Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Joker DPR dan Perang Informasi

by Leave a Comment

Recorded Future’s Insikt Group meneliti kelompok ancaman peretas pro-Rusia “Joker DPR”, yang menjadi lebih menonjol selama invasi Rusia yang sedang berlangsung ke Ukraina.

Kelompok ini terkenal dengan dugaan aktivitas dunia maya, yang telah menargetkan dan mempublikasikan informasi sensitif tentang sumber daya web militer dan pemerintah Ukraina, dan untuk kehadiran media sosialnya, yang telah dieksploitasi untuk menyebarkan propaganda pro-Rusia, anti-Ukraina.

Hingga saat ini, klaim Joker DPR yang paling signifikan adalah dugaan pelanggaran DELTA, sistem manajemen medan perang (BMS) yang terbukti efektif untuk pertahanan nasional Ukraina.

Dugaan pelanggaran Joker DPR tidak mungkin seluas yang diklaim oleh kelompok ancaman. Namun demikian, itu adalah bagian dari semakin banyak bukti yang menunjukkan bahwa Joker DPR sengaja mendukung perang informasi Rusia di Ukraina.

Joker DPR terkenal menyebarkan propaganda pro-Rusia, anti-Ukraina. Di sini kelompok ancaman mengolok-olok kematian seorang pejuang pro-Ukraina di Donbass.

Berdasarkan keselarasan kegiatan Joker DPR dengan tujuan operasi pengaruh Rusia di Ukraina — khususnya, merongrong dukungan untuk Angkatan Bersenjata Ukraina (AFU) dan pemerintah Ukraina — kemungkinan besar kegiatan Joker DPR diarahkan untuk memperkuat operasi informasi Rusia di Ukraina, mungkin dengan koordinasi negara Rusia.

Joker DPR telah menumbuhkan kepribadian yang canggih. Meskipun dicirikan sebagai individu dalam komunikasinya, kemungkinan besar Joker DPR adalah kelompok ancaman yang bergantung pada infrastruktur manusia terkoordinasi dari warga Ukraina yang bersimpati dengan Rusia dan aktor ancaman yang berpikiran sama untuk mengumpulkan informasi sensitif yang dipublikasikan kelompok tersebut.

Selengkapnya: Recorded Future

Cara lama: BabLock, ransomware baru yang diam-diam menjelajahi Eropa, Timur Tengah, dan Asia

by

Pada pertengahan Januari 2023, tim Digital Forensics and Incident Response Group-IB yang berbasis di Amsterdam dipanggil untuk menyelidiki salah satu serangan pasca-liburan Tahun Baru terhadap perusahaan sektor industri di Eropa.

Selama penyelidikan, para ahli Group-IB menetapkan bahwa korban telah dienkripsi dengan jenis ransomware yang sebelumnya tidak dikenal. Ketegangan, pertama kali ditemukan oleh peneliti Group-IB pada Januari 2023, diberi nama kode BabLock, karena versinya untuk Linux dan ESXi memiliki kesamaan dengan ransomware Babuk yang bocor.

Terlepas dari kesamaan kecil ini, grup ini memiliki modus operandi yang sangat berbeda dan ransomware canggih khusus untuk Windows. Selain itu, geng BabLock (juga dilacak dengan nama “Rorschach” oleh CheckPoint), tidak seperti kebanyakan “rekan industri”, tidak menggunakan Situs Kebocoran Data (DLS) dan berkomunikasi dengan korbannya melalui email.

Tidak adanya DLS, bersama dengan permintaan tebusan yang relatif sederhana mulai dari 50.000 hingga 1.000.000 USD, memungkinkan grup untuk beroperasi secara diam-diam dan tetap berada di bawah radar peneliti keamanan siber. Strain tersebut telah aktif setidaknya sejak Juni 2022, ketika versi ESXi yang paling awal diketahui dirilis. Menariknya, semua modul ransomware BabLock untuk Windows yang ditemukan oleh peneliti Group-IB dikompilasi pada tahun 2021, menurut stempel waktu.

Selain Eropa, kelompok tersebut diduga melakukan serangan di Asia dan Timur Tengah, berdasarkan sampel BabLock yang diserahkan ke VirusTotal. Khususnya, grup tersebut tidak mengenkripsi perangkat yang menggunakan bahasa Rusia dan bahasa lain yang digunakan di ruang pasca-Soviet.

Artefak yang dikumpulkan selama keterlibatan respons insiden di Eropa menyarankan BabLock menggunakan taktik canggih seperti eksploitasi CVE, pemuatan samping DLL serta anti-analisis kompleks dan teknik penghindaran deteksi.

Selengkapnya: Group IB

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

by

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

    Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

  • kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
  • Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
  • Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
  • Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
  • Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
  • Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Penegakan Hukum Internasional Merebut Pasar Web Gelap

by

Badan penegak hukum internasional telah menyita pasar web gelap yang populer dengan penjahat siber, menurut pemberitahuan yang diposting ke situs tersebut pada hari Selasa.

Sebuah spanduk terpampang di situs Genesis Market mengatakan domain milik organisasi telah disita oleh FBI. Logo organisasi polisi Eropa, Kanada, dan Australia lainnya juga terpampang di seluruh situs, bersama dengan perusahaan keamanan siber Qintel.

Badan Kejahatan Nasional Inggris memberikan sebuah penegasan bahwa pihaknya berpartisipasi dalam operasi penegakan hukum internasional yang menargetkan penjahat siber. Belum ada tanggapan lagi terkait pengumuman yang direncanakan pada Selasa.

Hingga saat ini Reuters belum dapat menemukan detail kontak untuk administrator Genesis Market.

Seorang analis perusahaan keamanan siber Inggris, Louise Ferrett, mengatakan bahwa Genesis berspesialisasi dalam penjualan produk digital, terutama “sidik jari peramban” yang diambil dari komputer yang terinfeksi perangkat lunak berbahaya.

Lebih lanjut, karena sidik jari tersebut sering menyertakan kredensial, cookie, alamat protokol internet, dan detail browser atau sistem operasi lainnya, mereka dapat digunakan oleh penjahat untuk melewati solusi anti-penipuan seperti autentikasi multi-faktor atau sidik jari perangkat, menurutnya

Selengkapnya: Reuters

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

by

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory

Mengapa Mata-mata Siber AS Mendesak: Bersikaplah Religius tentang Cadangan

by

Tidak semua teknologi pertahanan adalah alat perang siber yang canggih. Terkadang pertahanan terbaik sama membosankannya dengan cadangan.

Rob Joyce, direktur badan keamanan siber Badan Keamanan Nasional AS, berbicara pada KTT Akselerator Kebijakan Silverado, mengatakan bahwa seluruh dunia harus mengambil pelajaran dari perang Rusia-Ukraina ini ke dalam hati.

“Ukraina telah berada di bawah tekanan siber yang luar biasa selama bertahun-tahun, jauh sebelum invasi,” kata Joyce.

“Jadi mereka, karena kebutuhan, harus belajar dari itu. Mereka menjadi religius tentang cadangan; mereka sampai pada titik di mana sysadmin mereka mengerti bagaimana menanggapi pelanggaran, membersihkan, dan melanjutkan. Mereka dipraktikkan.”

Dalam perang siber yang nyata, mereka menjaga komunikasi Ukraina, pemerintah, dan infrastruktur penting tetap online meskipun selama setahun terjadi lusinan penghapus data dan jenis serangan lainnya.

Joyce menambahkan, selain memiliki cadangan sejak awal, perlu juga memikirkan tentang langkah praktis untuk memeriksa cadangan agar sewaktu-waktu dapat memulihkan aspek kunci bisnis apabila terjadi suatu insiden.

Perusahaan perlu memiliki pedoman yang menguraikan bagaimana mereka akan merespons dan siapa yang akan terlibat untuk berbagai jenis ancaman siber.

Sementara itu, Sandra Joyce mengatakan bahwa Mandiant milik Google merespons lebih dari 1.000 pelanggaran setiap tahun. Sebagian besar, ini merupakan insiden yang bisa bertahan.

Menurutnya juga, perusahaan yang paling siap menghadapi pelanggaran sudah menerapkan dasar-dasar keamanan termasuk otentikasi dua faktor dan pemindaian kerentanan. Disarankan juga untuk menjalankan suatu proses jika terjadi kesalahan.

Selengkapnya: The Register

Microsoft akhirnya menindak salah satu risiko keamanan Windows terbesarnya

by

Microsoft telah membagikan lebih banyak detail tentang pembaruan keamanan penting untuk OneNote, yang diharapkan dapat mengatasi masalah yang berkembang dari programnya yang semakin sering digunakan untuk mendorong ransomware dan jenis malware lainnya.

Dalam dokumen dukungan Microsoft 365 baru (terbuka di tab baru), perusahaan mencantumkan total 120 ekstensi file yang akan segera diblokir di OneNote. Di antara jenis file yang menonjol adalah .XLL, .ISO, .BAT, dan .JS.

Ekstensi ini juga akan diblokir di program Office 365 (terbuka di tab baru) lainnya seperti Outlook, Word, Excel, atau PowerPoint.

Sebelumnya, mencoba membuka file OneNote dengan lampiran yang mencurigakan akan memunculkan pemberitahuan peringatan, pembaruan baru akan mencegah file dibuka – sama sekali.

Sebagai gantinya, pengguna akan bertemu dengan dialog peringatan yang mengatakan “Administrator Anda telah memblokir kemampuan Anda untuk membuka jenis file ini di OneNote”.

Perubahan akan diluncurkan dalam Versi 2304 di Saluran Saat Ini (Pratinjau) ke OneNote untuk Microsoft 365, pada perangkat yang diberdayakan Windows, baik pada bulan April, atau Mei, tahun ini, katanya.

Versi retail Office 2021, Office 2019, dan Office 2016 (Current Channel) juga akan diperbarui untuk mencerminkan perubahan ini, namun, versi Office dengan lisensi volume (Office Standard 2019, atau OFfice LTSC Professional Plus 2021) tidak akan mendapatkan pembaruan.

Sejak Microsoft memblokir aplikasi produktivitasnya dari menjalankan makro, peretas telah mencari alternatif yang layak untuk mengirimkan malware. Di antara metode yang berbeda, ada yang menonjol – file OneNote dengan lampiran berbahaya. Praktik ini menjadi sangat populer, begitu cepat, sehingga memaksa Microsoft dan memicu pembaruan yang akan datang.

Selengkapnya: Tech Radar

Bagaimana FBI menangkap admin BreachForums

by

FBI mengumpulkan beberapa bukti untuk menangkap Pompompurin. Pertama, mereka mendapatkan alamat IP yang digunakan Pompompurin untuk mengakses RaidForums, pendahulu BreachForums, yang disita oleh FBI pada April 2022. Sembilan dari alamat IP tersebut dikaitkan dengan Fitzpatrick, menurut penyedia layanan internetnya Verizon, sebagai Agen Khusus FBI tulis John Longmire dalam affidavit tertanggal 15 Maret, dua hari sebelum penangkapan Fitzpatrick.

Meskipun Pompompurin kemudian berkata “(Saya tidak ingin membagikan email saya yang sebenarnya karena alasan yang jelas, tetapi email ini tampaknya memiliki kasus yang sama dengan saya): conorfitzpatrick02@gmail.com,” tulis agen tersebut dalam pernyataan tertulis bahwa email itu alamat memang Pompompurin karena FBI memperoleh catatan dari Google yang menunjukkan bahwa Fitzpatrick mendaftarkan alamat itu beberapa bulan sebelum obrolan itu. Peretas yang diduga juga memiliki akun Google Pay yang ditautkan ke alamat email itu dan juga yang lebih baru, “conorfitzpatrick2002@gmail.com,” keduanya ditautkan ke nomor yang dimiliki oleh Fitzpatrick, menurut affidavit.

Selain itu, agen tersebut menulis bahwa dia memperoleh lebih banyak catatan dari Google, yang menunjukkan conorfitzpatrick2002@gmail.com memiliki alamat email pemulihan funmc59tm@gmail.com yang ditautkan ke alamat IP yang terdaftar untuk seseorang dengan nama belakang Fitzpatrick dan nomor telepon yang berbeda, yang mana agen itu mengatakan dia yakin itu milik ayah Fitzpatrick.

Kemudian, menurut affidavit, Pompompurin menggunakan beberapa VPN untuk terhubung ke akun Gmailnya, beberapa di antaranya tumpang tindih dengan aktivitasnya di tempat lain di internet.

Agen tersebut juga mengatakan bahwa FBI memperoleh catatan dari pertukaran cryptocurrency Purse.io. Catatan perusahaan mengungkapkan bahwa empat alamat IP yang digunakan untuk terhubung ke bursa juga digunakan untuk terhubung ke akun Gmail conorfitzpatrick2002@gmail.com dan akun RaidForum Pompompurin. Selain itu, akun Purse.io itu terdaftar dengan nama Conor Fitzpatrick dan alamat email “conorfitzpatrick2002@gmail.com,” kata affidavit.

Selengkapnya: TechCrunch