News - Naga Cyber Defense

Aplikasi Android Spy ‘LetMeSpy’ Mengalami Pelanggaran Data Besar, Mengekspos Data Pribadi Pengguna

June 30, 2023 by Flamango

LetMeSpy mengungkapkan pelanggaran keamanan yang memungkinkan pihak ketiga mencuri data sensitif pengguna Android, dengan setidaknya 13.000 perangkat yang disusupi dalam kebocoran data,

Peretasan ditemukan oleh tim peneliti keamanan Polandia di Niebezpiecznik, yang menghubungi pembuat aplikasi spyware. Diretas pada 21 Juni, mengakibatkan pelaku ancaman mendapatkan akses tidak sah ke data penggunanya sejak 2013. Belum diketahui siapa aktor ancamannya atau apakah korban akan diberi tahu secara pribadi atau tidak.

LetMeSpy adalah produk perusahaan Polandia bernama Radeal yang ditawarkan sebagai langganan bulanan dengan berbagai fitur dan digunakan untuk tujuan kontrol orang tua atau karyawan.

Aplikasi pelacak telepon, yang dirancang untuk disembunyikan dari layar utama telepon agar tetap tidak terdeteksi, diciptakan dan dipasarkan kepada orang tua untuk mengontrol penggunaan telepon anak di bawah umur dan untuk majikan untuk memantau karyawan.

Karena mereka memiliki tingkat aksesibilitas yang dalam ke ponsel, jenis aplikasi ini menjadi target kebocoran dan peretasan. Aplikasi pelacak telepon dapat digunakan dengan cara “stalkerware” yang lebih jahat dan mengancam, memungkinkan akses ke data apa pun yang dianggap perlu oleh penguntit.

LetMeSpy telah memberitahu penegak hukum dan otoritas perlindungan data, dan otoritas perlindungan data lokalnya, UODO, tetapi tidak diketahui apakah akan memberi tahu korban yang telah menyusupkan ponsel, serta menangguhkan semua fungsi akun sementara.

Selengkapnya: The Hacker News

Malware macOS misterius baru menyusup ke pertukaran kripto

June 28, 2023 by Coffee Bean

Malware macOS baru dan aneh yang disebut “JokerSpy” telah diidentifikasi, dengan pembuatan backdoor pertama yang diketahui mengenai pertukaran crypto.
Sementara ancaman Mac relatif jarang dibandingkan dengan Windows, jumlah kasus di mana macOS menjadi targetnya terus bertambah. Dalam penemuan baru, tampaknya ada satu lagi malware pembuat backdoor untuk ditambahkan ke daftar potensi ancaman.

Awalnya dilaporkan oleh para peneliti oleh Bitdefender dengan penelitian independen yang juga dilakukan oleh Elastic Security Labs, malware yang dikenal sebagai JokerSpy masih relatif tidak dikenal, sebagian karena kurangnya sampel. Sejauh ini, BitDefender sedang mengerjakan total empat sampel, sementara Eastic berfokus pada pelanggaran “pertukaran mata uang digital terkemuka Jepang”.

Sebagai bagian dari konstruksi malware, ia menggunakan biner yang disebut “xcc” yang berisi file Mach-O untuk arsitektur Intel x86 dan ARM M1, secara teoritis memungkinkannya bekerja pada Intel dan Apple Silicon Mac. File memeriksa izin yang dikelola oleh sistem Transparansi, Persetujuan, dan Kontrol Apple.

Setelah menyalin database TCC yang ada untuk menghindari deteksi, executable xcc dijalankan, membuat backdoor berbasis python sebelum mengumpulkan informasi sistem yang kemudian dikirim kembali ke penyerang. Plugin dan payload lain dapat digunakan untuk mengamankan lebih banyak kontrol atas sistem.

Pelanggaran pada akhir Mei diikuti oleh alat Python baru yang dipasang pada 1 Juni, menjalankan alat enumerasi pasca eksploitasi yang disebut Swiftbelt.

Dengan begitu sedikit contoh untuk bekerja, dan keyakinan bahwa peretas pertukaran memiliki akses sebelumnya ke sistem target, tidak diketahui bagaimana malware dapat diperkenalkan ke Mac target di luar yang sudah memiliki beberapa bentuk akses.

Juga tidak diketahui siapa yang menciptakan malware di tempat pertama, tetapi dengan menargetkan pertukaran mata uang kripto, itu bisa menjadi serangan yang sangat canggih daripada serangan di mana rata-rata pengguna bisa menjadi mangsanya.

AppleInsider biasanya merekomendasikan pengguna Mac untuk tetap mendapatkan pembaruan macOS, sebagian karena Apple memasukkan perbaikan keamanan secara rutin. Pengguna juga harus menerapkan kebersihan online yang baik, termasuk menyadari seberapa tepercaya situs dan unduhan, membatasi distribusi informasi pribadi, dan menggunakan opsi keamanan yang tersedia jika memungkinkan.

sumber : appleinsider.com

WhatsApp mematikan aplikasi desktop berbasis Elektron, memaksa pengguna untuk beralih ke versi asli

June 28, 2023 by Coffee Bean

Mengakses WhatsApp di desktop kini tetap mudah seiring berjalannya waktu, melalui WhatsApp Web, aplikasi asli yang dapat diunduh dari Microsoft Store, dan aplikasi platform-agnostik yang dibangun dengan menggunakan kerangka Electron. Saat ini, WhatsApp telah mengumumkan akan menghentikan pengembangan aplikasi platform-agnostik tersebut, dan pengguna yang masih menggunakan aplikasi tersebut diharapkan untuk beralih ke aplikasi asli agar sistem operasi mereka tetap dapat mengakses WhatsApp.

Pada awal pengembangan WhatsApp untuk desktop, para pengembang membuat aplikasi berbasis kerangka JavaScript Electron. Pendekatan ini memungkinkan adanya penggunaan kode yang sama antara WhatsApp Web dan aplikasi desktop platform-agnostik yang baru, yang dapat digunakan pada Windows dan macOS. Sekitar empat minggu yang lalu, pengguna aplikasi desktop ini menemukan pengumuman tentang penutupan pengembangan aplikasi tersebut melalui sebuah penghitung waktu mundur yang muncul di layar utama

Doomsday sekarang ada di sini dan WABetaInfo melaporkan siapa pun yang mengunjungi aplikasi berbasis Elektron hanya melihat layar yang mengatakan “Aplikasi kedaluwarsa”. Aplikasi yang sudah tidak digunakan lagi dengan mudah tertaut ke aplikasi WhatsApp Desktop asli yang tersedia di Microsoft Store atau Mac App Store. Aplikasi asli baru telah stabil selama sekitar satu tahun sekarang, tetapi masih relatif baru. Beberapa pengguna mungkin mengeluhkan masa transisi yang terlalu singkat, atau aplikasi asli masih belum memiliki semua fungsi untuk pengguna bisnis, seperti manajemen katalog dan balasan cepat, dan mereka benar.

Namun, transisi terjadi dengan alasan yang bagus. Meskipun aplikasi Electron serbaguna dan portabel, itu tidak dioptimalkan untuk macOS atau Windows, menjadikannya aplikasi intensif sumber daya, terutama untuk mesin kelas bawah. Sebagai perbandingan, aplikasi asli yang baru dioptimalkan untuk setiap OS desktop dan menawarkan stabilitas yang lebih besar sambil memonopoli lebih sedikit sumber daya sistem.

Selain itu, WABetaInfo berharap aplikasi asli akan segera mengambil utilitas WhatsApp Business yang hilang, sekarang aplikasi Electron tidak bersaing untuk mendapatkan perhatian pengembang.

sumber : androidpolice.com

Trojan Anatsa Banking Menargetkan Pengguna di AS, Inggris, Jerman, Austria, dan Swiss

June 28, 2023 by Flamango

Sejak awal Maret 2023, kampanye malware Android baru telah diamati mendorong trojan perbankan Anatsa untuk menargetkan pelanggan perbankan di AS, Inggris, Jerman, Austria, dan Swiss.

Anatsa, dikenal dengan nama TeaBot dan Balita, adalah sebuah malware perbankan yang bertujuan mencuri kredensial pengguna dalam aplikasi mobile banking dan melakukan penipuan pengambilalihan perangkat (DTO) untuk memulai transaksi penipuan.

Dalam analisis oleh ThreatFabric, perusahaan keamanan cyber Belanda menyatakan bahwa aplikasi dropper Anatsa telah terinfeksi dan berhasil memperoleh lebih dari 30.000 instalasi melalui Google Play Store.

Anatsa pertama kali muncul pada awal tahun 2021 dan sering menyamar sebagai aplikasi utilitas yang tampaknya tidak berbahaya, seperti pembaca PDF, pemindai kode QR, dan aplikasi autentikasi dua faktor (2FA) di Google Play. Diam-diam Anatsa mengambil kredensial pengguna, dan kini telah menargetkan lebih dari 400 lembaga keuangan di seluruh dunia.

Anatsa mencatat aktivitas pengguna dengan menyalahgunakan izin aksesibilitas Android, serta dapat melewati mekanisme kontrol penipuan yang ada untuk melakukan transfer dana yang tidak sah.

Sulit bagi sistem anti-penipuan perbankan untuk mendeteksi serangan ini karena transaksi dilakukan dari perangkat yang sama yang biasa digunakan oleh nasabah bank sasaran, menurut ThreatFabric.

Dalam kampanye terbaru, Anatsa setelah terpasang membuat permintaan ke halaman GitHub yang mengarah ke URL GitHub lain yang menyimpan muatan berbahaya untuk mengelabui korban dengan menyamar sebagai add-on aplikasi.

Aspek penting dari dropper adalah penggunaan izin “REQUEST_INSTALL_PACKAGES” yang dibatasi, berulang kali dieksploitasi oleh aplikasi jahat melalui Google Play Store untuk menginstal malware tambahan pada perangkat yang terinfeksi. Berikut nama aplikasi selengkapnya.

Kelima aplikasi dropper itu telah diperbarui setelah publikasi awal mereka, diduga dilakukan secara diam-diam untuk menyelipkan fungsionalitas berbahaya setelah melewati proses peninjauan aplikasi saat pengiriman awal.

ThreatFabric menyatakan bahwa kampanye terbaru oleh Anatsa mengungkapkan ancaman yang berkembang yang dihadapi oleh bank dan lembaga keuangan dalam era digital saat ini. Mereka juga menekankan perlunya tindakan proaktif untuk melawan ancaman semacam itu.

Selengkapnya: The Hacker News

Peretas Cina Menggunakan Taktik ‘Never-Before-Seen’ untuk Serangan Infrastruktur Kritis

June 27, 2023 by Flamango

Aktor negara-bangsa Tiongkok yang baru ditemukan, Volt Typhoon, berasal dari CrowdStrike, yang melacak musuh dengan nama Vanguard Panda .

Volt Typhoon yang juga dikenal sebagai Bronze Silhouette, kelompok spionase siber dari Tiongkok yang dikaitkan dengan operasi intrusi jaringan terhadap pemerintah AS, pertahanan, dan organisasi infrastruktur penting lainnya.

Diamati telah aktif di alam liar sejak pertengahan 2020, dengan kru peretas yang terkait dengan metode yang belum pernah terlihat untuk mempertahankan akses jarak jauh ke target.

CrowdStrike menyebutkan bahwa musuh secara konsisten menggunakan eksploitasi ManageEngine Self-service Plus untuk mendapatkan akses awal, diikuti oleh web shell kustom untuk akses yang persisten, dan teknik living-off-the-land (LotL) untuk pergerakan lateral.

Perusahaan keamanan cyber tersebut melakukan analisis, menyediakan wawasan tentang tindakan dan teknik yang digunakan oleh Vanguard Panda dalam operasinya.

Vanguard Panda fokus pada keamanan operasional dan menggunakan seperangkat alat open-source yang ekstensif untuk melakukan tindakan jahat jangka panjang terhadap sejumlah korban.

Dalam satu insiden yang diungkapkan, Vanguard Panda menargetkan layanan Zoho ManageEngine ADSelfService Plus yang berjalan di server Apache Tomcat. Mereka menggunakan eksploitasi terhadap kerentanan kritis CVE-2021-40539 yang memungkinkan mereka untuk melakukan eksekusi kode jarak jauh.

Grup ini juga menggunakan shell web yang disamarkan sebagai solusi keamanan identitas untuk menghindari deteksi. Diyakini bahwa Shell web tersebut telah digunakan selama hampir enam bulan sebelum aktivitas ‘hands-on-keyboard’ terdeteksi, menunjukkan adanya pengintaian sebelumnya terhadap jaringan target.

Pelaku ancaman diduga menghapus artefak dan merusak log akses untuk menyembunyikan jejak. Namun, mereka melakukan kesalahan dengan tidak memperhitungkan sumber Java dan mengkompilasi file kelas yang dihasilkan selama serangan yang mengakibatkan penemuan lebih banyak shell web dan backdoor.

Backdoor yang dimodifikasi, ‘tomcat-websocket.jar’ ditemukan berisi tiga kelas Java baru. Shell web ini mampu menerima dan menjalankan perintah yang disandikan Base64 dan dienkripsi AES.

