Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ransomware Cring baru menyerang perangkat Fortinet VPN yang belum ditambal

by

Kerentanan yang memengaruhi Fortinet VPN sedang dieksploitasi oleh jenis ransomware baru yang dioperasikan oleh manusia yang dikenal sebagai Cring untuk menerobos dan mengenkripsi jaringan perusahaan sektor industri.

Cring ransomware (juga dikenal sebagai Crypt3r, Vjiszy1lo, Ghost, Phantom) ditemukan oleh Amigo_A pada bulan Januari dan dilihat oleh tim CSIRT dari penyedia telekomunikasi Swiss, Swisscom.

Operator Cring menjatuhkan sampel Mimikatz yang disesuaikan, diikuti oleh CobaltStrike setelah mendapatkan akses awal dan menerapkan muatan ransomware dengan mengunduh menggunakan pengelola sertifikat Windows CertUtil yang sah untuk melewati perangkat lunak keamanan.

Seperti yang diungkapkan para peneliti Kaspersky dalam sebuah laporan yang diterbitkan kemarin, para penyerang mengeksploitasi server Fortigate SSL VPN yang terpapar Internet tanpa patch terhadap kerentanan CVE-2018-13379, yang memungkinkan mereka untuk menembus jaringan target mereka.

“Korban serangan ini termasuk perusahaan industri di negara-negara Eropa,” kata peneliti Kaspersky.

“Setidaknya dalam satu kasus, serangan ransomware mengakibatkan penghentian sementara proses industri karena server yang digunakan untuk mengontrol proses industri menjadi terenkripsi.”

Sumber: Kaspersky

Selengkapnya: Bleeping Computer

Google Forms dan Telegram disalahgunakan untuk mengumpulkan kredensial phishing

by

Peneliti keamanan mencatat peningkatan metode alternatif untuk mencuri data dari serangan phishing, karena penipu mendapatkan info yang dicuri melalui Google Forms atau bot Telegram pribadi.

Email tetap menjadi metode yang disukai untuk mengekstrak info yang dicuri, tetapi saluran ini menunjukkan tren baru dalam evolusi kit phishing.

Menganalisis perangkat phishing selama setahun terakhir, para peneliti di perusahaan keamanan siber Group-IB memperhatikan bahwa lebih banyak dari alat ini memungkinkan pengumpulan data pengguna yang dicuri menggunakan Google Forms dan Telegram.

Ini dianggap sebagai metode alternatif untuk memperoleh data yang disusupi dan menyumbang hampir 6% dari apa yang ditemukan oleh analis Grup-IB, sebuah bagian yang kemungkinan besar akan meningkat dalam jangka pendek.

Menyimpan info dalam file lokal di sumber daya phishing juga merupakan bagian dari metode eksfiltrasi alternatif dan menyumbang persentase tertinggi dari semuanya.

Sumber: Group-IB

Mengirim data curian yang dikumpulkan dari situs phishing ke Google Forms dilakukan melalui permintaan POST ke formulir online yang tautannya tertanam dalam kit phishing.

Dibandingkan dengan email, yang dapat diblokir atau dibajak dan lognya hilang, ini adalah metode yang lebih aman untuk mengekstrak informasi, kata Group – IB kepada BleepingComputer.

Selengkapnya: Bleeping Computer

Ponsel Android Gigaset terinfeksi oleh malware melalui server pembaruan yang diretas

by

Pemilik ponsel Android Gigaset telah berulang kali terinfeksi malware sejak akhir Maret setelah pelaku ancaman menyusupi server pembaruan vendor dalam serangan rantai pasokan.

Gigaset adalah pabrikan perangkat telekomunikasi asal Jerman, termasuk rangkaian smartphone yang menjalankan sistem operasi Android.

Mulai sekitar 27 Maret, pengguna tiba-tiba menemukan perangkat seluler Gigaset mereka berulang kali membuka browser web dan menampilkan iklan untuk situs game seluler.

Saat memeriksa aplikasi ponsel mereka yang sedang berjalan, pengguna menemukan aplikasi yang tidak dikenal bernama ‘easenf’ berjalan, yang ketika dihapus, secara otomatis akan diinstal kembali.

Menurut situs teknologi Jerman BornCity, aplikasi easenf diinstal oleh aplikasi pembaruan sistem perangkat. Aplikasi berbahaya lainnya yang ditemukan termasuk ‘gem’, ‘smart’, dan ‘xiaoan.’

Pengguna Gigaset mengunggah beberapa paket berbahaya ini ke VirusTotal [1, 2], di mana mereka terdeteksi sebagai adware atau pengunduh.

Sejak serangan dimulai, Malwarebytes telah mendukung pemilik Gigaset di forum mereka dan mendeteksi ancaman sebagai ‘Android / PUP.Riskware.Autoins.Redstone.’

Berdasarkan penelitian mereka, Malwarebytes menyatakan bahwa aplikasi ‘Android / PUP.Riskware.Autoins.Redstone’ akan mengunduh malware lebih lanjut pada perangkat yang terdeteksi sebagai ‘Android / Trojan.Downloader.Agent.WAGD.’

Sumber: Malwarebyte forum

Malwarebytes menyatakan bahwa aplikasi ini akan menampilkan iklan, menginstal aplikasi berbahaya lainnya, dan mencoba menyebar melalui pesan WhatsApp.

Selengkapnya: Bleeping Computer

Facebook mengaitkan 533 juta kebocoran data pengguna dengan “scraping” bukan peretasan

by

Facebook akhirnya telah menjelaskan kebocoran data baru-baru ini yang terdiri dari 533 juta profil pengguna Facebook yang kemudian datanya diposting di forum peretas minggu lalu.

Dalam pernyataan publik yang dirilis kemarin, perusahaan tersebut menyatakan bahwa kebocoran tersebut diakibatkan oleh scraping (pengumpulan) massal profil menggunakan sejumlah besar nomor telepon yang ditautkan ke profil ini, bukan dari peretasan platform:

“Ini adalah contoh lain dari hubungan permusuhan perusahaan teknologi yang sedang berlangsung dengan penipu yang dengan sengaja melanggar kebijakan platform untuk ‘scraping’ layanan internet.”

“Sebagai hasil dari tindakan yang kami ambil, kami yakin bahwa masalah khusus yang memungkinkan mereka mengumpulkan data ini pada tahun 2019 sudah tidak ada lagi,” kata Mike Clark, Direktur Manajemen Produk di Facebook dalam sebuah pernyataan.

Facebook percaya bahwa aktor jahat telah mengorek data bocor yang dipertanyakan dari profil Facebook orang-orang dengan menyalahgunakan fitur “pengimpor kontak” pada September 2019.

“Fitur ini dirancang untuk membantu orang dengan mudah menemukan teman-teman mereka untuk terhubung di layanan kami menggunakan daftar kontak mereka.”

“Saat kami mengetahui bagaimana aktor jahat menggunakan fitur ini pada tahun 2019, kami melakukan perubahan pada pengimpor kontak … untuk mencegah aktor jahat menggunakan perangkat lunak untuk meniru aplikasi kami dan mengunggah sejumlah besar nomor telepon untuk melihat mana yang cocok dengan Pengguna Facebook,” kata perusahaan itu.

Selengkapnya: Bleeping Computer

Malware Android menyamar sebagai Aplikasi mirip Netflix dan menginfeksi melalui WhatsApp

by

Malware Android yang baru ditemukan di Google Play Store yang menyamar sebagai alat Netflix dirancang untuk menyebar secara otomatis ke perangkat lain menggunakan balasan otomatis WhatsApp ke pesan masuk.

Para peneliti di Check Point Research (CPR) menemukan malware baru ini menyamar sebagai aplikasi bernama FlixOnline dan mencoba memikat calon korban dengan janji akses gratis ke konten Netflix.

Peneliti CPR secara bertanggung jawab mengungkapkan temuan penelitian mereka kepada Google yang dengan cepat menghapus dan menghapus aplikasi berbahaya tersebut dari Play Store.

Aplikasi FlixOnline yang berbahaya diunduh kira-kira 500 kali selama dua bulan ketika itu tersedia untuk diunduh di Play Store.

Setelah aplikasi diinstal pada perangkat Android dari Google Play Store, malware memulai layanan yang meminta overlay, pengabaian pengoptimalan baterai, dan izin pemberitahuan.

Setelah izin diberikan, malware akan dapat menghasilkan overlay di atas jendela aplikasi apa pun untuk tujuan pencurian kredensial, memblokir perangkat agar tidak mematikan prosesnya untuk mengoptimalkan konsumsi energi, mendapatkan akses ke notifikasi aplikasi, dan mengelola atau membalas pesan.

Kemudian aplikasi tersebut mulai memantau pemberitahuan WhatsApp baru untuk membalas otomatis semua pesan masuk menggunakan muatan teks khusus yang diterima dari server perintah dan kontrol dan dibuat oleh operatornya.

Check Point mengatakan bahwa balasan otomatis yang diamati dalam kampanye ini mengarahkan para korban ke situs Netflix palsu yang mencoba mengambil informasi identitas dan kartu kredit mereka.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Have I Been Pwned menambahkan pencarian untuk nomor telepon Facebook yang bocor

by

Pengguna Facebook sekarang dapat menggunakan situs pemberitahuan pelanggaran data Have I Been Pwned untuk memeriksa apakah nomor telepon mereka terungkap dalam kebocoran data terbaru situs sosial tersebut.

Akhir pekan lalu, seorang pelaku ancaman merilis bocoran data berisi informasi bagi 533 juta pengguna Facebook. Informasi ini termasuk nomor telepon dan ID Facebook untuk hampir semua akun yang terbuka dan informasi opsional lainnya seperti nama, jenis kelamin, status hubungan, lokasi, pekerjaan, tanggal lahir, dan alamat email.

Data ini awalnya dikumpulkan pada 2019 dan dijual secara pribadi pada saat itu. Seiring waktu, data diperdagangkan dan dijual antara pelaku ancaman yang berbeda dengan harga yang lebih rendah dan lebih rendah sampai akhirnya dirilis secara gratis di forum peretas akhir pekan ini.

Ketika dirilis, data telah ditambahkan ke layanan pemberitahuan pelanggaran data Have I Been Pwned sehingga pengguna dapat mencari tahu apakah email mereka ada di kebocoran data Facebook.

Namun, komponen utama kebocoran ini adalah nomor telepon pengguna Facebook, bukan alamat email, dan oleh karena itu Have I Been Pwned tidak dapat secara akurat memberi tahu pengguna jika mereka terungkap dalam pelanggaran.

Untuk lebih akurat mengingatkan pengguna, Hunt telah memperbarui Have I Been Pwned sehingga pengguna sekarang dapat mencari nomor telepon mereka di situs tersebut untuk menentukan apakah kebocoran tersebut mengungkap info Facebook mereka.

Saat mencari nomor telepon, pengguna harus memasukkan kode negara mereka karena kebocoran data menyimpan nomor tersebut.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Serangan yang sedang berlangsung menargetkan aplikasi SAP yang tidak aman

by

Pelaku ancaman menargetkan aplikasi SAP yang sangat penting tanpa jaminan terhadap kerentanan yang sudah ditambal, sehingga jaringan organisasi komersial dan pemerintah dapat diserang.

SAP dan firma keamanan cloud Onapsis memperingatkan serangan yang sedang berlangsung kemarin, dan telah bekerja dalam kemitraan dengan Cybersecurity and Infrastructure Security Agency (CISA) dan badan cybersecurity Jerman BSI untuk memperingatkan pelanggan SAP agar menerapkan patch dan mensurvei lingkungan mereka untuk aplikasi yang tidak aman.

Intelijen ancaman yang dikumpulkan dan diterbitkan oleh Onapsis dalam koordinasi dengan SAP menunjukkan bahwa mereka “tidak mengetahui pelanggaran yang diketahui pada pelanggan” yang berakibat pada aktivitas berbahaya ini.

Namun, terungkap bahwa pelanggan SAP masih memiliki aplikasi tidak aman di lingkungan mereka yang terlihat melalui Internet, dan mengekspos organisasi terhadap upaya infiltrasi melalui vektor serangan yang seharusnya telah ditambal bertahun-tahun yang lalu.

Aktor ancaman di balik serangan ini telah mengeksploitasi beberapa kerentanan keamanan dan konfigurasi yang tidak aman dalam aplikasi SAP dalam upaya untuk menembus sistem target.

Selain itu, beberapa dari mereka juga telah diamati saat merangkai beberapa kerentanan dalam serangan mereka untuk “memaksimalkan dampak dan potensi kerusakan”.

Sumber: BleepingComputer

Menambal sistem SAP yang rentan harus menjadi prioritas bagi semua defenders karena Onapsis juga menemukan bahwa penyerang mulai menargetkan kerentanan SAP kritis dalam waktu kurang dari 72 jam, dengan aplikasi SAP yang terbuka dan belum ditambal disusupi dalam waktu kurang dari tiga jam.

Selengkapnya: Bleeping Computer

EtterSilent maldoc builder digunakan oleh geng-geng penjahat siber papan atas

by

Sebuah pembuat dokumen berbahaya (maldoc) bernama EtterSilent mendapatkan lebih banyak perhatian di forum bawah tanah, catat peneliti keamanan. Seiring popularitasnya meningkat, pengembang terus meningkatkannya untuk menghindari deteksi dari solusi keamanan.

Iklan yang mempromosikan pembuat dokumen berbahaya EtterSilent telah dipublikasikan di forum bawah tanah setidaknya sejak pertengahan tahun 2020, dengan fitur-fitur seperti bypass Windows Defender, Windows AMSI (Antimalware Scan Interface), dan layanan email populer, termasuk Gmail.

Dalam posting blog, para peneliti di perusahaan intelijen ancaman Intel 471 mencatat bahwa penjual menawarkan dokumen Microsoft Office (2007 hingga 2019) yang dipersenjatai dalam dua ‘varian’: dengan eksploitasi untuk kerentanan yang diketahui atau dengan makro berbahaya.

Salah satu kerentanan yang dimanfaatkan adalah CVE-2017-8570, eksekusi kode jarak jauh dengan tingkat keparahan tinggi. Penulis juga menyebutkan dua kerentanan lainnya (CVE-2017-11882 dan CVE-2018-0802), meskipun beberapa pembatasan diterapkan, dan menunjukkannya dalam sebuah video.

Maldoc EtterSilent dengan kode makro dapat berpura-pura sebagai dokumen DocuSign atau DigiCert yang meminta pengguna untuk mengaktifkan dukungan untuk makro yang mengunduh muatan di latar belakang.

Sumber: BleepingComputer

Karena menggunakan makro XML Excel 4.0, EtterSilent tidak bergantung pada bahasa pemrograman Visual Basic for Applications (VBA), yang biasanya terlihat dengan makro berbahaya.

Para peneliti mencatat bahwa maldoc EtterSilent disertakan dalam kampanye spam baru-baru ini yang menjatuhkan versi terbaru dari Trickbot.

Intel 471 mengatakan bahwa kelompok penjahat siber lainnya memanfaatkan layanan EtterSilent untuk operasi mereka. Beberapa contohnya adalah trojan perbankan IcedID/BokBot, Ursnif/Gozi ISFB, dan QakBot/QBot. Bersama dengan Trickbot, kebanyakan dari mereka telah digunakan untuk mengirimkan berbagai jenis ransomware (Ryuk, Conti, Maze, Egregor, ProLock).

Blog Intel 471 menyediakan daftar indikator penyusupan untuk dokumen berbahaya EtterSilent serta untuk muatan yang mereka kirimkan: Trickbot, IcedID, QBot, Ursnif, dan BazarLoader.

Sumber: Bleeping Computer