Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Samsung Menambahkan Perlindungan Serangan Zero-click ke perangkat Galaxy

by

Samsung telah mengembangkan sistem keamanan baru untuk membantu pengguna smartphone Galaxy tetap aman dari apa yang disebut eksploitasi “zero-click” yang menggunakan file gambar berbahaya.

Samsung Message Guard adalah ruang virtual terisolasi pada smartphone yang berfungsi sebagai lokasi hosting sementara untuk file gambar yang baru tiba dalam format PNG, JPG/JPEG, GIF, ICO, WEBP, BMP, dan WBMP.

Sistem memeriksa file untuk menentukan apakah mereka menyembunyikan kode berbahaya. Jika ditemukan kode berbahaya, mereka dikunci dalam mode karantina dan diblokir dari mengakses atau berinteraksi dengan sistem operasi yang mendasarinya.

Eksploitasi Zero-click
Eksploitasi zero-click adalah ancaman canggih yang memanfaatkan kerentanan tanpa memerlukan interaksi apa pun dengan pengguna.

Serangan yang mengandalkan eksploitasi zero-click biasanya melibatkan pengiriman pesan atau file ke target dengan kode berbahaya untuk memicu kerentanan pada perangkat yang memberikan akses penyerang bahkan tanpa korban membuka pesan atau file tersebut.

Sistem ini akan segera tersedia untuk Galaxy S23, dirilis pada hari Jumat, secara bertahap akan diluncurkan ke perangkat Galaxy lain yang menjalankan One UI 5.1 atau lebih tinggi nanti pada tahun 2023.

Selengkapnya: BleepingComputer

Pencuri Enigma Menargetkan Industri Cryptocurrency dengan Pekerjaan Palsu

by

Baru-baru ini Trend Micro menemukan kampanye aktif yang menargetkan orang Eropoa Timur di Industri mata uang kripto untuk memasang pencuri informasi dengan berdalih pekerjaan palsu.

Pada ancaman tersebut, pelaku ancaman Rusia yang dicurigai menggunakan beberapa pemuat khusus dan sedang dikembangkan untuk menginfeksi mereka yang terlibat dalam industri cryptocurrency dengan Enigma Stealer, terdeteksi sebagai TrojanSpy.MSIL.ENIGMASTEALER.YXDBC.

Penyerang juga mengeksploitasi kerentanan driver intel, CVE-2015-2291, untuk memuat driver berbahaya yang dirancang untuk mengurangi integritas token Microsoft Defender.

Attack kill chain yang digunakan oleh operator Enigma Stealer
Attack kill chain yang digunakan oleh operator Enigma Stealer

Stealerium adalah pencuri informasi asli sebagai basis untuk Enigma Stealer, merupakan proyek open-source dalam bahasa C# yang memasarkan dirinya sebagai pencuri, pemangkas, dan keylogger dengan kemampuan logging menggunakan API Telegram.

Pengguna dan tim keamanan disarankan untuk selalu waspada dan terus memperbarui solusi keamanan sistem mereka.

Berikut adalah tindakan penyerang menggunakan wawancara cryptocurrency palsu untuk memikat korban dengan mengirimkan dokumen berisi daftar pertanyaan interview ke email target korban. Trend Micro juga menjelaskan lebih lanjut mengenai infrastruktur enigma dan bagaimana malware bekerja.

Terjemahan mesin dari pertanyaan Wawancara.txt
Terjemahan mesin dari pertanyaan Wawancara.txt

Berdasarkan hasil penelitian Trend Micro, kampanye ini menunjukkan vektor serangan yang giigh dan menguntungkan untuk berbagai kelompok dan aktor ancaman persisten tingkat lanjut (APT).

Individu dan organisasi diharapkan tetap waspada terhadap serangan phising, baik melalui sosial media atau media lainnya.

Selengkapnya: Trend Micro

Geng Ransomware menggunakan Zero-Day Baru Untuk Mencuri Data 1 Juta Pasien

by

CHS belum mengatakan jenis data apa yang terungkap dan juru bicara belum menjawab pertanyaan TechCrunch. Ini adalah pelanggaran data pasien kedua yang diketahui CHS dalam beberapa tahun terakhir.

Geng ransomware yang terkait dengan Rusia, Clop dilaporkan telah mengambil tanggung jawab untuk mengeksploitasi zero-day baru dalam kampanye peretasan baru dan mengklaim telah melanggar lebih dari seratus organisasi yang menggunakan teknologi transfer file Fortra — termasuk CHS.

Meskipun CHS dengan cepat tampil sebagai korban, klaim Clop menunjukkan bahwa mungkin ada lebih banyak organisasi yang terpengaruh di luar sana — dan jika Anda adalah salah satu dari ribuan pengguna GoAnywhere, perusahaan Anda mungkin termasuk di antara mereka. Untungnya, pakar keamanan telah membagikan banyak informasi tentang zero-day dan apa yang dapat Anda lakukan untuk melindunginya.

Sekarang geng ransomware Clop — yang baru-baru ini menjadi berita utama dengan varian Linux barunya — memberi tahu Bleeping Computer bahwa mereka telah mengeksploitasi kerentanan GoAnywhere untuk mencuri data dari lebih dari 130 organisasi. Clop tidak memberikan bukti untuk klaimnya, dan pada saat penulisan, situs kebocoran web gelap Clop tidak menyebutkan Fortra atau GoAnywhere.

Perusahaan cybersecurity Huntress melaporkan minggu lalu bahwa mereka menyelidiki intrusi ke dalam jaringan pelanggan yang melibatkan eksploitasi GoAnywhere zero-day. Huntress mengaitkan intrusi tersebut dengan aktor ancaman berbahasa Rusia yang disebutnya “Silence”, yang memiliki tautan ke grup lain yang disebut TA505, kru peretasan kriminal yang telah aktif setidaknya sejak 2016 dan dikenal dengan kampanye bertarget yang melibatkan penyebaran dari Clop ransomware.

selengkapnya : techcrunch

Bagaimana China Mendanai Kampanye Pengaruh Asing

by

Tinjauan catatan keuangan untuk organisasi Partai Komunis China (PKC) dengan kemampuan pengaruh asing mengungkapkan bahwa pendanaan untuk kegiatan propaganda di China sebagian besar berbasis proyek, dengan sebagian besar pembiayaan berasal dari dana publik. Organisasi PKT merilis laporan keuangan publik yang dapat dianalisis untuk memahami prioritas Tiongkok dalam hal operasi informasi. DFRLab membedah keuangan dua organisasi media Tiongkok dan dua departemen PKC tingkat kota untuk mengungkap wawasan tentang pendanaan kampanye pengaruh asing. Pemeriksaan kami mencakup catatan keuangan untuk Kantor Berita Xinhua, China Media Group (CMG), Departemen Kerja Front Persatuan Beijing (UFWD), dan Departemen Propaganda Beijing.

Operasi media asing Xinhua telah merugi sejak pandemi dimulai, namun pekerjaan tersebut masih didukung oleh kantor berita karena kepentingan strategisnya. Xinhua melihat dirinya terlibat dalam “perang opini publik” global di mana ia berperang secara ofensif. Misalnya, Xinhua merilis serangkaian film dokumenter mini berisi disinformasi yang ditonton jutaan kali. Sementara itu, penyiar China Media Group berinvestasi lebih banyak dalam proyek-proyek yang mempromosikan soft power China, seperti mengiklankan hiburan China.

Membangun kemitraan dalam jurnalisme adalah bidang fokus lainnya. Proyek senilai tujuh juta RMB menjalin kemitraan dengan jurnalis asing di Beijing untuk “memberi tahu dunia tentang Beijing yang komprehensif, nyata, dan tiga dimensi”. Departemen propaganda juga ikut memproduksi serial dokumenter 104 episode, juga berjudul “Pesona Beijing,” dan mempromosikannya di luar negeri dengan negara-negara mitra BRI dalam dua item proyek yang terdaftar, dengan total 5,9 juta RMB (USD $875.000). Departemen propaganda mengharapkan serial tersebut mencapai delapan juta pemirsa di dua jaringan TV asing utama.

Melalui laporan keuangan keempat organisasi ini, DFRLab menemukan pendanaan yang cukup besar untuk proyek pengaruh asing di berbagai bidang. Proyek disinformasi China langsung, seperti “Trilogi Sejarah Kegelapan Amerika”, bertujuan untuk menyebarkan narasi anti-Barat. Bersamaan dengan itu, acara dan pameran TV soft power memamerkan China yang dicintai sebagai tempat untuk dikunjungi dan berinvestasi. Pengeluaran untuk proyek-proyek ini diperkirakan akan meningkat di tahun-tahun berikutnya karena China mengembangkan ekonominya dan terus mencari status internasional yang lebih besar.

selengkapnya : medium.com

Fake Installers yang Menargetkan Asia Tenggara dan Timur

by

Peneliti ESET mengidentifikasi kampanye malware yang menargetkan orang-orang berbahasa Mandarin di Asia Tenggara dan Timur dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan. Penyerang tak dikenal membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram, tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan kendali penyerang atas komputer korban.

Figure 1 menunjukkan peta panas dengan negara tempat kami mendeteksi serangan antara Agustus 2022 dan Januari 2023. Sebagian besar serangan memengaruhi pengguna di Taiwan, China, dan Hong Kong.

Penyerang mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan. Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya. Situs web lain, yang mungkin diterjemahkan oleh penyerang, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram, seperti yang ditunjukkan pada Gambar 3.

Penyerang telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah. Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, kami melihat betapa pentingnya untuk rajin memeriksa URL yang kami kunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.

Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh. Ada kemungkinan bahwa penyerang hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis kampanye crimeware lainnya, tetapi untuk saat ini atribusi khusus dari kampanye ini ke aktor ancaman yang dikenal atau baru adalah tidak memungkinkan.

selengkapnya : welivesecurity

PSA: Pastikan untuk Segera Memperbarui, macOS Ventura 13.2.1 dan iOS 16.3.1 Mengatasi Kerentanan yang Dieksploitasi Secara Aktif

by

Pembaruan macOS Ventura 13.2.1, iPadOS 16.3.1, dan iOS 16.3.1 yang dirilis Apple hari ini mencakup perbaikan bug minor dan mengatasi kerentanan keamanan.

Penting untuk memperbarui ke perangkat lunak baru sesegera mungkin, karena salah satu kerentanan diketahui dapat dieksploitasi secara liar.

Pada catatan keamanan Apple untuk pembaruan, software memperbaiki masalah WebKit yang dapat memungkinkan konten web yang dibuat dengan jahat menghasilkan eksekusi kode arbitrer.

Kerentanan itu adalah masalah kebingungan jenis yang menurut Apple telah diatasi dengan pemeriksaan yang lebih baik.

Pembaruan iOS 16.3.1 menambahkan perbaikan Siri Find My, mengatasi masalah dengan pengaturan iCloud, dan memperkenalkan pengoptimalan Deteksi Kecelakaan tambahan untuk model iPhone 14.

Selengkapnya: Mac Rumors

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

by

Cloudflare selama akhir pekan memitigasi serangan DDoS yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Perusahaan perlindungan web tersebut selama akhir pekan memitigasi serangan denial-of-service (DDoS) terdistribusi yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan, menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Selengkapnya: Security Week

LockBit Merilis seluruh Riwayat Negosiasi dengan Royal Mail, Tebusan Ditetapkan £65 Juta

by

Kebocoran tersebut menawarkan wawasan yang langka dan unik tentang taktik negosiasi LockBit dan NCSC Inggris, mengungkapkan permintaan uang tebusan sebesar $80 juta (£65,7 juta).

Negosiasi berlangsung pada 12 Januari hingga 9 Februari. Transkrip lengkap negosiasi juga menawarkan jendela ke taktik negosiasi Pusat Keamanan Siber Nasional (NCSC) dan Badan Kejahatan Nasional (NCA), yang keduanya dipastikan terlibat dalam penyelidikan.

Negosiator penjahat siber menyoroti bagaimana ini delapan kali lebih murah daripada biaya denda peraturan di Inggris.

Royal Mail International sejak awal negosiasi mencoba mendapatkan LockBit untuk membuktikan bahwa decryptornya bekerja pada file besar setelah mengatakan bahwa manajemen organisasi tidak yakin akan melakukannya, dan hanya akan mendekripsi file kecil jika akhirnya membayar.

Taktik pertama yang dicobanya adalah meyakinkan LockBit untuk mendekripsi dua file yang bersama-sama akan menjadi ukuran file 6GB.

Royal Mail International mengatakan kedua file tersebut akan memungkinkan untuk melanjutkan pengiriman pasokan medis yang mendesak.

Melalui negosiasi yang panjang, pada akhirnya LockBit mengirimkan pesan terakhirnya “Apakah Anda punya penawaran untuk saya” pada 9 Februari.

Tampaknya Royal Mail International tidak membayar, atau pernah mempertimbangkan untuk membayar uang tebusan, yang ditetapkan oleh LockBit.

LockBit telah dikenal karena ‘aksi PR’ di masa lalu, sebelumnya mengklaim serangan terhadap Mandiant dan Thales, yang keduanya tidak asli.

Mengonfirmasi “insiden siber”, Royal Mail awalnya mengatakan operasi pengiriman internasionalnya sangat terganggu.

Royal Mail tidak pernah mengonfirmasi bahwa insiden siber yang dideritanya bersifat ransomware atau bahkan ‘serangan’, meskipun sumber berbicara ke beberapa outlet berita yang mengonfirmasi bahwa memang demikian.

Pusat Keamanan Siber Nasional (NCSC) dan Badan Kejahatan Nasional (NCA) mengonfirmasi bahwa mereka adalah bagian dari penyelidikan atas serangan tersebut.

Selengkapnya: ITPro.