Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Eksploitasi adalah Hidangan Dingin yang Disajikan Terbaik: Winter Vivern Menggunakan Kerentanan Zimbra yang Diketahui untuk Menargetkan Portal Webmail dari Pemerintah Blok NATO di Eropa

by

Para peneliti telah mengamati TA473, aktor ancaman persisten tingkat lanjut (APT) baru yang dilacak oleh Proofpoint, mengeksploitasi kerentanan Zimbra CVE-2022-27926 untuk menyalahgunakan portal webmail yang dihosting Zimbra secara terbuka.

Tujuan kegiatan ini dinilai untuk mendapatkan akses ke email militer, pemerintah, dan organisasi diplomatik di seluruh Eropa yang terlibat dalam Perang Ukraina Rusia.

Grup menggunakan alat pemindaian seperti Acunetix untuk mengidentifikasi portal webmail yang belum ditambal milik organisasi ini untuk mengidentifikasi metode yang layak untuk menargetkan korban.

Setelah pengintaian pemindaian awal, pelaku ancaman mengirimkan email phishing yang mengaku sebagai sumber daya pemerintah jinak yang relevan, yang ditautkan di badan email dengan URL jahat yang menyalahgunakan kerentanan yang diketahui untuk mengeksekusi muatan JavaScript di dalam portal webmail korban.

Selanjutnya, pelaku ancaman tampaknya menghabiskan banyak waktu untuk mempelajari setiap contoh portal webmail milik target mereka serta menulis muatan JavaScript yang dipesan lebih dahulu untuk melakukan Pemalsuan Permintaan Lintas Situs.

Muatan khusus yang padat karya ini memungkinkan aktor untuk mencuri nama pengguna, kata sandi, dan menyimpan sesi aktif dan token CSRF dari cookie yang memfasilitasi login ke portal webmail yang menghadap publik milik organisasi yang selaras dengan NATO.

Peneliti Proofpoint baru-baru ini mempromosikan TA473 menjadi aktor ancaman yang dilacak secara publik. Dikenal dalam penelitian sumber terbuka sebagai Winter Vivern, Proofpoint telah melacak klaster aktivitas ini setidaknya sejak 2021.

Selengkapnya: proofpoint

Penipuan Kartu Uap yang Membuat Beberapa Karyawan GameStop Tetap Bangun Di Malam Hari

by

Seseorang masuk ke GameStop dan bertanya di mana kartu hadiahnya. Mereka melanjutkan untuk membeli banyak dari mereka. Bukan hanya $40, atau $80, tetapi kartu Steam senilai ratusan dolar, Razer Gold, atau mata uang game lainnya. Mereka tidak terlihat seperti seseorang yang berlutut di dunia bawah kulit Counter-Strike yang kumuh. Orang di belakang mesin kasir curiga tetapi mereka tidak boleh mengorek. Mereka tahu pelanggan mungkin ditipu tetapi mereka tidak ingin menghina mereka. Semuanya sangat canggung dan menyedihkan dan itu terjadi lebih sering daripada yang Anda pikirkan.

Menurut Komisi Perdagangan Federal, penipuan kartu hadiah meningkat sebesar 60 persen dari 2016 hingga 2020. Penipuan ini sangat umum sekarang karena pemerintah federal memiliki panduan mendalam untuk membantu orang menghindarinya. Kartu uap tampaknya juga merupakan bentuk pembayaran yang sangat populer, sebagian karena sangat mudah untuk dijual kembali secara online. Seorang wanita di Selandia Baru dilaporkan kehilangan lebih dari $30.000 karena penipuan kartu hadiah Steam pada tahun 2021. Valve sendiri mengeluarkan FAQ pada tahun yang sama untuk memperingatkan orang-orang tentang berbagai jenis skema penipuan.

Beberapa pekerja GameStop saat ini dan mantan, dengan berbagi cerita serupa tentang pelanggan, seringkali yang sudah lanjut usia, datang mencari, terkadang cemas, dengan berbagai alasan mengapa mereka membutuhkan kartu hadiah.

Kadang-kadang scammer bahkan akan mengoceh nama staf lokal, sampai ke manajer distrik, untuk mencoba dan memenangkan kepercayaan mereka. Atau mereka akan membuat ancaman untuk menakut-nakuti karyawan baru yang tidak ingin kehilangan pekerjaan. “Penipu kemudian akan meminta mereka membacakan kembali kartu itu kepada mereka dan bam,” kata karyawan . “Itu ratusan hilang. Beberapa panggilan penipuan telah mengambil $4.000 atau $5.000 dari sebuah toko.”

selengkapnya : kotaku.com

Hasil pencarian Bing dibajak melalui aplikasi Microsoft yang salah konfigurasi

by

Aplikasi Microsoft yang salah konfigurasi memungkinkan siapa pun untuk masuk dan mengubah hasil pencarian Bing.com secara real-time, serta menyuntikkan serangan XSS untuk berpotensi merusak akun pengguna Office 365.

Masalah keamanan ditemukan oleh Wiz Research, yang menamakan serangan itu “BingBang.”

Analis Wiz melaporkan masalah tersebut ke Microsoft pada 31 Januari 2023, dan raksasa teknologi tersebut mengonfirmasi bahwa masalah tersebut telah diperbaiki pada 28 Maret 2023.

Peneliti Wiz menemukan bahwa saat membuat aplikasi di Layanan Aplikasi Azure dan Fungsi Azure, aplikasi dapat dikonfigurasi secara keliru untuk mengizinkan pengguna dari penyewa Microsoft mana pun, termasuk pengguna publik, untuk masuk ke aplikasi.

Pengaturan konfigurasi ini disebut ‘Support account types’ dan memungkinkan pengembang menentukan apakah multi-penyewa penyewa tertentu, akun pribadi, atau campuran multi akun dan pribadi harus diizinkan untuk mengakses aplikasi.

Opsi konfigurasi ini ditawarkan untuk kasus yang sah di mana pengembang harus membuat aplikasi mereka tersedia melintasi batas organisasi.

Namun, jika pengembang secara keliru memberikan izin yang lebih longgar, hal itu dapat menyebabkan akses yang tidak diinginkan ke aplikasi dan fitur-fiturnya.

“Arsitektur Tanggung Jawab Bersama ini tidak selalu jelas bagi pengembang, dan akibatnya, kesalahan validasi dan konfigurasi cukup lazim,” komentar Wiz dalam laporannya.

Begitulah besarnya masalah kesalahan konfigurasi sehingga sekitar 25% dari aplikasi multi-penyewa yang dipindai oleh Wiz salah konfigurasi, memungkinkan akses tanpa syarat tanpa validasi pengguna yang tepat.

Dalam beberapa kasus, aplikasi yang salah dikonfigurasi adalah milik Microsoft, menyoroti betapa mudahnya bagi admin untuk membuat kesalahan dalam konfigurasi Azure AD.

Selengkapnya: Bleeping Computer

CISA Memerintahkan Lembaga untuk Menambal Bug yang Dieksploitasi untuk Menghilangkan Spyware

by

Cybersecurity and Infrastructure Security Agency (CISA) memerintahkan agen federal untuk menambal kerentanan keamanan yang dieksploitasi sebagai zero-days dalam serangan baru-baru ini untuk memasang spyware komersial di perangkat seluler.

Cacat tersebut disalahgunakan sebagai bagian dari beberapa rantai eksploitasi dalam dua kampanye terpisah yang menargetkan pengguna Android dan iOS, seperti yang baru-baru ini diungkapkan oleh Grup Analisis Ancaman (TAG) Google.

Terlihat bahwa pelaku ancaman menggunakan rantai eksploitasi terpisah untuk mengkompromikan perangkat iOS dan Android pada serangan pertama November 2022.

Sebulan kemudian, rantai kompleks beberapa zero-day dan n-day dieksploitasi untuk menargetkan ponsel Android Samsung yang menjalankan versi Browser Internet Samsung terbaru.

Muatan akhir adalah paket spyware untuk Android yang mampu mendekripsi dan mengekstraksi data dari berbagai aplikasi obrolan dan browser.

Kedua kampanye tersebut sangat ditargetkan, dan penyerang “mengambil keuntungan dari jeda waktu yang besar antara rilis perbaikan dan saat itu diterapkan sepenuhnya pada perangkat pengguna akhir,” menurut Clément Lecigne dari Google TAG.

Penemuan Google TAG didorong oleh temuan yang dibagikan oleh Lab Keamanan Amnesty International, yang juga menerbitkan rincian mengenai domain dan infrastruktur yang digunakan dalam serangan tersebut.

CISA hari ini menambahkan lima dari sepuluh kerentanan yang digunakan dalam dua kampanye spyware ke dalam katalog Known Exploited Vulnerabilities (KEV) antara lain CVE-2021-30900, CVE-2022-38181, CVE-2023-0266, CVE-2022-3038, dan CVE-2022-22706.

Badan keamanan siber memberikan waktu tiga minggu hingga 20 April kepada badan-badan Federal Civilian Executive Branch Agencies (FCEB) untuk menambal perangkat seluler yang rentan terhadap serangan potensial yang akan menargetkan lima kelemahan tersebut.

Selengkapnya: BleepingComputer

Para Ahli: Chatbot AI Mempersulit untuk Menemukan Email Phishing

by

Ejaan dan tata bahasa yang buruk dapat membantu mengidentifikasi serangan penipuan yang diperbaiki oleh kecerdasan buatan (AI).

Menurut para ahli, Chatbots menghilangkan garis pertahanan utama terhadap penipuan email phishing dengan menghapus kesalahan tata bahasa dan ejaan yang mencolok.

Peringatan itu muncul ketika organisasi kepolisian Europol mengeluarkan penasehat internasional tentang potensi kriminal penggunaan ChatGPT dan model bahasa besar lainnya.

Email phishing adalah senjata penjahat siber untuk membodohi penerima agar mengklik tautan yang mengunduh perangkat lunak berbahaya atau mengelabui mereka agar menyerahkan detail pribadi.

Kelemahan mendasar dalam beberapa upaya phishing adalah ejaan dan tata bahasa yang buruk, sedang diperbaiki oleh chatbot kecerdasan buatan, yang dapat memperbaiki kesalahan yang membuat filter spam tersandung atau memperingatkan pembaca manusia.

Data menunjukkan bahwa ChatGPT digunakan untuk kejahatan siber dengan munculnya “model bahasa besar” (LLM) yang mendapatkan salah satu aplikasi komersial substansial pertamanya dalam pembuatan komunikasi berbahaya.

Sejak ChatGPT menjadi arus utama tahun lalu, volume keseluruhan penipuan email jahat yang diambil oleh alat pemantauan Darktrace menurun, tetapi kompleksitas linguistik dari email tersebut telah meningkat tajam.

Hal ini menunjukkan bahwa sejumlah besar scammer yang menyusun phishing dan email berbahaya lainnya telah memperoleh kemampuan untuk menyusun prosa yang lebih panjang dan lebih kompleks.

Dihubungi oleh Guardian, Google menunjuk pada kebijakan “penggunaan yang dilarang” untuk AI, mengatakan bahwa pengguna tidak boleh menggunakan model AI-nya untuk membuat konten untuk aktivitas penipuan atau penipuan, penipuan, phishing, atau malware.

Selengkapnya: The Guardian

Google Menemukan Lebih Banyak Android, iOS Zero-days Digunakan untuk Menginstal Spyware

by

Grup Analisis Ancaman Google (TAG) menemukan beberapa rantai eksploit menggunakan Android, iOS, dan Chrome kerentanan zero-day dan n-day untuk menginstal spyware komersial dan aplikasi berbahaya di perangkat target.

Penyerang menargetkan pengguna iOS dan Android dengan rantai eksploitasi terpisah, sebagai bagian dari kampanye pertama yang terlihat pada November 2022.

Penyerang menggunakan pesan teks yang mendorong tautan singkat bit.ly untuk mengarahkan korban ke situs web pengiriman yang sah dari Italia, Malaysia, dan Kazakhstan setelah pertama kali mengirim mereka ke halaman yang memicu eksploitasi yang menyalahgunakan eksekusi kode jarak jauh WebKit iOS zero-day (CVE-2022-42856) dan bug sandbox escape (CVE-2021-30900).

Pada perangkat iOS yang disusupi, pelaku ancaman menjatuhkan muatan yang memungkinkan mereka melacak lokasi korban dan memasang file .IPA.

Ini merupakan bagian dari upaya berkelanjutan untuk mengawasi pasar spyware tentara bayaran dan melacak kerentanan zero-day yang mereka manfaatkan untuk memasang alat mereka pada perangkat rentan hak asasi manusia dan aktivis politik, jurnalis, politisi, dan petinggi lainnya. pengguna risiko di seluruh dunia.

Peneliti Google TAG menautkan kerangka eksploit yang Heliconia dan menargetkan kerentanan Chrome, Firefox, dan Microsoft Defender ke perusahaan perangkat lunak Variston IT Spanish pada November 2022.

Kemudian pada Juni 2022, beberapa Penyedia Layanan Internet (ISP) membantu vendor spyware Italia, RCS Labs, untuk menginfeksi perangkat pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial pada Juni

Selengkapnya: BleepingComputer

Procter & Gamble mengonfirmasi pencurian data melalui GoAnywhere zero-day

by

“P&G dapat mengonfirmasi bahwa itu adalah salah satu dari banyak perusahaan yang terkena dampak insiden GoAnywhere Fortra. Sebagai bagian dari insiden ini, pihak ketiga yang tidak berwenang memperoleh beberapa informasi tentang karyawan P&G,” kata Procter & Gamble kepada BleepingComputer.

“Data yang diperoleh pihak yang tidak berwenang tidak mencakup informasi seperti nomor Jaminan Sosial atau nomor KTP, detail kartu kredit, atau informasi rekening bank.”

P&G mengatakan tidak memiliki bukti bahwa pelanggaran data ini memengaruhi data pelanggan dan berhenti menggunakan layanan berbagi file aman GoAnywhere Fortra setelah menemukan insiden tersebut.

Clop mengklaim mencuri file dari lebih dari 130 organisasi
Geng ransomware Clop sebelumnya memberi tahu Bleeping Computer bahwa mereka mengeksploitasi kerentanan CVE-2023-0669 GoAnywhere sebagai zero-day untuk menembus dan mencuri data dari server penyimpanan aman lebih dari 130 organisasi.

Mereka diduga mencuri data selama sepuluh hari setelah melanggar server yang terpapar Internet yang rentan terhadap eksploitasi yang menargetkan bug ini.

Pelaku ancaman juga mengklaim bahwa mereka hanya mencuri dokumen yang disimpan di platform berbagi file korban yang disusupi, meskipun mereka juga dapat dengan mudah dipindahkan secara lateral melalui jaringan mereka untuk menyebarkan muatan ransomware.

Clop mulai secara terbuka memeras korban serangan GoAnywhere pada 10 Maret ketika menambahkan tujuh perusahaan ke situs kebocoran datanya.

Sejauh ini, daftar korban yang mengakui pelanggaran GoAnywhere dan bahwa Clop memeras mereka juga termasuk raksasa kesehatan Community Health Systems (CHS), platform fintech Hatch Bank, perusahaan keamanan siber Rubrik, Hitachi Energy, peritel merek mewah Saks Fifth Avenue, dan Kota Toronto, Kanada.

Dalam catatan tebusan yang dikirim ke para korban dan dilihat oleh BleepingComputer, geng ransomware memperkenalkan diri mereka sebagai “kelompok peretas Clop”, memperingatkan para korban bahwa mereka telah mencuri dokumen sensitif, yang akan dipublikasikan secara online di situs kebocoran Clop dan dijual di pasar gelap. jika korban tidak mau bernegosiasi.

selengkapnya : bleepingcomputer

Malware Baru Mencuri Kata Sandi Mac dan Mengirimkannya Dengan Telegram

by

Malware baru, MacStealer, ditemukan menginfeksi Intel dan Apple Silicon Mac, serta mencuri kata sandi, info kartu kredit, dan data pribadi lainnya.

MacStealer memiliki kemampuan untuk mengambil dokumen, cookie browser, dan informasi login dari Mac target. Secara khusus juga berfungsi pada Mac yang menjalankan macOS Catalina atau lebih baru, berjalan pada chip Intel atau Apple Silicon.

Perangkat lunak mengambil kredensial dan cookie dari browser Firefox, Google Chrome, dan Brave, mengekstrak database Keychain, dan mencoba untuk mengamankan berbagai jenis file.

Meskipun menarik Keychain tampak seperti bahaya besar bagi pengguna, serangan tersebut melibatkan pengambilan Keychain secara grosir, tanpa mengakses data di dalamnya. Basis data diambil dan dikirim ke penyerang oleh Telegram, tetapi masih dienkripsi.

Pelaku ancaman yang menjual akses ke MacStealer seharga $100 per build mengatakan bahwa Keychain yang diekstraksi hampir tidak mungkin diakses tanpa kata sandi utama.

Item lain dalam daftar “fitur yang akan datang” termasuk pengurasan cryptowallets, alat untuk menghasilkan build baru, shell terbalik, pengunggah khusus, dan panel kontrol.

Pada saat yang sama mengambil file dan data, MacStealer menggunakan Telegram untuk mengirimkan informasi pilihan ke saluran tertentu. Kompilasi ZIP terpisah kemudian dibagikan ke bot Telegram yang dikendalikan oleh peretas.

Mencoba membuka file akan memunculkan permintaan kata sandi macOS palsu, yang kemudian digunakan alat tersebut untuk mengakses file lain di sistem.

Permintaan kata sandi macOS palsu pict-MacStealer [kiri], permintaan kata sandi macOS asli [kanan]
Permintaan kata sandi macOS palsu pict-MacStealer [kiri], permintaan kata sandi macOS asli [kanan]

Uptycs merekomendasikan agar pengguna memperbarui sistem Mac dengan tambalan dan pembaruan, serta disarankan untuk hanya mengizinkan penginstalan file dari sumber terpercaya.

Selengkapnya: Apple Insider