Penggunaan backdoor Apache Tomcat merupakan TTP persistensi yang sebelumnya tidak diketahui yang digunakan oleh Vanguard Panda. Grup ini menggunakan backdoor ini untuk mempertahankan akses persisten ke target bernilai tinggi setelah berhasil melakukan serangan menggunakan kerentanan zero-day.

Selengkapnya: The Hacker News

Game Super Mario yang Disisipi Trojan Digunakan Untuk Memasang Malware Windows

June 26, 2023 by Søren

Sebuah installer yang terinfeksi Trojan untuk permainan populer Super Mario 3: Mario Forever untuk Windows telah menginfeksi pemain yang tidak curiga dengan beberapa infeksi malware.

Para peneliti dari Cyble menemukan bahwa pelaku ancaman sedang mendistribusikan sampel yang dimodifikasi dari installer Super Mario 3: Mario Forever, yang didistribusikan sebagai arsip eksekutor ekstraksi diri melalui saluran yang tidak diketahui.

Permainan yang terinfeksi trojan ini kemungkinan dipromosikan di forum game, grup media sosial, atau diberikan kepada pengguna melalui malvertizing, Black SEO, dan sebagainya.

Arsip ini berisi tiga file eksekutor, satu yang menginstal permainan Mario yang sah (“super-mario-forever-v702e.exe”) dan dua lainnya, “java.exe” dan “atom.exe,” yang secara diam-diam diinstal ke direktori AppData korban selama proses instalasi permainan tersebut.

Setelah file eksekutor jahat berada di dalam disk, installer menjalankannya untuk menjalankan penambang XMR (Monero) dan klien penambangan SupremeBot.

File “java.exe” adalah penambang Monero yang mengumpulkan informasi tentang perangkat keras korban dan terhubung ke server penambangan di “gulf[.]moneroocean[.]stream” untuk memulai penambangan.

SupremeBot (“atom.exe”) membuat duplikat dari dirinya sendiri dan menempatkan salinan tersebut di folder tersembunyi di direktori instalasi permainan.

Selanjutnya, ia membuat tugas terjadwal untuk menjalankan salinan tersebut setiap 15 menit secara tidak terbatas, menyembunyikan dirinya dengan nama proses yang sah.

Proses awal diakhiri dan file asli dihapus untuk menghindari deteksi. Kemudian, malware ini membentuk koneksi C2 untuk mengirimkan informasi, mendaftarkan klien, dan menerima konfigurasi penambangan untuk memulai penambangan Monero.

Terakhir, SupremeBot mengambil muatan tambahan dari C2, yang tiba sebagai file eksekutor bernama “wime.exe.”

Selengkapnya: Bleeping Computer

Cloud Computing Bukan Lagi Slam Dunk

June 26, 2023 by Flamango

Perangkat keras data center yang murah dan biaya komputasi tinggi, memperumit kasus bisnis untuk penggunaan cloud publik.

Indeks Harga Produsen Biro Statistik Tenaga Kerja (PPI) melaporkan penurunan 3,9% dari bulan ke bulan dalam biaya komputer host dan server. Sementara, layanan cloud mengalami kenaikan harga sebesar 2,3%. Lonjakan tersebut terjadi setelah kuartal ketiga 2022.

Secara keseluruhan, PPI turun 0,3% di bulan Mei karena harga barang turun 1,6% dan biaya layanan naik 0,2%. Biro melacak cloud computing dalam kategori pemrosesan data, hosting, dan layanan terkait.

Dalam buku terbarunya, penulis menjelaskan bahwa cloud computing tidak boleh menjadi model konsumsi untuk semua aplikasi dan kumpulan data. Banyak perusahaan menekan tombol reset untuk beberapa sistem yang sudah ada di platform cloud, memulangkannya kembali ke data center tradisional dengan biaya yang lebih menarik.

Sepuluh tahun lalu, alasan beralih ke model konsumsi cloud publik sangat kuat, mulai dari penghematan biaya, resiko kerusakan dan pemeliharaan, dan memanfaatkan komputasi dan penyimpanan sebagai utilitas.

Peneliti menghadapi banyak tantangan tak terduga seperti terjun bebasnya harga perangkat keras data center dan kenaikan biaya layanan cloud computing. Kasus bisnis saat ini lebih kompleks daripada beberapa tahun yang lalu.

Penjualan dapat menghemat biaya operasional dengan menghindari banyak biaya modal (capex versus opex). Keuntungan tambahan adalah kelincahan dan kecepatan penyebaran. Namun, pengambilan keputusan berdasarkan pengeluaran aktual saja dapat menghilangkan nilai bisnis yang lebih sulit dipahami.

Selain itu, ada risiko kehilangan kekuatan strategis jika hanya mempertimbangkan persyaratan spesifik aplikasi dan kumpulan data. Jika ada pola penggunaan komputasi dan penyimpanan yang berulang, server tradisional dapat menjadi pilihan yang baik. Namun, aplikasi yang membutuhkan skalabilitas dan integrasi yang lebih dinamis cenderung lebih cocok dengan cloud publik.

Ada perusahaan yang memulai dengan cloud publik dan kemudian kembali ke server tradisional karena persyaratan komputasi dan penyimpanan yang dipahami dengan baik serta permintaan yang mudah direncanakan.

Namun, tidak semua aplikasi dan kumpulan data cocok untuk server tradisional. Cloud computing menjadi pilihan yang lebih baik untuk persyaratan yang lebih dinamis dan membutuhkan skalabilitas serta integrasi yang mulus.

Penting untuk tidak menjadikan cloud computing sebagai solusi default, penting untuk mempertanyakan manfaat dari setiap solusi teknologi. Evaluasi harus selalu diperbarui.

Selengkapnya: InfoWorld

Serangan Siber di Rumah Sakit Harus Dianggap sebagai ‘Bencana Regional,’ Demikian Temuan Para Peneliti

June 26, 2023 by Flamango

Serangan ransomware terhadap rumah sakit telah meningkat dan diperkirakan akan terus meningkat. Ekosistem ransomware telah berubah, dengan alat peretasan yang semakin mudah diakses oleh penjahat siber.

Pada awal Mei 2021, Pusat Kesehatan Universitas California San Diego mengalami serangan ransomware yang mengakibatkan lonjakan pasien di ruang gawat darurat.

Meskipun UC San Diego tidak menjadi target serangan tersebut, rumah sakit di ujung jalan, Scripps Health, mengalami serangan tersebut dan mengalami pencurian data pasien. Masalah tanggung jawab, undang-undang privasi, ketakutan akan kerusakan reputasi, dan serangan teknis, sehingga serangan Scripps dipublikasikan dan CEO Chris Van Gorder berperan menulis opini mengenai pelajaran yang dapat dipetik dari serangan di San Diego Tribun itu.

Scripps berjuang selama berminggu-minggu untuk kembali online, dan masih menghadapi akibatnya, setelah membayar $3,5 juta dalam penyelesaian hukum awal tahun ini dengan pasien yang datanya terungkap.

UC San Diego menanggapi dengan melakukan penelitian untuk mengungkap dampak serangan ransomware pada rumah sakit terdekat. Ditemukan bahwa serangan semacam itu dapat menyebabkan kendala sumber daya yang serius dan mempengaruhi perawatan yang membutuhkan waktu.

Penelitian lain dilakukan oleh Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri juga menyoroti tantangan yang dihadapi oleh sistem perawatan kesehatan selama serangan siber.

Dalam pandemi COVID-19, penelitian mencatat pembatalan atau penundaan operasi dan perawatan kanker, kurangnya ketersediaan pusat pengujian COVID-19, hilangnya komunikasi antar rumah sakit, dan dampak lainnya. Meskipun tidak ada korelasi langsung antara serangan siber dan peningkatan kematian, dampaknya terlihat jelas.

Penelitian bertujuan untuk menghasilkan lebih banyak data dan mendorong penelitian serupa di masa depan, serta memulai percakapan tentang pengembangan protokol tanggap darurat untuk menangani serangan siber sebagai bencana alam.

Dengan menyediakan data yang kuat, pemangku kepentingan diharapkan menggunakan sumber daya untuk memperbaiki masalah ini, dan diharapkan akan ada lebih banyak keterbukaan dan berbagi informasi tentang serangan ransomware terhadap rumah sakit di masa depan.

Dalam menghadapi serangan semacam itu, penting untuk memperluas penelitian dan memperhatikan sektor infrastruktur penting lainnya yang juga rentan terhadap serangan siber, juga penting untuk melibatkan pasien dalam diskusi dan memberitahu mereka tentang risiko siber.

Pendidikan dan persiapan sebelum serangan terjadi akan menjadi langkah penting untuk merespons dengan cepat dan efektif saat bencana melanda.

Selengkapnya: npr

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings