Hack

Hacker Menargetkan Industri Telekomunikasi – Lebih dari 74 Juta Data Klien Bocor

February 14, 2023 by Flamango

Telekomunikasi adalah industri terpenting untuk infrastruktur negara manapun, berfungsi sebagai dasar untuk komunikasi dan koordinasi, menyediakan konektivitas yang diperlukan agar orang tetap terhubung dan agar bisnis dapat beroperasi secara efisien.

Tahun 2023 diproyeksikan memiliki peningkatan jumlah pengguna internet yang mengesankan, mencapai total 311,3 juta orang, mewakili tingkat penetrasi 91,8% yang luar biasa di antara populasi umum.

Dilaporkan oleh Cyble Research & Intelligence Labs, beberapa perusahaan telekomunikasi AS baru-baru ini menjadi sasaran hacker sejak Januari.

Lebih dari 74 Juta Data Klien Bocor
Baru-baru ini, tangkapan layar yang bocor masuk ke mata publik dan termasuk informasi sensitif yang diajukan oleh pelamar yang dianggap kurang beruntung. IntelBroker mengklaim telah menemukan 37 juta catatan klien AT&T di penyimpanan cloud tanpa jaminan dari vendor pihak ketiga pada 6 Januari 2023.

Pada 19 Januari 2023, T-Mobile, perusahaan telekomunikasi terkemuka, mengajukan laporan ke Securities and Exchange Commission (SEC), memberitahu mereka tentang aktor jahat yang mengeksploitasi kerentanan di API T-Mobile, yanf dapat mencuri informasi pribadi dan sensitif termasuk 37 juta informasi identitas pribadi (PII) pelanggan.

Pada 1 Februari 2023, IntelBroker membuat pengumuman mengejutkan lainnya kepada publik. Pelaku ancaman berbagi database yang berisi informasi sensitif milik 144.000 klien Seluler AS, salah satu perusahaan telekomunikasi terbesar di Amerika Serikat.

Jenis Data yang Disusupi
Pelanggaran terbaru melibatkan kebocoran 77.000 data karyawan Uber, disebabkan oleh pelanggaran di vendor pihak ketiga bernama Teqtivity.

Jenis data yang disusupi dalam insiden ini adalah Alamat, Nomor akun, Detail layanan, Nama depan, Jenis perangkat, Paket layanan, Email, Informasi perangkat, Nomor telepon, Detail layanan langganan

Salah satu contoh rekomendasi yang ditawarkan oleh GRC (Governance, Risk, and Compliance) seperti daftar lengkap teknologi dan vendor yang digunakan oleh pihak ketiga harus dibuat.

Selengkapnya: Cyber Security News

OneKey Telah Memperbaiki Kekurangan yang membuat Wallet Perangkat Kerasnya Diretas dalam 1 Detik

February 14, 2023 by Flamango

Unciphered memposting video yang menunjukkan kerentanan kritis besar-besaran di OneKey Mini. Pencipta mengatakan itu telah ditambal dan mereka sedang bekerja untuk mengamankan wallet lebih lanjut.

Sebuah video di YouTube yang diposting pada 10 Februari oleh startup cybersecurity Unciphered menunjukkan bahwa mereka telah menemukan cara mengeksploitasi kerentanan kritis besar-besaran yang memungkinkan mereka untuk membuka OneKey Mini.

Namun, dalam pernyataan 10 Februari, OneKey mengatakan telah mengatasi kelemahan keamanan yang diidentifikasi oleh Unciphered, mencatat bahwa tim perangkat kerasnya telah memperbarui tambalan keamanan awal tahun ini tanpa siapa pun yang terpengaruh dan semua kerentanan yang diungkapkan telah telah atau sedang diperbaiki.

Meskipun kerentanannya memprihatinkan, vektor serangan yang diidentifikasi oleh Unciphered tidak dapat digunakan dari jarak jauh dan memerlukan pembongkaran perangkat dan akses fisik melalui perangkat FPGA khusus di lab agar dapat dieksekusi.

Dalam posting blognya, OneKey mengatakan telah bersusah payah untuk memastikan keamanan penggunanya, termasuk melindungi mereka dari serangan “supply chain”.

Langkah-langkah itu mencakup pengemasan anti rusak untuk pengiriman dan penggunaan penyedia layanan rantai pasokan dari Apple untuk memastikan manajemen keamanan rantai pasokan yang ketat.

Di masa mendatang, mereka berharap dapat mengimplementasikan autentikasi onboard dan memutakhirkan wallet perangkat keras yang lebih baru dengan komponen keamanan tingkat tinggi.

Selengkapnya: Cointelegraph

Microsoft: Aktor Negara Iran Meretas Charlie Hebdo Prancis

February 7, 2023 by Flamango

Clint Watts, manajer umum Pusat Analisis Ancaman Digital Microsoft, mengatakan bahwa para hacker yang menyebut diri mereka ‘Jiwa Suci’ adalah perusahaan keamanan siber Iran Emennet Pasargad.

Pada hari Jumat, Microsoft telah mengidentifikasi aktor negara Iran sebagai orang-orang di balik serangan siber baru-baru ini.

Holy Souls mengumumkan bahwa mereka telah memperoleh informasi pribadi lebih dari 200.000 pelanggan Charlie Hebdo, dan menerbitkan sampel data sebagai bukti pada awal Januari.

Serangan siber terjadi setelah Charlie Hebdo menerbitkan kartun Pemimpin Tertinggi Iran Ayatollah Ali Khamenei dalam edisi khusus untuk memperingati serangan tahun 2015 di kantornya di Paris yang menewaskan 12 orang.

Iran mengeluarkan peringatan resmi kepada Prancis atas kartun yang menghina dan tidak senonoh.

Emennet Pasargad adalah majikan dari dua warga Iran, Mohammad Hosein Musa Kazemi dan Sajjad Kashian, yang didakwa oleh Departemen Kehakiman Amerika Serikat pada November 2021.

Mereka diduga melakukan kampanye dunia maya untuk mengintimidasi dan mempengaruhi pemilih Amerika, dan merusak kepercayaan pemilih dan menabur perselisihan selama pemilihan presiden AS 2020.

Peretas Charlie Hebdo, yang operasinya dijuluki “Neptunium” oleh Microsoft, menawarkan basis data pelanggan yang dicuri untuk dijual secara online seharga 20 bitcoin.

Selengkapnya: The New Arabt

Italia Memperingatkan Hacker yang Menargetkan Kerentanan Server yang Diketahui

February 7, 2023 by Flamango

Ribuan server komputer menjadi sasaran serangan peretasan ransomware global yang menargetkan server VMware (VMW.N) ESXi, Badan Keamanan Siber Nasional (ACN) Italia mengatakan pada hari Minggu, memperingatkan organisasi untuk mengambil tindakan untuk melindungi sistem mereka.

Serangan berusaha mengeksploitasi kerentanan perangkat lunak dalam skala besar. Perusahaan perangkat lunak mengetahui laporan tersebut dan mengeluarkan tambalan pada Februari 2021 ketika menemukan kerentanan yang sekarang sedang dieksploitasi, mendesak pelanggan untuk menerapkan tambalan jika mereka belum melakukannya.

Kepada pengguna yang terpengaruh diperingatkan untuk segera mengambil tindakan agar tidak terkunci dari sistem mereka. Pejabat keamanan dunia maya AS mengatakan mereka menilai dampak dari insiden yang dilaporkan.

Selengkapnya: Reuters

GitHub: Hacker Kloning Sertifikat Penandatanganan Kode di Repositori yang Dilanggar

January 31, 2023 by Flamango

Belum jelas bagaimana aktor ancaman mengkompromikan token akses yang digunakan dalam pelanggaran tersebut.

Penyusup tak dikenal memperoleh akses tidak sah ke beberapa repositori kode GitHub dan mencuri sertifikat penandatanganan kode untuk dua aplikasi desktopnya, Desktop dan Atom.

Satu set sertifikat penandatanganan kode terenkripsi telah diekstraksi. Namun, sertifikat itu dilindungi kata sandi dan GitHub tidak memiliki bukti penggunaan jahat. GitHub melakukan tindakan pencegahan dengan mencabut sertifikat terbuka yang digunakan untuk aplikasi GitHub Desktop dan Atom.

Pencabutan ini akan menyebabkan beberapa versi aplikasi berhenti bekerja. Aplikasi tersebut adalah GitHub Desktop untuk Mac dengan versi 3.0.2 hingga 3.1.2, dan Atom pada versi 1.63.1 dan 1.63.0, sedangkan Desktop untuk Windows tidak terpengaruh.

GitHub sedang bekerja dengan Apple untuk memantau setiap file baru yang dapat dieksekusi (seperti aplikasi) yang ditandatangani dengan sertifikat terbuka.

Tanpa pencabutan, aplikasi semacam itu akan lulus pemeriksaan tanda tangan. Pencabutan memiliki efek membuat semua kode gagal dalam pemeriksaan tanda tangan, tidak peduli kapan ditandatangani.

Pelaku ancaman menggunakan token akses pribadi (PAT) yang dikompromikan untuk mengkloning repositori untuk Desktop, Atom, dan organisasi milik GitHub yang sudah tidak digunakan lagi.

GitHub mencabut PAT sehari kemudian setelah menemukan pelanggaran tersebut. Tak satu pun dari repositori yang dikloning berisi data pelanggan. Tidak ada bukti bahwa pelaku ancaman dapat mendekripsi atau menggunakan salah satu sertifikat.

Selengkapnya: arsTECHNICA

Hacker Menggunakan Wiper SwiftSlicer Baru untuk Menghancurkan Domain Windows

January 30, 2023 by Flamango

Peneliti keamanan telah mengidentifikasi malware penghapus data baru SwiftSlicer yang bertujuan untuk menimpa file penting yang digunakan oleh sistem operasi Windows.

SwiftSlicer ditemukan dalam serangan cyber baru-baru ini terhadap target di Ukraina, dikaitkan dengan Sandworm, kelompok peretasan yang bekerja untuk Direktorat Intelijen Utama (GRU) Staf Umum Rusia sebagai bagian dari unit militer Pusat Utama untuk Teknologi Khusus (GTsST) 74455 .

Penghapus Data Berbasis Go
Peneliti keamanan perusahaan cybersecurity ESET menemukan malware destruktif yang digunakan selama serangan cyber di Ukraina.

Sandworm meluncurkan SwiftSlicer menggunakan Kebijakan Grup Direktori Aktif, memungkinkan admin domain untuk mengeksekusi skrip dan perintah di semua perangkat di jaringan Windows.

SwiftSlicer juga digunakan untuk menghapus salinan bayangan dan menimpa file penting di direktori sistem Windows, khususnya driver dan database Active Directory.
pict – Fungsi malware penghapus data SwiftSlicer (ESET)

Malware Destruktif Rusia
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan bahwa Sandworm juga mencoba menggunakan lima utilitas penghancur data di jaringan kantor berita Ukrinform yaitu CaddyWiper (Windows), ZeroWipe (Windows), SDelete (alat yang sah untuk Windows), AwfulShred (Linux), dan BidSwipe (FreeBSD).

Hasil investigasi diketahui bahwa SandWorm mendistribusikan malware ke komputer di jaringan menggunakan Group Policy Object (GPO).

Selengkapnya: BleepingComputer

Kampanye Masif Menggunakan Situs WordPress yang Diretas sebagai Platform untuk Jaringan Iklan Black Hat

January 27, 2023 by Flamango

Seringkali penyerang mendaftarkan domain baru untuk menghosting malware mereka. Dalam banyak kasus, domain baru dikaitkan dengan kampanye malware tertentu.

Dalam postingan blognya, penulis bersama rekannya Ben Martin, akan meninjau bagaimana perilaku wave terbaru untuk domain violetlovelines, bagaimana kampanye telah berkembang dalam beberapa bulan terakhir, dan cara menghapus malware dari situs web korban.

Jenis Suntikan
Pada situs web yang terinfeksi, ditemukan dua jenis injeksi violetlovelines[.]com yang umum yaitu injeksi tag skrip sederhana (subdomain dan nama file dapat bervariasi) dan dan injeksi yang disamarkan (JavaScript) yang memanfaatkan fungsi fromCharCode.

Rantai Pengalihan dan Jaringan Iklan
Beberapa bulan terakhir, kampanye malware ini secara bertahap beralih dari halaman penipuan pemberitahuan push CAPTCHA palsu yang terkenal ke jaringan iklan ’black hat’ yang berganti-ganti antara pengalihan ke sah, samar, dan murni berbahaya situs web.

Berbagai level untuk injeksi skrip, TDS (Sistem Pengarahan Lalu Lintas), rantai pengalihan dan jaringan iklan, diantaranya yaitu tingkat pertama – skrip yang disuntikkan, tingkat kedua – TDS pendahuluan, tingkat ketiga – jaringan iklan/TDS.

TDS berfungsi sebagai Jaringan Iklan untuk situs WordPress yang terinfeksi
TDS tampaknya menggabungkan penawaran dari berbagai aktor jahat dan mitra iklan yang lebih sah dan menggunakan situs WordPress yang diretas sebagai inventaris untuk penempatan/pengalihan iklan.

Pemasaran samar, pembaruan browser palsu, penipuan dukungan teknis, unduhan drive-by berbahaya dari Discord, malware pencuri, dan penjelajahan aman Google, merupakan upaya-upaya masif dari penyerang untuk melancarkan aksinya.

Langkah-langkah Perbaikan dan Pembersihan
Pemilik situs web WordPress dan pengguna melaporkan bahwa situs web dialihkan melalui violetlovelines[.]com dan/atau ke lokasi tak terduga lainnya, maka pengguna dapat memindainya melalui malware SiteCheck dan pemeriksa keamanan.

Langkah untuk perbaikan dan pembersihan yang dapat dilakukan adalah menghapus malware yang disuntikkan, perbarui tema, plugin, dan perangkat lunak pihak ketiga, mengubah kata sandi situs web, dan hapus backdoors

Selengkapnya: SUCURI

DuoLingo Menyelidiki Posting Darkweb yang Menawarkan Data dari 2,6 Juta Akun

January 25, 2023 by Flamango

Platform pembelajaran bahasa DuoLingo mengatakan sedang menyelidiki posting di forum hacker yang menawarkan informasi tentang 2,6 juta akun pelanggan seharga $1.500.

Perwakilan perusahaan mengatakan mereka mengetahui postingan tersebut yang menawarkan email, nomor telepon, kursus yang diambil, dan informasi lain tentang bagaimana pelanggan menggunakan platform tersebut. Namun, tidak ada pelanggaran data.

Hacker memperoleh informasi dari pengikisan interface pemrograman aplikasi (API) yang terbuka dan memberikan sampel data dari 1.000 akun.

Basis data DuoLingo (tergores) telah terdaftar untuk dijual di forum hacker (FalconFeedsio)

Kasus DuoLingo ini adalah masalah luas yang memengaruhi banyak perusahaan teknologi terbesar yang sedang beroperasi.

Saat ini terdapat sejumlah tools yang memungkinkan orang mengikis API dan mengekstrak data dari situs web. Terkadang informasinya bersifat publik tetapi dalam banyak kasus terungkap melalui tautan ke situs lain.

Selengkapnya: The Record

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hack

Cookies Settings