Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Malware Flagpro Baru Terkait dengan Peretas yang Didukung Negara China

by

Kelompok spionase cyber BlackTech APT (advanced persistent threat) telah terlihat menargetkan perusahaan Jepang menggunakan malware baru yang oleh para peneliti disebut ‘Flagpro’.

Aktor ancaman menggunakan Flagpro pada tahap awal serangan untuk pengintaian jaringan, untuk mengevaluasi lingkungan target, dan untuk mengunduh malware tahap kedua dan mengeksekusinya.

Melanggar jaringan perusahaan

Rantai infeksi dimulai dengan email phishing yang dibuat untuk organisasi target, berpura-pura menjadi pesan dari mitra yang dapat dipercaya. Email ini membawa lampiran ZIP atau RAR yang dilindungi kata sandi yang berisi file Microsoft Excel (. XLSM) dicampur dengan makro berbahaya. Menjalankan kode ini membuat executable di direktori startup, Flagpro.

Pada eksekusi pertamanya, Flagpro terhubung ke server C2 melalui HTTP dan mengirimkan rincian ID sistem yang diperoleh dengan menjalankan perintah OS hardcoded.

Sebagai tanggapan, C2 dapat mengirim kembali perintah tambahan atau muatan tahap kedua yang dapat dijalankan Flagpro.

Komunikasi antara keduanya dikodekan dengan Base64, dan ada juga penundaan waktu yang dapat dikonfigurasi antara koneksi untuk menghindari menciptakan pola operasi yang dapat diidentifikasi.

Menurut sebuah laporan oleh NTT Security, Flagpro telah dikerahkan terhadap perusahaan Jepang selama lebih dari setahun, setidaknya sejak Oktober 2020. Sampel terbaru yang bisa diambil para peneliti adalah mulai Juli 2021.

Entitas yang ditargetkan berasal dari berbagai sektor, termasuk teknologi pertahanan, media, dan komunikasi.

Flagpro v2.0

Pada titik tertentu dalam analisis mereka, para peneliti NTT melihat versi baru Flagpro, yang secara otomatis dapat menutup dialog yang relevan untuk membangun koneksi eksternal yang dapat mengungkapkan kehadirannya kepada korban.

“Dalam implementasi Flagpro v1.0, jika dialog berjudul “Windows セキュリティ” ditampilkan ketika Flagpro mengakses ke situs eksternal, Flagpro secara otomatis mengklik tombol OK untuk menutup dialog,” jelas laporan Keamanan NTT.

“Penanganan ini juga bekerja ketika dialog ditulis dalam bahasa Cina atau Inggris. Ini menunjukkan targetnya ada di Jepang, Taiwan, dan negara-negara berbahasa Inggris.”

Selengkapnya: Bleepingcomputer

Log4j 2.17.1 memperbaiki bug eksekusi kode jarak jauh baru

by

Apache telah merilis versi Log4j lainnya, 2.17.1 memperbaiki kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan di 2.17.0, dilacak sebagai CVE-2021-44832.

Eksploitasi massal kerentanan Log4Shell asli (CVE-2021-44228) oleh aktor ancaman dimulai sekitar 9 Desember, ketika eksploitasi PoC untuknya muncul di GitHub. Mengingat penggunaan Log4j yang luas di sebagian besar aplikasi Java, Log4Shell segera berubah menjadi mimpi buruk bagi perusahaan dan pemerintah di seluruh dunia.

Sementara risiko kritis yang ditimbulkan oleh eksploitasi Log4Shell asli adalah yang terpenting, varian kerentanan yang lebih ringan muncul di versi Log4j, termasuk 2.15 dan 2.16—yang sebelumnya diyakini telah sepenuhnya ditambal.

Tapi sekarang kerentanan kelima—cacat RCE, dilacak sebagai CVE-2021-44832 telah ditemukan di 2.17.0, dengan patch yang diterapkan pada rilis terbaru 2.17.1 yang sudah keluar. Dinilai ‘Sedang’ dalam tingkat keparahan dan diberi skor 6,6 pada skala CVSS, kerentanan berasal dari kurangnya kontrol tambahan pada akses JDNI di log4j.

“Terkait dengan CVE-2021-44832 di mana penyerang dengan izin untuk mengubah file konfigurasi logging dapat membuat konfigurasi berbahaya menggunakan JDBC Appender dengan sumber data yang mereferensikan URI JNDI yang dapat mengeksekusi kode jarak jauh.”

Pakar keamanan Kevin Beaumont menyebut contoh itu sebagai “pengungkapan Log4j yang gagal” selama liburan. kerentanan keamanan memikat pelaku ancaman untuk melakukan pemindaian berbahaya dan aktivitas eksploitasi, seperti yang terlihat dari kebocoran eksploitasi Log4Shell pada 9 Desember.

Marc Rogers, VP cybersecurity di Okta pertama kali mengungkapkan pengenal kerentanan (CVE-2021-44832) dan bahwa eksploitasi bug bergantung pada pengaturan log4j non-default di mana konfigurasi sedang dimuat dari server jauh.

Hingga saat ini, kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman mulai dari peretas yang didukung negara hingga geng ransomware dan lainnya untuk menyuntikkan penambang Monero ke sistem yang rentan.

Geng ransomware Conti terlihat mengincar server VMWare vCenter yang rentan. Sedangkan, penyerang yang melanggar platform kripto Vietnam ONUS melalui log4shell menuntut uang tebusan $5 juta.

Pengguna Log4j harus segera meningkatkan ke rilis terbaru 2.17.1 (untuk Java 8). Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan juga diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Industri perekrutan peretas sekarang terlalu besar untuk gagal

by

NSO Group, perusahaan Israel bernilai miliaran dolar yang telah menjual alat peretasan kepada pemerintah di seluruh dunia selama lebih dari satu dekade telah menarik pengawasan ketat setelah serangkaian skandal publik. Perusahaan tersebut sedang dalam krisis. Masa depannya diragukan.

Namun, pemerintah lebih mungkin membeli kemampuan dunia maya dari industri yang telah ditentukan oleh NSO. Bisnis sedang booming untuk perusahaan “peretas yang disewa”. Dalam dekade terakhir, industri telah berkembang dari sesuatu yang baru menjadi instrumen kekuatan utama bagi negara-negara di seluruh dunia. Bahkan potensi kegagalan perusahaan besar seperti NSO Group tidak akan memperlambat pertumbuhan.

Facebook melaporkan bahwa tujuh perusahaan peretas dari seluruh dunia telah menargetkan sekitar 50.000 orang di platform perusahaan. Laporan tersebut menyoroti empat perusahaan Israel lagi di samping operasi dari China, India, dan Makedonia Utara.

NSO Group telah dikepung oleh kritik dan tuduhan pelecehan selama bertahun-tahun. Pada tahun 2016, Uni Emirat Arab ketahuan menargetkan aktivis hak asasi manusia Ahmed Mansoor menggunakan Pegasus NSO Group, alat yang memanfaatkan kelemahan perangkat lunak untuk meretas iPhone dan menyerahkan kendali kepada pelanggan NSO Group. Dalam kasus itu, pemerintah UEA dipandang sebagai pelakunya, dan NSO pergi tanpa cedera (Mansoor masih di penjara dengan tuduhan mengkritik rezim negara).

Pola ini berulang selama bertahun-tahun. pemerintah akan dituduh menggunakan alat peretasan NSO terhadap para pembangkang, tetapi perusahaan tersebut membantah melakukan kesalahan dan lolos dari hukuman. Kemudian, pada pertengahan 2021, muncul laporan baru tentang dugaan pelecehan terhadap pemerintah Barat. Perusahaan tersebut mendapat sanksi dari AS pada bulan November, dan pada bulan Desember Reuters melaporkan bahwa pejabat Departemen Luar Negeri AS telah diretas menggunakan Pegasus.

Sekarang NSO Group menghadapi tuntutan hukum publik yang mahal dari Facebook dan Apple. Ia harus berurusan dengan utang, moral yang rendah, dan ancaman mendasar bagi masa depannya.

Industri hacker-for-hire rahasia pertama kali muncul di berita utama surat kabar internasional pada tahun 2014, ketika tim Hacking perusahaan Italia dituduh menjual spyware “tidak dapat dilacak” ke puluhan negara tanpa memperhatikan pelanggaran hak asasi manusia atau privasi.

Pelanggan awal industri ini adalah sekelompok kecil negara yang ingin memproyeksikan kekuatan di seluruh dunia melalui internet. Situasinya jauh lebih kompleks hari ini. Lebih banyak negara membayar untuk meretas musuh baik secara internasional maupun di dalam perbatasan mereka sendiri.

Sementara pengawasan publik terhadap perusahaan yang menyediakan peretas untuk disewa telah meningkat, permintaan global untuk kemampuan siber ofensif juga meningkat. Pada abad ke-21, target pemerintah dengan nilai tertinggi lebih dari sebelumnya—dan peretasan biasanya merupakan cara paling efektif untuk mencapainya.

Banyak dnegara-negara yang mencari bantuan dari luar. Misalnya, negara-negara kaya minyak di Teluk Persia secara historis tidak memiliki kemampuan teknis yang cukup besar yang diperlukan untuk mengembangkan kekuatan peretasan domestik.

Permintaan untuk apa yang dijual oleh perusahaan peretasan swasta tidak akan hilang. “Industri ini lebih besar dan lebih terlihat hari ini daripada satu dekade lalu,” kata Winnona DeSombre, seorang peneliti keamanan dan rekan di Dewan Atlantik. “Permintaan meningkat karena dunia menjadi lebih terhubung secara teknologi.”

DeSombre baru-baru ini memetakan industri yang terkenal buram dengan memetakan ratusan perusahaan yang menjual alat pengawasan digital di seluruh dunia. Dia berpendapat bahwa sebagian besar pertumbuhan industri disembunyikan dari pandangan publik, termasuk penjualan senjata siber dan teknologi pengawasan perusahaan Barat kepada musuh geopolitik.

Diperingatkan akan dampak industri yang meningkat, pihak berwenang di seluruh dunia sekarang bertujuan untuk membentuk masa depannya dengan sanksi, dakwaan, dan peraturan baru tentang ekspor. Meski begitu, permintaan akan alat tersebut terus meningkat.

Selengkapnya : Technology Review

META LARANGAN ISRAEL ‘CYBER MERCENARY’ YANG MENARGETKAN JURNALIS, PALESTINA, DAN AKTIVIS

by

Meta telah melarang empat perusahaan ‘tentara bayaran cyber’ yang berkantor pusat di Israel. Menurut perusahaan, mereka melakukan pengawasan terhadap aktivis hak asasi manusia, jurnalis, dan “pengkritik rezim otoriter.”

“Perusahaan-perusahaan ini adalah bagian dari industri yang luas yang menyediakan perangkat lunak yang mengganggu dan layanan pengawasan tanpa pandang bulu kepada pelanggan mana pun terlepas dari siapa yang mereka targetkan atau pelanggaran hak asasi manusia yang mungkin mereka aktifkan,” tulis kepala penyelidikan spionase dunia maya Meta, Mike Dvilyanski. “Industri ini ‘mendemokratisasi’ ancaman ini, membuatnya tersedia untuk kelompok pemerintah dan non-pemerintah yang tidak akan memiliki kemampuan ini.”

Empat dari tujuh perusahaan tersebut adalah perusahaan Israel— Cobwebs Technologies, Cognyte, Black Cube, dan Bluehawk CI—sementara tiga lainnya berbasis di Cina, India, dan Makedonia Utara.

Meta menghapus 200 akun media sosial yang dioperasikan oleh Cobwebs Technologies yang berbasis di Israel yang terlibat dalam Pengintaian, yang melibatkan “pembuatan profil diam” target melalui informasi publik seperti profil media sosial.

Black Cube, firma pengawasan yang disewa oleh Harvey Weinstein untuk menyelidiki jurnalis, dimasukkan dalam daftar pantauan dan dituduh melakukan Pengintaian, Keterlibatan, dan Eksploitasi, tiga tahap yang membentuk totalitas rantai pengawasan seperti yang didefinisikan oleh Meta. Tahap Keterlibatan dan Eksploitasi melampaui pembuatan profil diam dengan membuat titik referensi untuk target dan memanipulasi keterlibatan tersebut untuk mengekstrak data pribadi dan pribadi. Black Cube terutama menargetkan aktivis dan LSM, termasuk aktivis Palestina.

Pemimpin intelijen global yang berbasis di Israel, Cognyte, memiliki lebih dari 100 akun Facebook dan Instagram yang offline, dan, menurut Meta, menargetkan “wartawan dan politisi di seluruh dunia.”

Kelompok Israel terakhir yang terdaftar adalah Bluehawk, sebuah perusahaan pengawasan yang menyamar sebagai jurnalis Fox News untuk operasi mata-mata. Meta mengatakan mereka menghapus lebih dari 100 akun Facebook yang ditautkan ke Bluehawk, setelah itu grup tersebut terus-menerus mencoba untuk terlibat kembali dengan platform dan membuat akun baru. Akun-akun tersebut menyamar sebagai jurnalis palsu dari Fox News dan berusaha mengelabui pengguna agar melakukan wawancara di depan kamera. Serangan terbaru dari Bluehawk dilaporkan menargetkan Argentina.

Pengawasan dunia maya Israel telah mendapat sorotan yang lebih besar setelah dilaporkan bahwa NSO Group, sebuah perusahaan Israel, membantu Arab Saudi dan kemungkinan penyerang tak dikenal lainnya dalam operasi rahasia. Spyware Pegasus grup NSO telah dikaitkan dengan serangkaian serangan dunia maya yang ditargetkan pada aktivis hak asasi manusia dan pengacara. NSO Group dan pemerintah Israel telah membantah terkait dengan serangan tersebut.

Sumber : Paradox Politics

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer

File Download ‘Spider-Man: No Way Home’ Menginstal Cryptominer

by

Kehebohan global seputar rilis Spider-Man: No Way Home membuat banyak keributan online – lingkungan yang ideal bagi penjahat dunia maya untuk menyebarkan cryptominer Monero yang menyamar sebagai unduhan film yang baru dirilis tersebut.

Unduhan torrent Spider-Man: No Way Home beredar, terinfeksi dengan cryptominer Monero yang gigih, menurut peringatan baru dari ReasonLabs.

File tersebut ditandai oleh pengguna dan tidak cocok dengan file mencurigakan lainnya yang diketahui di database mereka, kata laporan itu.

Meskipun para peneliti belum menentukan berapa kali penambang telah diunduh, firasat mereka penambang crypto sudah ada untuk sementara waktu, mereka menjelaskan dalam sebuah pernyataan.

“Malware Spiderman sebenarnya adalah ‘edisi’ baru dari malware yang sebelumnya dikenal yang menyamar sebagai berbagai aplikasi populer di masa lalu seperti ‘windows updater’, ‘discord app’, dan sekarang film Spiderman,” tim ReasonLabs menjelaskan dalam laporan. “Ini menunjukkan bahwa itu sudah banyak diunduh.”

Mereka menambahkan bahwa sampai saat ini, belum ada yang mengidentifikasi edisi malware ini.

ReasonLabs melaporkan bahwa nama file penambang diterjemahkan dari bahasa Rusia asli, “spiderman_net_putidomoi.torrent.exe,” menjadi “spiderman_no_wayhome.torrent.exe” dalam bahasa Inggris dan mampu menambahkan pengecualian ke Windows Defender.

Setelah cryptominer diunduh, korban mungkin tidak segera menyadarinya, berjalan di latar belakang, menguras daya dan kapasitas CPU, tambah laporan ReasonLabs.

Selengkapnya: Threat Post

Serangan siber di Mitsubishi Electric merupakan ancaman keamanan

by

Serangan siber Juni 2019 pada Mitsubishi Electric Corp. mengkompromikan data yang merupakan kebocoran informasi keamanan nasional sensitif yang pertama kali diakui secara publik di Jepang, Kementerian Pertahanan mengakui.

Kementerian, yang merilis temuannya pada 24 Desember dalam penyelidikannya terhadap 59 kasus, mengatakan hampir 20.000 file diakses. Ia menambahkan bahwa sejak itu telah mengambil langkah-langkah untuk mengatasi sabotase seperti ini dan mengeluarkan peringatan lisan pada 22 Desember kepada Mitsubishi Electric, pembuat peralatan elektronik terkemuka yang sangat terlibat dalam proyek-proyek pertahanan, infrastruktur dan transportasi.

Asahi Shimbun memecahkan laporan serangan siber yang menakjubkan pada Januari 2020 dan pejabat Mitsubishi Electric mencurigai kelompok peretasan China. Bulan berikutnya, Kementerian Pertahanan mengakui bahwa insiden itu melibatkan tiga kasus yang bersifat sensitif terkait dengan peralatan pertahanan.

Namun dalam pengungkapan terbarunya, kementerian mengungkapkan bahwa hampir 20.000 file data yang bocor berisi informasi terkait pertahanan.

Diakui bahwa kebocoran 59 file data tersebut berdampak serius pada keamanan nasional. Namun, menolak untuk membocorkan isi spesifik dari file data dengan alasan mereka berisi informasi sensitif.

Selengkapnya: Asahi