Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Telegram mempublikasikan lokasi pengguna secara online

by

Beberapa tahun yang lalu, saat menggunakan aplikasi Line, saya melihat fitur yang disebut “Orang di sekitar”. Fitur ini memungkinkan Anda terhubung dengan pengguna Line lainnya di area yang sama. Fitur ini akan memberi Anda jarak yang tepat dari Anda ke pengguna lain. Jika seseorang memalsukan garis lintang, bujurnya, mereka dapat melakukan pelacakan pengguna dan menemukan lokasinya. Saya melaporkan masalah di aplikasi Line, dan Mereka membayar saya $ 1000 untuk itu. Mereka memperbaikinya dengan menambahkan nomor acak ke tujuan pengguna. Anda dapat menemukan nama saya di sini.

Beberapa hari yang lalu, saya menginstal Telegram, dan saya perhatikan bahwa mereka memiliki fitur yang sama. Saya mencoba untuk melihat apakah saya dapat membuka kedok lokasi pengguna lain, dan saya menemukan mereka memiliki masalah yang sama dengan yang saya temukan di aplikasi Line beberapa tahun yang lalu. Saya melaporkan masalah tersebut ke keamanan Telegram, dan mereka mengatakan itu bukan masalah. Jika Anda mengaktifkan fitur untuk membuat diri Anda terlihat di peta, Anda menerbitkan alamat rumah Anda secara online.

Saya bisa mendapatkan alamat rumah persis pengguna itu.

Telegram memberi tahu saya bahwa itu bukan masalah. Jika Anda menggunakan fitur ini, pastikan untuk menonaktifkannya. Kecuali jika Anda ingin lokasi Anda dapat diakses oleh semua orang.

Sayangnya, keamanan aplikasi Telegram yang buruk dapat tercermin dengan jumlah scammer yang mereka miliki dalam fitur itu. Telegram memungkinkan pengguna membuat grup lokal dalam suatu wilayah geografis. Banyak scammer memalsukan lokasi mereka dan mencoba menjual investasi bitcoin palsu, alat peretasan, SSN yang digunakan untuk penipuan pengangguran, dan sebagainya.

oleh Ahmed’s Notes

Bug di Firefox, Chrome, Edge Memungkinkan Pembajakan Sistem Jarak Jauh

by

Pembuat browser Chrome, Firefox, dan Edge mendesak pengguna untuk menambal kerentanan kritis yang jika dieksploitasi memungkinkan peretas untuk membajak sistem yang menjalankan perangkat lunak tersebut.

Kerentanan Mozilla Firefox (CVE-2020-16044) terpisah dari bug yang dilaporkan di mesin browser Google Chromium, yang digunakan di browser Google Chrome dan browser Edge versi terbaru Microsoft.

Pada hari Kamis, Cybersecurity and Infrastructure Security Agency (CISA) mendesak pengguna browser Firefox Mozilla Foundation untuk menambal bug, dilacak sebagai CVE-2020-16044, dan dinilai sebagai kritis. Kerentanan tersebut diklasifikasikan sebagai bug use-after-free dan terkait dengan cara Firefox menangani cookie browser dan jika dieksploitasi memungkinkan peretas untuk mendapatkan akses ke komputer, ponsel, atau tablet yang menjalankan perangkat lunak browser.

Yang terkena dampak adalah versi browser Firefox yang dirilis sebelum Firefox desktop 84.0.2 yang baru-baru ini dirilis, edisi Firefox Android 84.1.3, dan juga versi Firefox ESR 78.6.1 perusahaan Mozilla.

Bug Browser Chromium Berdampak pada Chrome dan Edge

Juga pada hari Kamis, CISA mendesak pengguna Windows, macOS, dan Linux dari browser Chrome Google untuk menambal bug penulisan di luar batas (CVE-2020-15995) yang memengaruhi versi 87.0.4280.141 saat ini. Peringatan CISA-bug menyatakan bahwa pembaruan ke versi terbaru browser Chrome akan “mengatasi kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh”.

Karena browser Edge terbaru Microsoft didasarkan pada mesin browser Google Chromium, Microsoft juga mendesak penggunanya untuk memperbarui ke versi 87.0.664.75 terbaru dari browser Edge-nya.

sumber : Threatpost

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

by

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

by

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet

Cobalt Strike dan Metasploit menyumbang seperempat dari total server C&C malware pada tahun 2020

by

Cobalt Strike dan Metasploit, dua toolkit pengujian penetrasi yang biasanya digunakan oleh peneliti keamanan, telah digunakan untuk menghosting lebih dari seperempat dari semua server command and control (C&C) malware yang telah diterapkan pada tahun 2020,perusahaan intelijen ancaman Recorded Future mengatakan dalam sebuah laporan hari ini.

Perusahaan keamanan tersebut mengatakan telah melacak lebih dari 10.000 server C&C malware tahun lalu, di lebih dari 80 jenis malware.

Menurut Recorded Future, dua dari perangkat pengujian penetrasi ini sekarang telah menjadi dua teknologi teratas yang paling banyak digunakan untuk menghosting server C&C malware – yaitu Cobalt Strike (13,5% dari total server C&C malware 2020) dan Metasploit (dengan 10,5%).

Laporan Recorded Future juga melihat aspek lain dari operasi server C&C malware. Pengamatan lain termasuk:

  • Rata-rata, server perintah dan kontrol memiliki umur (yaitu, jumlah waktu server meng-host infrastruktur berbahaya) selama 54,8 hari.
  • Memantau hanya penyedia hosting “mencurigakan” yang dapat meninggalkan titik buta, karena 33% server C&C dihosting di AS, banyak di penyedia yang memiliki reputasi baik.
  • Penyedia hosting yang memiliki server perintah dan kontrol paling banyak pada infrastruktur mereka semuanya berbasis di AS: Amazon, Digital Ocean, dan Choopa.

sumber : ZDNET

Setelah menolak membayar tebusan, data sensitif dari distributor suku cadang mobil yang berbasis di AS dibocorkan oleh peretas

by

Arsip 3GB yang konon milik NameSouth, sebuah toko suku cadang mobil yang berbasis di AS, telah dibocorkan secara terbuka oleh grup ransomware NetWalker.

NameSouth tampaknya menjadi korban terbaru dari geng ransomware yang muncul sekitar tahun 2019. Target NetWalker tersebar di berbagai industri, dengan arsip data yang dicuri dari sekitar seratus bisnis yang menjadi korban yang diposting secara publik di situs web geng tersebut hingga saat ini.

Arsip NameSouth yang dibocorkan oleh NetWalker mencakup data rahasia perusahaan dan dokumen sensitif, termasuk data keuangan dan akuntansi, pernyataan kartu kredit, informasi pribadi karyawan, dan berbagai dokumen hukum.

Dilihat dari tanggal pembuatan file cadangan, arsip tersebut diambil dari jaringan NameSouth pada tanggal 26 November. Tampaknya data tersebut bocor beberapa hari kemudian, setelah perusahaan melewatkan tenggat waktu yang diberikan geng ransomware untuk membayar tebusan.

Geng ransomware NetWalker cenderung menawarkan data yang dibocorkan pasca-pelanggaran secara gratis, dan hanya memberi label harga setelah data diunduh beberapa kali. Ada kemungkinan besar bahwa cepat atau lambat, data rahasia perusahaan tersebut dapat digunakan oleh pihak yang jahat untuk tujuan jahat.

Sumber: Cyber News

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

by

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet

Geng Ransomware Mengumpulkan Data dari Lab Pengujian Darah

by

Apex Laboratory, yang menyediakan pemeriksaan darah di rumah untuk pasien di New York City, Long Island dan South Florida, telah terkena serangan ransomware yang juga mengakibatkan data pasien dicuri.

Meskipun perusahaan baru saja mengungkapkan serangan itu, itu terjadi pada 25 Juli, ketika “sistem tertentu di lingkungannya dienkripsi dan tidak dapat diakses”, menurut pemberitahuan situs web pada minggu lalu.

Bekerja sama dengan perusahaan keamanan siber, Apex dapat mengamankan jaringannya dan melanjutkan operasinya dua hari kemudian. Namun penyelidikan forensik berlanjut, akhirnya menentukan pada 15 Desember bahwa penyerang telah memposting informasi di blog mereka tentang serangan itu dan mengklaim telah mengambil informasi pribadi dan kesehatan, kata perusahaan itu dalam pemberitahuan Malam Tahun Baru.

Data tersebut termasuk nama pasien, tanggal lahir, hasil tes, dan untuk beberapa individu, nomor Jaminan Sosial dan nomor telepon, kata Apex.

Sumber: Threat Post