Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Supply Chain Attack

Supply Chain Attack

Ribuan perusahaan rentan dalam serangan supply chain cyberattack

by

Ribuan perusahaan yang menggunakan aplikasi panggilan suara dan video yang sama kini menghadapi risiko, karena peretas Korea Utara melakukan serangan rantai pasokan yang sedang berlangsung, beberapa perusahaan keamanan dunia maya memperingatkan awal pekan ini.

Mengapa penting: Malware mulai menginfeksi perangkat pengguna pada awal Februari, menurut SentinelOne, dan masih belum jelas berapa banyak pelanggan 3CX yang terpengaruh.

Serangan rantai pasokan adalah beberapa serangan dunia maya yang paling sulit untuk dicegah dengan visibilitas terbatas bisnis tertentu ke dalam praktik keamanan dunia maya vendor mereka.

Ini akan memakan waktu berminggu-minggu sampai publik memiliki pemahaman yang lebih baik tentang berapa lama serangan itu berlangsung, siapa yang terkena dampak dan akses apa yang bisa didapat Korea Utara.

selengkapnya : axios.com

Peringatan tentang serangan rantai pasokan seperti SolarWinds: ‘Mereka semakin besar’

by

SCSW Kembali pada tahun 2020, Eric Scales memimpin tim tanggap insiden yang menyelidiki peretasan negara-negara yang membahayakan server perusahaannya bersama dengan yang ada di agen federal dan raksasa teknologi termasuk Microsoft dan Intel.

“Itu mirip dengan serbuan persaudaraan – pengalaman terbaik yang tidak ingin saya lakukan lagi,” kata Scales, kepala respons insiden di Mandiant, kepada The Register. “Itu cukup intens. Sedikit yang kami tahu kami akan berada di tengah serangan rantai pasokan dekade ini.”

Ini, tentu saja, adalah serangan SolarWinds, yang sejak itu dikaitkan dengan geng Cozy Bear Rusia, dan selain menjadi pelanggaran rantai pasokan paling terkenal, itu juga selama penguncian COVID-19, jadi perang tim IR ruangan itu sepenuhnya virtual.

Lebih dari dua tahun kemudian, “Saya kira kami tidak banyak berkembang sama sekali,” katanya. “Tampaknya serangan rantai pasokan baru saja meningkat.” Dan akhir-akhir ini, para penjahat sangat tertarik untuk menyerang pustaka perangkat lunak sumber terbuka, katanya.

Namun, ada pelajaran berharga yang bisa dipetik dari SolarWinds, dan Scales memiliki beberapa tip bagus tentang bagaimana perusahaan dapat melindungi diri mereka sendiri dan apa yang harus dilakukan organisasi jika mereka menemukan diri mereka dalam situasi yang sama.

Seperti yang dikatakan Scales kepada kami: “Masalah ini tidak akan hilang – ini hanya akan menjadi lebih besar.”

Selengkapnya: The Register

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Platform CrowdStrike Falcon Mengidentifikasi Supply Chain Attack Melalui Installer Comm100 Chat yang disisipi Trojan

by

Memanfaatkan wawasan dari platform Falcon, tim CrowdStrike Falcon OverWatch™, CrowdStrike Falcon Complete™, dan CrowdStrike Intelligence mengonfirmasi bahwa serangan rantai pasokan melibatkan penginstal trojan untuk aplikasi Comm100 Live Chat.

Serangan ini terjadi setidaknya dari 27 September 2022 hingga 29 September 2022 pagi. File trojan diidentifikasi di organisasi di sektor industri, perawatan kesehatan, teknologi, manufaktur, asuransi, dan telekomunikasi di Amerika Utara dan Eropa.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan baru-baru ini pada pagi hari tanggal 29 September 2022. CrowdStrike Intelligence menilai dengan keyakinan moderat bahwa aktor yang bertanggung jawab atas aktivitas ini kemungkinan memiliki hubungan dengan Nexus dari China.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan. Pemasang ditandatangani pada 26 September 2022 pukul 14:54:00 UTC menggunakan sertifikat Comm100 Network Corporation yang valid.

CrowdStrike Intelligence dapat mengonfirmasi bahwa agen desktop Microsoft Windows 7+ dihosting di https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe yang tersedia hingga 29 September pagi adalah penginstal trojan. Comm100 telah merilis penginstal yang diperbarui (10.0.9).

Installer ini (SHA256 hash: ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86) adalah aplikasi Electron yang berisi backdoor JavaScript (JS) di dalam file main.js dari arsip Asar yang disematkan.

Backdoor mengunduh dan menjalankan skrip tahap kedua dari URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.

Selengkapnya: CrowdStrike

Peretas JuiceLedger Di Balik Serangan Phishing Terbaru Terhadap Pengguna PyPI

by

Rincian lebih lanjut telah muncul tentang operator di balik kampanye phishing pertama yang diketahui secara khusus ditujukan untuk Python Package Index (PyPI), repositori perangkat lunak pihak ketiga resmi untuk bahasa pemrograman.

Kampanye tersebut dikaitkan dengan aktor ancaman JuiceLedger, perusahaan keamanan siber SentinelOne, bersama dengan Checkmarx, menggambarkan kelompok itu sebagai entitas baru yang muncul pada awal 2022.

Kampanye “rendah” awal dikatakan telah melibatkan penggunaan aplikasi penginstal Python jahat untuk mengirimkan malware berbasis .NET yang disebut JuiceStealer yang direkayasa untuk menyedot kata sandi dan data sensitif lainnya dari browser web korban.

Serangan tersebut mengalami peningkatan yang signifikan bulan lalu ketika aktor JuiceLedger menargetkan kontributor paket PyPi dalam kampanye phishing, yang mengakibatkan kompromi tiga paket dengan malware.

“Serangan supply chain (rantai pasokan) terhadap kontributor paket PyPI tampaknya merupakan eskalasi dari kampanye yang dimulai awal tahun yang awalnya menargetkan calon korban melalui aplikasi perdagangan cryptocurrency palsu,” kata peneliti SentinelOne Amitai Ben Shushan Ehrlich dalam sebuah laporan.

Tujuannya mungkin untuk menginfeksi khalayak yang lebih luas dengan infostealer melalui campuran paket trojanized dan typosquat, perusahaan keamanan siber menambahkan.

Perkembangan tersebut menambah kekhawatiran yang berkembang seputar keamanan ekosistem open source, mendorong Google untuk mengambil langkah-langkah mengumumkan imbalan uang karena menemukan kekurangan dalam proyeknya yang tersedia di domain publik.

Dengan serangan pengambilalihan akun menjadi vektor infeksi populer bagi penyerang yang ingin meracuni rantai pasokan perangkat lunak, PyPI telah mulai memberlakukan persyaratan otentikasi dua faktor (2FA) wajib untuk proyek yang dianggap “kritis”.

“JuiceLedger tampaknya telah berkembang sangat cepat dari infeksi oportunistik skala kecil hanya beberapa bulan yang lalu menjadi melakukan serangan rantai pasokan pada distributor perangkat lunak utama,” kata SentinelOne.

Sumber: The Hackernews

Paket Repositori Python Berbahaya Mendistribusikan Cobalt Strike pada Sistem Windows, macOS & Linux

by

Repositori publik open-source adalah bagian penting dari suply chain perangkat lunak yang digunakan banyak organisasi untuk membangun aplikasi. Oleh karena itu, mereka menjadi target yang menarik bagi musuh yang ingin mendistribusikan malware ke audiens massal.

Contoh kasus terbaru adalah paket berbahaya untuk mendistribusikan Cobalt Strike pada sistem Windows, macOS, dan Linux, yang diunggah ke registri Python Package Index (PyPI) yang banyak digunakan untuk pengembang aplikasi Python. Paket “pymafka” memiliki nama yang sangat mirip dengan “PyKafka,” klien Apache Kafka populer untuk Python yang telah diunduh lebih dari 4,2 juta kali sejauh ini.

Lebih dari 300 pengguna tertipu untuk mengunduh paket berbahaya, mengira itu adalah kode yang sah, sebelum peneliti di Sonatype menemukan masalah tersebut dan melaporkannya ke registri PyPI. Sejak itu telah dihapus, tetapi aplikasi yang memasukkan skrip berbahaya tetap menjadi ancaman.

“Jumlah unduhan untuk paket berbahaya termasuk unduhan otomatis yang diprakarsai oleh mirror dan bot selain unduhan yang dimulai oleh pengguna,” kata Ax Sharma, peneliti keamanan di Sonatype.

Menurutnya, unduhan yang melibatkan pengguna yang salah mengetik “pymafka” dan bukan “pykafka” kemungkinan jumlahnya kurang dari 100. “Secara intuitif, tampaknya dampak dari serangan typosquatting terbatas pada satu pengguna yang membuat kesalahan ejaan,” katanya.

“Tetapi segalanya menjadi rumit ketika pengembang salah mengeja nama dependensi di perpustakaan mereka, dan perpustakaan mereka selanjutnya digunakan sebagai dependensi dalam proyek perangkat lunak pihak ketiga lainnya,” katanya. Pengguna aplikasi lain ini kemudian secara otomatis terinfeksi dengan proyek yang salah ketik, tanpa mengambil tindakan atau membuat kesalahan.

Selengkapnya: Dark Reading

Cara melindungi diri Anda dari Serangan Rantai Pasokan Aplikasi GitHub/OAuth

by

Postingan ini ditulis sebagai tanggapan atas peringatan keamanan GitHub dari tanggal 15 April tentang penyalahgunaan integrasi aplikasi OAuth, dan ini mencakup detail teknis untuk mengidentifikasi dan mencegah serangan semacam itu.

Eksploitasi aplikasi GitHub adalah vektor serangan rantai pasokan perangkat lunak lain untuk membahayakan banyak organisasi dengan cepat, dan tidak ada ketergantungan kode atau pipa CI/CD yang diperkeras yang akan mengurangi risiko ini atau memberikan konteks yang memadai untuk serangan tersebut

Apa yang dapat anda lakukan?

OAuth Apps

  • Pastikan Pembatasan Akses Aplikasi OAuth diaktifkan
  • Tinjau Aktivitas Otorisasi OAuth di seluruh Organisasi
  • Tinjau Aktivitas Otorisasi OAuth Pribadi

Aplikasi Github

  • Review perizinan applikasi
  • Batasi izin Aplikasi GitHub untuk repositori tertentu
  • Instal aplikasi di Sandbox terlebih dahulu

Selengkapnya: Arnica.io

Situs pemerintah Rusia diretas dalam serangan rantai pasokan

by

Rusia mengatakan beberapa situs web agen federalnya telah disusupi dalam serangan rantai pasokan pada hari Selasa setelah penyerang tak dikenal meretas widget statistik yang digunakan untuk melacak jumlah pengunjung oleh beberapa lembaga pemerintah.

Daftar situs yang terkena dampak serangan termasuk situs Kementerian Energi, Layanan Statistik Negara Federal, Layanan Lembaga Pemasyarakatan Federal, Layanan Jurusita Federal, Layanan Antimonopoli Federal, Kementerian Kebudayaan, dan lembaga negara Rusia lainnya.

Insiden itu ditemukan Selasa malam setelah penyerang menerbitkan konten mereka sendiri dan memblokir akses ke situs web.

“Sulit untuk mengkompromikan situs web ini secara langsung, sehingga peretas menyerang sumber daya melalui layanan eksternal dan dengan demikian mendapatkan akses untuk menunjukkan konten yang salah,” layanan pers Kementerian Pembangunan Ekonomi Rusia mengatakan kepada Interfax.

Kementerian Pengembangan Digital Rusia mengklaim situs web badan-badan negara itu dikembalikan dalam waktu satu jam setelah pelanggaran.

Kejadian ini terjadi setelah pemerintah Rusia membagikan daftar lebih dari 17.000 alamat IP yang diduga digunakan dalam serangan DDoS terhadap jaringan Rusia.

Pusat Koordinasi Nasional untuk Insiden Komputer (NKTsKI) dari Layanan Keamanan Federal memperingatkan organisasi Rusia untuk mengambil langkah-langkah untuk melawan ancaman terhadap keamanan informasi mereka dan berbagi panduan untuk mempertahankan diri dari serangan semacam itu.

Peringatan ini muncul setelah Wakil Perdana Menteri Ukraina Mykhailo Fedorov mengumumkan pembentukan “tentara TI” untuk mendukung “pertarungan di front cyber” negara itu.

Selengkapnya: Bleeping Computer