Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / Middle East

Middle East

Kelompok Hacker Iran Mengembangkan Malware Android Untuk Mencuri Kode SMS 2FA

by

Perusahaan keamanan siber Check Point menemukan grup hacker Iran yang mengembangkan malware Android khusus, malware ini mampu mencuri kode otentikasi dua faktor (2FA) yang dikirim melalui SMS.
Malware itu adalah bagian dari alat peretasan yang dikembangkan oleh grup Rampant Kitten, sebuah julukan yang diberikan oleh perusahaan itu.

Kampanye ini melibatkan penggunaan spektrum luas keluarga malware, termasuk empat varian infostealer Windows dan pintu belakang Android yang disamarkan di dalam aplikasi berbahaya.
Strain malware Windows terutama digunakan untuk mencuri dokumen pribadi korban, tetapi juga file dari klien desktop Windows Telegram, yang memungkinkan peretas mengakses akun Telegram korban.

APLIKASI ANDROID DENGAN KEMAMPUAN MENCURI 2FA

Selain memakai trojan Windows, Rampant Kitten juga mengembangkan alat serupa untuk Android.

Dalam sebuah laporan yang diterbitkan hari ini, Check Point mengatakan mereka juga menemukan backdoor Android yang kuat yang dikembangkan oleh kelompok tersebut. Backdoor dapat mencuri daftar kontak korban, pesan SMS, merekam korban melalui mikrofon, dan menampilkan halaman phishing secara diam-diam.

Skenarionya adalah, operator Rampant Kitten akan menggunakan trojan Android untuk menampilkan halaman phishing Google, menangkap kredensial akun pengguna, dan kemudian mengakses akun korban.

Jika korban mengaktifkan 2FA, fungsi penyadapan SMS 2FA dari malware akan secara diam-diam mengirimkan salinan kode SMS 2FA ke penyerang, memungkinkan mereka untuk melewati keamanan 2FA.

Untuk saat ini, Check Point mengatakan hanya menemukan malware ini dalam aplikasi Android yang menyamar sebagai aplikasi penutur bahasa Persia di Swedia untuk mendapatkan SIM mereka. Namun, malware tersebut bisa saja bersembunyi di dalam aplikasi lain yang ditujukan untuk orang Iran yang menentang rezim Teheran, yang tinggal di dalam dan di luar Iran.

Source : ZDNet

Kampanye Phishing Bertemakan Office 365 Mengeksploitasi Server Samsung, Adobe dan Oxford Untuk Mengelabui Software Keamanan

by

Satu kampanye khusus yang dianalisis oleh penyedia intelijen ancaman siber, Check Point Research, mengarahkan korbannya melalui serangkaian situs web yang sah dalam upaya mencuri kredensial Microsoft mereka.

Dalam sebuah blog yang diterbitkan pada hari Kamis lalu (6/18), Check Point menggambarkan metode di mana penyerang mengeksploitasi salah satu server mail Universitas Oxford untuk mengirim email awal, menyalahgunakan alat pengalihan Adobe Campaign, dan kemudian menggunakan domain Samsung untuk membawa pengguna ke situs web phishing bertema Microsoft Office 365. Tujuannya adalah untuk mengambil keuntungan dari situs dan layanan yang sah dalam upaya menghindari deteksi software keamanan. Pertama kali terlihat pada bulan April, 43% dari serangan itu menargetkan perusahaan-perusahaan Eropa, sedangkan sisanya ditemukan di Asia dan Timur Tengah.

Sebagian besar email yang diamati berasal dari beberapa alamat yang dimiliki oleh subdomain yang sah dari berbagai departemen di Universitas Oxford. Dengan menggunakan server SMTP Oxford, para penyerang dapat menyelinap melewati pemeriksaan reputasi untuk domain pengirim. Mereka juga dapat menghasilkan alamat email sebanyak yang mereka butuhkan.

Email yang dikirim sendiri mengklaim menawarkan pesan suara yang tidak terjawab terkait dengan akun Office 365 penerima dengan referensi ke Office 365 & Microsoft dan bahkan pemberitahuan “Pesan dari server Tepercaya” palsu di bagian atas. Email tersebut meminta penerima untuk mengklik tombol untuk mendengarkan atau mengunduh pesan suara yang terlewat. Mengklik tombol itu kemudian akan membawa korban yang tidak menaruh curiga ke halaman phishing yang meminta mereka untuk masuk dengan akun Microsoft mereka.

Microsoft 365 Phishing Email
Gambar: Check Point Research

Namun, di balik layar, perjalanan antara email dan halaman phishing melewati beberapa langkah. Pertama, korban diarahkan ke server Adobe Campaign. Dalam hal ini, tautan dalam email mengarahkan korban ke server Adobe yang digunakan oleh Samsung selama kampanye pemasaran Cyber Monday 2018. Dengan mengambil keuntungan dari format tautan Adobe Campaign dan domain Samsung yang sah, para penyerang berusaha menghindari deteksi dari software keamanan berdasarkan reputasi, daftar hitam, dan pola URL.

Selanjutnya, para penyerang mengarahkan korban ke salah satu dari beberapa situs WordPress yang dikompromikan yang mengandung kode redirect berbahaya. Menambahkan lapisan ini adalah cara lain untuk menghindari produk keamanan karena URL di dalam email menunjuk ke situs WordPress yang tampaknya sah daripada halaman phishing yang meragukan. Dibuat menggunakan JavaScript, halaman ini terlihat seperti halaman login Microsoft yang sah yang meminta nama pengguna dan kata sandi korban.

office-365-phishing-landing-page-check-point-research
Gambar: Check Point Research

Untuk menghindari peringatan keamanan atau blok, para menggunakan trik yang pintar. Mereka menggunakan server email Oxford untuk mengirim email awal membantu mereka melewati filter reputasi. Tautan dalam email menunjuk ke domain yang sah yang dimiliki oleh Samsung. Dan serangkaian pengalihan menghasilkan halaman phishing yang disembunyikan.

office-365-phishing-redirects-check-point-research
Gambar: Check Point Research

Untuk berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic | Check Point Research

Serangan Cyber Iran Bertujuan untuk Meningkatkan Level Klorin di Air Israel

by

Serangan cyber Iran pada bulan April di sistem air Israel bertujuan untuk meningkatkan kadar klorin dalam air minum, Financial Times melaporkan pada hari Minggu, mengutip seorang pejabat intelejen yang tidak disebutkan namanya dari negara Barat.

Serangan itu, pertama kali dilaporkan oleh harian Israel Yedioth Ahronoth pada awal Mei, telah diketahui setelah pompa air mulai tidak berfungsi. Menurut laporan itu, serangan itu fokus “pada sistem operasional dan mekanisme untuk menambahkan klorin ke dalam sumur.”

Menurut laporan Financial Times, serangan itu, jika berhasil, bisa menyebabkan puluhan ribu tempat tanpa air, termasuk petani, dan, paling buruk, ratusan orang bisa jatuh sakit.

Sumber intelijen Barat Financial Times mengatakan serangan itu “lebih canggih dari yang mereka bayangkan sebelumnya.”
“Serangan itu hampir berhasil, dan tidak sepenuhnya jelas mengapa itu tidak berhasil,” sumber itu menambahkan.

Israel dilaporkan menanggapi serangan itu dengan menonaktifkan sistem komputer di pelabuhan Iran yang sibuk, sangat mendukung lalu lintas maritim.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Haaretz

Ribuan Situs Israel Diretas Oleh Peretas Iran

by

Perang cyber antara Israel dan Iran memanas. Puluhan ribu situs web yang sebagian besar adalah situs web Israel yang tidak aman dilaporkan diserang oleh peretas yang berbasis di Iran pada Kamis pagi, menonaktifkan situs-situs tersebut dan menggantikannya dengan sebuah pesan ancaman.

Lebih dari 2.000 situs web diyakini telah dikompromikan. Di semua situs web yang terkompromi, peretas memuat video YouTube bersama dengan pesan “Hitungan mundur kehancuran Israel telah dimulai sejak lama”. Sebagian besar situs web tersebut dihosting di uPress, layanan hosting WordPress lokal Israel.

Dalam sebuah pesan yang diposting di Facebook, perusahaan itu mengatakan para peretas mengeksploitasi kerentanan dalam plugin WordPress untuk menanam pesan defacement pada situs-situs Israel yang dihosting di platformnya.

Situs yang dikompromikan juga memuat skrip yang meminta akses ke webcam pengguna.

Lebih lengkapnya, baca berita di bawah ini:
Source: ZDNet

APT34 (AKA OILRIG, AKA HELIX KITTEN) Menyerang Entitas Pemerintah Lebanon Dengan Implan MAILDROPPER

by

Telsy TRT [Threat Recon Team], tim peneliti dari perusahaan keamanan siber yang berbasis di Italia, telah membahas tentang APT34 (aka OilRig) pada postingan blog terbarunya. Mereka menjelaskan bagaimana grup peretas itu menyerang entitas pemerintah lebanon dengan menggunakan implan MailDropper

 

“Pada kasus ini, kelompok APT34 mungkin mengkompromikan akun Microsoft Exchange dari entitas sensitif yang berhubungan dengan pemerintah Lebanon, dan menggunakan mail server sebagai perintah dan kendali implan,” ungkap tim peneliti Telsy.

 

Sejak 2014, tahun di mana FireEye menemukan kelompok peretas ini, APT34 dikenal sebagai grup yang melakukan operasi dunia maya terutama di Timur Tengah yang sebagian besar targetnya ada pada sektor keuangan, pemerintahan, energi, kimia, dan telekomunikasi. Seiring waktu, banyak keluarga malware juga telah dikaitkan dengan grup ini termasuk ISMAgent, ISMDoor, ISMInjector, TwoFace dan, yang paling terbaru ini MailDropper.

 

Blog selengkapnya dapat diakses melalui tautan di bawah ini;

Source: Telsy Blog

Tentara Israel telah ditipu untuk memasang malware oleh agen Hamas yang menyamar sebagai wanita

by

Anggota kelompok militan Palestina Hamas telah berpose seperti gadis remaja untuk mengelabui tentara Israel agar memasang aplikasi yang terinfeksi malware di ponsel mereka, kata juru bicara Pasukan Pertahanan Israel (IDF) hari ini. Beberapa tentara tertipu, tetapi IDF mengatakan mereka mendeteksi infeksi, melacak malware, dan kemudian menjatuhkan infrastruktur peretasan Hamas.

 

IDF mengatakan bahwa mata-mata Hamas membuat akun Facebook, Instagram, dan Telegram dan kemudian mendekati tentara IDF. Tentara yang terlibat dalam percakapan akhirnya terpancing untuk memasang salah satu dari tiga aplikasi obrolan, bernama Catch & See, Grixy, dan Zatu, di mana para agen berjanji untuk berbagi lebih banyak foto.

 

Brigadir Jenderal Hild Silberman mengatakan aplikasi tersebut akan memberi kesan mereka tidak dapat berjalan di ponsel tentara dengan menunjukkan pesan kerusakan. Aplikasi kemudian akan menghapus ikon mereka dari smartphone tentara, menipu pengguna agar berpikir bahwa aplikasi itu dihapus sendiri.

 

Namun, aplikasi tersebut akan tetap berjalan di latar belakang dan kemudian akan mencuri foto, pesan SMS, kontak, dan lainnya. Aplikasi tersebut juga dapat menginstal malware lain di perangkat pengguna, melacak lokasi geografis ponsel secara real-time, dan bahkan mengambil tangkapan layar melalui kamera ponsel.

 

Klik link dibawah ini untuk membaca berita selengkapnya!

Source: ZDNet

Serangan Cyber Menghancurkan 25% Akses Internet Di Iran

by

Beberapa waktu belakangan ini, dunia telah dikejutkan dengan serangan cyber yang sangat masif, bahkan terkonfirmasi membahayakan server yang dimiliki oleh PBB, dan pada minggu yang sama Bank Sentral Eropa memperingatkan Dunia akan implikasi serangan cyber pada keuangan global. Iran merupakan salah satu negara yang memiliki dampak paling parah dari serangan ini.

 

Dilansir dari laporan The NetBlock Internet Observatory (lembaga observasi real-time kebebasan internet), bahwa telah terjadi penurunan 75% konektivitas internet nasional di Iran pada pagi hari tanggal 8 Februari 2020, gangguan terjadi selama 7 jam sebelum konektivitas internet kembali normal. Hal ini disebabkan oleh otoritas Iran yang mengaktifkan mekanisme pertahanan cyber “Digital Fortress” atau yang dikenal dengan DZHAFA.

 

Seorang juru bicara untuk Perusahaan Infrastruktur Telekomunikasi Iran, yang juga berafiliasi dengan Kementerian TIK Iran, Sadjad Bonabi, di media sosial twitter nya menyampaikan bahwa serangan DDoS (distributed denial of service attack) telah dikendalikan dengan teknologi pertahanan DZHAFA Shield.

 

Penggunaan DDoS sebagai senjata cyber oleh negara untuk menyerang negara lain bukanlah hal yang baru. Awal Desember 2019, China dilaporkan meluncurkan “Great Cannon of China” di sebuah forum online yang digunakan untuk mengkoordinasi protes pro-demokrasi Hong Kong.

 

Namun, dalam konteks serangan yang terjadi di Iran tidak ada sponsor atau dalang negara tertentu yang melakukan serangan, identifikasi yang dilakukan menyebutkan bahwa sumber serangang sangat terdesentralisasi.

 

Serangan ini sebenarnya, hanyalah salah satu dari berbagai rangkaian serangan cyber terhadap infrastruktur teknologi Iran. Pada bulan Desember 2019, Kate O’Flaherty melaporkan bahwa DZHAFA juga pernah diaktifkan untuk bertahan melawan serangan pada server pemerintah dan infrastruktur elektronik Iran.

 

Awal tahun lalu, seperti yang dilaporkan oleh Zak Doffman, AS telah meluncurkan serangan cyber ofensif terhadap Iran untuk menonaktifkan sistem komputer yang digunakan untuk mengendalikan peluncuran roket dan rudal. Dihari yang sama, menurut laporan radio Farda, peluncuran satelit pengamatan Zafar Iran telah ditunda.

 

Sampai saat ini, tidak diketahui alasan penundaan tersebut. 

 

Source: Forbes

Wired: Iranian Hackers Have Been ‘Password-Spraying’ the US Grid

by

 

Pada Kamis pagi kemarin, perusahaan keamanan sistem kontrol industri, Dragos, merinci aktivitas peretasan yang baru terungkap yang telah dilacak dan dikaitkan dengan sekelompok peretas yang disponsori negara yang bernama Magnallium. Group yang juga disebut sebagai APT33 yang juga pernah dikaitkan dengan Iran. 

 

Dragos mengatakan bahwa group ini melakukan operasi baru yang disebut password-spraying attack, yaitu serangan yang menebak sekumpulan kata sandi yang umum untuk ratusan atau bahkan ribuan akun yang berbeda, menargetkan utilitas listrik AS serta perusahaan minyak dan gas.

 

Untuk mengetahui berita selengkapnya, klik link dibawah ini:

Source: WIRED