Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

by

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Peretas telah menemukan cara baru untuk masuk ke akun Microsoft 365 Anda

by

Aktor ancaman yang disponsori negara Rusia, Cozy Bear (alias APT29 atau Nobelium) menemukan taktik baru untuk menyelinap ke akun Microsoft 365, dalam upaya untuk mencuri intelijen kebijakan luar negeri yang sensitif.

Hal tesebut berdasarkan laporan dari Siber Mandiant, yang mengklaim bahwa Cozy Bear menggunakan tiga teknik untuk mengeksekusi (dan menyamarkan) serangan:

  • Menonaktifkan Audit Lingkup sebelum terlibat dengan akun email yang disusupi
  • Brute-forcing Kata sandi Microsoft 365 yang belum mendaftar di otentikasi multi-faktor (MFA)
  • Menutupi jejak dengan menggunakan Mesin Virtual Azure melalui akun yang disusupi, atau dengan membeli layanan

Serangan baru pada Microsoft 365
Dalam Purview Audit para peneliti mengingatkan, fitur keamanan tingkat tinggi mencatat jika seseorang mengakses akun email di luar program (baik melalui browser, Graph API, atau melalui Outlook). Dengan begitu, departemen TI dapat mengelola semua akun dan memastikan tidak ada akses yang tidak sah.

Namun, APT29 mengetahui fitur ini dan memastikan untuk menonaktifkannya sebelum mengakses email.

Para peneliti juga menemukan Cozy Bear menyalahgunakan proses pendaftaran mandiri untuk MFA di Azure Active Directory (AD). Saat pengguna mencoba masuk untuk pertama kalinya, mereka harus mengaktifkan MFA di akun terlebih dahulu.

Pelaku ancaman sedang mencari cara untuk menghindari fitur ini dengan memaksa akun yang belum mendaftar ke fitur keamanan siber tingkat lanjut. Kemudian mereka menyelesaikan proses atas nama korban, memberikan akses tak terbatas ke infrastruktur VPN organisasi target ke seluruh jaringan dan endpoints.

Bagaimanapun, mesin virtual Azure sudah berisi alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, tim TI kesulitan membedakan lalu lintas biasa dari lalu lintas berbahaya. Cozy Bear selanjutnya dapat menyembunyikan aktivitas Azure AD-nya dengan mencampurkan URL alamat aplikasi biasa dengan aktivitas jahat.

Kemungkinan pengguna biasa menjadi sasaran kelompok ancaman diyakini relatif rendah, tetapi organisasi besar perlu mewaspadai vektor serangan, yang dapat digunakan untuk menargetkan eksekutif profil tinggi dan orang lain yang memiliki akses ke informasi sensitif.

Sumber: Tech Radar

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

by

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Peretas menemukan cara untuk melewati otentikasi multi-faktor

by

Sering dikatakan bahwa hal terpenting yang dapat Anda lakukan untuk melindungi akun dan jaringan yang lebih luas dari peretas adalah dengan menggunakan otentikasi multi-faktor (MFA).

MFA menciptakan dan penghalang tambahan untuk penyerang karena mengharuskan pengguna untuk memverifikasi tambahan bahwa upaya login benar-benar dilakukan oleh mereka. Verifikasi ini dapat melalui pesan SMS, aplikasi autentikator, atau bahkan kunci keamanan fisik. Jika penyerang memiliki kata sandi, tetapi bukan pesan verifikasi atau perangkat fisik, maka sistem tidak akan membiarkan mereka masuk dan mereka tidak dapat melanjutkan lebih jauh.

Baru-baru ini ada lonjakan serangan cyber yang bertujuan untuk menghindari keamanan otentikasi multi-faktor masa lalu. Menurut Microsoft, hanya dalam satu kampanye, 10.000 organisasi telah ditargetkan dengan cara ini selama setahun terakhir.

Salah satu opsi bagi peretas yang ingin menyiasati MFA adalah dengan menggunakan apa yang disebut serangan adversary-in-the-middle (AiTM) yang menggabungkan serangan phishing dengan server proxy antara korban dan situs web yang mereka coba masuki. Ini memungkinkan penyerang untuk mencuri kata sandi dan cookie sesi yang memberikan tingkat otentikasi tambahan yang dapat mereka manfaatkan – dalam hal ini untuk mencuri email. Pengguna hanya berpikir bahwa mereka telah masuk ke akun mereka seperti biasa.

