Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

by

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Gambar Twitter dapat disalahgunakan untuk menyembunyikan file ZIP, MP3 – begini caranya

by

Seorang peneliti mengungkapkan metode menyembunyikan hingga tiga MB data di dalam gambar Twitter.

Dalam peragaannya, peneliti menunjukkan file audio MP3 dan arsip ZIP yang terdapat dalam gambar PNG yang dihosting di Twitter.

Meskipun seni menyembunyikan data non-gambar dalam gambar (steganografi) bukanlah hal baru, fakta bahwa gambar dapat dihosting di situs web populer seperti Twitter dan tidak dibersihkan membuka kemungkinan penyalahgunaannya oleh aktor jahat.

Kemarin, peneliti dan programmer David Buchanan melampirkan gambar contoh ke tweetnya yang memiliki data seperti ZIP dan file MP3 tersembunyi di dalamnya.

Meskipun file PNG terlampir yang dihosting di Twitter mewakili gambar yang valid saat dipratinjau, hanya mengunduh dan mengubah ekstensi file sudah cukup untuk mendapatkan konten yang berbeda dari file yang sama.

Sumber: BleepingComputer

Seperti yang diamati oleh BleepingComputer, gambar 6 KB yang di-tweet oleh peneliti berisi seluruh arsip ZIP.

ZIP berisi kode sumber Buchanan yang dapat digunakan siapa saja untuk mengemas berbagai konten ke dalam gambar PNG.

Teknik steganografi sering kali dimanfaatkan oleh pelaku ancaman tersembunyi karena memungkinkan mereka menyembunyikan perintah jahat, muatan, dan konten lain dalam file yang tampak biasa, seperti gambar.

Meskipun demikian, Buchanan yakin teknik bukti konsep gambar PNG-nya mungkin tidak terlalu berguna dengan sendirinya karena lebih banyak metode steganografi yang dapat digunakan.

Namun, teknik PNG yang ditunjukkan oleh peneliti tersebut dapat digunakan oleh malware untuk memfasilitasi aktivitas C2 perintah dan kontrolnya.

Selengkapnya: Bleeping Computer

Bagaimana China ingin tetap mengontrol internet

by

Hanya enam bulan setelah pidato terkenal Presiden AS Bill Clinton pada tahun 2000 yang membandingkan upaya China untuk mengontrol pidato online dengan “memaku Jell-O ke dinding”, Beijing mengambil langkah berani yang ditujukan untuk mencapai tujuan yang tampaknya sia-sia itu.

Pada bulan September tahun itu, Perdana Menteri Zhu Rongji memberlakukan Peraturan tentang Layanan Informasi Internet, memberikan otoritas dasar hukum untuk mengelola semua perusahaan yang memberikan informasi kepada pengguna online, seperti berita atau posting blog.

Sekarang Beijing siap untuk lebih memperketat cengkeramannya.

Serangkaian aturan baru, yang diresmikan oleh Cyberspace Administration of China (CAC) pada Januari, dijadwalkan untuk menggantikan peraturan asli tahun ini, memperkuat cengkeraman besi Beijing di internet dan memperluas kontrolnya pada perusahaan teknologi domestik di luar perbatasan China.

Versi baru peraturan tersebut telah menyerap pengalaman China dalam mengelola internet selama bertahun-tahun, menjadikannya lebih komprehensif dan modern, kata Wang Sixin, seorang profesor hukum di Universitas Komunikasi China. Draf tersebut juga memberikan kejelasan lebih lanjut tentang peran berbagai badan pemerintah.

Rancangan peraturan tersebut menetapkan bahwa CAC, juga dikenal sebagai Kantor Komisi Urusan Cyberspace Pusat, akan mengawasi perencanaan manajemen internet dan keamanan siber.

Selengkapnya: South China Morning Post

Raksasa Fintech Fiserv Menggunakan Domain Tidak Diklaim

by

Jika Anda menjual perangkat lunak berbasis web untuk hidup dan kode pengiriman yang mereferensikan nama domain yang tidak terdaftar, Anda sedang mencari masalah. Tetapi ketika kesalahan yang sama dibuat oleh sebuah perusahaan yang masuk dalam daftar Fortune 500, hasilnya dapat berkisar dari mahal hingga bencana.

Berikut adalah kisah salah satu kesalahan yang dilakukan oleh Fiserv, sebuah perusahaan senilai $ 15 miliar yang menyediakan perangkat lunak perbankan online dan solusi teknologi lainnya untuk ribuan lembaga keuangan.

Pada November 2020, KrebsOnSecurity mendengar dari peneliti keamanan Abraham Vegh, yang melihat sesuatu yang aneh saat memeriksa email dari lembaga keuangannya.

Vegh dapat melihat pesan dari banknya merujuk ke domain yang aneh: defaultinstitution[.]com. Pencarian cepat dari catatan pendaftaran WHOIS menunjukkan bahwa domain tersebut tidak terdaftar. Bertanya-tanya apakah dia mungkin dapat menerima komunikasi email ke alamat itu jika dia mendaftarkan domain tersebut, Vegh mengambilnya dengan beberapa dolar, membuat akun email penampung semua untuk itu, dan menunggu.

Banyak email lain yang masuk, termasuk banyak pesan “terpental” yang dikirimkan sebagai balasan atas missives dari Cashedge.com, layanan transfer uang yang diambil alih Fiserv pada tahun 2011.

Hebatnya, di bagian bawah setiap pesan ke pelanggan CashEdge/Popmoney ada teks boilerplate: “Email ini telah dikirim ke [nama penerima di sini]. Jika Anda telah menerima email ini karena kesalahan, silakan kirim email ke customersupport@defaultinstitution[.]com.”

Layanan lain yang mengarahkan pelanggan untuk membalas ke domain peneliti termasuk pelanggan Fiserv Netspend.com, penyedia kartu debit prabayar terkemuka yang tidak memerlukan saldo minimum atau pemeriksaan kredit.

Setiap pesan menyertakan kode satu kali yang diminta untuk dimasukkan oleh penerima di situs web perusahaan. Namun dari membaca banyak balasan untuk missives ini, tampaknya Netspend tidak terlalu memperjelas di mana pengguna seharusnya memasukkan kode ini.

Vegh mengatakan dia berencana untuk memberikan kendali kepada Fiserv atas defaultinstitution[.]com, dan menyerahkan pesan yang dicegat oleh kotak masuknya. Dia tidak meminta banyak balasan.

Selengkapnya: Krebs On Security

Malware botnet ZHtrap baru menyebarkan honeypots untuk menemukan lebih banyak target

by

Sebuah botnet baru memburu dan mengubah router, DVR, dan perangkat jaringan UPnP yang terinfeksi menjadi honeypots yang membantunya menemukan target lain untuk diinfeksi.

Malware tersebut, yang dijuluki ZHtrap oleh peneliti keamanan 360 Netlab, didasarkan pada kode sumber Mirai, dan dilengkapi dengan dukungan untuk x86, ARM, MIPS, dan arsitektur CPU lainnya.

Setelah mengambil alih perangkat, ZHtrap mencegah malware lain menginfeksi kembali botnya dengan bantuan whitelist yang hanya memungkinkan proses sistem yang sudah berjalan, memblokir semua upaya untuk menjalankan perintah baru.

Kemampuan utama botnet termasuk serangan DDoS dan pemindaian perangkat yang lebih rentan untuk terinfeksi. Namun, itu juga dilengkapi dengan fungsi backdoor yang memungkinkan operator untuk mengunduh dan mengeksekusi muatan berbahaya tambahan.

Untuk menyebarkan, ZHtrap menggunakan eksploitasi yang menargetkan empat kerentanan keamanan N-day di endpoint Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000, dan daftar panjang perangkat CCTV-DVR.

Itu juga memindai perangkat dengan kata sandi Telnet yang lemah dari daftar alamat IP yang dibuat secara acak dan dikumpulkan dengan bantuan honeypot yang disebarkannya pada perangkat yang sudah terjerat dalam botnet.

Sumber: 360 Netlab

Selengkapnya: Bleeping Computer

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

Genshin Impact Account Hacks: miHoYo memberikan pernyataan tentang kebocoran data, akan meningkatkan keamanan

by

Pemain sangat bersemangat untuk pembaruan yang akan datang, serta pembaruan di luar itu karena miHoYo akan merilis pembaruan setiap enam minggu. Di tengah semua itu, ada satu masalah yang sangat mengganggu para pemain. Sejumlah besar pemain telah menjadi sasaran serangan peretas akhir-akhir ini, dan mereka kehilangan akses ke akun mereka atau akun mereka telah benar-benar dihancurkan. Hal ini membuat komunitas cukup cemas karena banyak pemain yang enggan untuk mengambil bagian dalam acara resmi miHoYo sendiri, karena mengira itu mungkin tautan phishing.

Komunitas telah meminta autentikasi dua faktor cukup lama sekarang, tetapi kami belum menerima pembaruan apa pun dari miHoYo tentang hal itu. Sekarang, miHoYo akhirnya merilis pernyataan tentang peretasan yang sedang berlangsung. Banyak yang percaya bahwa ada kebocoran data dari akhir miHoYo, tetapi sepertinya bukan itu masalahnya. Berikut adalah versi terjemahan dari pernyataan yang diposting di Genshin Thailand Group.

Terima kasih telah menghubungi kami, saat ini pengembang sedang membahas tentang peningkatan sistem keamanan. Dari informasi yang kami miliki saat ini, kami memiliki banyak lapisan keamanan dan tidak ada tanda-tanda kebocoran. Sebagian besar pemain yang diretas, dan [sic] kebanyakan karena memberikan informasi mereka ke situs web palsu. Kami berharap pelancong tidak akan membuka situs palsu tersebut. Kami juga akan meningkatkan keamanan akun, harap tunggu pembaruan baru.

Apa yang tidak tersirat dari peningkatan keamanan ini, tetapi ada spekulasi bahwa 2FA akan menjadi opsi paling logis di sini. Mempertimbangkan tingkat di mana akun diretas, kami dapat mengharapkan ini segera. Game ini akan menerima pembaruan besar berikutnya, Pembaruan 1.4 pada 17 Maret, dan akan menambahkan karakter baru Rosaria, item baru, senjata, dan banyak lagi.

Aplikasi Perpesanan Signal Sudah Tidak Lagi Tersedia Di China

by

Pengguna aplikasi pesan instan Signal di China tahu bahwa saat-saat indah tidak akan bertahan lama. Aplikasi, yang digunakan untuk percakapan terenkripsi, tidak lagi tersedia di China mulai pagi hari tanggal 16 Maret, sebuah tes oleh TechCrunch menunjukkan.

Situs web aplikasi telah dilarang di daratam China sejak 15 Maret, menurut situs pelacak sensor Greatfire.org.

Aplikasi obrolan terenkripsi tersebut adalah salah satu dari sedikit jejaring sosial Barat yang tetap dapat diakses di China tanpa menggunakan jaringan pribadi virtual.

Signal dan saingannya Telegram mengalami lonjakan unduhan setelah kebijakan privasi WhatsApp yang diperbarui memicu kepanikan di antara pengguna pada Januari. Meskipun dampaknya terbatas di China, di mana Tencent’s WeChat memiliki pangsa yang luar biasa di jejaring sosial dengan 1,1 miliar pengguna bulanan, Signal dan Telegram telah melihat peningkatan pengguna dalam jumlah kecil di China.

Pada Januari, Telegram telah mengumpulkan sekitar 2,7 juta penginstalan di App Store China, dibandingkan dengan 458.000 unduhan untuk Signal dan 9,5 juta kali untuk WhatsApp. Seperti Signal, Telegram dan WhatsApp masih ada di China App Store, meskipun akses tampaknya membutuhkan jaringan pribadi virtual.

Great Firewall China yang rumit telah membuat banyak pengguna internet menjadi ahli dalam pengelakan sensor. Larangan aplikasi sering kali berlapis seperti yang ditunjukkan oleh kasus Clubhouse.

Selengkapnya: Tech Crunch