Threat

Peretas Cina menggunakan varian malware Linux baru untuk spionase

April 27, 2023 by Coffee Bean

Peretas menyebarkan varian malware Linux baru dalam serangan cyberespionage, seperti varian PingPull baru dan backdoor yang sebelumnya tidak berdokumen yang dilacak sebagai ‘Sword2033.’

PingPull adalah RAT (trojan akses jarak jauh) yang pertama kali didokumentasikan oleh Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium yang disponsori negara China, juga dikenal sebagai Alloy Taurus. Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina.

Unit 42 terus memantau kampanye spionase ini dan hari ini melaporkan bahwa pelaku ancaman China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Unit 42 juga menemukan pintu belakang ELF baru yang berkomunikasi dengan server perintah dan kontrol yang sama (C2) dengan PingPull.

Ini adalah alat yang lebih sederhana dengan fungsi yang lebih mendasar seperti mengunggah file pada sistem yang dilanggar, mengekstraksi file, dan menjalankan perintah dengan “; echo \n” ditambahkan padanya.

Perintah gema menambahkan data acak pada log eksekusi, mungkin untuk membuat analisis lebih menantang atau mengaburkan aktivitasnya.

Unit 42 menemukan sampel Sword2023 kedua yang terkait dengan alamat C2 berbeda yang menyamar sebagai militer Afrika Selatan.

Sampel yang sama ditautkan ke alamat Soft Ether VPN, produk yang diketahui digunakan oleh Gallium dalam operasinya.

Peta C2 Gallium berdasarkan komunikasi malware (Unit 42)

Sebagai kesimpulan, Gallium terus menyempurnakan persenjataannya dan memperluas jangkauan targetnya menggunakan varian Linux baru dari PingPull dan backdoor Sword2023 yang baru ditemukan.

Organisasi harus mengadopsi strategi keamanan yang komprehensif untuk melawan ancaman canggih ini secara efektif daripada hanya mengandalkan metode deteksi statis.

selengkapnya : bleepingcomputer

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

April 27, 2023 by Flamango

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Security expert menemukan bug besar di Google Cloud

April 26, 2023 by Coffee Bean

Security expert SADA mengklain telah menemukan kerentanan di Google Cloud Platform yang telah ditambal oleh raksasa teknolog tersebut.

Dikenal sebagai Asset Key Theft, kerentanan berpotensi memungkinkan pelaku encaman untuk mencuri kunci pribadi akun layanan Google Cloud. Dalam sebuah pernyataan (dibuka di tab baru), SADA mengatakan percaya bahwa cacat tersebut “akan member penyerang metode yang gigih dan andal untuk menyelahgunakan lingkungan Google CLoud.”

Sada memberi tahu Google tentang masalah ini dalam bisnis cloud hosting-nya melalui program hadiah Bug Hunters, di mana peneliti dapat memberi tahu raksasa teknologi itu tentang kekurangan yang mereka temukan dalam produknya dengan cara yang aman dan terjamin.

SADA percaya bahwa masalah ini kritis “karena kesamaan izin dengan alat kemanan cloud pihaj ketiga, seperti alat Cloud Security Posture Management (CSPM), untuk mengumpulkan data inventris cloud dari API.\

Cacat itu ditemukan di Google Cloud Platform API yang dikenal sebagai Cloud Asset Inventory API. Kerentanan ini memengaruhi semua pengguna Google Cloud yang telah mengaktifkan API ini dan yang memiliki izin cloudasset.assets.searchAllResources di lingkungan Google Cloud yang berlaku.

selengkapnya : techradar.com

Penipu Facebook Berpose Sebagai Staf Pendukung Pada 3.200 Profil Palsu

April 26, 2023 by Coffee Bean

Antara Februari dan Maret 2023, peneliti Grup-IB yang berbasis di Dubai mengidentifikasi lebih dari 3.200 profil Facebook yang diklaim ditulis oleh staf pendukung Meta dalam lebih dari 20 bahasa. Setelah menemukan akun scammers, Tim Tanggap Darurat Komputer Grup-IB berbagi informasi dengan Facebook, yang harus dicatat telah menghapus beberapa profil yang melanggar.

Tujuan penjahat dunia maya adalah meretas akun Facebook tokoh masyarakat dan selebritas, bisnis, tim olahraga, dan akun individu. Sebagai bagian dari penipuan yang rumit, data cookie, dan pembajakan sesi digunakan, meskipun sebagian besar penjahat menggunakan teknik phishing tradisional untuk mengelabui orang agar secara sukarela memasukkan informasi email dan kata sandi.

Peneliti Grup-IB mulai melacak penipuan yang meluas ini pada Februari 2023. Selain 3.200 profil Facebook palsu yang berisi postingan penipuan, pakar keamanan siber juga menemukan 220 situs web yang dimaksudkan untuk mengelabui pengguna agar berpisah dengan data mereka.

Detail Penipuan
Penipu Facebook ini menggunakan teknik rekayasa sosial untuk mengelabui pengguna agar mengira akun mereka ditandai untuk ditangguhkan karena pelanggaran hak cipta. Jika korban berusaha memverifikasi profil mereka untuk mencegahnya diblokir, mereka akan dibawa ke situs web phishing, di mana mereka disajikan dengan halaman yang berisi merek Meta atau Facebook yang tampak resmi.

selengkapnya : techmgzn.com

Perintah Biden terhadap spyware komersial ‘mengecewakan pasar’

April 24, 2023 by Søren

Perintah eksekutif Presiden Biden baru-baru ini yang menargetkan penggunaan spyware komersial menimbulkan ancaman serius bagi industri pengawasan digital, kata para ahli, karena beberapa perusahaan mempertimbangkan dampak keputusan tersebut terhadap bisnis mereka.

Perintah tersebut, yang dirilis bulan lalu, melarang semua agen federal AS menggunakan atau membeli spyware komersial yang dapat menimbulkan risiko keamanan nasional atau menargetkan personel AS.

Ini secara khusus melarang penggunaan spyware komersial yang digunakan oleh pemerintah asing atau orang asing untuk mencoba mengakses perangkat elektronik pemerintah.

Itu juga melarang spyware yang menggunakan data yang diperoleh tanpa izin dari pemerintah, bermaksud untuk mengungkapkan informasi non-publik tentang pemerintah dan aktivitasnya, atau berada di bawah kendali efektif pemerintah asing.

James Lewis, wakil presiden senior dan direktur program teknologi strategis di Pusat Studi Strategis dan Internasional, mengatakan bahwa perintah tersebut “mengecewakan pasar” karena beberapa pembuat spyware telah menyuarakan keprihatinan mereka tentang dampak tindakan Biden terhadap industri. .

“Beberapa dari mereka mengatakan kepada saya bahwa mereka tidak yakin akan dapat bertahan dalam bisnis,” kata Lewis.

Perintah tersebut pada dasarnya menutup pasar untuk vendor spyware tertentu dan membatasi akses mereka ke AS.

“AS adalah salah satu pasar teknologi terbesar dan paling dicari,” kata Michael De Dora, juru kampanye senior AS di Access Now, sebuah kelompok advokasi hak digital nirlaba.

Selengkapnya: THE HILL

NCSC memperingatkan ancaman yang muncul terhadap infrastruktur nasional yang kritis

April 24, 2023 by Søren

Pusat Keamanan Siber Nasional hari ini (Rabu) telah mengeluarkan peringatan kepada organisasi infrastruktur nasional kritis (CNI) yang memperingatkan tentang ancaman yang muncul dari kelompok yang selaras dengan negara.

NCSC – bagian dari GCHQ – memperingatkan dalam peringatan tersebut bahwa beberapa kelompok telah menyatakan niat untuk meluncurkan ‘serangan destruktif dan mengganggu’ dan bahwa organisasi CNI harus memastikan bahwa mereka telah mengambil langkah-langkah yang diuraikan dalam panduan ancaman yang ditingkatkan dari NCSC untuk memperkuat pertahanan mereka.

Ancaman itu datang terutama dari kelompok-kelompok yang berpihak pada negara yang bersimpati pada invasi Rusia ke Ukraina, kata peringatan itu, dan telah muncul selama 18 bulan terakhir.

Kelompok-kelompok ini tidak dimotivasi oleh keuntungan finansial, atau tunduk pada kontrol oleh negara, sehingga tindakan mereka kurang dapat diprediksi dan penargetan mereka lebih luas daripada pelaku kejahatan dunia maya tradisional.

Sementara dalam jangka pendek aktivitas apa pun dari kelompok tersebut kemungkinan akan berbentuk serangan Distributed Denial of Service (DDoS), perusakan situs web atau penyebaran informasi yang salah, beberapa kelompok telah menyatakan keinginan untuk mencapai dampak yang lebih merusak terhadap infrastruktur barat, kata peringatan itu.

Peringatan tersebut dikeluarkan pada hari pertama konferensi CYBERUK NCSC di Belfast, di mana para ahli telah berkumpul untuk mempertimbangkan topik dengan tema ‘mengamankan masa depan digital yang terbuka dan tangguh.’

Selengkapnya: National Cyber Security Centre

URL Berbahaya Terkait ChatGPT Meningkat

April 21, 2023 by Coffee Bean

Jumlah domain baru terdaftar dan squat yang terkait dengan ChatGPT tumbuh sebesar 910% setiap bulan antara November 2022 dan awal April 2023.

Temuan yang dibagikan oleh Unit 42 Palo Alto Networks hari ini juga menyebutkan pertumbuhan 17.818% domain squatting terkait dari log Keamanan DNS dalam jangka waktu yang sama.

Di antara tren yang diamati oleh para peneliti, beberapa URL phishing mencoba berpura-pura sebagai situs resmi OpenAI.

Palo Alto Networks juga mengamati beberapa scammer yang mengeksploitasi meningkatnya popularitas OpenAI untuk penipuan crypto, misalnya, mencoba menarik korban ke dalam acara giveaway crypto yang curang.

Tetapi beberapa situs penipuan sebenarnya memanfaatkan API ChatGPT resmi, yang disediakan oleh OpenAI pada bulan Maret.

Menurut tim, alat-alat ini, serta peningkatan umum dalam domain terdaftar dan domain jongkok yang terkait dengan ChatGPT, merupakan tren yang berkembang.

“Agar tetap aman, pengguna ChatGPT harus berhati-hati dengan email atau tautan mencurigakan yang terkait dengan ChatGPT,” bunyi peringatan tersebut. “Selain itu, penggunaan chatbot peniru akan membawa risiko keamanan ekstra. Pengguna harus selalu mengakses ChatGPT melalui situs resmi OpenAI.”

selengkapnya : infosecurity-magazine.com

Serangan Ransomware 2023: Sorotan Kuartal Pertama

April 21, 2023 by Coffee Bean

Pada Q1 2023, kami mengamati hampir 850 organisasi diberi nama di situs ransomware dan pemerasan data di web gelap. Ini adalah lompatan 22,4% dari kuartal sebelumnya, yang memiliki jumlah total mendekati 700. Tidak mengherankan, “LockBit” tetap menjadi grup yang paling aktif, dengan selisih yang lebar. Tapi tempat nomor dua datang dari pesaing di menit-menit terakhir: Clop, dengan eksploitasi GoAnywhere.

Jumlah korban disebutkan di 20 situs kebocoran data ransomware teratas, Q1 2023

Maret 2023 mencatat rekor bulan paling aktif yang pernah kami catat dalam sejarah ransomware pemerasan ganda. Lebih dari 400 organisasi disebutkan di situs kebocoran data ransomware; itu 35% lebih banyak dari rekor bulanan sebelumnya.

Aktivitas ransomware menurut bulan sejak Maret 2022

serangan hanya pemerasan berkurang secara substansial: sebesar 90%. Kita berbicara tentang kelompok ancaman yang mencuri data, mengancam untuk membocorkannya di situs kebocoran data, dan kemudian tidak mengenkripsi file. Terobosan dalam aktivitas hanya pemerasan mungkin dapat dijelaskan oleh kelompok pemerasan terkemuka, “Tim Peretasan Karakurt”, sebagian besar tidak aktif.

Aktivitas pemerasan berdasarkan bulan sejak Maret 2022

Ini tidak berarti bahwa serangan pemerasan saja sudah ketinggalan zaman. Jumlah yang dianalisis terbatas pada kelompok pemerasan yang dikonfirmasi yang menyebutkan nama korban di situs kebocoran data, dan ada ratusan pelaku ancaman yang mencuri data dan malah mengekspos organisasi di forum penjahat dunia maya bawah tanah, seperti XSS atau Exploit. Plus, kampanye terbaru Clop, yang menargetkan kelemahan GoAnywhere, dapat dianggap sebagai kampanye pemerasan saja.

Sebaran korban per sektor lebih merata, meski sektor industri barang dan jasa tetap menjadi target paling banyak dengan 21,1% dari seluruh korban. Peningkatan serangan industri perawatan kesehatan merupakan temuan penting; lebih dari 30 organisasi layanan kesehatan disebutkan di situs kebocoran data pada Maret 2023. Itu lebih dari yang kami amati selama empat kuartal terakhir.

selengkapnya : reliaquest.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings