Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Apple mengajukan gugatan terhadap NSO Group, mengatakan warga AS menjadi target

by

23 November (Reuters) – Apple Inc (AAPL.O) mengatakan pada Selasa bahwa pihaknya telah mengajukan gugatan terhadap perusahaan siber Israel NSO Group dan perusahaan induknya OSY Technologies atas dugaan pengawasan dan penargetan pengguna Apple AS dengan spyware Pegasus-nya.

Dalam pengaduannya yang diajukan di Pengadilan Distrik AS untuk Distrik Utara California, Apple mengatakan alat NSO digunakan dalam “upaya bersama pada tahun 2021 untuk menargetkan dan menyerang pelanggan Apple” dan bahwa “warga AS telah diawasi oleh spyware NSO pada perangkat seluler yang dapat dan melakukan lintas batas internasional.”

Apple menuduh bahwa NSO Group membuat lebih dari 100 kredensial pengguna ID Apple palsu untuk melakukan serangannya. Apple mengatakan bahwa servernya tidak diretas, tetapi NSO menyalahgunakan dan memanipulasi server untuk mengirimkan serangan ke pengguna Apple.

Apple juga menuduh bahwa NSO Group terlibat langsung dalam menyediakan layanan konsultasi untuk serangan tersebut, yang patut diperhatikan karena NSO telah menyatakan bahwa mereka menjual alatnya kepada klien.

“Terdakwa memaksa Apple untuk terlibat dalam perlombaan senjata terus-menerus: Bahkan saat Apple mengembangkan solusi dan meningkatkan keamanan perangkatnya, Tergugat terus memperbarui malware dan eksploitasi mereka untuk mengatasi peningkatan keamanan Apple sendiri,” kata Apple.

Apple mengatakan sejauh ini tidak melihat bukti alat NSO digunakan terhadap perangkat Apple yang menggunakan iOS 15, versi terbaru dari sistem operasi selulernya.

Pembuat iPhone mengatakan bahwa mereka akan mendonasikan $10 juta, serta semua ganti rugi yang dipulihkan dalam gugatan, kepada kelompok penelitian pengawasan siber termasuk Citizen Lab, kelompok Universitas Toronto yang pertama kali menemukan serangan NSO.

Selengkapnya: Reuters

Seorang Remaja Kanada Ditangkap dalam Perampokan SIM-Swap senilai $36,5 juta

by

Seorang remaja Kanada ditangkap karena diduga mencuri cryptocurrency senilai C$46 juta ($36,5 juta) dari seorang korban AS, pencurian crypto terbesar yang dilaporkan dari satu orang, menurut polisi di kota Hamilton, dekat Toronto.

Polisi mengatakan korban menjadi sasaran melalui penipuan ponsel yang dikenal sebagai pertukaran SIM, di mana seorang penipu membajak nomor telepon pelanggan nirkabel untuk mencegat permintaan otentikasi dua faktor dan mendapatkan akses ke akun korban.

Penangkapan tersebut merupakan hasil penyelidikan bersama dengan Biro Investigasi Federal dan Satuan Tugas Kejahatan Elektronik Secret Service, kata Dinas Kepolisian Hamilton dalam sebuah pernyataan. Investigasi diluncurkan tahun lalu pada bulan Maret.

Departemen kepolisian di Hamilton – sekitar satu jam perjalanan ke barat Toronto – menyita cryptocurrency yang saat ini bernilai lebih dari $7 juta.

Beberapa crypto yang dicuri digunakan untuk membeli nama pengguna game online “langka”, yang akhirnya mengarahkan penyelidik untuk mengungkap identitas pemegang akun, kata polisi dalam pernyataan itu.

Remaja Hamilton ditangkap dan didakwa dengan pencurian lebih dari C $ 5.000 dan kepemilikan properti atau hasil properti yang diperoleh dengan kejahatan. Urusannya sudah di depan pengadilan.

Selengkapnya: Bloomberg

Arsitektur zero-trust diharapkan dapat meningkatkan kemanjuran keamanan siber sebesar 144%

by

Mendekati tahun 2022 dengan cepat, Symmetry Systems dan Osterman Research telah merilis laporan yang merinci bagaimana organisasi berencana untuk menerapkan arsitektur zero-trust, dengan 53% responden mengutip serangan ransomware profil tinggi sebagai motivator utama mereka.

Memasukkan prinsip-prinsip zero-trust ke dalam keamanan data modern memastikan tidak ada satu titik kegagalan pun saat sistem dilanggar. Prinsip zero-trust dapat memastikan bahwa meskipun penyerang mengetahui lokasi basis data/IP, nama pengguna, dan kata sandi, mereka tidak dapat menggunakan informasi tersebut untuk mengakses informasi istimewa yang diberikan kepada peran aplikasi tertentu, manajemen identitas dan akses (IAM), dan perimeter jaringan cloud .

Saat ini, kita hidup di lingkungan hybrid-cloud di mana pengguna, pengembang, vendor rantai pasokan, dan kontraktor mendapatkan data melalui web infrastruktur statis dan aplikasi cloud. Solusi kontrol lawas untuk data ini bergantung pada aturan IAM pengembang internal dan kebijakan otorisasi untuk layanan web yang dihadapi pelanggan.

Menurut laporan tersebut, arsitektur zero-trust diharapkan dapat meningkatkan kemanjuran perlindungan keamanan siber untuk menghentikan pelanggaran data sebesar 144%. Laporan ini juga menekankan pada pengamanan data pelanggan sebagai motivator lain di balik penerapan di seluruh perusahaan.

Sorotan utama lainnya dari responden termasuk hambatan yang dihadapi saat menerapkan arsitektur zero-trust, tingkat kepercayaan mereka terhadap perlindungan keamanan siber yang ada, sepuluh sumber data teratas yang membutuhkan perlindungan, dan total anggaran TI yang dialokasikan untuk inisiatif zero-trust menurut tahun.

Laporan ini merujuk data dari survei mendalam terhadap 125 pembuat keputusan TI dan keamanan di organisasi menengah dan besar, yang semuanya memiliki pengetahuan tentang bagaimana organisasi mereka menggunakan atau berencana untuk menggunakan arsitektur zero-trust, atau mengapa organisasi mereka sengaja dipilih untuk tidak melakukannya.

Selengkapnya: Venture Beat

Peretas Crypto Menggunakan Babadeda Crypter untuk Membuat Malware Mereka Tidak Terdeteksi

by

Kampanye malware baru telah ditemukan menargetkan cryptocurrency, non-fungible token (NFT), dan penggemar DeFi melalui saluran Discord untuk menyebarkan crypter bernama “Babadeda” yang mampu melewati solusi antivirus dan melakukan berbagai serangan.

“Penginstal malware ini telah digunakan dalam berbagai kampanye baru-baru ini untuk mengirimkan pencuri informasi, RAT, dan bahkan ransomware LockBit,” kata peneliti Morphisec dalam laporan yang diterbitkan minggu ini. Serangan distribusi malware dikatakan telah dimulai pada Mei 2021.

Crypters adalah jenis perangkat lunak yang digunakan oleh penjahat dunia maya yang dapat mengenkripsi, mengaburkan, dan memanipulasi kode berbahaya sehingga tampak tidak berbahaya dan membuatnya lebih sulit untuk dideteksi oleh program keamanan — cawan suci bagi pembuat malware.

Infiltrasi yang diamati oleh Morphisec melibatkan aktor ancaman yang mengirim pesan umpan ke calon pengguna di saluran Discord terkait dengan game berbasis blockchain seperti Mines of Dalarnia, mendesak mereka untuk mengunduh aplikasi.

Jika korban mengeklik URL yang disematkan di dalam pesan, individu tersebut akan diarahkan ke domain phishing yang dirancang menyerupai situs web sah game dan menyertakan tautan ke penginstal jahat yang berisi sandi Babadeda.

Setelah dieksekusi, penginstal memicu urutan infeksi yang memecahkan kode dan memuat muatan terenkripsi, dalam hal ini BitRAT dan Remcos, untuk memanen informasi berharga.

Morphisec mengaitkan serangan itu dengan aktor ancaman dari negara berbahasa Rusia, karena teks bahasa Rusia yang ditampilkan di salah satu situs umpan. Sebanyak 84 domain berbahaya, yang dibuat antara 24 Juli 2021, dan 17 November 2021, telah diidentifikasi hingga saat ini.

Selengkapnya: The Hacker News

Sistem E-Mail IKEA Terkena Serangan Siber Yang Sedang Berlangsung

by

Dalam email internal yang dilihat oleh BleepingComputer, IKEA memperingatkan karyawan tentang serangan cyber phishing reply-chain yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.

“Ada serangan cyber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA,” jelas email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.

“Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati.”

Tim TI IKEA memperingatkan karyawan bahwa email reply-chain berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.

Pelaku ancaman baru-baru ini mulai mengkompromikan server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.

Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan berantai balasan terhadap karyawan menggunakan email perusahaan yang dicuri.

Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.

Selengkapnya: Bleeping Computer

Kampanye malware Discord menargetkan komunitas crypto dan NFT

by

Kampanye malware baru di Discord menggunakan crypter Babadeda untuk menyembunyikan malware yang menargetkan komunitas crypto, NFT, dan DeFi.

Babadeda adalah crypter yang digunakan untuk mengenkripsi dan mengaburkan muatan berbahaya dalam installer atau program aplikasi yang tidak berbahaya.

Mulai Mei 2021, aktor ancaman telah mendistribusikan trojan akses jarak jauh yang dikaburkan oleh Babadeda sebagai aplikasi yang sah di channel Discord bertema kripto.

Karena obfuscation yang kompleks, ia memiliki tingkat deteksi AV yang sangat rendah, dan menurut para peneliti di Morphisec, tingkat infeksinya meningkat pesat.

Rantai pengiriman dimulai di channel Discord publik yang memiliki audiens yang berfokus pada kripto, seperti penurunan NFT baru atau diskusi mata uang kripto.

Pelaku ancaman memposting di channel ini atau mengirim pesan pribadi ke calon korban, mengundang mereka untuk mengunduh game atau aplikasi.

Dalam beberapa kasus, para aktor meniru proyek perangkat lunak blockchain yang ada seperti game “Tambang Dalarna”.

Jika pengguna tertipu dan mengklik URL yang disediakan, mereka akan berakhir di situs umpan yang menggunakan domain cybersquatted yang mudah dilewati sebagai domain asli.

Domain ini menggunakan sertifikat LetsEncrypt yang valid dan mendukung koneksi HTTPS, sehingga semakin sulit bagi pengguna yang ceroboh untuk menyadari bahwa ini adalah penipuan.

Malware diunduh setelah mengklik tombol “Mainkan Sekarang” atau “Unduh aplikasi” di situs yang sudah dibuat oleh penyerang, bersembunyi dalam bentuk file DLL dan EXE di dalam arsip yang sekilas tampak seperti folder aplikasi biasa.

Jika pengguna mencoba untuk menjalankan installer, mereka akan menerima pesan kesalahan palsu untuk menipu korban agar berpikir bahwa tidak ada yang terjadi.

Namun, di latar belakang, eksekusi malware berlanjut, membaca langkah-langkah dari file XML untuk mengeksekusi utas baru dan memuat DLL yang akan menerapkan persistence.

Selengkapnya: Bleeping Computer

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

by

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

by

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sumber: TheHackerNews

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News