Threat

Peretas Korea Utara menggunakan malware Vyveva baru untuk menyerang kapal barang

April 9, 2021 by Winnie the Pooh

Grup peretasan Lazarus yang didukung Korea Utara menggunakan malware baru dengan kemampuan backdoor yang dijuluki Vyveva dan menargetkan serangan terhadap perusahaan logistik pengiriman Afrika Selatan.

Meskipun ESET hanya menemukan dua mesin yang terinfeksi malware ini, keduanya milik perusahaan pengiriman Afrika Selatan yang sama, backdoor kemungkinan digunakan dalam kampanye spionase yang ditargetkan sejak pertama kali digunakan di alam liar.

Malware ini hadir dengan serangkaian kemampuan spionase dunia maya yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi ke server di bawah kendali mereka menggunakan jaringan anonim Tor sebagai saluran komunikasi yang aman.

Lazarus juga dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode berbahaya sewenang-wenang pada sistem yang dikompromikan di jaringan korban.

Sementara backdoor akan terhubung ke server command-and-control (C2) setiap tiga menit, ia juga menggunakan pengawas yang dirancang untuk melacak drive yang baru terhubung atau sesi pengguna aktif untuk memicu koneksi C2 baru pada sesi baru atau drive event.

Indikator gangguan, termasuk hash sampel Vyveva yang digunakan selama serangan yang menargetkan perusahaan angkutan Afrika Selatan, tersedia di akhir laporan ESET.

Peretas mengambil data dari 500 juta pengguna LinkedIn dan telah mempostingnya untuk dijual secara online

April 9, 2021 by Winnie the Pooh

Data dari 500 juta pengguna LinkedIn telah dihapus dan dijual secara online, menurut laporan dari Cyber News. Seorang juru bicara LinkedIn mengonfirmasi kepada Insider bahwa ada kumpulan data informasi publik yang diambil dari platform tersebut.

“Sementara kami masih menyelidiki masalah ini, kumpulan data yang diposting tampaknya menyertakan informasi yang dapat dilihat publik yang diambil dari LinkedIn digabungkan dengan data yang dikumpulkan dari situs web atau perusahaan lain,” kata juru bicara LinkedIn kepada Insider dalam sebuah pernyataan. “Scraping data anggota kami dari LinkedIn melanggar persyaratan layanan kami dan kami terus bekerja untuk melindungi anggota kami dan datanya.”

LinkedIn memiliki 740 juta pengguna, menurut situs webnya, jadi data yang dilaporkan dari 500 juta pengguna berarti sekitar dua pertiga dari basis pengguna platform dapat terpengaruh.

Data tersebut mencakup akun ID, nama lengkap, alamat email, nomor telepon, informasi tempat kerja, jenis kelamin, dan tautan ke akun media sosial lainnya.

Data tersebut telah diposting untuk dijual di forum peretas, dan penulis posting juga membocorkan sampel 2 juta catatan sebagai bukti konsep, menurut CyberNews. Peretas mencoba menjual kumpulan data dengan jumlah 4 digit, per outlet, dan berpotensi dalam bentuk bitcoin.

Paul Prudhomme, seorang analis di perusahaan intelijen keamanan IntSights, mengatakan kepada Insider bahwa data yang terungkap itu penting karena pelaku kejahatan dapat menggunakannya untuk menyerang perusahaan melalui informasi karyawan mereka.

Selengkapnya: Business Insider

Konten dewasa dari ratusan pembuat konten OnlyFans bocor secara online

April 8, 2021 by Winnie the Pooh

Setelah Google Drive yang dibagikan diposting secara online yang berisi video dan gambar pribadi dari ratusan akun OnlyFans, seorang peneliti telah membuat alat yang memungkinkan pembuat konten untuk memeriksa apakah mereka adalah salah satu dari korban kebocoran.

Bulan lalu, para peneliti di perusahaan keamanan siber BackChannel menemukan postingan di forum peretasan tempat seorang anggota membagikan Google Drive yang berisi konten bertema dewasa OnlyFans dengan anggota lain di forum tersebut.

Tidak mungkin untuk melihat seberapa besar folder itu tanpa mengunduhnya. Namun, pendiri BackChannel Aaron DeVera mengatakan kepada BleepingComputer bahwa folder Google Drive awalnya berisi folder untuk 279 creator OnlyFans, dengan salah satu folder tersebut memiliki lebih dari 10GB video dan foto.

Dari tanggal file di share folder, sebagian besar konten tampaknya telah diupload pada Oktober 2020.

Karena banyaknya creator yang bocor di share folder ini, BackChannel yakin itu telah dikompilasi oleh banyak orang.

Untuk membantu pembuat konten OnlyFans menentukan apakah konten mereka adalah bagian dari kebocoran ini, BackChannel telah membuat halaman web ‘Alat Pencarian OnlyFans‘. Alat ini memungkinkan pembuat OnlyFans untuk memasukkan nama membernya dan menentukan apakah konten mereka telah dibagikan tanpa izin.

Jika creator memasukkan member mereka dan konten mereka ditemukan dalam kebocoran, situs akan merekomendasikan agar pengguna mengunjungi https://labac.dev/content, yang berisi template pemberitahuan pelanggaran DMCA yang dapat digunakan untuk menghapus konten.

Selengkapnya: Bleeping Computer

Kampanye Phishing Baru Mengirim Tawaran Pekerjaan yang mengandung Malware Melalui LinkedIn

April 8, 2021 by Winnie the Pooh

Dengan pengangguran pada tingkat yang luar biasa dan ekonomi melakukan pembalikan aneh terkait covid, saya pikir kita semua bisa setuju bahwa perburuan pekerjaan adalah pekerjaan yang cukup sulit saat ini. Di tengah semua itu, Anda tahu apa yang sebenarnya tidak dibutuhkan pekerja? Kotak masuk LinkedIn yang penuh dengan malware. Ya, mereka sama sekali tidak membutuhkan itu.

Namun demikian, tampaknya itulah yang mungkin didapat beberapa orang, berkat satu kelompok jahat dunia maya.

Perusahaan keamanan eSentire baru-baru ini menerbitkan laporan yang merinci bagaimana peretas yang terhubung ke grup yang dijuluki “Ayam Emas” (saya tidak yakin siapa yang menemukan yang itu) telah melancarkan kampanye jahat yang memangsa keinginan pencari kerja untuk posisi yang sempurna .

Kampanye ini melibatkan penipuan profesional bisnis yang tidak menaruh curiga agar mengklik tawaran pekerjaan yang berjudul sama dengan posisi mereka saat ini. Sebuah pesan, dimasukkan ke DM korban, mengumpan mereka dengan “penawaran” yang benar-benar dicurangi dengan file .zip yang dimuat pegas. Di dalamnya .zip adalah malware tanpa file yang disebut “more_eggs” yang dapat membantu membajak perangkat yang ditargetkan. Peneliti merinci bagaimana serangan itu bekerja:

Siapapun mereka, “Ayam” mungkin tidak melakukan serangan ini sendiri. Sebaliknya, mereka mengayuh apa yang akan diklasifikasikan sebagai Malware-as-a-service (MaaS) —yang berarti penjahat dunia maya lain membeli malware dari mereka untuk melakukan kampanye peretasan mereka sendiri. Laporan tersebut mencatat bahwa tidak jelas siapa sebenarnya di balik kampanye baru-baru ini.

Trojan pintu belakang seperti “more_eggs” pada dasarnya adalah program yang memungkinkan jenis malware lain yang lebih merusak untuk dimuat ke dalam sistem perangkat atau komputer. Setelah penjahat menggunakan trojan untuk mendapatkan tumpuan ke dalam sistem korban, mereka kemudian dapat menerapkan hal-hal lain seperti ransomware, malware perbankan, atau pencuri kredensial, untuk mendatangkan malapetaka yang lebih luas pada korbannya.

selengkapnya : gizmodo.com

Pwn2Own 2021: Microsoft Exchange Server, macOS, Windows 10 dan Teams Diretas

April 8, 2021 by Winnie the Pooh

Hari pertama Pwn2Own 2021 sama sekali tidak membosankan. Kami telah melihat kontestan menarik berbagai bug di platform seperti server Microsoft Exchange, Teams, Ubuntu, Windows 10, macOS, dll. Pemenang hari pertama telah mendapatkan lebih dari setengah juta dan akan menargetkan lebih banyak perangkat lunak besok seperti Zoom, Safari , Firefox, Chrome, dll.

Untuk diketahui, Pwn2Own adalah acara peretasan yang diadakan setiap tahun, dua kali sejak baru-baru ini, untuk memunculkan bug di perangkat lunak populer yang menghadap pengguna. Tim merah dan peretas independen yang mengungkap bug serius akan diberikan hadiah uang tunai, dengan tim / orang terakhir mendapatkan Tesla Model 3 beserta bountynya.

Pwn2Own tahun ini memiliki awal yang baik, dengan tim dari berbagai grup keamanan siber meluncurkan perangkat lunak populer seperti Windows 10, Ubuntu, Microsoft Teams, dll. Tim Devcore telah memenangkan uang tunai $ 200.000 dan 20 poin Master of Pwn untuk mencapai akses RCE ke server Microsoft Exchange dengan mengeksploitasi dua bug bypass otentikasi dan eskalasi hak istimewa lokal.

selengkapnya :techdator.net

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

April 8, 2021 by Winnie the Pooh

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

REvil ransomware sekarang mengubah kata sandi menjadi auto-login dalam Mode Aman

April 8, 2021 by Winnie the Pooh

Perubahan terbaru pada REvil ransomware memungkinkan pelaku ancaman untuk mengotomatiskan enkripsi file melalui Safe Mode setelah mengubah sandi Windows.

Pada akhir Maret, sampel baru REvil ransomware ditemukan oleh peneliti keamanan R3MRUM yang menyempurnakan metode enkripsi Safe Mode baru dengan mengubah kata sandi pengguna yang masuk dan mengkonfigurasi Windows untuk masuk secara otomatis (auto-login) saat reboot.

Dengan contoh baru ini, ketika argumen -smode digunakan, ransomware akan mengubah kata sandi pengguna menjadi ‘DTrump4ever.’

Ransomware kemudian mengkonfigurasi nilai Registry berikut sehingga Windows secara otomatis akan login dengan informasi akun baru.

Meskipun tidak diketahui apakah sampel baru pengenkripsi ransomware REvil terus menggunakan kata sandi ‘DTrump4ever’, setidaknya dua sampel yang diunggah ke VirusTotal dalam dua hari terakhir terus melakukannya.

Perubahan ini menggambarkan bagaimana geng ransomware terus mengembangkan taktik mereka untuk berhasil mengenkripsi perangkat korban dan memaksa pembayaran tebusan.

REvil juga baru-baru ini memperingatkan bahwa mereka akan melakukan serangan DDoS pada korban dan mengirim email ke mitra bisnis korban tentang data yang dicuri jika uang tebusan tidak dibayarkan.

Sumber: Bleeping Computer

Cisco memperbaiki bug yang memungkinkan eksekusi kode jarak jauh dengan hak akses root

April 8, 2021 by Winnie the Pooh

Cisco telah merilis pembaruan keamanan untuk mengatasi kerentanan pra-otentikasi remote code execution (RCE) yang memengaruhi komponen manajemen jarak jauh SD-WAN vManage Software.

Perusahaan memperbaiki dua kerentanan keamanan tingkat tinggi lainnya dalam fungsi manajemen pengguna (CVE-2021-1137) dan transfer file sistem (CVE-2021-1480) dari produk yang sama yang memungkinkan penyerang untuk meningkatkan hak istimewa.

Eksploitasi yang berhasil dari kedua bug ini dapat memungkinkan pelaku ancaman yang menargetkan mereka untuk mendapatkan hak akses root pada sistem operasi yang mendasarinya.

Cacat keamanan kritis yang dilacak sebagai CVE-2021-1479 menerima skor keparahan 9,8 / 10. Hal ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk memicu buffer overflow pada perangkat yang rentan dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan memengaruhi Cisco SD-WAN vManage rilis 20.4 dan yang lebih lama. Cisco telah membahasnya dalam pembaruan keamanan 20.4.1, 20.3.3, dan 19.2.4 yang diterbitkan hari ini dan menyarankan pelanggan untuk bermigrasi ke versi yang terbaru sesegera mungkin.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings