Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Aplikasi Android Shein Tertangkap Mengirimkan Data Papan Klip ke Server Jarak Jauh

by

Shein, awalnya bernama ZZKKO, adalah peritel online fast fashion China yang berbasis di Singapura. Aplikasi, yang saat ini berada di versi 9.0.0, memiliki lebih dari 100 juta unduhan di Google Play Store.

Raksasa teknologi itu mengatakan tidak “secara khusus mengetahui niat jahat apa pun di balik perilaku tersebut,” tetapi mencatat bahwa fungsi tersebut tidak diperlukan untuk melakukan tugas di aplikasi.

Lebih lanjut ditunjukkan bahwa meluncurkan aplikasi setelah menyalin konten apa pun ke clipboard perangkat secara otomatis memicu permintaan HTTP POST yang berisi data ke server “api-service[.]shein[.]com.”

Untuk mengurangi risiko privasi seperti itu, Google telah melakukan peningkatan lebih lanjut pada Android dalam beberapa tahun terakhir, termasuk menampilkan pesan bersulang saat aplikasi mengakses clipboard dan melarang aplikasi mendapatkan data kecuali jika aktif berjalan di latar depan.

“Mengingat pengguna ponsel sering menggunakan clipboard untuk menyalin dan menempelkan informasi sensitif, seperti kata sandi atau informasi pembayaran, konten clipboard dapat menjadi target yang menarik untuk serangan siber,” kata peneliti Dimitrios Valsamaras dan Michael Peck.

“Memanfaatkan papan klip dapat memungkinkan penyerang mengumpulkan informasi target dan mengekstraksi data yang berguna.”

sumber : thehackernews

Polisi Eropa, FBI Menangkap Geng Kejahatan Siber Internasional

by

Pada hari Senin, Polisi Jerman mengatakan telah mengganggu geng kejahatan siber ransomware terkait dengan Rusia yang telah memeras perusahaan dan institusi besar selama bertahun-tahun, meraup jutaan euro.

FBI dan pihak berwenang di Ukraina, bekerja dengan mitra penegak hukum termasuk Europol, polisi di Duesseldorf dapat mengidentifikasi 11 orang yang terkait dengan kelompok yang telah beroperasi dalam berbagai samaran setidaknya sejak 2010.

Geng yang tampaknya berada di belakang ransomware, dikenal sebagai DoppelPaymer, tampaknya terkait dengan Evil Corp, sindikat yang berbasis di Rusia dan terlibat dalam pencurian bank online jauh sebelum ransomware menjadi momok global.

Ransomware adalah kejahatan siber yang paling mengganggu. Geng yang sebagian besar berbasis di Rusia membobol jaringan dan mencuri informasi sensitif sebelum mengaktifkan malware yang mengacak data. Penjahat meminta pembayaran dengan imbalan kunci dekripsi dan janji untuk tidak membuang data yang dicuri secara online.

Polisi Jerman mengidentifikasi para buronan sebagai warga negara Rusia Igor Turashev, 41, dan Irina Zemlyanikina, 36, dan Igor Garshin, 31 tahun, yang lahir di Rusia tetapi kewarganegaraannya tidak segera diketahui.

Selengkapnya: AP News

Pengalihan Roulette: Ribuan Situs Web yang dibajak di Asia Timur Mengalihkan Pengunjung ke Situs Lain

by

Beberapa bulan terakhir ini, peneliti telah menyelidiki operasi siber berskala besar yang memanfaatkan kredensial FTP sah yang diperoleh melalui vektor ancaman yang tidak diketahui. Kredensial FTP yang dibuat secara otomatis dan sangat aman yang entah bagaimana dapat diperoleh dan dimanfaatkan oleh penyerang untuk pembajakan situs web. Hingga saat ini kegiatan masih tetap berlangsung.

Ringkasan Eksekutif
Aktor ancaman tak dikenal berhasil menyusupi puluhan ribu situs web yang terutama ditujukan untuk pemirsa Asia Timur, mengalihkan ratusan ribu penggunanya ke konten bertema dewasa.

Pelaku ancaman selalu menyuntikkan kode berbahaya ke halaman web yang berhadapan dengan pelanggan yang dirancang untuk mengumpulkan informasi tentang lingkungan pengunjung dan terkadang mengarahkan mereka ke situs lain ini, bergantung pada peluang acak dan negara tempat pengguna berada.

Situs web yang disusupi adalah dimiliki oleh perusahaan kecil dan beberapa dioperasikan oleh perusahaan multinasional. Dalam beberapa kasus, termasuk honeypot yang disiapkan oleh peneliti untuk menyelidiki aktivitas ini, pelaku ancaman terhubung ke server web target menggunakan kredensial FTP sah yang mereka peroleh sebelumnya.

Ringkasan temuan investigasi
Ringkasan temuan investigasi

Ringkasan
Peneliti belum yakin bagaimana pelaku ancaman mendapatkan akses awal ke begitu banyak situs web, dan belum mengidentifikasi kesamaan yang signifikan antara server yang terpengaruh selain penggunaan FTP mereka.

Peneliti yakin bahwa motivasi pelaku ancaman kemungkinan besar bersifat finansial, dan mungkin mereka hanya bermaksud untuk meningkatkan lalu lintas ke situs web ini dari negara tertentu.

Hal ini tentunya berdampak terhadap situs web yang disusupi dan pengalaman penggunanya setara dengan perusakan. Kelemahan apapun yang dieksploitasi oleh pelaku ini untuk mendapatkan akses awal ke situs web ini dapat dimanfaatkan oleh pelaku lain untuk menimbulkan kerugian yang lebih besar.

Selengkapnya: Wiz Blog

IBM Mengkontribusikan Alat Keamanan Rantai Pasokan ke OWASP

by

Pemindai Lisensi dan Utilitas SBOM akan meningkatkan kemampuan standar Bill of Material Perangkat Lunak CycloneDX OWASP.

SBOM adalah daftar inventaris semua komponen individu yang digunakan dalam perangkat lunak. IBM telah menyumbangkan dua alat rantai pasokan open-source ke standar CycloneDX Software Bill of Materials (SBOM) dari Open Worldwide Application Security Project (OWASP) Foundation. Alat tersebut akan mengisi dua celah penting di CycloneDX, digambarkan OWASP sebagai standar BOM “full-stack” yang memberikan pengurangan risiko rantai pasokan tingkat lanjut.

Menanggapi berbagai serangan rantai pasokan dan kekacauan Log4j, Gedung Putih mengeluarkan perintah eksekutif yang mengamanatkan developer meningkatkan keamanan rantai pasokan mereka.

Upaya untuk membakukan SBOM telah dipercepat dengan peningkatan tajam dalam serangan rantai pasokan perangkat lunak selama dua tahun terakhir.

Pendukung CycloneDX yang lebih baru menggambarkannya sebagai standar yang lebih ringan yang lebih cocok untuk mereka yang mencari cara yang dapat dibaca mesin untuk bertukar informasi. Linux Foundation pada tahun 2021 menyatakan SPDX sebagai standar SBOM, meski pada awalnya dibuat untuk kasus penggunaan kekayaan intelektual dan lisensi. Kedua organisasi memperluas upaya standar SBOM masing-masing.

Diirektur keamanan produk di ServiceNow dan ketua kelompok kerja CycloneDX OWASP mengatakan bahwa IBM telah secara aktif berpartisipasi dalam memajukan upaya standar CycloneDX.

SBOM Utility dapat memproses dokumen seperti Vulnerability Disclosure Reports (VDRs) dan format data Vulnerability Exploitability eXchange (VEX), yang telah ditentukan oleh CycloneDX untuk memberikan penilaian risiko.

Selengkapnya: DARK Reading

Medusa Mengklaim Serangan Ransomware PetroChina

by

Perusahaan regulator minyak dan gas PetroChina Indonesia diduga menjadi korban terbaru dari serangan ransomware, menambahkan satu perusahaan lagi ke dalam daftar infrastruktur penting yang menjadi sasaran peretas.

Profil perusahaan minyak dan gas tersebut dibagikan di postingan web gelap yang dipublikasikan di Blog Medusa. Kolektif peretas juga menuntut uang tebusan untuk penghapusan data, menambah tenggat waktu, dengan ancaman untuk menjual data. Peneliti keamanan siber Dominic Alvieri mengkonfirmasi insiden tersebut dengan The Cyber Express.

Detail tentang serangan ransomware PetroChina
Menurut Blog Medusa, batas waktu untuk menanggapi ancaman ransomware adalah 7 hari dan beberapa jam. $10.000 dituntut untuk menambah tenggat waktu sehari, $400.000 untuk menghapus semua data, dan $400.000 untuk mengunduh data.

Cyber Express tidak menerima tanggapan dari perusahaan terkait serangan ransomware PetroChina pada saat penulisan.

Serangan siber terhadap perusahaan minyak dan gas

Ini adalah serangan dunia maya kedua secara berurutan pada perusahaan minyak dan gas setelah LockBit diduga melanggar Grupo Albanesi hanya beberapa jam di belakang PetroChina. Situs web resmi dapat diakses pada saat penulisan.

Menyerang Grupo Albanesi berdampak langsung pada 9 pabrik yang menghasilkan tenaga di Argentina.

Pada tahun 2021, Colonial Pipeline yang berbasis di Georgia, yang menyediakan hampir 45% solar, bahan bakar jet, dan bensin dari Pantai Timur, mengalami serangan ransomware. Keadaan darurat diumumkan oleh Presiden Joe Biden karena dampaknya terhadap perekonomian negara, dan pelakunya ditangkap tepat pada waktunya.

Anggota geng ransomware TrickBot ditangkap oleh Inggris dan AS dalam kampanye yang dipimpin oleh National Crime Agency (NCA), pejabat dari Departemen Keuangan, dan Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.

Kampanye ini menyaksikan penangkapan 7 anggota TrickBot bersama dengan Ryuk, Wizard Spider atau Darkside, dan anggota geng Conti ransomware.

selengkapnya : thecyberexpress

Pemerintah AS memperingatkan ransomware Royal menargetkan infrastruktur penting

by

The U.S. government is sounding the alarm about the Royal ransomware operation, which it says has targeted numerous critical infrastructure sectors across the United States.

Peringatan tersebut muncul setelah Departemen Kesehatan dan Layanan Kemanusiaan AS memperingatkan pada bulan Desember bahwa ransomware Royal “secara agresif” menargetkan sektor kesehatan AS. Situs kebocoran web gelap Royal saat ini mencantumkan Layanan Kesehatan Michigan Barat Laut dan Konsultan Ortopedi Midwest di antara para korbannya.

Pakar keamanan percaya bahwa Royal terdiri dari aktor ransomware berpengalaman dari operasi sebelumnya, mencatat kesamaan antara Royal dan Conti, grup peretasan terkait Rusia yang produktif yang dibubarkan pada Juni 2022.

Pada November 2022, ransomware Royal dilaporkan sebagai operasi ransomware paling produktif, menyalip Lockbit. Data terbaru menunjukkan bahwa Royal bertanggung jawab atas setidaknya 19 serangan ransomware pada bulan Februari, di balik 51 serangan yang dikaitkan dengan LockBit, dan 22 serangan terkait dengan Vice Society.

Meskipun sebagian besar korban Royal berbasis di Amerika Serikat, salah satu korbannya yang terkenal adalah Sirkuit Silverstone, salah satu sirkuit balap motor terbesar di Inggris Raya. Korban lain yang diklaim oleh geng tersebut termasuk ICS, sebuah organisasi yang menyediakan layanan keamanan siber ke Departemen Pertahanan AS, Distrik Sekolah Dallas, dan lainnya.

Menurut penasehat pemerintah AS, permintaan tebusan yang dibuat oleh Royal bervariasi dari $1 juta sampai $11 juta, tetapi belum jelas berapa banyak operasi yang telah dilakukan dari para korbannya. Penasihat mencatat bahwa aktor Kerajaan juga terlibat dalam taktik pemerasan ganda, di mana mereka mengancam untuk merilis data terenkripsi secara publik jika korban tidak membayar uang tebusan.

selengkapnya : techcrunch

Peretas Menyerang Karyawan dari Enam Firma Hukum dengan Malware GootLoader Menggunakan Perjanjian Hukum Palsu dan Lubang Air Berbahaya, lapor eSentire

by

GootLoader adalah malware populer yang memberi pelaku ancaman akses awal ke lingkungan TI korban. Begitu berada di komputer korban, GootLoader diketahui mengunduh GootKit Remote Access Trojan (RAT), ransomware REvil, atau Cobalt Strike, alat populer yang digunakan untuk mendapatkan pijakan di lingkungan target dan memperluas jaringan target.

Sepanjang tahun 2022, sementara infeksi GootLoader terus meningkat menjadi intrusi langsung, tidak ada ransomware yang diamati bahkan ketika penyusup diizinkan untuk memerintah hampir bebas. Dalam kasus tersebut, hanya Koleksi yang diamati. Mengingat target utama GootLoader adalah firma hukum, TRU mengakui kemungkinan bahwa GootLoader telah beralih ke operasi spionase dan eksfiltrasi. Untuk mencapai akses awal, seperti dalam kampanye GootLoader sebelumnya, pelaku ancaman menggunakan peracunan Search Engine Optimization (SEO) untuk memikat dan menginfeksi korban dengan malware GootLoader.

Dalam kampanye ini, cybercriminal mengkompromikan situs web WordPress yang sah (tetapi rentan) dan tanpa sepengetahuan pemilik situs web, menambahkan posting blog baru ke situs tersebut. Judul yang efektif untuk mengelabui karyawan firma hukum termasuk “perjanjian lisan antara pembeli dan penjual real estat dipertimbangkan” (Gambar 1) dan “perjanjian bersama asosiasi petugas pemadam kebakaran profesional.”

rekomendasi
GootLoader: Jangan percayai dokumen yang diposting di forum acak. Memiliki proses bagi karyawan untuk mengunduh dokumen hanya dari sumber tepercaya.

selengkaspnya : esentire

Resmi: Malware BlackLotus dapat mem-bypass Secure Boot pada Windows

by

BlackLotus, bootkit UEFI yang dijual di forum peretasan seharga sekitar $5.000, sekarang dapat mem-bypass Secure Boot, menjadikannya malware pertama yang diketahui berjalan di sistem Windows bahkan dengan fitur keamanan firmware diaktifkan.
Secure Boot seharusnya mencegah perangkat menjalankan perangkat lunak yang tidak sah pada mesin Microsoft. Tetapi dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Peneliti keamanan utama Kaspersky, pertama kali melihat BlackLotus dijual di pasar kejahatan siber pada Oktober 2022 dan spesialis keamanan telah membongkar bagian demi bagian sejak saat itu.

Malware terbaru mampu berjalan bahkan pada sistem Windows 11 yang sepenuhnya up-to-date dengan UEFI Secure Boot diaktifkan.

Eksploitasi proof-of-concept untuk kerentanan ini telah tersedia untuk umum sejak Agustus 2022, diperkirakan akan segera melihat lebih banyak penjahat dunia maya menggunakan masalah ini untuk tujuan terlarang.

BlackLotus dapat menonaktifkan beberapa alat keamanan OS termasuk BitLocker, Integritas Kode yang dilindungi Hypervisor (HVCI) dan Windows Defender, dan melewati Kontrol Akun Pengguna (UAC), menurut toko keamanan.

Secure Boot dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Setelah mengeksploitasi CVE-2022-21894 dan mematikan alat keamanan sistem, BlackLotus menyebarkan driver kernel dan pengunduh HTTP. Driver kernel melindungi file bootkit dari penghapusan, sedangkan pengunduh HTTP berkomunikasi dengan server perintah-dan-kontrol dan mengeksekusi muatan.

Selengkapnya: The Register