Threat

Dugaan Kampanye Tiongkok untuk Bertahan di Perangkat SonicWall, Menyoroti Pentingnya Perangkat Tepi Pemantauan

March 10, 2023 by Søren

Mandiant, bekerja dalam kemitraan dengan Tim Keamanan Produk dan Respons Insiden SonicWall (PSIRT), telah mengidentifikasi dugaan kampanye China yang melibatkan pemeliharaan persistensi jangka panjang dengan menjalankan malware pada alat SonicWall Secure Mobile Access (SMA) yang belum ditambal. Malware memiliki fungsi untuk mencuri kredensial pengguna, menyediakan akses shell, dan bertahan melalui peningkatan firmware. Mandiant saat ini melacak aktor ini sebagai UNC4540.

Analisis perangkat yang disusupi mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut. Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.

Penyerang berusaha keras untuk stabilitas dan kegigihan perkakas mereka. Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.

Mandiant tidak dapat menentukan asal infeksi, namun malware, atau pendahulunya, kemungkinan besar digunakan pada tahun 2021. Mandiant percaya bahwa akses penyerang tetap ada melalui beberapa pembaruan firmware.

Selengkapnya: Mandiant

Varian malware baru memiliki mode “keheningan radio” untuk menghindari deteksi

March 9, 2023 by Coffee Bean

Grup peretas spionase siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka malware ‘Soul’.

Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.

Check Point mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.

Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.

Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.

DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.

selengkapnya : bleepingcomputer

Acer mengatakan server untuk teknisi perbaikan diakses oleh peretas

March 8, 2023 by Coffee Bean

Pembuat komputer Taiwan Acer telah mengkonfirmasi bahwa mereka mengalami pelanggaran yang melibatkan kebocoran dokumen teknisi terkait dengan manual staf, dokumentasi model produk, dan lainnya.

Dalam sebuah pernyataan Selasa kepada The Record, perusahaan mengatakan “tidak ada indikasi bahwa data konsumen disimpan di server itu.”

“Kami baru-baru ini mendeteksi insiden akses tidak sah ke salah satu server dokumen kami untuk teknisi perbaikan,” kata perusahaan itu, mencatat bahwa penyelidikan sedang berlangsung.

Pernyataan tersebut muncul setelah seseorang menawarkan data 160GB untuk dijual di forum peretas yang mereka klaim berasal dari Acer.

Orang yang menjual database mengatakan memiliki “presentasi rahasia”, manual dan binari serta informasi tentang ponsel, tablet, dan laptop. Posting tersebut juga mengatakan kunci produk digital pengganti dan lainnya disertakan dalam database.

Acer telah menghadapi beberapa pelanggaran data dalam beberapa tahun terakhir, termasuk serangan ransomware yang menarik perhatian pada tahun 2021 yang melibatkan permintaan uang tebusan sebesar $50 juta dari grup kejahatan dunia maya REvil. Serangan itu menghantam jaringan back-office perusahaan.

Raksasa perangkat keras itu juga mengalami pelanggaran pada 2021 dan 2012 yang melibatkan detail pelanggan dan informasi masuk untuk pengecer dan distributor India serta 20.000 kredensial pengguna.

Acer adalah pembuat komputer pribadi terbesar keenam di dunia, dengan pangsa pasar sekitar 6% dari seluruh penjualan global. Perusahaan melaporkan total pendapatan sekitar $9 miliar pada tahun 2022.

sumber : therecord.media

Pemberi pinjaman DeFi Tender.fi menderita eksploitasi, white hat hacker mengembalikan dana

March 8, 2023 by Coffee Bean

Seorang peretas etis telah menguras $1,59 juta dari platform peminjaman keuangan terdesentralisasi (DeFi), Tender.fi, memimpin layanan untuk menghentikan pinjaman sementara ia mencoba untuk mendapatkan kembali asetnya.

Auditor kontrak cerdas yang berfokus pada Web3 CertiK, dan analis blockchain Lookonchain, menandai eksploit yang membuat dana terkuras dari protokol peminjaman DeFi pada 7 Maret. Tender.fi mengonfirmasi insiden tersebut di Twitter, mengutip “jumlah pinjaman yang tidak biasa” melalui protokol:

Seorang white hat hacker yang melakukan eksploitasi melakukan kontak dengan Tender.fi beberapa jam setelah kejadian untuk membuka diskusi tentang pengembalian dana yang disedot melalui eksploitasi. white hat hackerjuga dikenal sebagai peretas etis dan biasanya mencari dan memanfaatkan celah keamanan di berbagai protokol sebelum mengembalikan dana.

Cointelegraph menjangkau CertiK untuk membongkar situasi, yang menyoroti bahwa pengeksploitasi meninggalkan pesan on-chain yang telah diverifikasi di Arbitrum Blockchain Explorer:

Lookonchain memberikan perincian lebih lanjut tentang eksploitasi, mengutip data blockchain yang menunjukkan bahwa white hat hacker meminjam aset senilai $1,59 juta dari protokol dengan menyetorkan 1 token GMX, senilai $71 pada saat penulisan.Tender.fi sejak itu mengkonfirmasi bahwa white hat hacker telah mengembalikan dana yang disedot dari protokol dalam eksploitasi, mendapatkan hadiah hadiah $97.000.

Protokol DeFi telah menjadi target peretas pada awal 2023, dengan tujuh platform berbeda kehilangan lebih dari $21 juta pada bulan Februari saja. Peretas juga memanfaatkan eksploitasi oracle pada Januari 2023, melihat lebih dari $120 juta dicuri dari BonqDAO.

selengkapnya : cointelegraph.com,tender.fi twitter

Aplikasi Android Shein Tertangkap Mengirimkan Data Papan Klip ke Server Jarak Jauh

March 8, 2023 by Coffee Bean

Shein, awalnya bernama ZZKKO, adalah peritel online fast fashion China yang berbasis di Singapura. Aplikasi, yang saat ini berada di versi 9.0.0, memiliki lebih dari 100 juta unduhan di Google Play Store.

Raksasa teknologi itu mengatakan tidak “secara khusus mengetahui niat jahat apa pun di balik perilaku tersebut,” tetapi mencatat bahwa fungsi tersebut tidak diperlukan untuk melakukan tugas di aplikasi.

Lebih lanjut ditunjukkan bahwa meluncurkan aplikasi setelah menyalin konten apa pun ke clipboard perangkat secara otomatis memicu permintaan HTTP POST yang berisi data ke server “api-service[.]shein[.]com.”

Untuk mengurangi risiko privasi seperti itu, Google telah melakukan peningkatan lebih lanjut pada Android dalam beberapa tahun terakhir, termasuk menampilkan pesan bersulang saat aplikasi mengakses clipboard dan melarang aplikasi mendapatkan data kecuali jika aktif berjalan di latar depan.

“Mengingat pengguna ponsel sering menggunakan clipboard untuk menyalin dan menempelkan informasi sensitif, seperti kata sandi atau informasi pembayaran, konten clipboard dapat menjadi target yang menarik untuk serangan siber,” kata peneliti Dimitrios Valsamaras dan Michael Peck.

“Memanfaatkan papan klip dapat memungkinkan penyerang mengumpulkan informasi target dan mengekstraksi data yang berguna.”

sumber : thehackernews

Polisi Eropa, FBI Menangkap Geng Kejahatan Siber Internasional

March 7, 2023 by Flamango

Pada hari Senin, Polisi Jerman mengatakan telah mengganggu geng kejahatan siber ransomware terkait dengan Rusia yang telah memeras perusahaan dan institusi besar selama bertahun-tahun, meraup jutaan euro.

FBI dan pihak berwenang di Ukraina, bekerja dengan mitra penegak hukum termasuk Europol, polisi di Duesseldorf dapat mengidentifikasi 11 orang yang terkait dengan kelompok yang telah beroperasi dalam berbagai samaran setidaknya sejak 2010.

Geng yang tampaknya berada di belakang ransomware, dikenal sebagai DoppelPaymer, tampaknya terkait dengan Evil Corp, sindikat yang berbasis di Rusia dan terlibat dalam pencurian bank online jauh sebelum ransomware menjadi momok global.

Ransomware adalah kejahatan siber yang paling mengganggu. Geng yang sebagian besar berbasis di Rusia membobol jaringan dan mencuri informasi sensitif sebelum mengaktifkan malware yang mengacak data. Penjahat meminta pembayaran dengan imbalan kunci dekripsi dan janji untuk tidak membuang data yang dicuri secara online.

Polisi Jerman mengidentifikasi para buronan sebagai warga negara Rusia Igor Turashev, 41, dan Irina Zemlyanikina, 36, dan Igor Garshin, 31 tahun, yang lahir di Rusia tetapi kewarganegaraannya tidak segera diketahui.

Selengkapnya: AP News

Pengalihan Roulette: Ribuan Situs Web yang dibajak di Asia Timur Mengalihkan Pengunjung ke Situs Lain

March 7, 2023 by Flamango

Beberapa bulan terakhir ini, peneliti telah menyelidiki operasi siber berskala besar yang memanfaatkan kredensial FTP sah yang diperoleh melalui vektor ancaman yang tidak diketahui. Kredensial FTP yang dibuat secara otomatis dan sangat aman yang entah bagaimana dapat diperoleh dan dimanfaatkan oleh penyerang untuk pembajakan situs web. Hingga saat ini kegiatan masih tetap berlangsung.

Ringkasan Eksekutif
Aktor ancaman tak dikenal berhasil menyusupi puluhan ribu situs web yang terutama ditujukan untuk pemirsa Asia Timur, mengalihkan ratusan ribu penggunanya ke konten bertema dewasa.

Pelaku ancaman selalu menyuntikkan kode berbahaya ke halaman web yang berhadapan dengan pelanggan yang dirancang untuk mengumpulkan informasi tentang lingkungan pengunjung dan terkadang mengarahkan mereka ke situs lain ini, bergantung pada peluang acak dan negara tempat pengguna berada.

Situs web yang disusupi adalah dimiliki oleh perusahaan kecil dan beberapa dioperasikan oleh perusahaan multinasional. Dalam beberapa kasus, termasuk honeypot yang disiapkan oleh peneliti untuk menyelidiki aktivitas ini, pelaku ancaman terhubung ke server web target menggunakan kredensial FTP sah yang mereka peroleh sebelumnya.

Ringkasan
Peneliti belum yakin bagaimana pelaku ancaman mendapatkan akses awal ke begitu banyak situs web, dan belum mengidentifikasi kesamaan yang signifikan antara server yang terpengaruh selain penggunaan FTP mereka.

Peneliti yakin bahwa motivasi pelaku ancaman kemungkinan besar bersifat finansial, dan mungkin mereka hanya bermaksud untuk meningkatkan lalu lintas ke situs web ini dari negara tertentu.

Hal ini tentunya berdampak terhadap situs web yang disusupi dan pengalaman penggunanya setara dengan perusakan. Kelemahan apapun yang dieksploitasi oleh pelaku ini untuk mendapatkan akses awal ke situs web ini dapat dimanfaatkan oleh pelaku lain untuk menimbulkan kerugian yang lebih besar.

Selengkapnya: Wiz Blog

IBM Mengkontribusikan Alat Keamanan Rantai Pasokan ke OWASP

March 6, 2023 by Flamango

Pemindai Lisensi dan Utilitas SBOM akan meningkatkan kemampuan standar Bill of Material Perangkat Lunak CycloneDX OWASP.

SBOM adalah daftar inventaris semua komponen individu yang digunakan dalam perangkat lunak. IBM telah menyumbangkan dua alat rantai pasokan open-source ke standar CycloneDX Software Bill of Materials (SBOM) dari Open Worldwide Application Security Project (OWASP) Foundation. Alat tersebut akan mengisi dua celah penting di CycloneDX, digambarkan OWASP sebagai standar BOM “full-stack” yang memberikan pengurangan risiko rantai pasokan tingkat lanjut.

Menanggapi berbagai serangan rantai pasokan dan kekacauan Log4j, Gedung Putih mengeluarkan perintah eksekutif yang mengamanatkan developer meningkatkan keamanan rantai pasokan mereka.

Upaya untuk membakukan SBOM telah dipercepat dengan peningkatan tajam dalam serangan rantai pasokan perangkat lunak selama dua tahun terakhir.

Pendukung CycloneDX yang lebih baru menggambarkannya sebagai standar yang lebih ringan yang lebih cocok untuk mereka yang mencari cara yang dapat dibaca mesin untuk bertukar informasi. Linux Foundation pada tahun 2021 menyatakan SPDX sebagai standar SBOM, meski pada awalnya dibuat untuk kasus penggunaan kekayaan intelektual dan lisensi. Kedua organisasi memperluas upaya standar SBOM masing-masing.

Diirektur keamanan produk di ServiceNow dan ketua kelompok kerja CycloneDX OWASP mengatakan bahwa IBM telah secara aktif berpartisipasi dalam memajukan upaya standar CycloneDX.

SBOM Utility dapat memproses dokumen seperti Vulnerability Disclosure Reports (VDRs) dan format data Vulnerability Exploitability eXchange (VEX), yang telah ditentukan oleh CycloneDX untuk memberikan penilaian risiko.

Selengkapnya: DARK Reading

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings