Cyber Attack

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

April 8, 2022 by Eevee

Sistem arah lalu lintas baru (TDS) yang disebut Parrot mengandalkan server yang menampung 16.500 situs web universitas, pemerintah daerah, platform konten dewasa, dan blog pribadi.

Penggunaan Parrot adalah untuk kampanye jahat untuk mengarahkan calon korban yang cocok dengan profil tertentu (lokasi, bahasa, sistem operasi, browser) ke sumber daya online seperti situs phishing dan menjatuhkan malware.

Pelaku ancaman yang menjalankan kampanye jahat membeli layanan TDS untuk memfilter lalu lintas masuk dan mengirimkannya ke tujuan akhir yang menyajikan konten berbahaya.

Parrot TDS ditemukan oleh analis ancaman di Avast, yang melaporkan bahwa saat ini digunakan untuk kampanye yang disebut FakeUpdate, yang mengirimkan trojan akses jarak jauh (RAT) melalui pemberitahuan pembaruan browser palsu.

Situs yang menampilkan peringatan pembaruan browser palsu (Avast)

Kampanye tampaknya telah dimulai pada Februari 2022 tetapi tanda-tanda aktivitas Parrot telah dilacak hingga Oktober 2021.

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

Pelaku ancaman telah menanam web shell berbahaya di server yang disusupi dan menyalinnya ke berbagai lokasi dengan nama serupa yang mengikuti pola “parroting”.

Selain itu, musuh menggunakan skrip backdoor PHP yang mengekstrak informasi klien dan meneruskan permintaan ke server perintah dan kontrol (C2) Parrot TDS.

Dalam beberapa kasus, operator menggunakan pintasan tanpa skrip PHP, mengirimkan permintaan langsung ke infrastruktur Parrot.

Penerusan langsung dan proksi Parrot (Avast)

Avast mengatakan bahwa pada Maret 2022 saja layanannya melindungi lebih dari 600.000 kliennya dari mengunjungi situs yang terinfeksi ini, yang menunjukkan skala besar gerbang pengalihan Parrot.

Sebagian besar pengguna yang ditargetkan oleh pengalihan berbahaya ini berada di Brasil, India, Amerika Serikat, Singapura, dan Indonesia.

Pengalihan Parrot mencoba peta panas (Avast)

Seperti yang dijelaskan Avast dalam laporan, profil pengguna dan pemfilteran kampanye tertentu sangat disesuaikan sehingga pelaku jahat dapat menargetkan orang tertentu dari ribuan pengguna yang dialihkan.

Ini dicapai dengan mengirimkan target tersebut ke URL unik yang menjatuhkan muatan berdasarkan perangkat keras, perangkat lunak, dan profil jaringan yang ekstensif.

Payload yang dijatuhkan pada sistem target adalah NetSupport Client RAT yang diatur untuk berjalan dalam mode senyap, yang menyediakan akses langsung ke mesin yang disusupi.

Sementara kampanye RAT saat ini merupakan operasi utama yang dilayani oleh Parrot TDS, analis Avast juga memperhatikan beberapa server terinfeksi yang menghosting situs phishing.

Halaman arahan tersebut menyerupai halaman login Microsoft yang tampak sah yang meminta pengunjung untuk memasukkan kredensial akun mereka.

Salah satu situs phishing yang dilayani oleh Parrot TDS (Avast)

Untuk admin server web yang berpotensi disusupi, Avast merekomendasikan tindakan berikut:

Pindai semua file di server web dengan antivirus.
Ganti semua file JavaScript dan PHP di server web dengan yang asli.
Gunakan versi CMS dan versi plugin terbaru.
Periksa untuk menjalankan tugas secara otomatis di server web seperti tugas cron.
Selalu gunakan kredensial unik dan kuat untuk setiap layanan dan semua akun, dan tambahkan 2FA jika memungkinkan.
Gunakan beberapa plugin keamanan yang tersedia untuk WordPress dan Joomla

Sumber : Bleeping Computer

Google mengatakan telah menggagalkan serangan siber Korea Utara pada awal 2022

March 25, 2022 by Eevee

Grup Analisis Ancaman Google mengumumkan pada hari Kamis bahwa mereka telah menemukan sepasang kader peretasan Korea Utara dengan nama Operation Dream Job dan Operation AppleJeus pada bulan Februari yang memanfaatkan eksploitasi eksekusi kode jarak jauh di browser web Chrome.

Para blackhatter dilaporkan menargetkan media berita AS, TI, kripto dan industri fintech, dengan bukti serangan mereka kembali sejauh 4 Januari 2022, meskipun Grup Analisis Ancaman mencatat bahwa organisasi di luar AS bisa menjadi target juga.

“Kami menduga bahwa kelompok-kelompok ini bekerja untuk entitas yang sama dengan rantai pasokan bersama, oleh karena itu menggunakan kit eksploit yang sama, tetapi masing-masing beroperasi dengan rangkaian misi yang berbeda dan menerapkan teknik yang berbeda,” tulis tim Google pada hari Kamis. “Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama.”

Operation Dream Job menargetkan 250 orang di 10 perusahaan dengan tawaran pekerjaan palsu seperti Disney dan Oracle yang dikirim dari akun palsu agar terlihat seperti berasal dari Memang atau ZipRecruiter. Mengklik tautan akan meluncurkan iframe tersembunyi yang akan memicu eksploitasi.

Operasi AppleJeus, di sisi lain, menargetkan lebih dari 85 pengguna di industri cryptocurrency dan fintech menggunakan kit eksploit yang sama.

Upaya itu melibatkan “mengkompromikan setidaknya dua situs web perusahaan fintech yang sah dan menghosting iframe tersembunyi untuk menyajikan kit eksploit kepada pengunjung,”

“Dalam kasus lain, kami mengamati situs web palsu sudah disiapkan untuk mendistribusikan aplikasi cryptocurrency yang di-trojan menghosting iframe dan mengarahkan pengunjung mereka ke kit eksploit.”

“Kit awalnya melayani beberapa javascript yang sangat dikaburkan yang digunakan untuk sidik jari sistem target,” kata tim. “Skrip ini mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, resolusi, dll., lalu mengirimkannya kembali ke server eksploitasi.

Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan disajikan eksploitasi Chrome RCE dan beberapa tambahan javascript. Jika RCE berhasil, javascript akan meminta tahap berikutnya yang dirujuk dalam skrip sebagai ‘SBX,’ akronim umum untuk Sandbox Escape.”

Grup keamanan Google menemukan aktivitas tersebut pada 10 Februari dan telah menambalnya pada 14 Februari. Perusahaan telah menambahkan semua situs web dan domain yang teridentifikasi ke database Penjelajahan Aman serta memberi tahu semua pengguna Gmail dan Workspace yang ditargetkan tentang upaya tersebut.

Sumber : Engadget

Peretasan Okta membuat ribuan bisnis waspada

March 24, 2022 by Eevee

Okta, perusahaan autentikasi yang digunakan oleh ribuan organisasi di seluruh dunia, kini telah mengonfirmasi bahwa penyerang memiliki akses ke salah satu laptop karyawannya selama lima hari pada Januari 2022 dan sekitar 2,5 persen pelanggannya mungkin telah terpengaruh tetapi tetap mempertahankannya. layanan “belum dilanggar dan tetap beroperasi penuh.”

Pengungkapan itu muncul ketika grup peretas Lapsus$ telah memposting tangkapan layar ke saluran Telegramnya yang mengklaim sebagai sistem internal Okta, termasuk yang tampaknya menunjukkan saluran Slack Okta, dan lainnya dengan antarmuka Cloudflare.

Setiap peretasan Okta dapat memiliki konsekuensi besar bagi perusahaan, universitas, dan lembaga pemerintah yang bergantung pada Okta untuk mengotentikasi akses pengguna ke sistem internal.

Okta mengatakan bahwa penyerang hanya akan memiliki akses terbatas selama periode lima hari itu – cukup terbatas sehingga perusahaan mengklaim “tidak ada tindakan korektif yang perlu diambil oleh pelanggan kami.”

Inilah yang dikatakan Bradbury dan tidak dipertaruhkan saat salah satu teknisi pendukungnya disusupi:

Dampak potensial bagi pelanggan Okta terbatas pada akses yang dimiliki teknisi pendukung. Teknisi ini tidak dapat membuat atau menghapus pengguna, atau mengunduh database pelanggan. Insinyur dukungan memiliki akses ke data terbatas misalnya, tiket Jira dan daftar pengguna yang terlihat di tangkapan layar. Insinyur dukungan juga dapat memfasilitasi pengaturan ulang kata sandi dan faktor MFA untuk pengguna, tetapi tidak dapat memperoleh kata sandi tersebut.

Menulis di saluran Telegramnya, kelompok peretas Lapsus$ mengklaim telah memiliki akses “Pengguna Super/Admin” ke sistem Okta selama dua bulan, bukan hanya lima hari, bahwa ia memiliki akses ke klien tipis daripada laptop, dan mengklaim bahwa itu menemukan Okta menyimpan kunci AWS di saluran Slack. Grup tersebut juga menyarankan untuk menggunakan aksesnya untuk membidik pelanggan Okta.

The Wall Street Journal mencatat bahwa dalam pengajuan baru-baru ini Okta mengatakan memiliki lebih dari 15.000 pelanggan di seluruh dunia. Ini mencantumkan orang-orang seperti Peloton, Sonos, T-Mobile, dan FCC sebagai pelanggan di situs webnya. Berdasarkan angka “sekitar 2,5 persen” yang diberikan, jumlah pelanggan yang terkena dampak ini dapat mendekati 400.

Juru bicara Okta Chris Hollis mengatakan perusahaan belum menemukan bukti serangan yang sedang berlangsung. “Pada akhir Januari 2022, Okta mendeteksi upaya untuk menyusupi akun teknisi dukungan pelanggan pihak ketiga yang bekerja untuk salah satu subprosesor kami. Masalah itu diselidiki dan ditampung oleh subprosesor.” kata Hollis. “Kami yakin tangkapan layar yang dibagikan secara online terhubung ke acara Januari ini.”

Lapsus$ adalah grup peretas yang mengaku bertanggung jawab atas sejumlah insiden tingkat tinggi yang memengaruhi Nvidia, Samsung, Microsoft, dan Ubisoft, dalam beberapa kasus mencuri ratusan gigabyte data rahasia.

Okta mengatakan telah menghentikan sesi Okta teknisi dukungannya dan menangguhkan akun itu kembali pada bulan Januari, tetapi mengklaim hanya menerima laporan akhir dari perusahaan forensiknya minggu ini.

Pembaruan, 14:38 ET: Menambahkan pernyataan Okta dan mengklaim bahwa peretasan sangat terbatas, tanpa tindakan korektif yang perlu diambil.

Pembaruan, 14:58 ET: Menambahkan klaim grup peretas Lapsus$ bahwa mereka memiliki akses ke thin client daripada laptop, bahwa ia menemukan Okta menyimpan kunci AWS di saluran Slack.

Pembaruan, 11:30 ET: Menambahkan detail dari pernyataan Okta yang diperbarui.

The Verge

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

March 24, 2022 by Eevee

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

March 23, 2022 by Eevee

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Serangan Browser-in-the Browser (BITB) Baru Membuat Phishing Hampir Tidak Terdeteksi

March 22, 2022 by Eevee

Teknik phishing baru yang disebut serangan browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu domain yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.

Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan opsi masuk tunggal (SSO) pihak ketiga yang disematkan di situs web seperti “Masuk dengan Google” (atau Facebook, Apple, atau Microsoft ).

Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.

“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan itu pada dasarnya tidak dapat dibedakan,” kata mrd0x_ dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”

Meskipun metode ini secara signifikan mempermudah pemasangan kampanye manipulasi psikologis yang efektif, perlu diperhatikan bahwa calon korban perlu dialihkan ke domain phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.

“Tapi begitu mendarat di situs web milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.

Sumber : The Hacker News

Kode Open-Source Melakukan Sabotase untuk Menghapus Komputer Rusia dan Belarusia

March 20, 2022 by Søren

Seorang teknolog dan pengelola perangkat lunak open source yang populer telah dengan sengaja menyabotase kode mereka sendiri untuk menghapus data pada komputer yang menggunakan program tersebut di Rusia dan Belarusia, dan telah menghadapi reaksi balasan besar-besaran karena melakukannya, menurut pesan yang diposting di repositori pengkodean Github .

Berita tersebut menandakan potensi kerugian dari hacktivisme digital, dengan langkah tersebut kemungkinan berdampak pada orang-orang biasa yang menggunakan kode tersebut.

RIAEvangelist adalah pengelola perangkat lunak yang disebut “node-ipc,” alat jaringan yang terkadang diunduh lebih dari satu juta kali seminggu. RIAEvangelist merilis dua modul yang disebut “peacenotwar” dan “oneday-test” baru-baru ini, Bleeping Computer melaporkan pada hari Kamis. Peacenotwar, yang oleh RIAEvangelist digambarkan sebagai “protestware”, kemudian dimasukkan sebagai dependensi dalam kode node-ipc, yang berarti beberapa versi node-ipc mungkin dibundel dengan peacenotwar.

“Kode ini berfungsi sebagai contoh non-destruktif mengapa mengontrol modul pada node penting. Ini juga berfungsi sebagai protes tanpa kekerasan terhadap agresi Rusia yang mengancam dunia saat ini. Modul ini akan menambahkan pesan perdamaian di desktop pengguna Anda, dan hanya akan melakukannya jika belum ada hanya untuk bersikap sopan,” tulis RIAEvangelist dalam deskripsi untuk kode peacenotwar. Deskripsi RIAEvangelist juga menjelaskan bagaimana orang lain dapat menambahkan modul ke kode mereka untuk mengambil bagian dalam protes digital.

Selengkapnya: VICE

IOTW: Badan-badan AS memperingatkan tentang ancaman dunia maya terhadap komunikasi satelit

March 20, 2022 by Søren

Badan Keamanan Siber dan Infrastruktur (CISA) AS dan Biro Investigasi Federal (FBI) mengeluarkan peringatan terkait ancaman terhadap jaringan komunikasi satelit AS dan internasional (SATCOM) pada 17 Maret 2022.

Ini menyusul serangan terhadap operator satelit komersial Viasat, yang menyebabkan pemadaman sebagian jaringan KA-SAT di Eropa. SATCOM sangat penting selama masa peperangan.

KA-SAT menyediakan internet broadband ke pasar Eropa dan Mediterania. Layanan ini diluncurkan pada Mei 2011.

Menurut NetBlocks, sebuah kelompok pemantau internet, jaringan KA-SAT operator satelit tetap terkena dampak parah pada 15 Maret 2022, 18 hari setelah menjadi sasaran serangan siber.

Ini adalah salah satu dari “beberapa insiden” yang diamati kelompok itu ketika Rusia meluncurkan invasi ke Ukraina pada 24 Februari 2022.

Pada 11 Maret 2022, Reuters melaporkan bahwa Badan Keamanan Nasional AS, organisasi keamanan siber pemerintah Prancis, dan intelijen Ukraina sedang menyelidiki sabotase jarak jauh dari “layanan penyedia internet satelit” yang mereka katakan adalah “pekerjaan peretas yang didukung negara Rusia untuk mempersiapkan medan perang dengan mencoba memutuskan komunikasi”.

Sebuah pernyataan dari ViaSat menyatakan bahwa gangguan itu disebabkan oleh peristiwa siber yang disengaja, terisolasi dan eksternal – tidak ada rincian lain yang diungkapkan.

Selengkapnya: CSHub

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings