Namun, karena domain yang terkait dengan kampanye telah diketahui menghosting file dan data berbahaya, penyerang menggunakan serangan semantik unik pada URL kampanye untuk mengelabui penerima email dan menghindari dideteksi oleh email dan AV.

Serangan URL semantik adalah ketika klien secara manual menyesuaikan parameter permintaannya dengan mempertahankan sintaks URL – tetapi mengubah arti semantiknya.

Email berbahaya yang diamati oleh peneliti berjudul: “URGENT: REQUEST FOR OFFER (University of Auckland)” dan PowerPoint terlampir berjudul “Request For Offer.”

Para spammer di balik serangan ini telah menerobos salah satu komponen skema URI yang disebut komponen Authority, yang memegang bagian informasi pengguna opsional.

Contoh dari struktur Authority ini adalah sebagai berikut: otoritas=[userinfo @]host[:port].

Karena “userinfo” tidak umum digunakan, kadang-kadang diabaikan oleh server, kata peneliti. Dalam kampanye khusus ini, penyerang memanfaatkan fakta ini, memanfaatkan apa yang oleh peneliti disebut sebagai userinfo “dummy” untuk menyembunyikan maksud sebenarnya.

Dalam kampanye khusus ini, URL yang digunakan (j [.] Mp / kassaasdskdd) sebenarnya menggunakan layanan pemendekan URL Bit.ly dan mengarah ke Pastebin. Untuk menghindari deteksi, penyerang berulang kali menggunakan string pendek acak (“% 909123id”) di bagian userinfo di URL mereka.

“Aktor siber mencoba membuat domain tidak terlalu mencolok namun tetap sesuai dengan sintaks URI generik,” kata peneliti.

Credit: Trustwave

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Bagaimana geng malware Cina menipu pengguna Facebook

by

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

GitHub meluncurkan fitur keamanan baru bernama Code Scanning untuk semua pengguna

by Leave a Comment

Situs web hosting kode GitHub telah meluncurkan fitur keamanan baru bernama Code Scanning untuk semua pengguna, baik di akun berbayar maupun gratis.

GitHub mengatakan fitur Code Scanning yang baru “membantu mencegah kerentanan mencapai produksi dengan menganalisis setiap permintaan pull, commit, dan merge — mengenali kode yang rentan segera setelah dibuat”.

Setelah kerentanan terdeteksi, Code Scanning bekerja dengan meminta pengembang untuk merevisi kode mereka.

Code Scanning berfungsi di atas CodeQL, teknologi yang diintegrasikan GitHub ke dalam platformnya setelah memperoleh platform analisis kode Semmle pada September 2019.

Untuk mengkonfigurasi Code Scanning, pengguna harus mengunjungi tab “Keamanan” di setiap repositori yang mereka inginkan agar fitur tersebut diaktifkan.

Di sini, pengembang akan diminta untuk mengaktifkan kueri CodeQL yang mereka inginkan untuk digunakan GitHub untuk memindai kode sumber mereka.

Baca berita lebih lanjut pada tautan di bawah ini;
Source: ZDNet

Varian Spyware Android Mengintai di WhatsApp dan Telegram

by

Para peneliti mengatakan mereka telah menemukan varian spyware Android baru dengan strategi komunikasi perintah-dan-kontrol yang diperbarui dan kemampuan pengawasan yang diperluas yang dapat mengintip aplikasi media sosial WhatsApp dan Telegram.

Malware, Android/SpyC32.A, saat ini sedang digunakan dalam kampanye aktif yang menargetkan korban di Timur Tengah oleh kelompok ancaman APT-C-23 (juga dikenal sebagai Two-Tailed Scorpion dan Desert Scorpion).

Versi yang diperbarui, Android/SpyC23.A, telah ada sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Versi terdokumentasi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk kemampuan untuk mengambil gambar, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi. Mereka akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Versi terbaru ini memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan. Spyware ini sekarang mampu merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype dan Messenger.

Untuk menghindari menjadi korban spyware, peneliti menyarankan pengguna Android untuk hanya menginstal aplikasi dari toko aplikasi Google Play resmi dan untuk memeriksa izin aplikasi.

“Pada kasus dimana privasi, masalah akses, atau batasan lain yang menghalangi pengguna untuk mengikuti saran ini, pengguna harus lebih berhati-hati saat mengunduh aplikasi dari sumber tidak resmi,” kata peneliti.

“Kami merekomendasikan untuk memeriksa pengembang aplikasi, memeriksa ulang izin yang diminta, dan menggunakan solusi keamanan seluler yang tepercaya dan mutakhir.”

Naga Cyber Defense memiliki layanan mobile protection yang dapat melindungi Anda dari spyware. Hubungi kami atau cek daftar layanan kami untuk lebih datailnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cisco Mengeluarkan Patch Untuk 2 Kerentanan IOS XR Tingkat Tinggi di Bawah Serangan Aktif

by

Cisco telah merilis tambalan keamanan untuk dua kerentanan tingkat tinggi yang mempengaruhi perangkat lunak IOS XR-nya yang ditemukan sedang dieksploitasi sebulan lalu.

Dilacak sebagai CVE-2020-3566 dan CVE-2020-3569, detail untuk kerentanan DoS zero-day yang tidak diautentikasi dipublikasikan oleh Cisco akhir bulan lalu ketika perusahaan menemukan peretas secara aktif mengeksploitasi Perangkat Lunak Cisco IOS XR yang diinstal pada berbagai router tingkat operator dan pusat data Cisco.

“Kerentanan ini memengaruhi semua perangkat Cisco yang menjalankan rilis apa pun dari Perangkat Lunak Cisco IOS XR jika antarmuka aktif dikonfigurasi di bawah perutean multicast dan menerima lalu lintas DVMRP,” kata Cisco dalam sebuah advisory.

Eksploitasi yang berhasil dapat memungkinkan peretas jarak jauh yang tidak diautentikasi untuk mengirim paket IGMP yang dibuat khusus ke perangkat yang terpengaruh untuk segera merusak proses IGMP atau menghabiskan memori proses dan akhirnya crash.

Pelanggan Cisco sangat disarankan untuk memastikan bahwa mereka menjalankan rilis Perangkat Lunak Cisco IOS XR terbaru sebelum 6.6.3 dan Perangkat Lunak Cisco IOS XR rilis 6.6.3 dan yang lebih baru.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

Simulasi Phishing yang tidak tepat merusak pengalaman karyawan

by

Tribune Publishing Company, penerbit surat kabar seperti Chicago Tribune dan The Baltimore Sun, melakukan simulasi phishing yang tidak tepat waktu.

Email tersebut menawarkan bonus yang ditargetkan sebesar $5.000 hingga $10.000 kepada staf yang tersisa yang telah selamat dari gelombang pemecatan dan pemotongan gaji yang dipicu pandemi.

Pengguna diminta untuk masuk untuk melihat bonus yang dijanjikan, dan saat melakukannya, mereka akan diberi peringatan tentang bagaimana mereka baru saja gagal dalam tes simulasi phishing.

Kesalahan langkah yang mungkin tidak disengaja ini mengakibatkan pengalaman negatif bagi semua yang terlibat:

  • Karyawan yang sudah kesulitan mendapat tamparan ekstra di wajah dengan phish.
  • Brand organisasi terpukul. Bagaimana Anda memperlakukan karyawan Anda mendefinisikan brand dan nilai-nilai Anda sebagai sebuah organisasi.
  • Citra vendor tercoreng, meski mengambil langkah-langkah untuk mencegah risiko ini.
  • Reputasi keamanan yang sudah ternoda menghadapi lebih banyak hal negatif.

Perbedaannya adalah bahwa penyerang tidak memiliki kewajiban untuk memperlakukan karyawan di organisasi Anda dengan rasa hormat dan empati – namun program keamanan Anda harus. Kesadaran keamanan dan program pelatihan Anda (termasuk simulasi phishing) adalah wajah Anda bagi organisasi.

Secara jelas menyampaikan tujuan mengenai contoh yang Anda gunakan untuk simulasi Anda dan pertimbangkan beberapa hal ini:

  • Apa dampak potensial dari simulasi ini terhadap kesehatan mental karyawan?
  • Apakah simulasi ini realistis, perlu, dan empatik?
  • Bagaimana nada simulasi dianggap oleh karyawan?
  • Apakah ini menguntungkan manusia di sisi lain?
  • Apakah saya sombong dan bermain-main dengan karyawan, atau apakah saya benar-benar mencoba mengubah perilaku mereka?
  • Apakah ada cara lain untuk menyampaikan pesan ini?

Pendidikan dan rasa malu bukanlah sinonim. Anda mungkin memenangkan pertempuran, tetapi perang jauh lebih besar.

Berita selengkapnya;
Source: ZDNet

Adware Linkury tertangkap sedang mendistribusikan malware

by

Sebuah keluarga adware yang dikenal terutama karena mendistribusikan pembajak browser telah tertangkap sedang menyebarkan malware besar-besaran.

Sementara perusahaan keamanan siber seperti Malwarebytes, Microsoft, atau Trend Micro saat ini mendeteksi operasi Linkury sebagai “adware,” Sundaram dan Ravichandran berpendapat bahwa “kasus ini ditandai sebagai malware kuat berdasarkan bukti yang disajikan dalam makalah [mereka].”

APA ITU LINKURY?

Sebelum presentasi VirusBulletin K7 hari ini, Linkury dulunya dikenal sebagai operasi adware.
Metode distribusinya yang utama adalah widget SafeFinder, sebuah ekstensi browser yang secara ironis diiklankan sebagai cara untuk melakukan pencarian yang aman di internet.

Tetapi para peneliti K7 mengatakan bahwa dalam kasus baru-baru ini yang mereka analisis, widget SafeFinder kini juga mulai menginstal malware resmi yang lengkap, seperti trojan infostealer Socelars dan Kpot.

Dalam kasus lain, operasi Linkury juga menjatuhkan versi browser Opera pada host yang terinfeksi, yang mereka mulai secara diam-diam di latar belakang sistem operasi untuk menampilkan iklan pop-up dan menghasilkan keuntungan bagi operator Linkury.

K7 melaporkan Linkury secara paksa memasang ekstensi di Chrome dan Firefox, untuk pengguna Windows; dan Safari, Chrome, dan Firefox, untuk pengguna Mac.

Selain itu, peneliti K7 juga mencatat bahwa installer SafeFinder juga berisi banyak fitur khusus untuk malware, seperti skrip PowerShell untuk menonaktifkan Windows Defender, dan berfungsi untuk mendeteksi kapan installer dijalankan di dalam mesin virtual dan sandbox, lingkungan yang biasanya digunakan untuk analisis malware – yang mana itu jelas ingin dihindari.

Dan yang tak kalah pentingnya, widget SafeFinder Linkury tidak memiliki niatan untuk menghormati pilihan pengguna, dengan installernya yang dirancang khusus untuk menginstal muatannya bahkan jika pengguna mencoba menghindari proses instalasi, seperti menekan “Tidak” seperti pada gambar di bawah.

sumber: ZDNet

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet