Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Repositori Open-source Dibanjiri Oleh 144.000 Package Phishing

by

Unknown threat actors have uploaded a massive 144,294 phishing-related packages on open-source package repositories, inluding NPM, PyPi, and NuGet.

Serangan skala besar dihasilkan dari otomatisasi, karena paket diunggah dari akun menggunakan skema penamaan tertentu, menampilkan deskripsi serupa, dan mengarah ke kelompok yang sama dari 90 domain yang menampung lebih dari 65.000 halaman phishing.

Operasi besar-besaran
NuGet memiliki bagian terbesar dari unggahan paket berbahaya, terhitung 136.258, PyPI memiliki 7.894 infeksi, dan NPM hanya memiliki 212.

Paket phishing diunggah di trove dalam beberapa hari, yang umumnya merupakan tanda aktivitas berbahaya.

Diagram unggahan paket berbahaya (Checkmarx)

URL ke situs phishing ditanamkan dalam deskripsi paket, dengan harapan tautan dari repositori akan meningkatkan SEO situs phishing mereka.

Deskripsi paket ini juga mendesak pengguna untuk mengeklik tautan untuk mendapatkan info lebih lanjut tentang dugaan kode kartu hadiah, aplikasi, alat peretasan, dll.

Deskripsi package berbahaya (Checkmarx)

Hampir semua situs tersebut meminta pengunjung untuk memasukkan email, nama pengguna, dan kata sandi akun mereka, yang merupakan tempat terjadinya langkah phishing.

Contoh situs web berbahaya (Checkmarx)

Ini memulai serangkaian pengalihan ke situs survei, akhirnya mendarat di situs web e-niaga yang sah menggunakan tautan afiliasi, begitulah cara pelaku ancaman menghasilkan pendapatan dari kampanye.

Peneliti keamanan yang menemukan kampanye ini memberi tahu NuGet tentang infeksi tersebut, dan semua paket telah dihapus dari daftar.

Namun, mengingat metode otomatis yang digunakan oleh pelaku ancaman untuk mengunggah sejumlah besar paket dalam waktu singkat, mereka dapat memperkenalkan kembali ancaman tersebut menggunakan akun baru dan nama paket yang berbeda kapan saja.

Untuk daftar lengkap URL yang digunakan dalam kampanye ini, lihat file teks IoC ini di GitHub.

sumber : bleeping computer

TPG Telecom mengungkapkan Pelanggaran Exchange yang dihosting di iiNet, Westnet

by

TPG Telecom telah mengungkapkan pelanggaran layanan Exchange yang dihosting yang menjalankan akun email hingga 15.000 pelanggan bisnis iiNet dan Westnet.

Telco mengatakan bahwa mandiant telah “menemukan bukti akses tidak sah” pada 13 Desember.

Insiden tersebut diidentifikasi sebagai bagian dari pemindaian rutin pada aset jaringan.

“Sebagai bagian dari keterlibatan Mandiant yang berkelanjutan untuk membantu perlindungan dunia maya, mereka melakukan tinjauan sejarah forensik dan menemukan akses tidak sah ke layanan hosted exchange service” TPG Telecom said.

“Sebagai bagian ari keterlubatan Mandiant yang berkelajutan untuk membantu perlindungan dunia maya, mereka melakukan tinjauan sejarah forensik dan menemukan akases tidak sah ke layanan hosted exchange service,” kata TGP Telecom.

“Kami telah menerapkan langkah-langkah untuk menghentikan akses tidak sah, langkah-langkah keamanan lebih lanjut telah dilakukan, dan kami sedang dalam proses menghubungi semua pelanggan yang terpengaruh pada layanan Exchange yang dihosting.

TPG Telecom mengatakan telah memberi tahu “otoritas pemerintah terkait”.

Itu meminta maaf kepada pelanggan bisnis atas insiden tersebut. Disebutkan pula bahwa pelanggan residensial kedua merek tersebut tidak terpengaruh.

sumber : itnews

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

by

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

  • Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
  • Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
  • Citrix ADC 12.1-FIPS before 12.1-55.291
  • Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

Telegram Menjual Nomor Telepon Palsu untuk Crypto

by

Telegram telah memfasilitasi penjualan nama pengguna senilai lebih dari $50 juta dalam lelang crypto, dan sekarang ingin melelang nomor telepon palsu untuk memungkinkan akses ke platform.

Telegram mengatakan itu memungkinkan untuk mengakses aplikasi dengan “menggunakan nomor anonim bertenaga blockchain” yang sekarang dilelang untuk crypto di platform crypto Fragment perusahaan sendiri. Meskipun pengguna dapat mengakses Telegram dengan nomor telepon terenkripsi, itu sekarang memberi pengguna aplikasi cara untuk melakukannya secara lebih anonim, selama mereka bersedia membuka dompet crypto mereka.

Perlu dicatat bahwa pasar Fragmen tidak tersedia di A.S. Setelah terhubung ke layanan dengan VPN, ini menunjukkan beberapa nomor hanya di bawah $40 dengan enam hari tersisa untuk menawar, sementara nomor lain, seperti 888-8 -888, terjual lebih dari $61.850 dengan dua minggu tersisa dalam proses penawaran. Masalahnya, Anda tidak dapat menggunakan nomor-nomor itu untuk apa pun selain mendaftar ke Telegram, yang membuat gagasan “lelang” menjadi lebih gila.

Telegram telah secara agresif memonetisasi platformnya selama setahun terakhir untuk menghasilkan lebih banyak uang dari 700 juta pengguna aktif globalnya. Pada hari Selasa, CEO Telegram Pavel Durov mengatakan di saluran resminya bahwa perusahaannya memiliki lebih dari 1 juta orang yang membayar Telegram Premium, yang dirilis hanya lima bulan lalu, meskipun pelanggan premium hanya mewakili “sebagian kecil” dari keseluruhan pendapatan mereka.

Fragmen juga merupakan tempat Telegram menjual nama pengguna populer untuk mendapatkan sedikit uang kripto tambahan. Tampaknya Telegram dan kecintaannya yang baru terhadap crypto tidak cocok dengan regulator AS, seperti yang telah terbukti di masa lalu.

Pada 30 November, CEO mengklaim di halamannya bahwa Fragment telah menjual nama pengguna senilai $50 juta dalam waktu kurang dari sebulan. Dia mengatakan dia memiliki tujuan untuk menambahkan dompet kripto dan pertukaran kripto yang “terdesentralisasi” ke dalam platform Fragmen, tampaknya mengabaikan apa yang terjadi terakhir kali ketika perusahaannya dipukul terbalik oleh SEC. Meskipun dunia crypto telah diguncang oleh korupsi yang dirinci oleh ledakan pertukaran crypto FTX, Durov secara terbuka menyerukan manfaat “desentralisasi” dalam crypto dan bagaimana teknologi blockchain “akhirnya harus dapat memenuhi misi intinya – memberikan kekuasaan kembali kepada rakyat.”

sumber : gizmodo

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

by

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

by

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Cybercrime Diperkirakan Akan Meroket di Tahun-Tahun Mendatang

by

Menurut perkiraan dari Statista’s Cybersecurity Outlook, biaya global kejahatan dunia maya diperkirakan akan melonjak dalam lima tahun ke depan, naik dari $8,44 triliun pada tahun 2022 menjadi $23,84 triliun pada tahun 2027.

Kejahatan dunia maya didefinisikan oleh Cyber Crime Magazine sebagai “kerusakan dan penghancuran data , uang yang dicuri, kehilangan produktivitas, pencurian kekayaan intelektual, pencurian data pribadi dan keuangan, penggelapan, penipuan, gangguan pasca-serangan terhadap kegiatan normal bisnis, penyelidikan forensik, pemulihan dan penghapusan data dan sistem yang diretas, dan kerusakan reputasi. ”

Karena semakin banyak orang yang beralih daring, baik untuk pekerjaan atau kehidupan pribadi mereka, ada lebih banyak peluang potensial untuk dieksploitasi oleh penjahat dunia maya.

Pada saat yang sama, teknik penyerang menjadi lebih maju, dengan lebih banyak alat yang tersedia untuk membantu penipu.

Pandemi virus korona menunjukkan pergeseran tertentu dalam serangan dunia maya, seperti yang dijelaskan oleh analis Outlook Statista: “Krisis COVID-19 menyebabkan banyak organisasi menghadapi lebih banyak serangan dunia maya karena kerentanan keamanan pekerjaan jarak jauh serta peralihan ke lingkungan TI virtual, seperti infrastruktur, data, dan jaringan komputasi awan.”

Selengkapnya: Statista

BEC Group Mengkompromi Akun Pribadi dan Menarik Hati untuk Meluncurkan Serangan Kartu Hadiah Massal

by

Ada satu kelompok kriminal yang sekarang menyempurnakan eksploitasi kesediaan orang untuk membantu orang lain ketika mereka sakit atau berduka. Penjahat ini memanfaatkan salah satu instrumen bantuan orang-ke-orang yang disukai di era pandemi untuk memberikan sentuhan baru yang berbahaya pada penipuan kartu hadiah, menggunakan taktik manipulasi dan kompromi email bisnis (BEC).

Lilac Wolverine adalah grup BEC yang menyusup ke akun email pribadi, lalu mengirimkan kampanye email yang sangat besar yang menargetkan semua orang di setiap daftar kontak akun yang disusupi untuk meminta bantuan membeli kartu hadiah untuk teman atau kerabat. Berdasarkan keterlibatan pertahanan aktif yang telah kami lakukan dengan para aktor Lilac Wolverine, grup ini sangat tersentralisasi di Nigeria, yang secara historis menjadi titik panas bagi para aktor BEC.

Untuk serangan BEC penipuan pembayaran, target scammer umumnya terbatas pada karyawan di tim keuangan perusahaan. Serangan pengalihan gaji biasanya hanya dapat dilakukan dengan menyerang karyawan di departemen sumber daya manusia. Serangan kartu hadiah, di sisi lain, dapat menargetkan karyawan mana pun di suatu organisasi, terlepas dari departemen apa yang mereka duduki.

Alih-alih memiliki jumlah target yang terbatas, scammer berpotensi memiliki ratusan karyawan yang dapat mereka kejar dalam satu kampanye. . Dan sementara tingkat keberhasilan keseluruhan mungkin jauh lebih rendah untuk setiap email serangan BEC kartu hadiah individu, peluang sukses keseluruhan scammer dalam kampanye email yang jauh lebih besar naik, karena mereka hanya perlu persentase kecil dari populasi target yang jauh lebih besar untuk jatuh. penipuan.

Selengkapnya: Abnormal Security