Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Rackspace: Email Data Customer Diakses dalam Serangan Ransomware

by

Rackspace mengungkapkan pada hari Kamis bahwa penyerang di balik insiden bulan lalu mengakses beberapa file Personal Storage Table (PST) pelanggannya yang dapat berisi berbagai informasi, termasuk email, data kalender, kontak, dan tugas.

Seperti yang ditemukan selama penyelidikan yang dipimpin oleh perusahaan keamanan siber Crowdstrike, penyerang memperoleh akses ke folder penyimpanan pribadi dari 27 pelanggan Rackspace.

hampir 30.000 pelanggan di lingkungan email Hosted Exchange pada saat serangan, penyelidikan forensik menentukan pelaku ancaman mengakses Personal Storage Table (‘PST’) dari 27 pelanggan Hosted Exchange,” kata Rackspace dalam pembaruan laporan insiden yang dibagikan dengan BleepingComputer terlebih dahulu.

Sementara RackSpace mengatakan tidak ada bukti bahwa pelaku ancaman mengakses data pelanggan, sejarah menunjukkan bahwa tidak selalu demikian.

Selain itu, meskipun data mungkin tidak bocor jika uang tebusan dibayarkan atau karena alasan lain, kemungkinan besar data pelanggan setidaknya dilihat selama serangan.

Klien yang terpengaruh dapat mengunduh beberapa data PST yang dipulihkan

Sejak menemukan serangan pada tanggal 2 Desember dan mengonfirmasi bahwa pemadaman yang diakibatkannya disebabkan oleh serangan ransomware, Rackspace telah menawarkan lisensi gratis kepada pelanggan yang terpengaruh untuk memigrasikan email mereka dari platform Exchange yang Dihosting ke Microsoft 365.

lingkungan email Exchange yang Dihosting tidak akan dibangun kembali sebagai penawaran layanan maju,” kata Rackspace.

“Bahkan sebelum insiden keamanan baru-baru ini, lingkungan email Exchange yang Dihosting telah direncanakan untuk migrasi ke Microsoft 365, yang memiliki model penetapan harga yang lebih fleksibel, serta fitur dan fungsionalitas yang lebih modern.”

sumber : bleepincomputer

Raspberry Robin Worm Menetaskan Peningkatan yang Sangat Kompleks

by

Kelompok peretas menggunakan versi baru kerangka kerja Raspberry Robin untuk menyerang lembaga keuangan berbasis bahasa Spanyol dan Portugis

Raspberry Robin adalah worm backdoor yang menginfeksi PC melalui perangkat USB Trojan sebelum menyebar ke perangkat lain di jaringan target, bertindak sebagai loader untuk malware lainnya.

Versi Malware yang Ditingkatkan
Dalam iterasi terbaru, mekanisme perlindungan malware telah ditingkatkan untuk menerapkan setidaknya lima lapis perlindungan sebelum kode jahat diterapkan, termasuk pengemas tahap pertama untuk mengaburkan kode tahap serangan selanjutnya diikuti oleh pemuat kode shell.

Penelitian juga menunjukkan operator Raspberry Robin mulai mengumpulkan lebih banyak data tentang korban mereka daripada yang dilaporkan sebelumnya.

Dalam kasus kedua, muatan jahat dihosting di server Discord, yang digunakan oleh pelaku ancaman untuk mengirimkan malware ke mesin korban, untuk menghindari deteksi dan melewati kontrol keamanan.

Raspberry Robin Beraksi
Ancamannya bertingkah, mengikuti pola muncul, menghilang, lalu muncul kembali dengan kemampuan yang ditingkatkan secara signifikan.

Perusahaan keamanan Red Canary pertama kali menganalisis dan menamai Raspberry Robin pada bulan Mei, mencatat bahwa itu menginfeksi target melalui drive USB berbahaya dan menyebar ke titik akhir lainnya – tetapi kemudian tetap tidak aktif.

sumber : darkreading

Raspberry Robin Worm Berevolusi Menyerang Sektor Keuangan dan Asuransi di Eropa

by

Sektor keuangan dan asuransi di Eropa telah menjadi sasaran worm Raspberry Robin, karena malware terus mengembangkan kemampuan pasca-eksploitasi sambil tetap berada di bawah radar.

Raspberry Robin, juga disebut worm QNAP, digunakan oleh beberapa pelaku ancaman sebagai sarana untuk mendapatkan pijakan ke dalam jaringan target. Menyebar melalui drive USB yang terinfeksi dan metode lainnya, kerangka tersebut baru-baru ini digunakan dalam serangan yang ditujukan pada sektor telekomunikasi dan pemerintah.

Microsoft melacak operator Raspberry Robin di bawah moniker DEV-0856.

Investigasi forensik Security Joes terhadap salah satu serangan tersebut telah mengungkapkan penggunaan file 7-Zip, yang diunduh dari browser korban melalui rekayasa sosial dan berisi file penginstal MSI yang dirancang untuk menghapus beberapa modul.

Dalam contoh lain, file ZIP dikatakan telah diunduh oleh korban melalui iklan penipuan yang dihosting di domain yang diketahui mendistribusikan adware.

File arsip, disimpan di server Discord, berisi kode JavaScript yang disandikan yang, setelah dieksekusi, menjatuhkan pengunduh yang dilindungi dengan banyak lapisan penyamaran dan enkripsi untuk menghindari deteksi.

Pengunduh kode shell terutama direkayasa untuk mengambil executable tambahan, Ini melibatkan pengumpulan Pengidentifikasi Unik Universal (UUID) host, dalam beberapa kasus bahkan beralih ke bentuk tipu daya dengan menyajikan malware palsu.

Data pengintaian kemudian dienkripsi menggunakan kunci berkode keras dan dikirim ke server perintah-dan-kontrol (C2), yang merespons kembali dengan biner Windows yang kemudian dijalankan di mesin.

sumber : the hacker news

Terinspirasi oleh film ‘Office Space’, insinyur perangkat lunak Washington mencuri lebih dari $300 ribu dari pemberi kerja, kata jaksa penuntut

by

Seorang pria Washington diduga mentransfer ribuan dolar dari majikannya ke rekening pribadi setelah terinspirasi oleh film kultus 1999 “Office Space,” menurut laporan penangkapan oleh Departemen Kepolisian Seattle.

Ermenildo Valdez Castro, 28, bekerja untuk pengecer online Zulily sebagai insinyur perangkat lunak dari Desember 2018 hingga dia dipecat pada Juni, menurut polisi.

“Mulai musim semi 2022, Castro mulai mengedit kode perangkat lunak Zulily dengan cara yang memungkinkannya mencuri dari perusahaan,” kata laporan polisi tersebut.

Polisi mengatakan Castro memasukkan tiga jenis kode berbahaya dalam proses pembayaran di Zulily dan dengan menggunakan metode tersebut, “mencuri gabungan $302.278,52 sebelum dia diberhentikan pada Juni 2022.”

Tim penipuan Zulily dapat menemukan pola penyesuaian harga pada beberapa produk yang dijual oleh perusahaan, yang menurut polisi dipesan oleh Castro dan dikirim ke kediamannya, kata laporan itu.

Dokumen OneNote di laptop kerja Castro yang disebut “Proyek OfficeSpace” ditemukan melalui penyelidikan, dan di dalamnya, “skema untuk mencuri biaya pengiriman”, diuraikan, menurut laporan tersebut.

Laporan polisi juga mencatat plot film “Office Space” berputar di sekitar para insinyur yang membuat rencana untuk memindahkan pecahan sen ke dalam rekening bank pribadi.

Castro dihubungi polisi dan ditangkap pada 21 Juni. Pada tanggal itu dia berbicara dengan detektif setelah dibacakan haknya. Selama wawancara itu dia “mengonfirmasi bahwa dia menyebutkan rencananya untuk mencuri dari Zulily setelah film itu,” kata polisi.

Castro juga memberi tahu pihak berwenang bahwa dia memesan lebih dari 1.000 item yang dikirim ke rumahnya, dan bahwa itu adalah bagian dari “proses pengujian yang diketahui Zulily, tetapi dia mengklaim bahwa ada skrip yang akan dijalankan segera setelah itu. pada dasarnya akan membatalkan pesanan dan memastikan pesanan tidak diproses, ”kata laporan itu.

Selengkapnya: CNN

Hacker Mencuri $8 Juta dari Pengguna Aplikasi Trojanized BitKeep

by

Beberapa pengguna dompet crypto BitKeep melaporkan bahwa dompet mereka dikosongkan selama Natal setelah peretas memicu transaksi yang tidak memerlukan verifikasi.

BitKeep adalah dompet DeFi web3 multi-rantai terdesentralisasi yang mendukung lebih dari 30 blockchain, 76 jaringan utama, 20.000 aplikasi terdesentralisasi, dan lebih dari 223.000 aset. Ini digunakan oleh lebih dari delapan juta orang di 168 negara untuk manajemen aset dan penanganan transaksi.

“Jika dana Anda dicuri, aplikasi yang Anda unduh atau perbarui mungkin merupakan versi yang tidak dikenal (unofficial release version) yang dibajak.”

Pemberitahuan BitKeep di Telegram

Mereka yang mengunduh paket APK trojan disarankan untuk memindahkan semua dana mereka ke toko resmi setelah mengunduh aplikasi resmi dari Google Play atau App Store, membuat alamat dompet baru dan memindahkan semua dana mereka ke sana.

Platform memperingatkan bahwa setiap alamat dompet yang dibuat menggunakan APK jahat harus diperlakukan sebagai disusupi.

Terakhir, mereka yang menjadi korban peretasan diminta mengisi formulir ini agar tim dukungan BitKeep mencoba menawarkan solusi tepat waktu.

Transaksi mencurigakan yang ditemukan oleh PeckShield termasuk 4373 $BNB, 5,4 juta $USDT, 196k $DAI, dan 1233,21 $ETH.

tracing transaksisi illegal (PeckShield)

Pada Oktober 2022, BitKeep mengalami kerugian sekitar $1 juta setelah seorang peretas mengeksploitasi kerentanan dalam layanan yang memungkinkan mereka melakukan pertukaran token secara sewenang-wenang.

Saat itu, BitKeep berjanji akan mengganti kerugian sepenuhnya bagi mereka yang terkena dampak insiden tersebut. Namun, karena serangan saat ini diakibatkan oleh pengguna yang ditipu oleh APK yang di-trojanisasi, kecil kemungkinan akan ada pengembalian dana.

sumber : bleeping computer

Serangan EarSpy Menguping Melaui Sensor Gerak Android

by

Sebuah tim peneliti telah mengembangkan serangan penyadapan untuk perangkat Android yang dapat, dalam berbagai tingkatan, mengenali jenis kelamin dan identitas penelepon, dan bahkan membedakan percakapan pribadi.

Dinamakan EarSpy, serangan saluran samping bertujuan untuk mengeksplorasi kemungkinan baru penyadapan melalui penangkapan pembacaan data sensor gerak yang disebabkan oleh gema dari speaker telinga di perangkat seluler.

Sementara jenis serangan ini telah dieksplorasi di pengeras suara smartphone, speaker telinga dianggap terlalu lemah untuk menghasilkan getaran yang cukup untuk risiko penyadapan untuk mengubah serangan saluran samping menjadi serangan yang praktis.

Bukti kemajuan ini ditunjukkan di bawah, di mana earphone OnePlus 3T 2016 hampir tidak terdaftar di spektogram sementara speaker telinga stereo OnePlus 7T 2019 menghasilkan lebih banyak data secara signifikan.

ear speaker kiri ke kanan untuk Oneplus 3T, Oneplus 7T, Oneplus 7T loudspeaker (sumber : arxiv.org.org)

Percobaan dan hasil
Para peneliti menggunakan perangkat OnePlus 7T dan OnePlus 9 dalam percobaan mereka, bersama dengan berbagai rangkaian audio pra-rekaman yang diputar hanya melalui pengeras suara kedua perangkat.

Tim juga menggunakan aplikasi pihak ketiga ‘Physics Toolbox Sensor Suite’ untuk menangkap data akselerometer selama panggilan simulasi dan kemudian memasukkannya ke MATLAB untuk dianalisis dan mengekstrak fitur dari aliran audio.

Algoritme pembelajaran mesin (ML) dilatih menggunakan kumpulan data yang tersedia untuk mengenali konten ucapan, identitas penelepon, dan jenis kelamin.

Hasil pengujian pada OnePlus 7T (arxiv.org)

Keterbatasan dan solusi
Satu hal yang dapat mengurangi kemanjuran serangan EarSpy adalah volume yang dipilih pengguna untuk speaker telinga mereka. Volume yang lebih rendah dapat mencegah penyadapan melalui serangan saluran samping ini dan juga lebih nyaman untuk telinga.

Android 13 telah memperkenalkan batasan dalam mengumpulkan data sensor tanpa izin untuk pengambilan sampel kecepatan data di atas 200 Hz.

Para peneliti menyarankan agar produsen ponsel memastikan tekanan suara tetap stabil selama panggilan dan menempatkan sensor gerak pada posisi di mana getaran yang berasal dari dalam tidak memengaruhinya atau setidaknya memiliki dampak seminimal mungkin.

sumber : bleeping computer

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

by

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

GitHub Meluncurkan Pemindaian Rahasia Gratis Untuk Semua Repositori Publik

by

GitHub meluncurkan dukungan untuk pemindaian rahasia terbuka secara gratis (seperti kredensial dan token autentikasi) ke semua repositori publik pada platform hosting kodenya.

Pemindaian rahasia adalah opsi keamanan yang dapat diaktifkan oleh organisasi untuk pemindaian repositori tambahan untuk mendeteksi pemaparan yang tidak disengaja dari jenis rahasia yang diketahui.

Sebelumnya, layanan pemindaian rahasia hanya tersedia untuk organisasi yang menggunakan GitHub Enterprise Cloud dengan lisensi GitHub Advanced Security.

Sejak awal tahun ini saja, perusahaan mengatakan telah mengeluarkan lebih dari 1,7 juta peringatan tentang potensi rahasia yang terungkap di repositori publik.

Untuk mengaktifkan peringatan pemindaian rahasia untuk repositori publik gratis, Anda harus melalui langkah-langkah berikut:

  • Di github.com, navigasikan ke halaman utama repositori.
  • Dibawah nama repositori anda, klik tombol “Pengaturan repositori.
  • Di bagian “Keamanan” pada sidebar, klik “Keamanan dan analisis kode.”
  • Gulir ke bawah ke bagian bawah halaman, dan klik “Aktifkan” untuk pemindaian rahasia. Jika Anda melihat otmbol “Nonaktifkan”, artinya pemindaian rahasia sudah diaktifkan untuk repositori.

Informasi mendetail tentang cara mengaktifkan pemindaian rahasia untuk repositori Anda di situs web dokumentasi GitHub dan detail lebih lanjut tentang kemampuan pemindaian rahasia tersedia di sini.

Pada bulan April, GitHub juga mengumumkan bahwa mereka memperluas kemampuan pemindaian rahasia untuk pelanggan GitHub Advanced Security untuk secara otomatis memblokir komit yang berisi rahasia yang terbuka dan mencegah pemaparan kredensial secara tidak sengaja sebelum melakukan kode ke repo jarak jauh.

Mengaktifkan pemindaian rahasia adalah cara mudah bagi organisasi yang menggunakan GitHub untuk meningkatkan keamanan rantai pasokan dan melindungi diri dari kebocoran yang tidak disengaja.

sumber : bleeping computer