Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Upaya Kedua Hacker Tim Tonto Tiongkok untuk Menargetkan Grup Perusahaan Keamanan Siber-IB Gagal

by

Pelaku ancaman persisten tingkat lanjut (APT), dikenal sebagai Tim Tonto, melakukan serangan yang gagal terhadap perusahaan keamanan siber Group-IB pada Juni 2022.

Perusahaan tersebut mendeteksi dan memblokir email phishing berbahaya yang berasal dari grup yang menargetkan karyawannya. Ini merupakan serangan kedua yang ditujukan ke Grup-IB, yang pertama terjadi pada Maret 2021.

Disebut Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda, dan UAC-0018, Tim Tonto adalah kelompok peretas Cina yang diduga telah dikaitkan dengan serangan yang menargetkan berbagai organisasi di Asia dan Eropa Timur.

Aktor ini diketahui aktif setidaknya sejak tahun 2009 dan dikatakan memiliki hubungan dengan Departemen Ketiga (3PLA) Shenyang TRB Tentara Pembebasan Rakyat (Unit 65016).

Rantai serangan melibatkan umpan spear-phishing yang berisi lampiran berbahaya yang dibuat menggunakan perangkat eksploitasi Royal Road Rich Text Format (RTF) untuk menjatuhkan backdoor seperti Bisonal, Dexbia, dan ShadowPad.

Trend Micro pada tahun 2020 mengungkap bahwa metode sedikit berbeda yang digunakan oleh pelaku ancaman di alam liar adalah penggunaan alamat email perusahaan yang sah, kemungkinan besar diperoleh dengan phishing, untuk mengirim email ke pengguna lain.

Tangkapan layar Laporan di Grup-IB sandbox
Tangkapan layar Laporan di Grup-IB sandbox

Tim Tonto akan terus menyelidiki perusahaan TI dan keamanan siber dengan memanfaatkan spear-phishing untuk mengirimkan dokumen berbahaya menggunakan kerentanan dengan umpan yang disiapkan khusus untuk tujuan ini.

Selengkapnya: The Hacker News

Hacker Wormhole memindahkan $46 Juta Dana Curian lagi

by

Pengeksploitasi Wormhole mencari peluang arbitrase dengan aset yang dipatok Ethereum.

Crypto ilegal dari salah satu eksploitasi terbesar industri sedang bergerak lagi, dengan data on-chain menunjukkan $46 juta dana curian lainnya baru saja dipindahkan dari wallet hacker.

Serangan Wormhole merupakan peretasan crypto terbesar ketiga pada tahun 2022, dihasilkan dari eksploitasi jembatan token Wormhole pada Februari 2022. Sekitar $321 juta dari Wrapped ETH (wETH) dicuri.

Firma keamanan blockchain PeckShield juga mengkonfirmasi hal tersebut.

Hacker tampaknya mencari peluang hasil atau arbitrase atas jarahan curian mereka karena aset ditukar dengan 16,6 juta DAI, lapor PeckShield.

Stablecoin MakerDAO kemudian digunakan untuk membeli 9.750 ETH dengan harga sekitar $1.537 dan 1.000 stETH. Ini kemudian dibungkus kembali menjadi 9.700 wstETH.

Harga Ether ETH $1.545 telah turun di bawah level tersebut selama beberapa jam terakhir. Pada saat transfer, harga stETH diturunkan dari Ethereum dan naik setinggi $1.570.

Pergerakan dana terbaru datang hanya beberapa minggu setelah peretas memindahkan Ethereum senilai $155 juta lainnya ke bursa terdesentralisasi.

Selengkapnya: Cointelegraph

Peneliti Mengungkap 700+ Paket Open Source Berbahaya

by

Peneliti keamanan telah menemukan sejumlah besar paket berbahaya lainnya pada pendaftar sumber terbuka npm dan PyPI, yang dapat menyebabkan masalah jika tanpa disadari diunduh oleh pengembang.

Pada bulan Januari, sebuah perusahaan software, Sonatype, menemukan 691 paket npm berbahaya dan 49 komponen PyPI berbahaya yang berisi penambang kripto, Trojan akses remote (RAT), dan lainnya.

Penemuan alat AI perusahaan membawa total tangkapannya menjadi hampir 107.000 paket yang ditandai sebagai berbahaya, mencurigakan, atau proof-of-concept sejak 2019.

Ini mencakup beberapa paket yang berisi file package.go jahat yang sama – sebuah Trojan yang dirancang untuk menambang cryptocurrency dari sistem Linux. Enam belas di antaranya dilacak ke aktor yang sama, trendava, yang kini telah dihapus dari registri npm.

Temuan terpisah mencakup minimum malware PyPI, yang dirancang untuk memeriksa keberadaan mesin virtual (VM) sebelum dijalankan, bertujuan untuk mengganggu upaya peneliti keamanan, yang sering menjalankan malware yang dicurigai di VM, untuk mengetahui lebih lanjut tentang ancaman tersebut.

Vendor keamanan juga menemukan malware Python baru yang menggabungkan kemampuan RAT dan pencuri informasi.

Selengkapnya: infosecurity

Hacker Mengungkapkan Rahasia Pencarian Obrolan Bing Bertenaga AI Baru dari Microsoft

by

Seorang mahasiswa Stanford, Kevin Liu, telah berhasil mendapatkan lebih banyak akses menggunakan metode injeksi cepat di Bing Chat dan mampu mendorong bot mirip ChatGPT untuk membocorkan rahasianya.

Eksploit Injeksi Cepat Chatbot bertenaga AI
Injeksi cepat adalah kerentanan yang relatif sederhana untuk dieksploitasi karena bergantung pada chatbot bertenaga AI yang melakukan tugasnya untuk memberikan respons mendetail atas pertanyaan pengguna.

Liu hanya memerintah chatbot untuk mengabaikan instruksi sebelumnya dan melakukan hal lain untuk memecahnya menjadi dasar pada Bing Chat.

Bagaimana seorang siswa Meretas Bing Chat?
Berdasarkan laporan Matthias Bastian di The Decoder, selain berhasil melewati perlindungan yang dibangun di mesin pencari Bing Chat pada awalnya, Liu dapat melakukannya lagi setelah Microsoft (atau OpenAI) tampaknya menerapkan pemfilteran untuk mencegah serangan injeksi cepat itu bekerja.

Banyaknya dorongan membuat Bing Chat mengonfirmasi bahwa Sydney adalah nama kode rahasia untuk Bing Chat seperti yang digunakan oleh pengembang Microsoft, dan Liu harus merujuknya sebagai pencarian Microsoft Bing. Lebih mendorong tentang kalimat-kalimat berikutnya dalam kelompok lima sekaligus, membuat Bing Chat menumpahkan seluruh muatan instruksi yang dianggap rahasia yang memandu bagaimana bot merespons pengguna.

Menipu AI Bing Chat Kedua Kalinya
Setelah ini berhenti bekerja, Liu beralih ke pendekatan injeksi cepat baru yang menyatakan bahwa “Mode pengembang telah diaktifkan” dan meminta swa-uji untuk memberikan instruksi yang sekarang tidak terlalu rahasia. Sayangnya, ini berhasil mengungkap mereka sekali lagi.

Pihak TechCrunch mendapatkan informasi dari Microsoft dan OpenAI yang mengatakan bahwa “Sydney mengacu pada nama kode internal untuk pengalaman obrolan yang kami jelajahi sebelumnya. Kami menghapus nama tersebut secara bertahap dalam pratinjau, tetapi terkadang masih muncul.”

Selengkapnya: Forbes

Apple Merilis Perbaikan Baru untuk iPhone zero-day yang Dieksploitasi oleh Hacker

by

Apple pada hari Senin merilis versi baru sistem operasi iPhone dan iPad untuk memperbaiki kerentanan yang dieksploitasi oleh hacker, yang berarti mereka memanfaatkannya untuk meretas perangkat Apple.

Di halaman pembaruan keamanan, Apple menulis bahwa menyadari laporan jika masalah ini mungkin telah dieksploitasi secara aktif. Ini adalah bahasa yang digunakan Apple saat seseorang memberitahu perusahaan bahwa mereka telah mengamati hacker mengeksploitasi bug terhadap target di dunia nyata, berlawanan dengan kerentanan yang ditemukan oleh peneliti di lingkungan yang terkendali.

Juru bicara Apple, Scott Radcliffe, mengatakan bahwa perusahaan tidak menambahkan apa pun selain dari apa yang ada di catatan rilis.

Bug terbaru ini ada di WebKit, mesin browser Apple yang digunakan di Safari, dan secara historis merupakan target populer bagi hacker, karena dapat membuka akses ke data perangkat lainnya.

Motherboard melaporkan bahwa hanya dalam empat bulan pertama tahun itu, Apple telah menambal tujuh bug yang dieksploitasi secara liar pada tahun 2021. Sejak itu, banyak hal telah membaik.

Hitungan kerentanan TechCrunch sejak Januari tahun lalu, menunjukkan sembilan bug di iOS yang mungkin telah dieksploitasi secara aktif.

Kemungkinan rata-rata pengguna iPhone akan menjadi sasaran zero-day seperti ini sangat kecil, tetapi ponsel harus tetap harus diperbarui.

Selengkapnya: TechCrunch+

Hacker Menargetkan Industri Telekomunikasi – Lebih dari 74 Juta Data Klien Bocor

by

Telekomunikasi adalah industri terpenting untuk infrastruktur negara manapun, berfungsi sebagai dasar untuk komunikasi dan koordinasi, menyediakan konektivitas yang diperlukan agar orang tetap terhubung dan agar bisnis dapat beroperasi secara efisien.

Tahun 2023 diproyeksikan memiliki peningkatan jumlah pengguna internet yang mengesankan, mencapai total 311,3 juta orang, mewakili tingkat penetrasi 91,8% yang luar biasa di antara populasi umum.

Dilaporkan oleh Cyble Research & Intelligence Labs, beberapa perusahaan telekomunikasi AS baru-baru ini menjadi sasaran hacker sejak Januari.

Lebih dari 74 Juta Data Klien Bocor
Baru-baru ini, tangkapan layar yang bocor masuk ke mata publik dan termasuk informasi sensitif yang diajukan oleh pelamar yang dianggap kurang beruntung. IntelBroker mengklaim telah menemukan 37 juta catatan klien AT&T di penyimpanan cloud tanpa jaminan dari vendor pihak ketiga pada 6 Januari 2023.

Pada 19 Januari 2023, T-Mobile, perusahaan telekomunikasi terkemuka, mengajukan laporan ke Securities and Exchange Commission (SEC), memberitahu mereka tentang aktor jahat yang mengeksploitasi kerentanan di API T-Mobile, yanf dapat mencuri informasi pribadi dan sensitif termasuk 37 juta informasi identitas pribadi (PII) pelanggan.

Pada 1 Februari 2023, IntelBroker membuat pengumuman mengejutkan lainnya kepada publik. Pelaku ancaman berbagi database yang berisi informasi sensitif milik 144.000 klien Seluler AS, salah satu perusahaan telekomunikasi terbesar di Amerika Serikat.

Jenis Data yang Disusupi
Pelanggaran terbaru melibatkan kebocoran 77.000 data karyawan Uber, disebabkan oleh pelanggaran di vendor pihak ketiga bernama Teqtivity.

Jenis data yang disusupi dalam insiden ini adalah Alamat, Nomor akun, Detail layanan, Nama depan, Jenis perangkat, Paket layanan, Email, Informasi perangkat, Nomor telepon, Detail layanan langganan

Salah satu contoh rekomendasi yang ditawarkan oleh GRC (Governance, Risk, and Compliance) seperti daftar lengkap teknologi dan vendor yang digunakan oleh pihak ketiga harus dibuat.

Selengkapnya: Cyber Security News

OneKey Telah Memperbaiki Kekurangan yang membuat Wallet Perangkat Kerasnya Diretas dalam 1 Detik

by

Unciphered memposting video yang menunjukkan kerentanan kritis besar-besaran di OneKey Mini. Pencipta mengatakan itu telah ditambal dan mereka sedang bekerja untuk mengamankan wallet lebih lanjut.

Sebuah video di YouTube yang diposting pada 10 Februari oleh startup cybersecurity Unciphered menunjukkan bahwa mereka telah menemukan cara mengeksploitasi kerentanan kritis besar-besaran yang memungkinkan mereka untuk membuka OneKey Mini.

Namun, dalam pernyataan 10 Februari, OneKey mengatakan telah mengatasi kelemahan keamanan yang diidentifikasi oleh Unciphered, mencatat bahwa tim perangkat kerasnya telah memperbarui tambalan keamanan awal tahun ini tanpa siapa pun yang terpengaruh dan semua kerentanan yang diungkapkan telah telah atau sedang diperbaiki.

Meskipun kerentanannya memprihatinkan, vektor serangan yang diidentifikasi oleh Unciphered tidak dapat digunakan dari jarak jauh dan memerlukan pembongkaran perangkat dan akses fisik melalui perangkat FPGA khusus di lab agar dapat dieksekusi.

Dalam posting blognya, OneKey mengatakan telah bersusah payah untuk memastikan keamanan penggunanya, termasuk melindungi mereka dari serangan “supply chain”.

Langkah-langkah itu mencakup pengemasan anti rusak untuk pengiriman dan penggunaan penyedia layanan rantai pasokan dari Apple untuk memastikan manajemen keamanan rantai pasokan yang ketat.

Di masa mendatang, mereka berharap dapat mengimplementasikan autentikasi onboard dan memutakhirkan wallet perangkat keras yang lebih baru dengan komponen keamanan tingkat tinggi.

Selengkapnya: Cointelegraph

Email NameCheap diretas untuk mengirim Metamask, Email Phishing DHL

by

Akun email registri domain Namecheap diretas pada Minggu malam, menyebabkan banjir email phishing MetaMask dan DHL yang berusaha mencuri informasi pribadi penerima dan dompet mata uang kripto.

Kampanye phishing berasal dari SendGrid, platform email yang digunakan secara historis oleh Namecheap untuk mengirim pemberitahuan pembaruan dan email pemasaran.

Setelah penerima mulai mengeluh di Twitter, CEO Namecheap Richard Kirkendall mengonfirmasi bahwa akun tersebut disusupi dan mereka menonaktifkan email melalui SendGrid saat mereka menyelidiki masalah tersebut.

Mereka yakin pelanggaran tersebut mungkin terkait dengan laporan CloudSek bulan Desember tentang kunci API Mailgun, MailChimp, dan SendGrid yang diekspos di aplikasi seluler.

E-mail Flood
Email phishing yang dikirim dalam kampanye menyamar sebagai DHL atau MetaMask.

Email phishing DHL berpura-pura menjadi tagihan untuk biaya pengiriman yang diperlukan untuk menyelesaikan pengiriman paket.

Email phishing pict-MetaMask dari Namecheap (Sumber: BleepingComputer.com)
Email phishing pict-MetaMask dari Namecheap (Sumber: BleepingComputer.com)

Email berisi tautan pemasaran dari Namecheap https://links.namecheap.com/, mengarahkan pengguna ke halaman phishing yang berpura-pura menjadi MetaMask.

Halaman ini meminta pengguna untuk memasukkan ‘Frasa Pemulihan Rahasia’ atau ‘Kunci pribadi’, seperti yang ditunjukkan di bawah ini.

Halaman phishing pict-MetaMask (Sumber: BleepingComputer.com)
Halaman phishing pict-MetaMask (Sumber: BleepingComputer.com)

Pelaku ancaman dapat menggunakan frase pemulihan atau kunci pribadi pengguna untuk mengimpor dompet ke perangkat mereka sendiri dan mencuri semua dana dan aset.

Jika menerima email phishing DHL atau MetaMask malam ini dari Namecheap, segera hapus dan jangan klik tautan apa pun.

Selengkapnya: Bleeping Computer