Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

Tantangan TikTok ‘Invisible Body’ Dieksploitasi Untuk mendorong Malware

by

Peretas memanfaatkan tantangan TikTok yang sedang tren bernama ‘Tantangan Tak Terlihat’ untuk menginstal malware di ribuan perangkat dan mencuri kata sandi, akun Discord, dan, berpotensi, dompet cryptocurrency.

Tantangan TikTok yang baru dan sedang tren mengharuskan Anda memfilmkan diri Anda telanjang saat menggunakan filter “Tubuh Tak Terlihat” TikTok, yang menghapus tubuh dari video dan menggantinya dengan latar belakang buram.

Untuk memanfaatkan ini, pelaku ancaman membuat video TikTok yang mengklaim menawarkan filter “unfiltering” khusus untuk menghapus efek penyamaran tubuh TikTok dan mengekspos tubuh telanjang para TikToker.

perangkat lunak tersebut palsu dan menginstal malware “WASP Stealer (Discord Token Grabber)”, yang mampu mencuri akun Discord, kata sandi, dan kartu kredit yang disimpan di browser, dompet cryptocurrency, dan bahkan file dari komputer korban.

Video-video ini menerima lebih dari satu juta tampilan segera setelah diposting, dengan salah satu server Discord aktor ancaman mengumpulkan lebih dari 30.000 anggota.

Menargetkan tren TikTok
Pengguna TikTok yang sekarang ditangguhkan @learncyber dan @kodibtc membuat video untuk mempromosikan aplikasi perangkat lunak untuk “menghapus filter badan tak terlihat” yang ditawarkan di server Discord bernama “Space Unfilter.”

Pelaku ancaman telah memindahkan server Discord ini, tetapi Checkmarx menyatakan bahwa mereka memiliki sekitar 32.000 anggota pada satu titik.

Video TikTok yang diposting oleh penyerang (Checkmarx)

Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Serangan ini sangat sukses sehingga repositori jahat tersebut telah mencapai status “proyek GitHub yang sedang tren”, dan meskipun telah diganti namanya, saat ini memiliki 103 bintang dan 18 garpu

Paket jahat menyalin kode asli tetapi berisi modifikasi untuk menginstal malware WASP di host.

“Serangan ini menunjukkan lagi bahwa penyerang dunia maya telah mulai memusatkan perhatian mereka pada ekosistem paket sumber terbuka; Kami percaya tren ini hanya akan meningkat pada tahun 2023.”

Server Discord “Unfilter Space” dibuat offline, dengan pelaku ancaman mengklaim telah pindah ke server lain.

sumber : bleeping computer

Peringatan Lorenz Ransomware: Risiko pada Sektor Layanan Kesehatan dan Sektor Publik

by

Organisasi kesehatan dan sektor publik besar terus diserang oleh penyerang yang menggunakan ransomware Lorenz, pakar keamanan siber memperingatkan.

“Lorenz digunakan untuk menargetkan organisasi yang lebih besar dalam apa yang disebut ‘perburuan besar’, dan mempublikasikan data secara publik sebagai bagian dari menekan korban dalam proses pemerasan,” menurut peringatan keamanan baru dari Departemen Kesehatan dan Layanan Kemanusiaan AS.

“Relatif sedikit yang diketahui tentang Lorenz dibandingkan dengan banyak operator ransomware lainnya,” kata Pusat Koordinasi Keamanan Siber Sektor Kesehatan HHS, atau HC3.

Ransomware Lorenz pertama kali terlihat di alam liar pada Februari 2021, dan tampaknya terkait dengan ransomware sZ40 – pertama kali terlihat pada Oktober 2020 – serta ransomware ThunderCrypt, yang berasal dari Mei 2017, menurut HHS.

Di antara kesamaan: “Lorenz menggunakan encryptor yang sama dengan ThunderCrypt, yang dapat menunjukkan operasi oleh grup yang sama, atau pembelian atau pencurian kode.” Selain itu, file yang dienkripsi oleh Lorenz memiliki .Lorenz.sz40 yang ditambahkan ke nama file.

Korban Lorenz yang diketahui termasuk Wolfe Eye Clinic di Iowa, yang menjadi korban pada April 2021, dan menolak membayar uang tebusan. Informasi kesehatan yang dilindungi hingga 500.000 pasien terpapar.

Di antara korban baru-baru ini, Lorenz pada 14 November mengklaim melalui situs kebocoran datanya telah melanggar Salud Family Health of Colorado, lapor firma intelijen ancaman Kela.

KEmudian diikuti oleh Salud Family Health pada bulan Oktober memperingatkan HHS bahwa mereka telah mengalami pelanggaran pada bulan September yang mempengaruhi jumlah pasien yang belum ditentukan, seperti yang pertama kali dilaporkan oleh Databreaches.net.

Dalam pemberitahuan pelanggarannya, Salud memberi tahu para korban bahwa “nama, nomor Jaminan Sosial, nomor SIM atau nomor kartu identitas Colorado, informasi akun keuangan/nomor kartu kredit, nomor paspor, informasi perawatan medis dan diagnosis, informasi asuransi kesehatan, data biometrik, dan nama pengguna dan kata sandi” mungkin telah terungkap.

Selengkapnya: Data Breach Today

Microsoft: Popular IoT SDKs Leave Critical Infrastructure Wide Open to Cyberattack

by

Microsoft minggu ini mengidentifikasi vektor serangan menganga untuk menonaktifkan sistem kontrol industri (ICS), yang sayangnya menyebar di seluruh jaringan infrastruktur penting: server Web Boa.

Mungkin tampak aneh bahwa server akhir masa pakai yang berusia hampir 20 tahun masih berkeliaran, tetapi Boa termasuk dalam serangkaian kit pengembang perangkat lunak (SDK) populer yang digunakan pengembang perangkat Internet of Things dalam desain kritis mereka. komponen untuk ICS,

Ini termasuk SDK yang dirilis oleh RealTek yang digunakan dalam SOC yang disediakan untuk perusahaan yang memproduksi perangkat gateway seperti router, titik akses, dan repeater, catat para peneliti.

Ternyata komponen yang rentan dalam serangan tersebut adalah server Web Boa. Menurut postingan blog Microsoft Security Threat Intelligence yang diterbitkan pada 22 November, server Web dan kerentanan yang diwakilinya dalam rantai pasokan komponen IoT seringkali tidak diketahui oleh pengembang dan administrator yang mengelola sistem dan berbagai perangkatnya.

Membuat Penemuan
kelompok ancaman Hive mengklaim serangan ransomware pada Tata Power di India. Dan dalam pelacakan aktivitas mereka yang berkelanjutan, para peneliti terus melihat penyerang mencoba mengeksploitasi kerentanan Boa, “menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan” dan akan terus menjadi satu selama server ini digunakan.

maka dari hal tersebut jaringan ICS untuk mengidentifikasi kapan server Boa yang rentan sedang digunakan dan untuk menambal kerentanan sedapat mungkin, serta mengambil tindakan lain untuk mengurangi risiko dari serangan di masa mendatang, kata para peneliti

tindakan yang perlu dipertimbangkan untuk mitigasi termasuk menggunakan pemindaian antivirus proaktif untuk mengidentifikasi muatan berbahaya pada perangkat; mengonfigurasi aturan deteksi untuk mengidentifikasi aktivitas berbahaya jika memungkinkan; dan mengadopsi solusi IoT dan OT yang komprehensif untuk memantau perangkat, merespons ancaman, dan meningkatkan visibilitas untuk mendeteksi dan memperingatkan saat perangkat IoT dengan Boa digunakan sebagai titik masuk ke jaringan.

sumber : dark reading

Grup ‘Donut’ Mulai Menyerang Korban dengan Ransomware

by

Grup pemerasan Donut (D0nut) telah dikonfirmasi untuk menyebarkan ransomware dalam serangan pemerasan ganda pada perusahaan perusahaan.

Anehnya, data untuk Sando dan DESFA juga diposting ke beberapa situs operasi ransomware, dengan serangan Sando diklaim oleh ransomware Hive dan DESFA diklaim oleh Ragnar Locker.

Ransomware Donut
Minggu ini, BleepingComputer menemukan sampel [VirusTotal] dari sebuah encryptor untuk operasi Donut, alias D0nut, yang menunjukkan bahwa grup tersebut menggunakan ransomware yang disesuaikan sendiri untuk serangan pemerasan ganda.

Saat file dienkripsi, ransomware Donut akan menambahkan ekstensi .d0nut ke file terenkripsi. Jadi, misalnya 1.jpg akan dienkripsi dan diganti namanya menjadi 1.jpg.d0nut, seperti yang ditunjukkan di bawah ini.

File dienkripsi oleh Donut Ransomware
Sumber: BleepingComputer

Operasi Donut Leaks memiliki bakat untuk sandiwara, menggunakan grafik yang menarik, sedikit humor, dan bahkan menawarkan pembangun untuk dapat dieksekusi yang bertindak sebagai pintu gerbang ke situs kebocoran data Tor mereka (lihat di bawah).

Nota Ransom Donut

Catatan ransomware lain yang dilihat oleh BleepingComputer berpura-pura menjadi prompt perintah yang menampilkan kesalahan PowerShell, yang kemudian mencetak catatan tebusan bergulir.

Catatan tebusan sangat dikaburkan untuk menghindari deteksi, dengan semua string dikodekan dan JavaScript mendekode catatan tebusan di browser.

Operasi Donut ransomware juga menyertakan “pembangun” di situs kebocoran data mereka yang terdiri dari skrip bash untuk membuat aplikasi Windows dan Linux Electron dengan klien Tor yang dibundel untuk mengakses situs kebocoran data mereka.

Aplikasi elektron D0nut ransomware

Secara keseluruhan, kelompok pemerasan ini adalah salah satu yang harus diperhatikan, tidak hanya karena keterampilan mereka yang tampak tetapi juga kemampuan mereka untuk memasarkan diri mereka sendiri.

sumber : bleeping computer

Aplikasi File Android Menginfeksi Ribuan Orang dengan Malware Sharkbot

by

Kumpulan baru aplikasi Android berbahaya yang berpura-pura sebagai pengelola file yang tidak berbahaya telah menyusup ke toko aplikasi resmi Google Play, menginfeksi pengguna dengan trojan perbankan Sharkbot.

Aplikasi tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya nanti dari sumber daya jarak jauh.

Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot.

Pengelola File Palsu Menginfeksi Android
Sharkbot adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store.

X-File Manager di Google Play (Bitdefender)

Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

Daftar aplikasi bank seluler yang ditargetkan oleh malware ditampilkan di bawah, tetapi seperti yang dicatat Bitdefender, pelaku ancaman dapat memperbarui daftar ini dari jarak jauh kapan saja.

Bank yang ditargetkan oleh kampanye Sharkbot ini (Bitdefender)

Aplikasi jahat meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll.

Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal.

Aplikasi jahat kedua yang memasang trojan perbankan adalah ‘FileVoyager’ oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play.

FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah ‘LiteCleaner M’ (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

sumber : bleeping computer

Google Mengidentifikasi 34 Versi Crack Alat Peretasan Cobalt Strike Populer di Alam Liar

by

Google Cloud minggu lalu mengungkapkan bahwa mereka mengidentifikasi 34 versi rilis yang diretas dari alat Cobalt Strike di alam liar, yang paling awal dikirim pada November 2012.

Cobalt Strike, dikembangkan oleh Fortra (née HelpSystems), adalah kerangka kerja permusuhan populer yang digunakan oleh tim merah untuk mensimulasikan skenario serangan dan menguji ketahanan pertahanan dunia maya mereka.

“Sementara niat Cobalt Strike adalah untuk meniru ancaman dunia maya yang nyata, aktor jahat telah memanfaatkan kemampuannya, dan menggunakannya sebagai alat yang kuat untuk pergerakan lateral di jaringan korban mereka sebagai bagian dari muatan serangan tahap kedua mereka,” Greg Sinclair, seorang insinyur balik di anak perusahaan Google Chronicle, mengatakan.

Dalam upaya untuk mengatasi penyalahgunaan ini, GCTI telah merilis seperangkat Aturan YARA open source untuk menandai berbagai varian perangkat lunak yang digunakan oleh grup peretas berbahaya.

Idenya adalah untuk “mengecualikan versi buruk sambil membiarkan yang sah tidak tersentuh,” kata Sinclair, menambahkan “niat kami adalah untuk memindahkan alat kembali ke domain tim merah yang sah dan mempersulit orang jahat untuk menyalahgunakan.”

sumber : the hacker news

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

by

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer