Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Have I Been Pwned menambahkan pencarian untuk nomor telepon Facebook yang bocor

by

Pengguna Facebook sekarang dapat menggunakan situs pemberitahuan pelanggaran data Have I Been Pwned untuk memeriksa apakah nomor telepon mereka terungkap dalam kebocoran data terbaru situs sosial tersebut.

Akhir pekan lalu, seorang pelaku ancaman merilis bocoran data berisi informasi bagi 533 juta pengguna Facebook. Informasi ini termasuk nomor telepon dan ID Facebook untuk hampir semua akun yang terbuka dan informasi opsional lainnya seperti nama, jenis kelamin, status hubungan, lokasi, pekerjaan, tanggal lahir, dan alamat email.

Data ini awalnya dikumpulkan pada 2019 dan dijual secara pribadi pada saat itu. Seiring waktu, data diperdagangkan dan dijual antara pelaku ancaman yang berbeda dengan harga yang lebih rendah dan lebih rendah sampai akhirnya dirilis secara gratis di forum peretas akhir pekan ini.

Ketika dirilis, data telah ditambahkan ke layanan pemberitahuan pelanggaran data Have I Been Pwned sehingga pengguna dapat mencari tahu apakah email mereka ada di kebocoran data Facebook.

Namun, komponen utama kebocoran ini adalah nomor telepon pengguna Facebook, bukan alamat email, dan oleh karena itu Have I Been Pwned tidak dapat secara akurat memberi tahu pengguna jika mereka terungkap dalam pelanggaran.

Untuk lebih akurat mengingatkan pengguna, Hunt telah memperbarui Have I Been Pwned sehingga pengguna sekarang dapat mencari nomor telepon mereka di situs tersebut untuk menentukan apakah kebocoran tersebut mengungkap info Facebook mereka.

Saat mencari nomor telepon, pengguna harus memasukkan kode negara mereka karena kebocoran data menyimpan nomor tersebut.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Komisi Eropa, organisasi Uni Eropa lainnya baru-baru ini dilanda serangan siber

by

Komisi Eropa dan beberapa organisasi Uni Eropa lainnya terkena serangan siber pada bulan Maret, menurut juru bicara Komisi Eropa.

Seperti yang diungkapkan oleh juru bicara tersebut, “insiden keamanan TI” berdampak pada beberapa lembaga, badan, atau infrastruktur TI lembaga UE.

“Kami bekerja sama dengan CERT-EU, Tim Tanggap Darurat Komputer untuk semua lembaga, badan dan agensi UE dan vendor solusi TI yang terpengaruh,” kata juru bicara tersebut kepada BleepingComputer.

“Komisi telah menyiapkan layanan pemantauan 24/7 dan secara aktif mengambil langkah-langkah mitigasi.”

Sejauh ini tidak ada “pelanggaran informasi utama” yang terdeteksi, meskipun analisis forensik upaya intrusi masih dalam tahap awal, dan tidak ada informasi konklusif yang tersedia.

Tidak ada informasi yang tersedia saat ini tentang sifat insiden atau identitas penyerang di balik serangan itu.

Meski tidak dikonfirmasi oleh juru bicara Komisi Eropa, Bloomberg sebelumnya melaporkan bahwa serangan itu melanda organisasi Uni Eropa pada pekan lalu.

Sumber: Bleeping Computer

Peretas menjual kartu hadiah senilai $ 38 juta dari ribuan toko

by

Seorang peretas Rusia telah menjual di forum bawah tanah tingkat atas hampir 900.000 kartu hadiah dengan nilai total diperkirakan mencapai $ 38 juta.

Basis data berisi kartu dari ribuan merek dan mungkin berasal dari pelanggaran lama di toko kartu hadiah diskon, Cardpool, yang sekarang sudah tidak ada lagi.

Penjual tidak mengungkapkan bagaimana mereka mendapatkan cache tetapi mengklaim bahwa itu termasuk 895.000 kartu hadiah dari 3.010 perusahaan, termasuk Airbnb, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target, dan Walmart.

Seperti praktik umum saat menjual data dalam jumlah besar di forum peretas, penjual menyiapkan lelang yang dimulai dari $ 10.000, dengan harga beli sekarang sebesar $ 20.000. Tidak butuh waktu lama bagi pembeli untuk mengakhiri penjualan.

Firma intelijen ancaman Gemini Advisory (diakuisisi oleh Recorded Future) mengatakan bahwa kartu hadiah biasanya dijual seharga 10% dari nilainya. Dalam hal ini, harganya jauh lebih rendah, sekitar 0,05%.

Menyerahkannya untuk sebagian kecil dari nilainya adalah tidak normal, yang dapat berarti bahwa klaim penjual sebesar $ 38 juta adalah pernyataan yang berlebihan untuk mendapatkan perhatian dan menemukan pembeli dengan cepat.

Teori lain dari Gemini Advisory adalah tingkat validitas kartu hadiah kemungkinan lebih rendah, yang berarti banyak yang tidak lagi aktif atau memiliki saldo rendah.

Sumber: Bleeping Computer

Serangan yang sedang berlangsung menargetkan aplikasi SAP yang tidak aman

by

Pelaku ancaman menargetkan aplikasi SAP yang sangat penting tanpa jaminan terhadap kerentanan yang sudah ditambal, sehingga jaringan organisasi komersial dan pemerintah dapat diserang.

SAP dan firma keamanan cloud Onapsis memperingatkan serangan yang sedang berlangsung kemarin, dan telah bekerja dalam kemitraan dengan Cybersecurity and Infrastructure Security Agency (CISA) dan badan cybersecurity Jerman BSI untuk memperingatkan pelanggan SAP agar menerapkan patch dan mensurvei lingkungan mereka untuk aplikasi yang tidak aman.

Intelijen ancaman yang dikumpulkan dan diterbitkan oleh Onapsis dalam koordinasi dengan SAP menunjukkan bahwa mereka “tidak mengetahui pelanggaran yang diketahui pada pelanggan” yang berakibat pada aktivitas berbahaya ini.

Namun, terungkap bahwa pelanggan SAP masih memiliki aplikasi tidak aman di lingkungan mereka yang terlihat melalui Internet, dan mengekspos organisasi terhadap upaya infiltrasi melalui vektor serangan yang seharusnya telah ditambal bertahun-tahun yang lalu.

Aktor ancaman di balik serangan ini telah mengeksploitasi beberapa kerentanan keamanan dan konfigurasi yang tidak aman dalam aplikasi SAP dalam upaya untuk menembus sistem target.

Selain itu, beberapa dari mereka juga telah diamati saat merangkai beberapa kerentanan dalam serangan mereka untuk “memaksimalkan dampak dan potensi kerusakan”.

Sumber: BleepingComputer

Menambal sistem SAP yang rentan harus menjadi prioritas bagi semua defenders karena Onapsis juga menemukan bahwa penyerang mulai menargetkan kerentanan SAP kritis dalam waktu kurang dari 72 jam, dengan aplikasi SAP yang terbuka dan belum ditambal disusupi dalam waktu kurang dari tiga jam.

Selengkapnya: Bleeping Computer

EtterSilent maldoc builder digunakan oleh geng-geng penjahat siber papan atas

by

Sebuah pembuat dokumen berbahaya (maldoc) bernama EtterSilent mendapatkan lebih banyak perhatian di forum bawah tanah, catat peneliti keamanan. Seiring popularitasnya meningkat, pengembang terus meningkatkannya untuk menghindari deteksi dari solusi keamanan.

Iklan yang mempromosikan pembuat dokumen berbahaya EtterSilent telah dipublikasikan di forum bawah tanah setidaknya sejak pertengahan tahun 2020, dengan fitur-fitur seperti bypass Windows Defender, Windows AMSI (Antimalware Scan Interface), dan layanan email populer, termasuk Gmail.

Dalam posting blog, para peneliti di perusahaan intelijen ancaman Intel 471 mencatat bahwa penjual menawarkan dokumen Microsoft Office (2007 hingga 2019) yang dipersenjatai dalam dua ‘varian’: dengan eksploitasi untuk kerentanan yang diketahui atau dengan makro berbahaya.

Salah satu kerentanan yang dimanfaatkan adalah CVE-2017-8570, eksekusi kode jarak jauh dengan tingkat keparahan tinggi. Penulis juga menyebutkan dua kerentanan lainnya (CVE-2017-11882 dan CVE-2018-0802), meskipun beberapa pembatasan diterapkan, dan menunjukkannya dalam sebuah video.

Maldoc EtterSilent dengan kode makro dapat berpura-pura sebagai dokumen DocuSign atau DigiCert yang meminta pengguna untuk mengaktifkan dukungan untuk makro yang mengunduh muatan di latar belakang.

Sumber: BleepingComputer

Karena menggunakan makro XML Excel 4.0, EtterSilent tidak bergantung pada bahasa pemrograman Visual Basic for Applications (VBA), yang biasanya terlihat dengan makro berbahaya.

Para peneliti mencatat bahwa maldoc EtterSilent disertakan dalam kampanye spam baru-baru ini yang menjatuhkan versi terbaru dari Trickbot.

Intel 471 mengatakan bahwa kelompok penjahat siber lainnya memanfaatkan layanan EtterSilent untuk operasi mereka. Beberapa contohnya adalah trojan perbankan IcedID/BokBot, Ursnif/Gozi ISFB, dan QakBot/QBot. Bersama dengan Trickbot, kebanyakan dari mereka telah digunakan untuk mengirimkan berbagai jenis ransomware (Ryuk, Conti, Maze, Egregor, ProLock).

Blog Intel 471 menyediakan daftar indikator penyusupan untuk dokumen berbahaya EtterSilent serta untuk muatan yang mereka kirimkan: Trickbot, IcedID, QBot, Ursnif, dan BazarLoader.

Sumber: Bleeping Computer

Panggilan dukungan pelanggan palsu menempatkan data Anda dalam risiko

by

Sebagian besar orang yang paham teknologi akrab dengan penipuan dukungan teknis palsu yang telah terjadi selama bertahun-tahun. Biasanya, peringatan penipuan akan muncul di layar komputer Anda, menginstruksikan Anda untuk memanggil sebuag nomor agar malware dapat dihapus.

Di sisi lain panggilan, penipu akan mencoba mengakses komputer Anda dari jarak jauh untuk mencuri informasi pribadi atau detail perbankan Anda.

Tampaknya pencuri mengubah taktik dalam metode pengiriman mereka. Penjahat siber telah menambahkan sentuhan baru pada skema dukungan teknis yang membuatnya lebih mudah untuk mengelabui korban. Mari kita lihat cara kerjanya.

Penipuan ini bekerja dengan mengirimkan email langganan palsu kepada calon korban. Email biasanya melibatkan beberapa masa percobaan palsu yang akan kedaluwarsa atau memberi tahu Anda bahwa Anda akan ditagih untuk suatu layanan.

Hal yang benar untuk dilakukan adalah menghapus email dan memblokir pengirimnya, tetapi rasa ingin tahu terkadang bisa menguasai orang-orang. Email tersebut berisi nomor yang dapat Anda hubungi jika Anda ingin membatalkan layanan yang seharusnya atau berhenti ditagih untuk layanan yang tidak pernah Anda daftarkan.

Jika Anda menghubungi nomor tersebut, “teknisi dukungan” akan mendengarkan kekhawatiran Anda terkait pesan tersebut dan meminta nomor ID pelanggan yang disebutkan dalam email.

Jika Anda memberi mereka nomor ID pelanggan, penipu akan menginstruksikan Anda untuk mengunjungi situs web tertentu untuk mengisi formulir pembatalan. Dalam beberapa kasus, penjahat akan mengatakan bahwa Anda perlu membatalkan langganan secara digital melalui situs karena melibatkan layanan medis.

Langkah selanjutnya pasti akan menunjukkan bahwa penipuan sedang terjadi. Penipu akan tetap berada di telepon sambil mengarahkan Anda untuk “mendaftar” di situs web. Setelah selesai, mereka mendesak Anda untuk mengunduh spreadsheet Microsoft Excel atau dokumen Word untuk “ditandatangani.”

Setelah Anda membuka dokumen tersebut, komputer Anda akan terinfeksi malware. Itu juga merupakan malware yang sangat jahat yang menginstal lebih banyak malware semakin lama berada di komputer Anda.

Komando

Bug macOS CVE-2019-8761

by Leave a Comment

Seorang peneliti keamanan, Paulos Yibelo, menemukan sebuah bug pada sistem operasi macOS yang dicatat sebagai CVE-2019-8761.

Bug ini memungkinkan penyerang mengeksekusi HTML di dalam file .TXT yang dapat mengakibatkan kebocoran data dan mencuri kredensial pengguna. Bug ini sudah diperbaiki pada pembaruan macOS Catalina 10.15.1.

Penelitian ini berawal ketika Paulos menyadari pembaca teks default di OSX, TextEdit digunakan untuk membuka file dengan ekstensi TXT secara default.

Paulos menggambarkan File TXT adalah vektor serangan yang sangat menarik, karena sifatnya yang polos yang tidak membawa apa-apa selain teks. File TXT juga diasumsikan oleh perangkat lunak anti-virus, firewall, dan bahkan Gatekeeper Mac sendiri sebagai unduhan aman yang tidak mungkin berbahaya, yang membuatnya semakin menarik.

Salah satu bug pertama yang ia temukan menggunakan ini menunjukkan bahwa Gatekeeper tidak mengarantina file TXT meskipun file tersebut diunduh dari situs web yang mencurigakan.

Baca temuan selengkapnya pada tautan berikut: Paulos Yibelo

FBI: APT Secara Aktif Memanfaatkan Lubang Keamanan VPN Fortinet

by

FBI dan Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan bahwa pelaku negara-bangsa ancaman persisten tingkat lanjut (APT) secara aktif mengeksploitasi kerentanan keamanan yang diketahui dalam sistem operasi keamanan siber Fortinet FortiOS, yang memengaruhi produk SSL VPN perusahaan tersebut.

Menurut peringatan yang dikeluarkan hari Jumat oleh FBI dan CISA, penyerang siber memindai perangkat di port 4443, 8443, dan 10443, mencari implementasi keamanan Fortinet yang belum ditambal. Secara khusus, APT mengeksploitasi kerentanan CVE-2018-13379, CVE-2019-5591 dan CVE-2020-12812.

Bug yang dilacak sebagai CVE-2018-13379 adalah masalah jalur-traversal di Fortinet FortiOS, di mana portal web SSL VPN memungkinkan penyerang yang tidak terautentikasi mengunduh file sistem melalui permintaan sumber daya HTTP yang dibuat secara khusus.

Cacat CVE-2019-5591 adalah kerentanan konfigurasi default di FortiOS yang memungkinkan penyerang tidak terautentikasi pada subnet yang sama mencegat informasi sensitif dengan meniru identitas server LDAP.

Dan terakhir, CVE-2020-12812 adalah kerentanan otentikasi yang tidak tepat di SSL VPN di FortiOS, yang memungkinkan pengguna untuk berhasil masuk tanpa dimintai faktor kedua dari otentikasi (FortiToken) jika mereka mengubah kasus nama pengguna mereka.

“Penyerang semakin menargetkan aplikasi eksternal yang penting – VPN semakin menjadi sasaran tahun lalu,” kata Zach Hanley, red team engineer senior di Horizon3.AI, melalui email. “Ketiga kerentanan yang menargetkan Fortinet VPN ini memungkinkan penyerang mendapatkan kredensial yang valid, melewati otentikasi multifaktor (MFA), dan lalu lintas otentikasi man-in-the-middle (MITM) untuk mencegat kredensial.”

Hanley menambahkan, “Tema umum di sini adalah: setelah mereka berhasil, mereka akan terlihat seperti pengguna biasa.”

Bug ini populer di kalangan penyerang dunia maya secara umum, karena jejak Fortinet yang tersebar luas, catat para peneliti.

Selengkapnya: Threat Post