Cyber Attack

CISA: Agen federal diretas menggunakan alat desktop jarak jauh yang sah

January 27, 2023 by Søren

CISA, NSA, dan MS-ISAC memperingatkan hari ini dalam peringatan bersama bahwa penyerang semakin sering menggunakan perangkat lunak pemantauan dan manajemen jarak jauh (RMM) yang sah untuk tujuan berbahaya.

Yang lebih mengkhawatirkan, CISA menemukan aktivitas jahat dalam jaringan beberapa lembaga cabang eksekutif sipil federal (FCEB) menggunakan sistem deteksi intrusi EINSTEIN setelah rilis laporan Silent Push pada pertengahan Oktober 2022.

Aktivitas ini terkait dengan “kampanye phishing yang tersebar luas dan termotivasi secara finansial” yang dilaporkan oleh Silent Push dan terdeteksi di “banyak jaringan FCEB lainnya” setelah pertama kali terlihat di satu jaringan FCEB pada pertengahan September 2022.

Penyerang di balik kampanye ini mulai mengirim email phishing bertema help desk ke pemerintah staf federal dan alamat email pribadi setidaknya sejak pertengahan Juni 2022.

“Organisasi penulis menilai bahwa setidaknya sejak Juni 2022, pelaku kejahatan dunia maya telah mengirim email phishing bertema meja bantuan ke alamat email pribadi staf federal FCEB dan pemerintah,” bunyi penasihat itu.

“Email tersebut berisi tautan ke domain jahat ‘tahap pertama’ atau meminta penerima untuk memanggil penjahat dunia maya, yang kemudian mencoba meyakinkan penerima untuk mengunjungi domain berbahaya tahap pertama.”

Serangan callback phishing seperti yang menargetkan staf FCEB dalam kampanye ini telah mengalami pertumbuhan besar-besaran sebesar 625% sejak Q1 2021 dan juga telah diadopsi oleh geng ransomware.

Grup ini termasuk grup yang terpisah dari operasi kejahatan dunia maya Conti, seperti Silent Ransom Group, Quantum (sekarang Dagon Locker), dan Royal.

Selengkapnya: Bleeping Computer

Lebih dari 4.500 Situs WordPress Diretas untuk Mengarahkan Pengunjung ke Halaman Iklan yang Samar

January 26, 2023 by Coffee Bean

Menurut Sucuri milik GoDaddy, infeksi tersebut melibatkan injeksi JavaScript yang dikaburkan yang dihosting di domain jahat bernama “track[.]violetlovelines[.]com” yang dirancang untuk mengarahkan pengunjung ke situs yang tidak diinginkan.

Kode nakal dimasukkan ke dalam file WordPress index.php, dengan Sucuri mencatat bahwa itu telah menghapus perubahan tersebut dari lebih dari 33.000 file di situs yang disusupi dalam 60 hari terakhir.

Kampanye malware ini secara bertahap beralih dari halaman scam pemberitahuan push CAPTCHA palsu terkenal ke ‘jaringan iklan’ topi hitam yang berganti-ganti antara pengalihan ke situs web yang sah, samar, dan murni berbahaya.

Google sejak itu masuk untuk memblokir salah satu domain jahat yang terlibat dalam skema pengalihan, mengklasifikasikannya sebagai situs tidak aman yang memasang “perangkat lunak yang tidak diinginkan atau berbahaya di komputer pengunjung”.

Untuk mengurangi ancaman tersebut, pemilik situs WordPress disarankan untuk mengubah kata sandi dan memperbarui tema dan plugin yang diinstal serta menghapus yang tidak digunakan atau ditinggalkan oleh pengembangnya.

Selengkapnya : thehackernews

Hacker menggunakan Attachments Microsoft OneNote untuk Menyebarkan Malware

January 23, 2023 by Coffee Bean

Pelaku ancaman sekarang menggunakan Attachment OneNote di email phishing yang menginfeksi korban dengan malware akses jarak jauh yang dapat digunakan untuk menginstal malware lebih lanjut, mencuri kata sandi, atau bahkan dompet cryptocurrency.

Ini terjadi setelah penyerang mendistribusikan malware di email menggunakan Attchment Word dan Excel berbahaya yang meluncurkan makro untuk mengunduh dan menginstal malware selama bertahun-tahun.

Menyalahgunakan Attachment OneNote

Microsoft OneNote adalah aplikasi notebook digital desktop yang dapat diunduh secara gratis dan disertakan dalam Microsoft Office 2019 dan Microsoft 365.

Karena Microsoft OneNote terinstal secara default di semua instalasi Microsoft Office/365, bahkan jika pengguna Windows tidak menggunakan aplikasi tersebut, masih tersedia untuk membuka format file.

Sebagai gantinya, OneNote memungkinkan pengguna untuk memasukkan Attachment ke dalam Buku Catatan yang, ketika diklik dua kali, akan meluncurkan Attachment tersebut.

Pelaku ancaman menyalahgunakan fitur ini dengan melampirkan Attachment VBS berbahaya yang secara otomatis meluncurkan skrip saat diklik dua kali untuk mengunduh malware dari situs jarak jauh dan memasangnya.

Untungnya, saat meluncurkan Attachment OneNote, program memperingatkan Anda bahwa hal itu dapat membahayakan komputer dan data Anda.

Namun sayangnya, sejarah telah menunjukkan kepada kita bahwa jenis permintaan ini biasanya diabaikan, dan pengguna cukup mengeklik tombol OK.

Melindungi dari ancaman ini
Setelah diinstal, malware jenis ini memungkinkan pelaku ancaman mengakses perangkat korban dari jarak jauh untuk mencuri file, menyimpan kata sandi browser, mengambil screenshot, dan dalam beberapa kasus, bahkan merekam video menggunakan webcam.

Cara terbaik untuk melindungi diri Anda dari Attachment malicious adalah dengan tidak membuka file dari orang yang tidak Anda kenal. Namun, jika Anda salah membuka file, jangan abaikan peringatan yang ditampilkan oleh sistem operasi atau aplikasi.

sumber : bleepingcomputer

Entitas Pemerintah Iran Diserang oleh Gelombang Baru Serangan Diplomasi Backdoor

January 20, 2023 by Flamango

Aktor ancaman yang dikenal sebagai BackdoorDiplomacy telah dikaitkan dengan gelombang serangan baru yang menargetkan entitas pemerintah Iran antara Juli dan akhir Desember 2022.

Palo Alto Networks Unit 42 melacak aktivitas di bawah moniker bertema konstelasi Playful Taurus. Pihaknya mengamati domain pemerintah yang mencoba terhubung ke infrastruktur malware yang sebelumnya diidentifikasi terkait dengan musuh.

Pada Desember 2021, Microsoft mengumumkan penyitaan 42 domain yang dioperasikan oleh grup tersebut dalam serangannya yang menargetkan 29 negara.

Pelaku ancaman baru-baru ini dikaitkan dengan serangan terhadap perusahaan telekomunikasi yang tidak disebutkan namanya di Timur Tengah menggunakan Quarian, pendahulu Turian yang memungkinkan titik akses jarak jauh ke jaringan yang ditargetkan.

Backdoor Turian dalam versi barunya menampilkan kebingungan tambahan serta algoritma dekripsi yang diperbarui yang digunakan untuk mengekstrak server C2. Namun, malware itu sendiri bersifat umum karena menawarkan fungsi dasar untuk memperbarui server C2 agar terhubung, menjalankan perintah, dan menelurkan shell terbalik.

BackdoorDiplomacy menargetkan Iran karena alasan ekstensi geopolitik yang datang dengan latar belakang perjanjian bilateral komprehensif 25 tahun yang ditandatangani antara China dan Iran untuk mendorong kerja sama ekonomi, militer, dan keamanan.

Selengkapnya: The Hacker News

Malware Batloader Menyalahgunakan Alat yang Sah, Menggunakan File JavaScript yang Dikaburkan dalam Serangan Q4 2022

January 20, 2023 by Søren

Kami membahas kampanye malware Batloader yang kami amati pada kuartal terakhir tahun 2022, termasuk analisis kami tentang peristiwa terkait Water Minyades (Ini adalah rangkaian intrusi yang kami lacak di balik pembuatan Batloader).

Batloader (terdeteksi oleh Trend Micro sebagai Trojan.Win32.BATLOADER), adalah keluarga malware akses awal yang dikenal menggunakan teknik malvertising dan menggunakan malware berbasis skrip di dalam paket Instalasi Perangkat Lunak Microsoft (MSI) yang diunduh dari paket yang terlihat sah namun berbahaya situs web. Awal tahun ini, peneliti Mandiant mengamati Batloader menggunakan teknik keracunan mesin pencari (SEO) dalam serangannya.

Batloader dikaitkan dengan set intrusi yang kami beri nama “Water Minyades”. Para pelaku di balik Water Minyades dikenal mengirimkan malware lain selama kuartal terakhir tahun 2022, seperti Qakbot, RaccoonStealer, dan Bumbleloader melalui teknik rekayasa sosial.

Batloader biasanya tiba melalui situs web jahat yang menyamar sebagai perangkat lunak atau aplikasi yang sah. Korban dapat dialihkan ke situs web ini melalui teknik malvertising dan komentar palsu di forum yang berisi tautan yang mengarah ke situs web distribusi Batloader.

Water Minyades dikenal sangat mengandalkan teknik penghindaran pertahanan, salah satunya adalah menyebarkan payload dengan ukuran file yang sangat besar untuk menghindari analisis kotak pasir dan batas ukuran file mesin antivirus.

Water Minyades juga menyalahgunakan alat yang sah, seperti alat manajemen sistem NSudo dan alat enkripsi email dan file Gpg4win, untuk meningkatkan hak istimewa dan mendekripsi muatan berbahaya.

TRENDMICRO

Royal Mail Mendesak Pelanggan untuk Tidak Mengirim Barang ke Luar Negeri Setelah Serangan Siber

January 19, 2023 by Flamango

Royal Mail mengeluarkan peringatan kepada pelanggan setelah serangan siber di luar negeri. Royal Mail belum membuat pembaruan apa pun tentang kapan insiden tersebut kemungkinan akan diselesaikan.

Layanan pos memperingatkan pelanggan untuk sementara tidak mengirim barang ke luar negeri dulu. Namun, Royal Mail tidak memberikan pembaruan apa pun mengenai kapan insiden tersebut kemungkinan akan diselesaikan dan pengiriman akan dilanjutkan.

Sebuah pusat distribusi Royal Mail di Irlandia Utara mengungkapkan printernya mulai memuntahkan salinan catatan tebusan pada hari Selasa, dengan mengatakan ‘data Anda dicuri dan dienkripsi’.

Royal Mail tidak akan mengomentari laporan peretasan tersebut, tetapi mengatakan telah meluncurkan penyelidikan insiden tersebut dan telah melaporkannya kepada regulator dan otoritas keamanannya.

Royal Mail juga meminta pelanggan untuk tidak mengirim barang internasional sampai pemberitahuan lebih lanjut demi mendukung pemulihan yang lebih cepat dan mencegah penumpukan barang yang diekspor di jaringannya.

Gangguan yang sudah dialami beberapa bulan terakhir ini menyebabkan malapetaka bagi bisnis yang mengandalkan layanan pengiriman.

Selengkapnya: edinburghlive

Kerentanan Keamanan Kritis Ditemukan di Router Netcomm dan TP-Link

January 19, 2023 by Coffee Bean

Kerentanan keamanan telah diungkapkan di router Netcomm dan TP-Link, beberapa di antaranya dapat dipersenjatai untuk mencapai eksekusi kode jarak jauh.

Cacat, dilacak sebagai CVE-2022-4873 dan CVE-2022-4874, menyangkut kasus buffer overflow berbasis stack dan bypass otentikasi dan berdampak pada model router Netcomm NF20MESH, NF20, dan NL1902 yang menjalankan versi firmware lebih awal dari R6B035.

“Dua kerentanan, ketika dirangkai bersama, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah penasehat yang diterbitkan Selasa.

Peneliti keamanan Brendan Scarvell telah dipuji karena menemukan dan melaporkan masalah tersebut pada Oktober 2022.

Peneliti Microsoft James Hull telah diakui untuk mengungkap dua bug. The Hacker News telah menghubingi TP-Link untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

sumber :thehackernews

Ransomware Vice Society Membocorkan Data University of Duisburg-Essen

January 18, 2023 by Flamango

Geng ransomware Vice Society telah mengaku bertanggung jawab atas serangan dunia maya November 2022 di Universitas Duisburg-Essen (UDE) yang memaksa universitas untuk merekonstruksi infrastruktur TI-nya, sebuah proses yang masih berlangsung.

Pelaku ancaman juga membocorkan file yang mereka klaim telah dicuri dari universitas selama pelanggaran jaringan, mengungkap detail yang berpotensi sensitif tentang operasi, mahasiswa, dan personil universitas.

Kemudian UDE mengkonfirmasi bahwa mereka mengetahui pelaku ancaman menerbitkan data yang dicuri dan mengatakan bahwa mereka tidak akan membayar uang tebusan.

File yang bocor termasuk arsip cadangan, dokumen keuangan, makalah penelitian, dan spreadsheet siswa. Meskipun tampaknya asli, kami tidak memiliki cara untuk memastikan keasliannya.

Serangan yang banyak terjadi membuat FBI, CISA, dan MS-ISAC merilis peringatan penasehat bersama bahwa geng ransomware semakin menargetkan distrik sekolah AS.

Membangun Kembali Infrastruktur TI UDE
Serangan dunia maya diungkapkan oleh UDE pada 28 November 2022, memaksa universitas untuk menutup semua email, komunikasi, dan sistem TI hingga pemberitahuan lebih lanjut.

Meski spesialis TI UDE telah mengembalikan beberapa sistem inti ke status fungsional dan melakukan penyetelan ulang kata sandi secara luas untuk platform pembelajaran online yang memengaruhi 40.000 orang, UDE masih jauh dari kembali ke operasi normal.

UDE menjelaskan bahwa serangan siber telah memengaruhi 1.200 server dan membahayakan sistem otorisasi pusat, jadi memulihkan semua ini tidak praktis.

CISO UDE, Marius Mertens, pada wawancara tahun 2019, membahas keberhasilan mitigasi serangan ransomware. Menyoroti pentingnya superkomputer universitas, yang menempati peringkat 500 teratas di Eropa, dan menjelaskan bahwa gangguan pada operasinya akan mengakibatkan kerugian finansial yang signifikan.

Selengkapnya: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings