Global

Serangan baru oleh grup UltraRank

December 26, 2020 by Winnie the Pooh

Pada bulan Agustus 2020, Group-IB menerbitkan laporan “UltraRank: twist tak terduga dari ancaman 3 rangkap JS-sniffer”. Laporan tersebut menggambarkan operasi kelompok penjahat dunia maya UltraRank, yang dalam lima tahun aktivitasnya telah berhasil menyerang 691 toko eCommerce dan 13 penyedia layanan situs web.

Pada November 2020, pakar Grup-IB menemukan gelombang baru serangan UltraRank. Meskipun serangan baru terdeteksi pada saat itu, sebagian dari infrastruktur grup tetap aktif dan beberapa situs masih terinfeksi. Penjahat dunia maya tidak menggunakan domain yang ada untuk serangan baru tetapi beralih ke infrastruktur baru untuk menyimpan kode berbahaya dan mengumpulkan data pembayaran yang dicegat.

Sebagai bagian dari kampanye baru UltraRank, tim Group-IB Threat Intelligence dan Attribution menemukan 12 situs web eCommerce yang terinfeksi dengan JavaScript-sniffer. Delapan dari mereka tetap terinfeksi pada saat publikasi. Group-IB telah mengirimkan pemberitahuan ke situs web yang terinfeksi.

Kali ini kode sniffer JS dikaburkan menggunakan obfuscation Radix. Pola kebingungan ini telah digunakan hanya oleh beberapa kelompok penjahat dunia maya, salah satunya adalah kelompok UltraRank. Setelah menyederhanakan kode, Grup-IB menemukan bahwa serangan tersebut menggunakan sniffer dari keluarga SnifLite, yang sudah diketahui oleh para ahli Grup-IB dan digunakan oleh aktor ancaman UltraRank. Karena jumlah situs web yang terinfeksi relatif kecil, penyerang kemungkinan besar menggunakan kredensial di panel administratif CMS, yang, pada gilirannya, dapat disusupi menggunakan malware atau sebagai akibat dari serangan brute force.

Selama rangkaian serangan terbaru mereka, UltraRank menyimpan kode berbahaya mereka di situs web yang meniru domain Google Tag Manager yang sah. Analisis infrastruktur aktor ancaman mengungkapkan bahwa server utama dihosting oleh Media Land LLC, yang terhubung dengan perusahaan hosting antipeluru.

sumber : UltraRank

Internet tidak akan bermasalah untuk Android versi lama.

December 22, 2020 by Winnie the Pooh

Kembali pada bulan November, kami menemukan bahwa sebagian besar situs web yang menggunakan sertifikat Let’s Encrypt akan berhenti berfungsi pada perangkat Android lama tahun depan. Penyebabnya adalah kemitraan yang kedaluwarsa dengan IdenTrust, yang menandatangani silang kunci perusahaan untuk platform lama. Untungnya, solusi telah dibuat, dan situs yang menggunakan sertifikat Let’s Encrypt tidak perlu khawatir tentang masalah dengan perangkat Android yang lebih lama tahun depan.

Untungnya, kemitraan antara IdenTrust dan Let’s Encrypt telah diperbarui dan menandatangani sertifikat root Let’s Encrypt. Baik pemilik perangkat Android lama dan pelanggan Let’s Encrypt tidak perlu melakukan apa pun agar solusi ini berfungsi tahun depan. Let’s Encrypt mengatakan bahwa perubahan itu harus “benar-benar tidak terlihat” bagi pengguna, dan situs serta layanan yang menggunakan sertifikat Let’s Encrypt akan terus bekerja pada perangkat Android yang terpengaruh tanpa harus menggunakan browser seperti Firefox dengan penyimpanan sertifikatnya sendiri.

Ini bukan solusi selamanya, karena pengaturan penandatanganan silang yang baru hanya berlaku hingga tahun 2024, dan tidak jelas apakah solusi lain direncanakan untuk berjalan seiring dengan dukungan untuk perangkat lama setelah itu. Namun, pengguna yang menggunakan perangkat Android sebelum 7.1.1 memiliki tiga tahun lagi untuk melaukan “upgrade” sebelum situs dan layanan mulai tidak berfungsi.

Source : androidpolice

Pemerintah Inggris, NATO Bergabung dengan AS dalam Memantau Risiko Dari Peretasan

December 15, 2020 by Winnie the Pooh

Instansi pemerintah dan perusahaan besar di luar AS sedang meninjau sistem komputer mereka untuk mencari tanda-tanda pelanggaran keamanan, setelah kampanye peretasan yang memasukkan malware ke dalam pembaruan perangkat lunak dari perusahaan AS SolarWinds Corp.

Pemerintah AS pada hari Minggu mengatakan telah dilanda serangan siber, dan semua badan sipil federal diperintahkan oleh Badan Keamanan Siber dan Infrastruktur AS untuk meninjau jaringan mereka dan memutuskan atau mematikan produk SolarWinds Orion segera.

NATO mengatakan dalam sebuah pernyataan bahwa pihaknya “saat ini sedang menilai situasi, dengan tujuan untuk mengidentifikasi dan mengurangi potensi risiko apa pun pada jaringan kami”.

Seorang pejabat pemerintah Inggris, yang berbicara tanpa menyebut nama, mengatakan bahwa pemerintah sedang menilai tingkat infiltrasi di jaringan Inggris, dan menambahkan bahwa kelompok APT29 – kelompok peretas terkenal yang terkait dengan pemerintah Rusia – adalah tersangka potensial.

SolarWinds yang berbasis di Austin, Texas, menjual produk teknologi ke banyak target sensitif, termasuk kelima cabang militer AS. Di luar AS, SolarWinds telah mengambil kontrak untuk Layanan Kesehatan Nasional Inggris Raya, Parlemen Eropa, dan NATO, menurut perincian di situs webnya. Perusahaan tersebut mengatakan memiliki lebih dari 300.000 pelanggan di seluruh dunia, termasuk sejumlah besar anggota Fortune 500 AS.

SolarWinds menyatakan di situs webnya bahwa mereka membantu pelanggannya mengelola jaringan komputer mereka dan memantau mereka untuk potensi pelanggaran data.

Sumber: Bloomberg

Microsoft, FireEye mengkonfirmasi serangan rantai pasokan SolarWinds

December 15, 2020 by Winnie the Pooh

Peretas yang diyakini beroperasi atas nama pemerintah asing telah melanggar penyedia perangkat lunak SolarWinds dan kemudian menyebarkan pembaruan yang mengandung malware untuk perangkat lunak Orionnya untuk menginfeksi jaringan beberapa di perusahaan AS dan jaringan pemerintahan, kata firma keamanan AS FireEye.

Serangan rantai pasokan SolarWinds juga merupakan cara peretas memperoleh akses ke jaringan FireEye sendiri, yang diungkapkan perusahaan awal pekan ini.

The Washington Post mengutip sumber yang mengklaim bahwa beberapa lembaga pemerintah lainnya juga terkena dampak.

Reuters melaporkan bahwa insiden itu dianggap sangat serius sehingga menyebabkan pertemuan langka Dewan Keamanan Nasional AS di Gedung Putih, sehari sebelumnya, pada hari Sabtu.

Sumber yang berbicara dengan Washington Post mengaitkan gangguan tersebut dengan APT29, codename yang digunakan oleh industri keamanan siber untuk menggambarkan peretas yang terkait dengan Badan Intelijen Luar Negeri Rusia (SVR).

Dalam peringatan keamanan yang dikirim ke pelanggannya secara pribadi pada hari Minggu, Microsoft juga mengkonfirmasi kompromi SolarWinds dan memberikan tindakan pencegahan kepada pelanggan yang mungkin terpengaruh.

SolarWinds mengatakan bahwa pembaruan Orion versi 2019.4 hingga 2020.2.1, yang dirilis antara Maret 2020 dan Juni 2020, telah tercemar malware. FireEye menamai malware ini SUNBURST dan telah menerbitkan laporan teknis, bersama dengan aturan deteksi di GitHub. Microsoft menamai malware ini Solorigate dan menambahkan aturan deteksi ke antivirus Defender-nya.

“Korban termasuk pemerintah, konsultan, teknologi, telekomunikasi dan entitas ekstraktif di Amerika Utara, Eropa, Asia dan Timur Tengah. Kami mengantisipasi ada korban tambahan di negara dan vertikal lain,” tambah FireEye.

Sumber: ZDNet

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

November 27, 2020 by Winnie the Pooh

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research

TA416 APT Kembali Dengan Varian Baru PlugX Malware

November 25, 2020 by Winnie the Pooh

Aktor TA416 Advanced Persistent Threat (APT) telah kembali. Setelah sebulan tidak aktif, grup tersebut terlihat meluncurkan serangan spear-phishing dengan varian Golang yang belum pernah dilihat sebelumnya dari malware loader PlugX-nya.

TA416, yang juga dikenal sebagai “Mustang Panda” dan “RedDelta”, terlihat dalam kampanye baru-baru ini yang menargetkan entitas yang terkait dengan hubungan diplomatik antara Vatikan dan Partai Komunis China, serta entitas di Myanmar (semua ini adalah kampanye yang dilaporkan sebelumnya).

Dalam analisis lebih lanjut dari serangan ini, para peneliti menemukan grup tersebut telah memperbarui perangkatnya – khususnya, memberikan varian malware PlugX facelift. Remote access tool (RAT) PlugX sebelumnya telah digunakan dalam serangan yang ditujukan pada lembaga pemerintah dan memungkinkan pengguna jarak jauh untuk melakukan pencurian data atau mengendalikan sistem yang terpengaruh tanpa izin atau otorisasi. Itu dapat menyalin, memindahkan, mengganti nama, mengeksekusi dan menghapus file; log penekanan tombol; sidik jari sistem yang terinfeksi; dan lainnya.

Setelah penyelidikan lebih dekat, peneliti mengidentifikasi dua arsip RAR yang berfungsi sebagai dropper malware PlugX.

Para peneliti mengatakan, vektor pengiriman awal untuk arsip RAR ini tidak dapat diidentifikasi, “namun, secara historis TA416 telah diamati menggunakan URL Google Drive dan Dropbox dalam email phishing yang mengirimkan arsip yang berisi malware PlugX dan komponen terkait,” kata mereka.

Malware Loader ini diidentifikasi sebagai Golang binary; Peneliti mengatakan mereka sebelumnya tidak mengamati jenis file ini digunakan oleh TA416. Meskipun jenis file dari loader PlugX berubah, fungsinya sebagian besar tetap sama, kata para peneliti.

Sumber: Threat Post

Peretas yang disponsori oleh Rusia dan Korea Utara menargetkan peneliti COVID-19

November 18, 2020 by Winnie the Pooh

Peretas yang disponsori oleh pemerintah Rusia dan Korea Utara telah menargetkan perusahaan yang terlibat langsung dalam penelitian vaksin dan perawatan untuk COVID-19, dan dalam beberapa kasus, serangan telah berhasil, kata Microsoft pada hari Jumat.

Secara keseluruhan, ada tujuh perusahaan terkemuka yang menjadi target, kata Wakil Presiden Perusahaan Microsoft untuk Keamanan & Kepercayaan Pelanggan Tom Burt. 7 perusahaan tersebut termasuk pembuat vaksin dengan vaksin COVID-19 dalam berbagai tahap uji klinis, organisasi penelitian klinis yang terlibat dalam uji coba, dan pengembang uji COVID-19.

Yang juga menjadi sasaran adalah organisasi dengan kontrak atau investasi dari lembaga pemerintah di seluruh dunia untuk pekerjaan terkait COVID-19. Sasarannya berada di AS, Kanada, Prancis, India, dan Korea Selatan.

Salah satu kelompok penyerang yang terlibat adalah Strontium, sebutan Microsoft untuk peretas yang disponsori oleh pemerintah Rusia. Mereka menggunakan password spraying dan serangan login brute force yang membombardir server dengan sejumlah besar kredensial dengan harapan dapat menebak yang benar.

Dua kelompok lain — dijuluki Zinc dan Cerium — bekerja atas nama pemerintah Korea Utara. Keduanya menggunakan email spear phishing, dengan email dari perekrut pekerjaan fabrikasi Zinc dan email dari Cerium yang menyamar sebagai perwakilan dari Organisasi Kesehatan Dunia (WHO).

Serangan lain, kata Burt, menargetkan rumah sakit di Republik Ceko, Prancis, Spanyol, Thailand, dan AS. Pada bulan September, seorang pasien meninggal setelah serangan ransomware mengalihkannya ke rumah sakit terpencil di Jerman.

Baca berita selengkapnya pada tautan berikut:
Sumber: Ars Technica

Hacker menjual 34 juta data rpibadi pengguna yang dicuri dari 17 perusahaan

November 1, 2020 by Winnie the Pooh

Seorang pelaku ancaman menjual database akun yang berisi total keseluruhan 34 juta catatan pengguna yang mereka klaim dicuri dari tujuh belas perusahaan selama pembobolan data.
Pada 28 Oktober, seorang broker data breach membuat topik baru di forum peretas untuk menjual database pengguna yang dicuri untuk tujuh belas perusahaan.

Dalam percakapan dengan BleepingComputer, penjual memberi tahu kami bahwa mereka tidak bertanggung jawab untuk meretas ke tujuh belas perusahaan dan bertindak sebagai perantara untuk basis data.
Ketika ditanya bagaimana peretas memperoleh akses ke berbagai situs, penjual menyatakan, “Tidak yakin apakah dia ingin mengungkapkannya.”

Basis data yang dicuri biasanya dijual pertama kali dalam penjualan pribadi, seperti yang tercantum di atas, dengan kisaran sebelumnya dari $ 500, seperti yang terlihat dalam pelanggaran data Zoosk, hingga $ 100.000 untuk basis data Wattpad.
Setelah beberapa waktu, biasanya database yang dicuri dirilis secara gratis di forum peretas untuk meningkatkan ‘kredibilitas jalanan’ aktor ancaman.

Perusahaan diduga melanggar pada tahun 2020
Menurut pelanggaran data yang pecah, semua dari tujuh belas database yang dijual diperoleh pada tahun 2020, dengan pelanggaran terbesar adalah Geekie.com.br dengan 8,1 juta catatan. Perusahaan yang terkena dampak paling terkenal adalah RedMart Singapura yang mengekspos 1,1 juta rek

Penjual memberi tahu BleepingComputer bahwa mereka menjual database RedMart seharga $ 1.500.
Tak satu pun dari perusahaan ini sebelumnya melaporkan pelanggaran data terbaru sebelum minggu ini.

Setelah BleepingComputer menghubungi semua perusahaan yang terpengaruh, hanya RedMart yang mengungkapkan pelanggaran data kemarin, dan Wongnai.com mengatakan kepada BleepingComputer bahwa mereka sedang menyelidiki insiden tersebut.

“Terima kasih atas pertanyaan Anda, kami mengetahui insiden ini tadi malam (waktu Bangkok) dan tim teknis kami telah menyelidiki masalah ini,” Wongnai mengirim email kepada BleepingComputer.com.

Tujuh belas database yang dijual ditampilkan di bawah ini:

Redmart.lazada.sg: emails, SHA1 hashed passwords, mailing and billing addresses, full name, phone numbers, partial credit cards numbers and exp dates
Everything5pounds.com: emails, hashed passwords, name, gender, phone number
Geekie.com.br: emails, bcrypt-sha256/sha512 hashed passwords, usernames, names, DoB, gender, mobile phone number, Brazilian CPF numbers
Cermati.com: emails, password bcrypt, name, address, phone, revenue, bank, tax number, id number, gender, job, company, mothers maiden name
Clip.mx: email, phone
Katapult.com: email, password pbkdf2-sha256/unknown, name
Eatigo.com: email, password md5, name, phone, gender, facebook id & token
Wongnai.com: email, password md5, ip, facebook & twitter id, names, birthdate, phone, zip
Toddycafe.com: email, password unknown, name, phone, address
Game24h.vn: email, password md5, username, birthdate, name
Wedmegood.com: email, password sha512, phone, facebook id
W3layouts.com: – email, password bcrypt, ip, country, city, state, phone, name
Apps-builder.com: email, password md5crypt, ip, name, country
Invideo.io: email, password bcrypt, name, phone
Coupontools.com: email, password bcrypt, name, phone, gender, birthdate
Athletico.com.br: email, password md5, name, cpf, birthdate
Fantasycruncher.com: email, password bcrypt/sha1, username, ip

Amankan Akun Anda
Jika Anda adalah pengguna salah satu situs ini, Anda harus menganggap bahwa situs tersebut telah dilanggar dan segera ubah sandi Anda.\
Jika Anda menggunakan sandi yang sama di situs lain, Anda juga harus mengubah sandi di situs tersebut menjadi sandi yang unik dan kuat yang hanya Anda gunakan untuk situs tersebut.

Menggunakan kata sandi unik di setiap situs Anda memiliki akun mencegah pelanggaran data di satu situs agar tidak memengaruhi Anda di situs web lain yang Anda gunakan.
Disarankan agar Anda menggunakan pengelola kata sandi untuk membantu Anda melacak kata sandi yang unik dan kuat di setiap situs.

Source : Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Global

Cookies Settings