Itu karena penyerang tidak merusak MFA sendiri, mereka telah berhasil melewatinya dengan mencuri cookie, dan sekarang dapat menggunakan akun seolah-olah mereka adalah pengguna, bahkan jika mereka pergi dan kembali lagi nanti. Itu berarti meskipun ada otentikasi multi-faktor, sayangnya dibuat berlebihan dalam situasi ini – dan itu buruk untuk semua orang.

Jadi, meskipun otentikasi multi-faktor sering menjadi penghalang, serangan ini menunjukkan bahwa itu tidak sempurna.

Dan ada skenario lain yang dapat dimanfaatkan untuk melewati otentikasi multi-faktor juga, karena dalam banyak kasus, sebuah kode diperlukan, dan seseorang harus memasukkan kode itu. Dan orang dapat ditipu atau dimanipulasi bahkan saat teknologi mencoba melindungi kita.

Dibutuhkan sedikit lebih banyak upaya dari penyerang, tetapi dimungkinkan untuk mengambil kode-kode ini. Misalnya, verifikasi SMS masih merupakan metode umum MFA bagi banyak orang, terutama untuk hal-hal seperti rekening bank dan kontrak telepon. Dalam beberapa kasus, pengguna diharuskan membacakan kode melalui telepon atau memasukkannya ke dalam layanan.

Ini adalah proses yang berpotensi rumit, tetapi mungkin saja penjahat dunia maya memalsukan saluran bantuan dan layanan lain yang meminta kode ke perangkat – terutama jika orang mengira mereka sedang berbicara dengan seseorang yang mencoba membantu mereka. Itu sebabnya banyak layanan akan mengawali kode SMS dengan peringatan bahwa mereka tidak akan pernah menelepon Anda untuk memintanya.

Metode lain yang dapat dimanfaatkan penjahat dunia maya untuk mem-bypass MFA adalah dengan menggunakan malware yang secara aktif mencuri kode. Misalnya, peretas dapat memperoleh akses ke akun dengan menggunakan malware trojan untuk melihat pengguna mendapatkan akses ke akun mereka, kemudian menggunakan akses yang mereka miliki dari perangkat yang terinfeksi untuk menjalankan bisnis mereka.

Sementara kata sandi yang kuat membantu Anda mengamankan akun online Anda yang berharga, otentikasi dua faktor berbasis perangkat keras membawa keamanan itu ke tingkat berikutnya.

Ada juga potensi bagi mereka untuk mengambil kendali perangkat tanpa sepengetahuan korban, menggunakan aplikasi authenticator dan menggunakan kode yang disediakan untuk mengakses akun yang mereka cari dari komputer lain dari jarak jauh.

Sejauh menyangkut jaringan atau akun, karena otentikasi telah digunakan dengan benar, itu adalah pengguna sah yang menggunakan layanan tersebut. Tetapi ada tanda-tanda jaringan dan tim keamanan informasi mana yang dapat diatur untuk diwaspadai, tanda-tanda ada sesuatu yang mungkin tidak benar, bahkan jika detail yang benar digunakan.

Meskipun tidak sepenuhnya sempurna, menggunakan otentikasi multi-faktor masih merupakan keharusan karena menghentikan sejumlah besar upaya upaya pengambilalihan akun. Tetapi ketika penjahat dunia maya menjadi lebih pintar, mereka semakin mengejarnya – dan itu membutuhkan tingkat pertahanan ekstra, terutama dari mereka yang bertanggung jawab untuk mengamankan jaringan.

Sumber: ZD Net

Malware SOVA menambahkan fitur ransomware untuk mengenkripsi perangkat Android

by

Trojan perbankan Android SOVA terus berkembang dengan fitur baru, peningkatan kode, dan penambahan fitur ransomware baru yang mengenkripsi file di perangkat seluler.

Dengan rilis terbaru, malware SOVA sekarang menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency, dan dompet digital, mencoba mencuri data pengguna dan cookie sensitif dari mereka.

Selain itu, fitur refactored dan kode yang ditingkatkan yang membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbarunya, 5.0, menambahkan modul ransomware.

Analis ancaman di perusahaan keamanan seluler Cleafy telah mengikuti evolusi SOVA sejak pengumuman proyek pada September 2021 dan melaporkan bahwa perkembangannya meningkat pesat pada 2022.

Pada Maret 2022, SOVA merilis versi 3, menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk banyak bank di seluruh dunia. Suntikan adalah hamparan yang ditampilkan di atas permintaan masuk yang sah yang digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.

Pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil hingga 200 aplikasi yang ditargetkan, dan menambahkan kemampuan VNC (komputasi jaringan virtual) untuk penipuan di perangkat.

Aplikasi bank yang ditargetkan oleh SOVA v3 (kiri) dan SOVA v4 (kanan) (Cleafy)

Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML yang berisi daftar alamat yang mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.

Versi utama keempat juga menambahkan dukungan untuk perintah seperti mengambil tangkapan layar, melakukan klik dan gesekan, menyalin dan menempel file, dan menyajikan layar overlay sesuka hati.

Rilis ini juga melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencuri cookie, sekarang menargetkan Gmail, GPay, dan Google Password Manager.

Kode pencuri cookie yang difaktorkan ulang (Cleafy)

SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin Aksesibilitas untuk mendorong pengguna kembali ke layar beranda jika mereka mencoba mencopot pemasangan aplikasi secara manual.

Terakhir, versi keempat berfokus pada Binance dan aplikasi ‘Trust Wallet’ platform, menggunakan modul khusus yang dibuat untuk mencuri frase benih rahasia pengguna.

Baru-baru ini, Cleafy mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak perbaikan kode dan penambahan fitur baru seperti modul ransomware.

Modul ransomware baru SOVA (Cleafy)

Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi “.enc” pada file yang telah diubah namanya dan dienkripsi.

Versi kelima belum diedarkan secara luas, dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan.

Bahkan dalam bentuknya yang belum selesai saat ini, SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi kewaspadaan disarankan untuk semua pengguna Android.

Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat, karena trojan perbankan sekarang menetapkan dirinya sebagai salah satu pelopor ruang ransomware seluler yang masih belum dijelajahi.

Sumber: Bleeping Computer

SmokeLoader Menyebar Secara Aktif dengan Mengeksploitasi Kerentanan Lama

by

Kerentanan yang tidak ditambal selalu menjadi titik manis bagi penjahat dunia maya untuk melancarkan serangan. Salah satu insiden yang menggambarkan keadaan menyedihkan dari sistem yang rentan telah menjadi perhatian akhir-akhir ini.

Para peneliti telah melihat eksploitasi massal dari dua kelemahan—CVE-2017-0199 dan CVE-2017-11882—yang berusia hampir lima tahun. Meskipun tambalan tersedia untuk kedua kekurangan, mereka terus dieksploitasi. Pelaku ancaman memanfaatkan kerentanan ini untuk mendistribusikan malware SmokeLoader.

SmokeLoader, yang tersedia di pasar dalam satu atau lain bentuk sejak 2011, terutama digunakan untuk mendistribusikan keluarga malware lain seperti TrickBot.

Modus operandi

  • Rantai infeksi dimulai dengan email phishing yang mendesak penerima untuk meninjau pesanan pembelian dan memeriksa tanggal yang terkait dengan pengiriman.
  • Email ini berasal dari alamat email web yang dihosting oleh perusahaan telekomunikasi besar di Taiwan dan menyertakan file excel seperti ‘Pesanan Pembelian FG-20220629.xlsx.’
  • File-file ini berisi eksploitasi untuk kerentanan dalam format terenkripsi.
  • Serangan itu juga memanfaatkan file EXE dan DLL untuk mem-bypass sistem keamanan email.

Sementara Fortinet menemukan bahwa sampel terbaru yang dijatuhkan oleh SmokeLoader adalah trojan zgRAT, ada juga laporan yang menjelaskan distribusi malware Amadey.

Menurut peneliti AhnLab, SmokeLoader digunakan dalam kampanye baru-baru ini yang menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Setelah celah perangkat lunak ini dibuka, mereka menyebabkan pengunduhan SmokeLoader yang akhirnya mendistribusikan versi baru malware Amadey.

Sementara CVE-2017-0199 dan CVE-2017-11882 ditemukan pada tahun 2017, mereka masih aktif dieksploitasi di berbagai kampanye lainnya. Ini menunjukkan bahwa pembuat malware mengandalkan kerentanan penuaan yang masih harus ditambal secara efektif di berbagai perangkat lunak. Sementara itu, kemunculan kembali SmokeLoader, menunjukkan bahwa penetes malware ada di sini untuk waktu yang lama.

Sumber: cyware

Cisco diretas oleh geng ransomware Yanluowang, 2.8GB diduga dicuri

by

Cisco hari ini mengkonfirmasi bahwa kelompok ransomware Yanluowang melanggar jaringan perusahaannya pada akhir Mei dan bahwa aktor tersebut mencoba memeras mereka di bawah ancaman membocorkan file curian secara online.

Perusahaan mengungkapkan bahwa penyerang hanya dapat memanen dan mencuri data yang tidak sensitif dari folder Box yang ditautkan ke akun karyawan yang disusupi.

“Pada 10 Agustus, aktor jahat menerbitkan daftar file dari insiden keamanan ini ke web gelap. Kami juga telah menerapkan langkah-langkah tambahan untuk melindungi sistem kami dan membagikan detail teknis untuk membantu melindungi komunitas keamanan yang lebih luas.”

Email Yanluowang ke Cisco

Pelaku ancaman Yanluowang memperoleh akses ke jaringan Cisco menggunakan kredensial curian karyawan setelah membajak akun Google pribadi karyawan yang berisi kredensial yang disinkronkan dari browser mereka.

Penyerang meyakinkan karyawan Cisco untuk menerima pemberitahuan push multi-factor authentication (MFA) melalui kelelahan MFA dan serangkaian serangan phishing suara canggih yang diprakarsai oleh geng Yanluowang yang meniru organisasi pendukung tepercaya.

Kelelahan MFA adalah taktik serangan di mana pelaku ancaman mengirimkan aliran konstan permintaan otentikasi multi-faktor untuk mengganggu target dengan harapan bahwa mereka akhirnya akan menerima satu untuk menghentikan mereka dari yang dihasilkan.

Pelaku ancaman akhirnya menipu korban untuk menerima salah satu notifikasi MFA dan mendapatkan akses ke VPN dalam konteks pengguna yang ditargetkan.

Begitu mereka mendapatkan pijakan di jaringan perusahaan perusahaan, operator Yanluowang menyebar secara lateral ke server Citrix dan pengontrol domain.

Setelah mendapatkan admin domain, mereka menggunakan alat enumerasi seperti ntdsutil, adfind, dan secretdump untuk mengumpulkan lebih banyak informasi dan memasang serangkaian muatan ke sistem yang disusupi, termasuk malware pintu belakang.

Pada akhirnya, Cisco mendeteksi dan mengusir penyerang dari lingkungannya, tetapi mereka terus mencoba untuk mendapatkan kembali akses selama beberapa minggu berikutnya.

Untuk membantu admin jaringan dan profesional keamanan mendeteksi malware yang digunakan dalam serangan, Cisco membuat dua deteksi ClamAV baru untuk pintu belakang dan eksploitasi Windows yang digunakan untuk peningkatan hak istimewa.

Menangkan.Mengeksploitasi.Kolobko-9950675-0
Menangkan.Pintu Belakang.Kolobko-9950676-0

Sementara Cisco memberikan beberapa informasi tentang pintu belakang dan bagaimana itu digunakan untuk mengeksekusi perintah dari jarak jauh, tulisan mereka tidak menyebutkan info tentang eksploit yang dapat dieksekusi yang ditemukan.

Namun, menurut deteksi di VirusTotal, eksploitasinya adalah untuk CVE-2022-24521, kerentanan Windows Common Log File System Driver Elevation of Privilege, yang dilaporkan oleh NSA dan CrowdStrike ke Microsoft dan ditambal pada April 2022.

Peretas mengklaim mencuri data dari Cisco
Pekan lalu, aktor ancaman di balik peretasan Cisco mengirim email ke BleepingComputer daftar direktori file yang diduga dicuri selama serangan itu.

Pelaku pengancam mengaku telah mencuri data sebesar 2,75GB yang terdiri dari sekitar 3.100 file. Banyak dari file-file ini adalah perjanjian non-disclosure, dump data, dan gambar teknik.

Pelaku ancaman juga mengirim dokumen NDA yang disunting yang dicuri dalam serangan tersebut ke BleepingComputer sebagai bukti serangan dan “petunjuk” bahwa mereka melanggar jaringan Cisco dan mengekstrak file.

Dokumen bukti pelanggaran Cisco (BleepingComputer)

Hari ini, pemeras mengumumkan pelanggaran Cisco di situs kebocoran data mereka dan menerbitkan daftar direktori yang sama yang sebelumnya dikirim.

Cisco juga mengatakan bahwa, meskipun geng Yanluowang dikenal karena mengenkripsi file korban mereka, mereka tidak menemukan bukti muatan ransomware selama serangan tersebut.

Geng Yanluowang juga mengklaim baru-baru ini melanggar sistem pengecer Amerika Walmart yang membantah serangan itu, mengatakan kepada BleepingComputer bahwa mereka tidak menemukan bukti serangan ransomware.

Pembaruan: Menambahkan lebih banyak info tentang aktivitas Yanluowang dalam jaringan perusahaan Cisco.
Pembaruan 8/11/22: Menambahkan info tentang deteksi ClamAV dan mengeksploitasi executable yang digunakan dalam serangan.

Sumber: Bleeping Computer

Twilio mengungkapkan pelanggaran data yang berdampak pada pelanggan dan karyawan

by

Perusahaan komunikasi cloud Twilio mengatakan beberapa data pelanggannya diakses oleh penyerang yang melanggar sistem internal setelah mencuri kredensial karyawan dalam serangan SMS phishing.

“Pada 4 Agustus 2022, Twilio mengetahui akses tidak sah ke informasi terkait sejumlah akun pelanggan Twilio melalui serangan rekayasa sosial canggih yang dirancang untuk mencuri kredensial karyawan,” kata Twilio akhir pekan lalu.

“Para penyerang kemudian menggunakan kredensial yang dicuri untuk mendapatkan akses ke beberapa sistem internal kami, di mana mereka dapat mengakses data pelanggan tertentu.”

Perusahaan juga mengungkapkan penyerang memperoleh akses ke sistemnya setelah menipu dan mencuri kredensial dari beberapa karyawan yang ditargetkan dalam insiden phishing.

Untuk melakukan itu, mereka meniru departemen TI Twilio, meminta mereka untuk mengklik URL yang berisi kata kunci “Twilio,” “Okta,” dan “SSO” yang akan mengarahkan mereka ke klon halaman masuk Twilio.

​Pesan SMS phishing memancing karyawan Twilio untuk mengklik tautan yang disematkan dengan memperingatkan mereka bahwa kata sandi mereka telah kedaluwarsa atau dijadwalkan untuk diubah.

Direktur Komunikasi EMEA Twilio Katherine James menolak untuk memberikan informasi lebih lanjut ketika ditanya berapa banyak karyawan yang akun mereka disusupi dalam serangan phishing dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut, dengan mengatakan perusahaan “tidak memiliki komentar tambahan untuk diberikan saat ini di luar apa yang ada. diposting di blog.”

Perusahaan belum mengidentifikasi penyerang, tetapi bekerja dengan penegak hukum sebagai bagian dari penyelidikan yang sedang berlangsung.

Twilio mencabut akun karyawan yang dikompromikan selama serangan untuk memblokir akses penyerang ke sistemnya dan telah mulai memberi tahu pelanggan yang terpengaruh oleh insiden ini.

Perusahaan juga mengungkapkan pada Mei 2021 bahwa itu dipengaruhi oleh serangan rantai pasokan Codecov tahun lalu di mana pelaku ancaman memodifikasi alat Codecov Bash Uploader yang sah untuk mencuri kredensial, kunci rahasia, dan token pengguna dari pelanggan Codecov.

Dengan lebih dari 5.000 karyawan di 26 kantor di 17 negara, Twillio menyediakan API suara, teks, obrolan, video, dan email yang dapat diprogram yang digunakan oleh lebih dari 10 juta pengembang dan 150.000 bisnis untuk membangun platform keterlibatan pelanggan.

Twilio juga mengakuisisi Authy pada Februari 2015, penyedia otentikasi dua faktor (2FA) yang populer untuk pengguna akhir, pengembang, dan perusahaan dengan jutaan pengguna di seluruh dunia.

Sumber: Bleeping Computer