Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Phishing LinkedIn Besar-besaran, Serangan Bot Memberi Makan pada Orang yang Lapar

by

Rentan secara emosional dan bersedia menawarkan informasi apa pun yang menarik perhatian, pencari kerja adalah target utama untuk kampanye rekayasa sosial. Dan dengan “Pengunduran Diri Hebat” dalam ayunan penuh, penjahat dunia maya dengan mudah menemukan korban berikutnya.

Sejak 1 Februari, analis telah menyaksikan serangan email phishing yang meniru LinkedIn melonjak 232 persen, mencoba mengelabui pencari kerja agar menyerahkan kredensial mereka.

Email tersebut memiliki baris subjek yang akan menarik bagi pencari kerja yang berharap diperhatikan, seperti, “Siapa yang mencari Anda secara online”, “Anda muncul dalam 4 pencarian minggu ini” atau bahkan “Anda memiliki 1 pesan baru”, kata tim Egress .

Email phishing itu sendiri adalah penipuan yang meyakinkan, dibangun dalam template HTML dengan logo, warna, dan ikon LinkedIn, tambah laporan itu. Para scammer juga memeriksa nama perusahaan terkenal di seluruh isi email phishing, termasuk American Express dan CVS Carepoint, untuk membuat korespondensi tampak lebih sah, kata para analis.

Bahkan footer email mengangkat alamat kantor pusat perusahaan dan menyertakan tautan “berhenti berlangganan” untuk menambah keaslian email, para analis menunjukkan.

“Anda juga dapat melihat spoofing nama tampilan LinkedIn, yang dirancang untuk menyembunyikan akun email web yang digunakan untuk meluncurkan serangan,” kata laporan itu.

Setelah korban mengklik tautan berbahaya di email, mereka diarahkan ke situs untuk memanen login dan kata sandi LinkedIn mereka.

“Sementara nama tampilan selalu LinkedIn dan semua email mengikuti pola yang sama, serangan phishing dikirim dari alamat webmail berbeda yang tidak memiliki korelasi satu sama lain,” tambah para analis.

Selain menggunakan prospek pekerjaan potensial untuk mengelabui target agar batuk kredensial mereka, Imperva, dalam laporan terpisah, merinci bagaimana menghentikan serangan bot terbesar yang pernah dilihat perusahaan hingga saat ini, di situs daftar pekerjaan global.

Imperva tidak secara spesifik menyebutkan nama perusahaan, tetapi perusahaan mengatakan bahwa mereka dibombardir dengan 400 juta permintaan bot lebih dari 400.000 alamat IP unik selama empat hari yang mencoba mengikis semua data pencari kerja.

Tim Imperva menambahkan bahwa jenis serangan pengikisan web ini umum terjadi dan dapat mengakibatkan “tingkat konversi yang lebih rendah, analisis pemasaran yang miring, penurunan peringkat SEO, latensi situs web, dan bahkan waktu henti (biasanya disebabkan oleh scraper agresif).”

Musim panas lalu, serangan pengikisan data besar-besaran terhadap LinkedIn ditemukan telah mengumpulkan setidaknya 1,2 miliar catatan pengguna yang kemudian dijual di forum bawah tanah. Pada saat itu, LinkedIn menegaskan kembali bahwa data yang tergores adalah informasi publik, bukan informasi pribadi, dan tidak memenuhi syarat sebagai pelanggaran.

Itu membuat pengguna individu harus memperhatikan informasi yang mereka ekspos secara publik dan bagaimana hal itu dapat digunakan untuk mengelabui mereka agar mengklik tautan berbahaya.

Sumber : Threat Post

Varian Malware MyloBot Baru – Mengirim Email Sextortion Menuntut Bitcoin

by

Varian MyloBot Malware baru mengirimkan email sextortion yang menuntut korban untuk membayar $2.732 dalam bentuk Bitcoin. Awalnya MyloBot muncul pada tahun 2018 dan dikenal dengan berbagai kemampuan anti-debugging yang canggih dan teknik propagasi untuk mengubah mesin yang terinfeksi menjadi botnet. Selain itu, ia juga menghapus jejak malware pesaing lainnya dari sistem.

Malware ini memiliki beberapa kemampuan luar biasa untuk tetap menyamar dan menghindari deteksi termasuk penundaan 14 hari sebelum dapat mengakses server perintah dan kontrolnya. Selain itu, ia juga dapat mengeksekusi binari berbahaya langsung dari memori.

Teknik pelubangan proses membantu MyloBot memanfaatkan kode serangan saat disuntikkan ke dalam proses yang ditangguhkan dan dilubangi. Ini berhasil menghindari pertahanan berbasis proses dan mencapainya dengan membuka pemetaan memori yang dialokasikan untuk proses langsung. Kemudian menggantinya dengan kode arbitrer yang akan dieksekusi, dalam hal ini, file sumber daya yang didekodekan.

Menurut laporan peneliti Minerva Labs Natalie Zargarov, “Tahap kedua yang dapat dieksekusi kemudian membuat folder baru di bawah C:\ProgramData. Itu mencari svchost.exe di bawah direktori sistem dan menjalankannya dalam keadaan ditangguhkan. Menggunakan teknik injeksi APC, ia menyuntikkan dirinya ke dalam proses svchost.exe yang muncul.”

Seperti proses pengosongan, injeksi APC adalah teknik injeksi proses yang memungkinkan penyisipan kode berbahaya ke dalam proses korban yang ada melalui antrian asynchronous procedure call (APC).

Pada fase kedua, ia membangun kegigihan pada host yang disusupi dan mendapatkan pijakan, dan menggunakannya sebagai batu loncatan untuk membangun komunikasi dengan server jarak jauh untuk mengambil dan menjalankan muatan. Yang memungkinkannya untuk memecahkan kode dan menjalankan malware tahap akhir.

Malware MyloBot dirancang untuk menyalahgunakan titik akhir untuk mengirim pesan pemerasan yang menyinggung perilaku online penerima. Ini termasuk mengunjungi situs porno dan mengancam akan membocorkan video yang diduga direkam dengan membobol webcam komputer mereka.

Menurut peneliti Minerva Labs, ia juga memiliki kemampuan untuk mengunduh file tambahan, menunjukkan bahwa pelaku ancaman meninggalkan pintu belakang untuk melakukan serangan lebih lanjut.

Zargarov lebih lanjut menambahkan, “Aktor ancaman ini mengalami banyak masalah untuk menjatuhkan malware dan membuatnya tidak terdeteksi, hanya untuk menggunakannya sebagai pengirim surat pemerasan. Botnet sangat berbahaya karena ancaman mendatang yang tidak diketahui ini. Itu bisa dengan mudah menjatuhkan dan mengeksekusi ransomware, spyware, worm, atau ancaman lain di semua titik akhir yang terinfeksi.”

Sumber : TechnoidHost

Peretas Crypto Mencuri $36 Juta dari Akun Pensiun

by

Peretas Crypto mencuri hampir $36 juta dari akun pensiun IRA Financial Trust. Menurut Bloomberg, para peretas berhasil menguras $21 juta dalam bentuk bitcoin dan mengumpulkan $15 juta dalam Ethereum dari pelanggan IRA Financial Trust.

IRA Financial menemukan peretasan pada 9 Februari ketika itu memengaruhi beberapa pelanggan yang mengandalkan pertukaran crypto Gemini Trust Co. Menurut Chainalysis, platform data blockchain, dana tersebut terkait dengan aktivitas pencucian uang dan operasi dilakukan melalui layanan “mixer” Tornado.

Juru bicara IRA Financial mengatakan kepada Bloomberg, perusahaan sedang fokus menyelidiki kontrol keamanan terkait klaim tersebut. Adam Bergman, Pendiri IRA Financial Trust mentweet sebuah surat pada hari Sabtu yang mengatakan, perusahaan “telah mendeteksi aktivitas mencurigakan yang secara khusus melibatkan jumlah pelanggan yang sangat terbatas di bursa cryptocurrency Gemini. Saya sangat kecewa dengan apa yang terjadi, dan saya ingin meyakinkan Anda bahwa kami mengambil semua langkah yang tepat untuk mengatasi situasi ini termasuk keterlibatan ahli forensik pihak ketiga dan penegak hukum negara bagian dan federal.”

Pertukaran cryptocurrency Gemini menawarkan layanan ke akun IRA Finacial di Reddit mengatakan tidak mengelola keamanan sistem IRA Financial.

Sementara seseorang yang menjadi korban insiden peretasan mengatakan, “Saya diberitahu bahwa IRA Financial telah diretas pada 8 Februari. Akun saya ditautkan ke Gemini dan juga telah diretas,”

Namun yang lain menulis di Reddit. “Uang ditransfer dari akun Gemini saya ke seseorang secara acak. Saya telah menindaklanjuti dengan Gemini dan IRA Financial dan mereka mengatakan sedang mengerjakannya. Saya belum pernah mendengar ada orang lain yang terpengaruh oleh peretasan ini.”

Sumber : TechnoidHost

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

by

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Grup Peretas Telah Membingkai Orang untuk Kejahatan yang Tidak Mereka Lakukan

by

Setidaknya selama satu dekade, kelompok peretas bayangan telah menargetkan orang-orang di seluruh India, terkadang menggunakan kekuatan digitalnya untuk menanamkan bukti palsu aktivitas kriminal di perangkat mereka. Bukti palsu itu, pada gilirannya, sering menjadi dalih bagi penangkapan para korban.

Sentinel One mengungkapkan rincian tambahan tentang kelompok tersebut, yang menjelaskan cara di mana trik kotor digitalnya digunakan untuk mengawasi dan menargetkan “aktivis hak asasi manusia, pembela hak asasi manusia, akademisi, dan pengacara” di seluruh India.

Kelompok itu, yang oleh para peneliti dijuluki “ModifiedElephant” sebagian besar disibukkan dengan mata-mata, tetapi kadang-kadang campur tangan untuk membingkai target kejahatannya. Peneliti menulis:

Tujuan ModifiedElephant adalah pengawasan jangka panjang yang terkadang diakhiri dengan pengiriman ‘bukti’—file yang memberatkan target dalam kejahatan tertentu—sebelum penangkapan yang terkoordinasi dengan mudah.

Kasus paling menonjol yang melibatkan Elephant berpusat di sekitar aktivis Maois Rona Wilson dan sekelompok rekannya yang, pada 2018, ditangkap oleh dinas keamanan India dan dituduh merencanakan penggulingan pemerintah. Bukti plot yang diduga termasuk dokumen kata yang merinci rencana untuk membunuh perdana menteri negara itu, Narendra Modi ditemukan di laptop Wilson. Namun, analisis forensik perangkat kemudian menunjukkan bahwa dokumen tersebut sebenarnya palsu dan telah ditanam menggunakan malware. Menurut peneliti Sentinel, Gajahlah yang menempatkan mereka di sana.

Menurut laporan Sentinel One, Elephant menggunakan alat dan teknik peretasan umum untuk mendapatkan pijakan di komputer korban. Email phishing, biasanya disesuaikan dengan minat korban, dimuat dengan dokumen berbahaya yang berisi alat akses jarak jauh (RAT) yang tersedia secara komersial—program yang mudah digunakan yang tersedia di web gelap yang dapat membajak komputer. Secara khusus, Elephant telah terbukti menggunakan DarkComet dan Netwire, dua merek terkenal. Setelah korban berhasil di-phishing dan malware peretas diunduh, RAT memungkinkan Elephant mengontrol perangkat korban secara menyeluruh; mereka dapat diam-diam melakukan pengawasan atau, seperti dalam kasus Wilson, menyebarkan dokumen palsu yang memberatkan.

Semuanya sangat jahat. Seperti apa pun di dunia peretas, sulit untuk mengetahui secara pasti siapa sebenarnya “Gajah”. Namun, bukti kontekstual yang jelas menunjukkan bahwa kelompok tersebut memikirkan “kepentingan” pemerintah India.

Sayangnya, ModifiedElephant bukan satu-satunya grup di luar sana yang melakukan hal semacam ini. Sebuah kelompok yang sama sekali berbeda diyakini telah melakukan operasi serupa terhadap Baris Pehlivan, seorang jurnalis di Turki yang dipenjara selama 19 bulan pada tahun 2016 setelah pemerintah Turki menuduhnya melakukan terorisme. Forensik digital kemudian mengungkapkan bahwa dokumen yang digunakan untuk membenarkan tuduhan Pehlivan telah ditanam, seperti yang ada di laptop Wilson.

Secara keseluruhan, ini adalah hal yang cukup mengganggu. “Masih banyak pertanyaan tentang aktor ancaman ini dan operasi mereka,” tulis peneliti Sentinel One, tentang Elephant. “Namun, satu hal yang jelas: Kritikus terhadap pemerintah otoriter di seluruh dunia harus dengan cermat memahami kemampuan teknis mereka yang ingin membungkam mereka.”

sumber : GIZMODO

ICO Dipukul 2650% Peningkatan Serangan Email

by

Kantor Komisaris Informasi (ICO) Inggris mengalami peningkatan serangan email sebesar 2650% selama tahun 2021, menurut angka resmi yang diperoleh oleh think tank Parliament Street setelah permintaan Kebebasan Informasi.

Angka-angka tersebut mengungkapkan bahwa serangan email yang menargetkan regulator perlindungan data dan privasi Inggris melonjak dari 150.317 pada Januari menjadi 4.135.075 pada Desember yang luar biasa. Data tersebut terkait dengan volume email phishing yang terdeteksi, malware yang terdeteksi dan diblokir, serta spam yang terdeteksi dan diblokir oleh ICO untuk setiap bulan tahun lalu.

Email spam mewakili sebagian besar serangan, dengan kasus melonjak 2775% dari Januari hingga Desember. Email phishing juga meningkat secara signifikan selama periode ini, sebesar 20%, sementara malware melonjak sebesar 423%.

Data menunjukkan lonjakan yang sangat besar dalam serangan email pada bulan Desember, dengan 4.125.992 pesan spam, 7886 email phishing, dan 1.197 malware. Lonjakan ini diperkirakan terkait dengan penyebaran cepat varian Omicron di Inggris pada akhir tahun lalu, dengan pelaku ancaman dapat memanfaatkan topik seperti pengujian dan vaksin sebagai daya tarik.

“Keamanan siber bukan hanya tentang melindungi titik akhir melalui solusi keamanan siber anti-malware atau email. Meskipun ini penting, sekarang ada berbagai titik akses bagi penjahat dunia maya untuk dimanfaatkan yang perlu diperhatikan oleh para pemimpin TI. Ini termasuk aplikasi rentan yang belum ditambal dan kerentanan jaringan, kredensial masuk yang dicuri atau dibeli secara ilegal atau bahkan dengan meretas perangkat pintar yang tidak dilindungi.”

Steven Peake, manajer Barracuda Networks berkomentar: “Pandemi terus menjadi katalisator bagi penjahat cyber oportunistik untuk mencoba dan memangsa orang-orang yang tidak curiga dan rentan. Penelitian kami baru-baru ini menunjukkan lonjakan 521% dalam serangan phishing terkait tes COVID-19, jadi tidak mengherankan jika melihat organisasi besar, seperti ICO, terkena ancaman dalam jumlah besar karena mewakili target yang menguntungkan. Email phishing, malware, dan spam, khususnya, merupakan sebagian besar ancaman yang dihadapi organisasi ini, sehingga mereka perlu menerapkan langkah-langkah untuk melindungi diri mereka sendiri. Para penyerang siber ini tidak akan pergi ke mana pun dalam waktu dekat.”

Tahun lalu, pemerintah Inggris mengumumkan rencana untuk mengubah struktur ICO sebagai bagian dari rencana untuk mereformasi sektor data negara.

Sumber : Info Security

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

by

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

Gelombang serangan MageCart menargetkan ratusan situs Magento yang sudah ketinggalan zaman

by

Analis telah menemukan sumber pelanggaran massal lebih dari 500 toko e-niaga yang menjalankan platform Magento 1 dan melibatkan satu domain yang memuat skimmer kartu kredit pada semuanya.

Menurut Sansec, serangan itu menjadi jelas akhir bulan lalu ketika crawler mereka menemukan 374 infeksi pada hari yang sama, semuanya menggunakan malware yang sama.

Domain tempat pelaku ancaman memuat malware adalah naturalfreshmall[.]com, saat ini offline, dan tujuan pelaku ancaman adalah mencuri informasi kartu kredit pelanggan di toko online yang ditargetkan.

Investigasi Sansec selanjutnya mengungkap bahwa penyerang menyalahgunakan kerentanan yang diketahui di plugin Quickview untuk menyuntikkan pengguna admin Magento jahat yang kemudian dapat menjalankan kode dengan hak istimewa tertinggi.

Penyalahgunaan terjadi melalui penambahan aturan validasi ke tabel customer_eav_attribute. Ini menipu aplikasi host untuk membuat objek jahat, yang kemudian digunakan untuk membuat pintu belakang sederhana (api_1.php).

Menambahkan aturan di database situs web.
Sumber: Sansec

Selain menyuntikkan skimmer kartu kredit, peretas juga dapat menggunakan pintu belakang api_1.php untuk menjalankan perintah di server jarak jauh, yang mengarah ke pengambilalihan situs secara menyeluruh.

Sansec menunjukkan bahwa dalam kasus ekstrim, musuh menyuntikkan sebanyak 19 backdoors pada satu platform e-commerce, mungkin bereksperimen untuk mencari tahu apa yang terbaik untuk tujuan mereka atau hanya menjadi sangat serius tentang redundansinya.

Adobe telah berhenti mendukung cabang Magento 1 dari platform e-niaga populer sejak 30 Juni 2020, tetapi ribuan situs masih menggunakan perangkat lunak usang.

Hal ini membuat situs rentan terhadap berbagai serangan peretas, dan dengan ekstensi, menempatkan detail sensitif pelanggan mereka dalam risiko.

Rincian ini biasanya mencakup nomor kartu kredit, alamat pengiriman, nama, nomor telepon, alamat email, dan umumnya semua yang diperlukan untuk melakukan pemesanan online.

Sangat disarankan agar semua admin Magento mengonfirmasi bahwa mereka menggunakan platform versi terbaru dan memutakhirkan jika menggunakan versi lama yang tidak didukung.

Sumber : Bleeping Computer