Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Serangan zero-click NSO baru menghindari perlindungan keamanan iPhone Apple, kata Citizen Lab

by

IPhone seorang aktivis hak asasi manusia Bahrain diretas secara diam-diam awal tahun ini oleh spyware kuat yang dijual ke negara-bangsa, mengalahkan perlindungan keamanan baru yang dirancang Apple untuk menahan kompromi rahasia, kata para peneliti di Citizen Lab.

Aktivis, yang tetap berada di Bahrain dan meminta untuk tidak disebutkan namanya, adalah anggota Pusat Hak Asasi Manusia Bahrain, sebuah organisasi nirlaba pemenang penghargaan yang mempromosikan hak asasi manusia di negara Teluk. Kelompok itu terus beroperasi meskipun ada larangan yang diberlakukan oleh kerajaan pada tahun 2004 menyusul penangkapan direkturnya karena mengkritik perdana menteri negara itu.

Citizen Lab, pengawas internet yang berbasis di University of Toronto, menganalisis iPhone 12 Pro aktivis dan menemukan bukti bahwa itu diretas mulai Februari menggunakan apa yang disebut serangan “zero-click”, karena tidak memerlukan interaksi pengguna untuk menginfeksi perangkat korban.

Serangan zero-click memanfaatkan kerentanan keamanan yang sebelumnya tidak diketahui di iMessage Apple, yang dieksploitasi untuk mendorong spyware Pegasus, yang dikembangkan oleh perusahaan Israel NSO Group, ke telepon aktivis.

Peretasan itu signifikan, paling tidak karena peneliti Citizen Lab mengatakan menemukan bukti bahwa serangan zero-click berhasil mengeksploitasi perangkat lunak iPhone terbaru pada saat itu, baik iOS 14.4 dan iOS 14.6 yang lebih baru, yang dirilis Apple pada bulan Mei.

Tetapi peretasan juga menghindari fitur keamanan perangkat lunak baru yang ada di semua versi iOS 14, dijuluki BlastDoor, yang seharusnya mencegah peretasan perangkat semacam ini dengan memfilter data berbahaya yang dikirim melalui iMessage.

Karena kemampuannya untuk menghindari BlastDoor, para peneliti menyebut eksploitasi terbaru ini ForcedEntry.

Bill Marczak dari Citizen Lab mengatakan kepada TechCrunch bahwa para peneliti membuat Apple mengetahui upaya untuk menargetkan dan mengeksploitasi iPhone terbaru. Ketika dihubungi oleh TechCrunch, Apple tidak secara eksplisit mengatakan jika telah menemukan dan memperbaiki kerentanan yang dieksploitasi NSO.

Selengkapnya: Tech Crunch

FBI mengirimkan peringatan pertamanya tentang ‘afiliasi ransomware’

by

Biro Investigasi Federal AS hari ini telah menerbitkan nasihat publik pertamanya yang merinci modus operandi “afiliasi ransomware.”

Istilah yang relatif baru, afiliasi ransomware mengacu pada orang atau kelompok yang menyewa akses ke platform Ransomware-as-a-Service (RaaS), mengatur intrusi ke dalam jaringan perusahaan, mengenkripsi file dengan “ransomware sewaan”, dan kemudian mendapatkan komisi dari pemerasan yang berhasil.

Dengan nama OnePercent Group, FBI mengatakan hari ini aktor ancaman ini telah aktif setidaknya sejak November 2020.

Menurut laporan FBI, secara historis, kelompok tersebut terutama mengandalkan taktik berikut untuk serangannya:

  • Menggunakan kampanye email phishing untuk menginfeksi korban dengan trojan IcedID.
  • Menggunakan trojan IcedID untuk menyebarkan muatan tambahan pada jaringan yang terinfeksi.
  • Menggunakan penetration testing framework Cobalt Strike untuk bergerak secara lateral melintasi jaringan korban.
  • Menggunakan RClone untuk mengekstrak data sensitif dari server korban.
  • Data terenkripsi dan meminta tebusan.
  • Menelepon atau mengirim email kepada korban untuk mengancam akan menjual data curian mereka di web gelap jika mereka tidak membayar tepat waktu.

Meskipun FBI tidak secara spesifik menyebut grup tersebut sebagai afiliasi ransomware, sumber di industri keamanan siber mengatakan kepada The Record bahwa OnePercent telah lama berkolaborasi dengan pencipta dan operator ransomware REvil (Sodinokibi) dan juga bekerja dengan operasi Maze dan Egregor.

Selengkapnya: The Record

Pelaku Ancaman Nigeria Meminta Karyawan untuk Menyebarkan Ransomware Dan Menawarkan Hadiah Besar

by

Para peneliti telah menemukan aktor ancaman Nigeria yang mencoba mengubah karyawan sebuah organisasi menjadi Insider Threat dengan meminta mereka untuk menyebarkan ransomware untuk mendapatkan potongan dari keuntungan uang tebusan.

Para peneliti di Abnormal Security mengidentifikasi dan memblokir sejumlah email yang dikirim awal bulan ini kepada beberapa pelanggannya yang menawarkan kepada orang-orang $1 juta dalam bentuk bitcoin untuk menginstal ransomware DemonWare. Para calon penyerang mengatakan mereka memiliki hubungan dengan kelompok ransomware DemonWare, juga dikenal sebagai Black Kingdom atau DEMON, kata mereka.

“Dalam kampanye terbaru ini, pengirim memberi tahu karyawan bahwa jika mereka dapat menyebarkan ransomware di komputer perusahaan atau server Windows, maka mereka akan dibayar $1 juta dalam bentuk bitcoin, atau 40% dari uang tebusan yang diperkirakan $2,5 juta,” tulis para peneliti dalam laporan yang diterbitkan Kamis tentang kampanye tersebut. “Karyawan tersebut diberitahu bahwa mereka dapat meluncurkan ransomware secara fisik atau jarak jauh.”

Kampanye dimulai dengan email awal yang meminta bantuan dari seorang karyawan untuk menginstal ransomware sambil menggantungkan tawaran pembayaran jika orang tersebut mengikutinya. Ini juga memberi penerima cara untuk menghubungi pengirim email.

Setelah dihubungi, pelaku ancaman mengirimi peneliti dua tautan untuk file executable yang dapat diunduh di situs berbagi file WeTransfer atau Mega.nz.

Melalui temuan awal dari penelitian yang dilakukan sebelum mereka membuka mata rantai komunikasi, mereka mengatakan bahwa aktor kemungkinan adalah orang Nigeria.

Kampanye ini juga menyoroti bagaimana penyerang memanfaatkan gagasan orang dalam yang tidak puas untuk mencoba membuat mereka melakukan pekerjaan kotor untuk mereka—sebuah konsep yang juga bukan hal baru, tetapi dapat memberikan wawasan penting tentang cara lain ransomware dapat menemukan jalannya ke jaringan organisasi, catat profesional keamanan lainnya.

Selengkapnya: The Threat Post

Virus ‘Joker’ telah kembali ke Android: mengosongkan rekening bank Anda tanpa Anda sadari dan bersembungi di aplikasi ini di Google Play Store

by

Polisi Belgia memperingatkan tentang kembalinya virus ‘Joker’, yang menyerang perangkat Android dan bersembunyi di berbagai aplikasi di Google Play Store. Malware ini mampu membuat pengguna berlangganan layanan pembayaran tanpa seizin mereka dan mengosongkan rekening bank mereka tanpa mereka sadari.

Malware ‘Joker’ menjadi terkenal pada tahun 2017 karena menginfeksi dan merampok korbannya dengan bersembunyi di berbagai aplikasi. Sejak itu, sistem pertahanan Google Play Store telah menghapus sekitar 1.700 aplikasi dengan malware ‘Joker’ sebelum diunduh oleh pengguna.

Virus Trojan ‘Joker’ milik keluarga malware yang dikenal sebagai Bread , yang tujuannya adalah untuk meretas tagihan ponsel dan mengotorisasi operasi tanpa persetujuan pengguna.

Peneliti dari perusahaan cybersecurity Quick Heal Security Lab, yang dikutip dalam pernyataan tersebut, menjelaskan bahwa virus ini dapat memasukkan pesan teks, kontak, dan informasi lain di smartphone yang terinfeksi.

Apa yang membuat malware ini lebih berbahaya adalah kemampuannya untuk melakukan langganan pengguna Android yang terpengaruh ke layanan berbayar, biasanya versi Premium atau yang paling mahal, tanpa izin sebelumnya.

Pada kesempatan ini, aplikasi berbahaya yang dihapus di Google Play Store setelah mendeteksi bahwa mereka mengandung virus ‘Joker’ adalah:

  • Auxiliary Message
  • Element Scanner
  • Fast Magic SMS
  • Free CamScanner
  • Go Messages
  • Super Message
  • Super SMS
  • Travel Wallpapers

Namun, spesialis lain memperingatkan bahwa lebih banyak aplikasi yang terpengaruh dan, oleh karena itu, jutaan pengguna yang tidak tahu bahwa mereka telah menjadi korban penipuan dunia maya ini.

Selengkapnya: Entrepreneur

15 Kerentanan Teratas Dieksploitasi Jutaan Kali untuk Meretas Sistem Linux

by

Hampir 14 juta sistem berbasis Linux secara langsung terpapar ke Internet, menjadikannya target yang menguntungkan untuk serangkaian serangan dunia nyata yang dapat mengakibatkan penyebaran web shell berbahaya, penambang koin, ransomware, dan trojan lainnya.

Itu menurut pandangan mendalam pada lanskap ancaman Linux yang diterbitkan oleh perusahaan keamanan siber AS-Jepang Trend Micro, yang merinci ancaman dan kerentanan teratas yang memengaruhi sistem operasi pada paruh pertama tahun 2021, berdasarkan data yang dikumpulkan dari honeypots, sensor, dan telemetri anonim.

Perusahaan, yang mendeteksi hampir 15 juta kejadian malware yang ditujukan untuk lingkungan cloud berbasis Linux, menemukan penambang koin dan ransomware menyumbang 54% dari semua malware, dengan web shell menyumbang 29% pangsa.

Selain itu, dengan membedah lebih dari 50 juta peristiwa yang dilaporkan dari 100.000 host Linux unik selama periode waktu yang sama, para peneliti menemukan 15 kelemahan keamanan berbeda yang diketahui dieksploitasi secara aktif di alam liar atau memiliki bukti konsep (PoC) —

  • CVE-2017-5638 (CVSS score: 10.0) – Apache Struts 2 remote code execution (RCE) vulnerability
  • CVE-2017-9805 (CVSS score: 8.1) – Apache Struts 2 REST plugin XStream RCE vulnerability
  • CVE-2018-7600 (CVSS score: 9.8) – Drupal Core RCE vulnerability
  • CVE-2020-14750 (CVSS score: 9.8) – Oracle WebLogic Server RCE vulnerability
  • CVE-2020-25213 (CVSS score: 10.0) – WordPress File Manager (wp-file-manager) plugin RCE vulnerability
  • CVE-2020-17496 (CVSS score: 9.8) – vBulletin ‘subwidgetConfig’ unauthenticated RCE vulnerability
  • CVE-2020-11651 (CVSS score: 9.8) – SaltStack Salt authorization weakness vulnerability
  • CVE-2017-12611 (CVSS score: 9.8) – Apache Struts OGNL expression RCE vulnerability
  • CVE-2017-7657 (CVSS score: 9.8) – Eclipse Jetty chunk length parsing integer overflow vulnerability
  • CVE-2021-29441 (CVSS score: 9.8) – Alibaba Nacos AuthFilter authentication bypass vulnerability
  • CVE-2020-14179 (CVSS score: 5.3) – Atlassian Jira information disclosure vulnerability
  • CVE-2013-4547 (CVSS score: 8.0) – Nginx crafted URI string handling access restriction bypass vulnerability
  • CVE-2019-0230 (CVSS score: 9.8) – Apache Struts 2 RCE vulnerability
  • CVE-2018-11776 (CVSS score: 8.1) – Apache Struts OGNL expression RCE vulnerability
  • CVE-2020-7961 (CVSS score: 9.8) – Liferay Portal untrusted deserialization vulnerability
Sumber: The Hacker News

Selengkapnya: The Hacker News

Botnet Menghasilkan Salah Satu Serangan DDoS Terbesar dalam Catatan

by

Bulan lalu, seseorang mencoba meluncurkan salah satu serangan Distributed Denial of Service (DDoS) terbesar yang pernah tercatat untuk menghapus situs keuangan, menurut Cloudflare, penyedia infrastruktur internet.

Serangan itu melibatkan menghasilkan banjir lalu lintas internet melalui permintaan berbasis browser HTTP. Pada puncaknya, pengeboman mencapai 17,2 juta permintaan per detik.

“Untuk perspektif tentang seberapa besar serangan ini: Cloudflare melayani rata-rata lebih dari 25 juta permintaan HTTP per detik,” tulis perusahaan itu dalam sebuah posting blog pada hari Kamis. “Jadi memuncak pada 17,2 juta rps, serangan ini mencapai 68% dari rata-rata rps rata-rata Q2 kami dari lalu lintas HTTP yang sah.”

Secara total, serangan itu membombardir server perusahaan dengan 330 juta permintaan dalam waktu kurang dari satu menit. Namun, Cloudflare mengatakan sistem otomatisnya dapat secara otomatis mendeteksi dan mengurangi banjir lalu lintas.

​​Menurut Cloudflare, insiden tersebut merupakan serangan DDoS berbasis lapisan aplikasi terbesar yang diketahui publik. Pemegang rekor sebelumnya adalah serangan 6 juta permintaan per detik yang terdeteksi Google tahun lalu.

Cloudflare melihat sumber serangan 17,2 juta rps ke botnet 20.000 mesin, yang merupakan pasukan komputer yang dikendalikan malware. “Berdasarkan alamat IP sumber bot, hampir 15% serangan berasal dari Indonesia dan 17% lainnya dari India dan Brasil digabungkan, menunjukkan bahwa mungkin ada banyak perangkat yang terinfeksi malware di negara-negara tersebut,” kata perusahaan tersebut.

Sumber: PC Mag

Selengkapnya: PC Mag

Olimpiade Tokyo Dimanfaatkan dalam Serangan Kejahatan Dunia Maya

by

Pada 26 Juli, halaman palsu yang mengarah ke situs penyiaran olahraga yang mencurigakan dari jenis yang sama telah dikonfirmasi oleh pencarian web. Selain spam notifikasi browser, peneliti dari Trend Micro juga telah mengonfirmasi metode yang membuat pengguna mendaftarkan informasi pribadi mereka seperti alamat email di situs mencurigakan dengan dalih menonton video. Diyakini bahwa metode serupa untuk mengarahkan orang ke situs yang mencurigakan akan terus berlanjut di masa mendatang. Penting untuk menyadari skema semacam itu untuk menghindari penipuan.

Pada 19 Juli, tepat sebelum pembukaan Olimpiade Tokyo, Trend Micro mengkonfirmasi kasus di mana halaman web yang disamarkan sebagai jadwal siaran TV untuk Olimpiade Tokyo diarahkan ke situs siaran olahraga yang mencurigakan. Menurut survei Trend Micro pada hari Kamis, situs siaran olahraga yang mencurigakan ini diarahkan ke apa yang disebut “spam pemberitahuan browser”, yang memungkinkan pengguna untuk diberi tahu tentang browser dan menampilkan iklan berbahaya.

Selain itu, Trend Micro telah mengkonfirmasi bahwa ada beberapa halaman web palsu yang disamarkan sebagai jadwal siaran TV terkait dengan Olimpiade Tokyo, yang tampaknya dibuat untuk mengarahkan pengguna ke situs yang mencurigakan ini.

Dari kata-kata yang digunakan, diduga bahwa halaman palsu ini dibuat untuk muncul di hasil pencarian ketika pengguna biasa menelusuri web untuk memeriksa siaran TV Olimpiade yang akan datang. Namun, mulai pukul 12:00 pada 19 Juli, halaman-halaman ini tidak lagi ditampilkan di hasil pencarian Google, yang menunjukkan bahwa rencana para penjahat siber telah digagalkan.

Di masa lalu, setiap kali acara global seperti Olimpiade diadakan, ada penjahat siber yang mencoba memanfaatkan gebrakan tersebut.

Selengkapnya: Trend Micro

Kampanye malware menggunakan ‘captcha’ pintar untuk mengabaikan peringatan browser

by

Sebuah kampanye malware menggunakan prompt captcha pintar untuk mengelabui pengguna agar melewati peringatan browser untuk mengunduh trojan perbankan Gozi (alias Ursnif).

Kemarin, peneliti keamanan MalwareHunterTeam membagikan URL mencurigakan dengan BleepingComputer yang mengunduh file saat mencoba menonton video YouTube yang disematkan tentang penjara wanita New Jersey.

Ketika Anda mengklik tombol putar, browser akan mengunduh file bernama console-play.exe [VirusTotal], dan situs akan menampilkan gambar reCaptcha palsu di layar.

Karena file ini dapat dieksekusi, Google Chrome secara otomatis memperingatkan bahwa file tersebut mungkin berbahaya dan menanyakan apakah Anda ingin ‘Simpan’ atau ‘Buang’ file tersebut.

Untuk melewati peringatan ini, pelaku ancaman menampilkan gambar reCaptcha palsu yang meminta pengguna untuk menekan tombol B, S, Tab, A, F, dan Enter pada keyboard mereka, seperti yang ditunjukkan di bawah ini.

Sementara menekan tombol B, S, A, dan F tidak melakukan apa-apa, menekan tombol Tab akan membuat tombol ‘Keep’ menjadi fokus, dan kemudian menekan tombol ‘Enter’ akan bertindak sebagai klik pada tombol, menyebabkan browser untuk mengunduh dan menyimpan file ke komputer.

Sumber: BleepingComputer

Seperti yang Anda lihat, prompt captcha palsu ini adalah cara cerdas untuk mengelabui pengguna agar mengunduh file berbahaya yang diperingatkan oleh browser bisa berbahaya.

Setelah jangka waktu tertentu, video akan diputar secara otomatis, berpotensi membuat pengguna berpikir bahwa ‘captcha’ yang berhasil mengizinkannya.

Jika pengguna menjalankan executable, itu akan membuat folder di bawah %AppData%\Bouncy untuk .NET Helper dan menginstal banyak file. Semua file ini adalah umpan, selain executable BouncyDotNet.exe, yang diluncurkan.

Saat dijalankan, BouncyDotNet.exe akan membaca berbagai string dari Registry Windows yang digunakan untuk menjalankan perintah PowerShell.

Perintah PowerShell ini akan mengkompilasi aplikasi .NET menggunakan kompiler CSC.exe bawaan yang meluncurkan DLL untuk trojan perbankan Ursnif.

Selengkapnya: Bleeping Computer