Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Seorang Peretas menjual rincian 142 juta tamu hotel MGM di Dark Web

by

Pelanggaran data MGM Resorts 2019 jauh lebih besar dari yang dilaporkan sebelumnya, dan sekarang diyakini telah memengaruhi lebih dari 142 juta tamu hotel, dan bukan hanya 10,6 juta yang ZDNet awalnya laporkan pada Februari 2020.

Temuan baru ini terungkap selama akhir pekan setelah seorang peretas memasang untuk menjual data hotel dalam iklan yang diterbitkan di pasar cybercrime dark web. Menurut iklan tersebut, peretas menjual rincian 142.479.937 tamu hotel MGM dengan harga lebih dari $2.900.

Peretas mengklaim telah memperoleh data hotel setelah mereka meretas DataViper, layanan pemantauan kebocoran data yang dioperasikan oleh Night Lion Security.

Vinny Troia, pendiri Night Lion Security, mengatakan kepada ZDNet dalam panggilan telepon bahwa perusahaannya tidak pernah memiliki salinan database MGM lengkap dan bahwa para peretas hanya berusaha merusak reputasi perusahaannya.

Peretasan MGM terjadi pada musim panas 2019 ketika seorang peretas mendapatkan akses ke salah satu server cloud hotel dan mencuri informasi tentang tamu-tamu hotel sebelumnya.

Informasi keuangan, nomor ID atau Jaminan Sosial, dan rincian reservasi (menginap di hotel) tidak termasuk, MGM mengatakan pada bulan Februari, yang dapat dikonfirmasi oleh ZDNet setelah meninjau dua kumpulan data MGM yang berbeda – 10,6 juta catatan pengguna bocor pada bulan Februari dan 20 juta batch baru yang dibagikan oleh para peretas pada hari Minggu.

Tanggal kelahiran dan nomor telepon juga termasuk, yang merupakan cara ZDNet dapat mengkonfirmasi pelanggaran pada awalnya, dengan menghubungi tamu hotel sebelumnya.

Irina Nesterovsky, Kepala Riset di perusahaan intel ancaman KELA, mengatakan kepada ZDNet pada Februari bahwa data MGM telah beredar dan dijual di kalangan peretasan pribadi sejak setidaknya Juli 2019.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Apple, Biden, Musk Dan Akun Twitter Profil Tinggi Lainnya Diretas Dalam Penipuan Crypto

by

Sejumlah akun Twitter bercentang biru secara bersamaan diretas pada hari Rabu oleh penyerang yang menggunakan akun – beberapa dengan jutaan pengikut – untuk menyebarkan penipuan cryptocurrency.

Apple, Elon Musk dan Joe Biden adalah di antara akun yang dikompromikan dalam peretasan yang ditargetkan secara luas. Akun-akun itu dan banyak lainnya memposting pesan yang mempromosikan alamat dompet bitcoin dengan klaim bahwa jumlah pembayaran yang dilakukan untuk alamat tersebut akan digandakan dan dikirim kembali – teknik penipuan cryptocurrency yang sudah banyak diketahui.

Beberapa jam setelah posting scam awal, Kim Kardashian West, Jeff Bezos, Bill Gates, Barack Obama, Wiz Khalifa, Warren Buffett, YouTuber MrBeast, Wendy’s, Uber, CashApp dan Mike Bloomberg juga memposting scam cryptocurrency.

Melalui akun support nya, Twitter mengonfirmasi bahwa peretas memanfaatkan alat admin Twitter internal untuk mendapatkan akses ke akun profil tinggi. Dan melalui tweet nya mereka mengatakan bahwa “serangan rekayasa sosial terkoordinasi” pada karyawan memberi peretas “akses ke sistem dan alat internal.”

Sementara ruang lingkup peretasan Twitter hari Rabu kemarin belum pernah terjadi sebelumnya di jejaring sosial, jenis penipuan yang dipromosikan akun dalam peretasan kemarin sangatlah umum. Penipu mengambil alih akun Twitter profil tinggi menggunakan kata sandi yang bocor dan memposting pesan yang mendorong pengguna untuk memposting dana cryptocurrency mereka ke alamat tertentu dengan kedok bahwa mereka akan menggandakan “investasi” mereka. Pada kenyataannya, ini pencurian sederhana, tetapi ini adalah penipuan yang berhasil.

Alamat blockchain utama yang digunakan di situs scam telah mengumpulkan lebih dari 12,5 bitcoin – sekitar $ 116.000 dalam USD – dan akan meningkat setiap menit.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Crunch

Malware Baru Ditemukan di Perangkat Lunak Perpajakan Cina

by

GoldenHelper, sebagaimana peneliti dari perusahaan keamanan Trustwave menjuluki malware ini, bersembunyi di dalam perangkat lunak Faktur Pajak Golden, yang semua perusahaan yang terdaftar di China diberi mandat untuk menggunakan perangkat lunak ini untuk membayar pajak. Malware ini dapat memintas Kontrol Akun Pengguna, mekanisme Windows yang mengharuskan pengguna untuk memberikan persetujuan mereka sebelum perangkat lunak dapat menginstal program atau membuat perubahan sistem lainnya. Setelah selesai, GoldenSpy dapat menginstal modul dengan hak istimewa tingkat Sistem. Trustwave menerbitkan temuannya pada hari Selasa di sini.

GoldenHelper menggunakan trik lain untuk menyembunyikan perilaku jahatnya dan menghindari deteksi dari sistem dan perangkat lunak perlindungan endpoint.

Penemuan ini terjadi tiga minggu setelah Trustwave mengekspos GoldenSpy, sepotong spyware canggih yang ditemukan oleh peneliti perusahaan dan terpasang di jaringan perusahaan teknologi multinasional besar yang baru saja membuka kantor di Cina. Seperti GoldenHelper, GoldenSpy menggunakan modus operasi instalasi yang sama — melalui Proyek Pajak Golden.

Perangkat lunak pajak yang menyimpan GoldenHelper diproduksi oleh perusahaan yang dikenal sebagai Baiwang. Baiwang dan Aisino adalah satu-satunya dua penyedia resmi sistem faktur. Penemuan terbaru menunjukkan bahwa GoldenSpy bukan kampanye satu kali, melainkan kampanye yang menggunakan setidaknya satu bagian malware lainnya dalam periode waktu yang lebih lama daripada yang diketahui sebelumnya.

File yang menjadi indikator utama malware ini bernama taxver.exe , dengan beberapa file indikator lain bernama :

1. msxxxs999.dat
2. Wmiasssrv.dll
3. Wmiasssrv.dll
4. Skpc.dll
5. JSKP_BWB_1.0.4.0.exe
6. skpc.dll

Tidak jelas mengapa GoldenHelper ditutup dengan tiba-tiba. Satu tebakan adalah bahwa operatornya meninggalkan proyek setelah tingkat deteksi melonjak, dari sekitar tiga pada Januari 2019 menjadi sebanyak 29 pada Maret. Di bawah ini adalah timeline yang melacak sejarah malware:

Sumber: Trustwave

 

Berita selengkapnya baca di tautan berikut ini;
Source: Ars Technica | Trustwave

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

by

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

Lebih Dari 8.200 Database Perusahaan Keamanan Amerika Dicuri Peretas

by

Seorang peretas mengklaim telah melanggar server backend milik perusahaan keamanan cyber Amerika dan mencuri informasi dari layanan “deteksi kebocoran data” perusahaan.

Peretas mengatakan data yang dicuri mencakup lebih dari 8.200 database yang berisi informasi miliaran pengguna yang bocor dari perusahaan lain selama pelanggaran keamanan di masa lalu.

Database telah dikumpulkan di dalam DataViper, layanan pemantauan kebocoran data yang dikelola oleh Vinny Troia, peneliti keamanan di belakang Night Lion Security, sebuah perusahaan keamanan cyber yang berbasis di Amerika.

Hari Senin kemarin, seorang peretas dengan nama NightLion (nama perusahaan Troia), mengirim email ke puluhan reporter keamanan cyber. Email itu berisi tautan ke portal dark web tempat mereka mempublikasikan informasi tentang peretasan ini.

Sumber: ZDNet

Situs ini berisi e-zine (majalah elektronik) yang merinci intrusi ke server backend DataViper. Peretas mengklaim telah menghabiskan waktu tiga bulan di dalam server DataViper selagi mengeksfloitasi database yang telah diindeks Troia untuk layanan pemantauan kebocoran data DataViper.

Peretas juga memposting daftar lengkap 8.225 database yang berhasil diindeks Troia di dalam layanan DataViper, daftar 482 file JSON yang dapat diunduh yang berisi sampel dari data yang mereka klaim telah dicuri dari server DataViper, dan bukti bahwa mereka memiliki akses ke DataViper backend.

Saat dimintai penjelasan mengenai peretasan ini, Troia mengakui bahwa peretas memperoleh akses ke salah satu server DataViper; Namun, pendiri Night Lion Security mengatakan bahwa server itu hanyalah server uji coba.

Troia mengatakan kepada ZDNet bahwa ia percaya peretas sebenarnya menjual database mereka sendiri, daripada informasi apa pun yang mereka curi dari servernya. Ia juga mengatakan kepada ZDNet bahwa ia percaya peretas memiliki hubungan dengan beberapa kelompok peretasan seperti TheDarkOverlord, ShinyHunters, dan GnosticPlayers.

Semua kelompok tersebut memiliki riwayat peretasan yang produktif, bertanggung jawab atas ratusan pelanggaran data, beberapa di antaranya diindeks Troia dalam database DataViper-nya.

 

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Akun Backdoor Ditemukan Di 29 Perangkat FTTH Dari Vendor Cina C-Data

by

Dua peneliti keamanan mengatakan bahwa mereka menemukan kerentanan yang parah dan apa yang tampaknya menjadi backdoor yang disengaja dalam firmware dari 29 perangkat FTTH OLT dari vendor populer C-Data.

FTTH adalah singkatan dari Fiber-To-The-Home, sementara OLT adalah singkatan dari Optical Line Termination.

Istilah FTTH OLT mengacu pada peralatan jaringan yang memungkinkan penyedia layanan internet untuk membawa kabel fiber optik sedekat mungkin dengan pengguna (end-user).

Dalam sebuah laporan yang diterbitkan minggu lalu, peneliti keamanan Pierre Kim dan Alexandre Torres mengatakan mereka menemukan tujuh kerentanan dalam firmware perangkat OLTH FTT yang diproduksi oleh vendor China C-Data.

Kim dan Torres mengatakan mereka mengkonfirmasi kerentanan dengan menganalisis firmware terbaru yang berjalan pada dua perangkat, tetapi mereka percaya bahwa kerentanan yang sama berdampak pada 27 model OLT FTTH lainnya, karena mereka menjalankan firmware yang sama.

Kerentanan yang terburuk dan paling mengganggu dari ketujuh kerentanan adalah keberadaan akun backdoor Telnet yang di-hardcode dalam firmware.

Akun tersebut memungkinkan penyerang untuk terhubung ke perangkat melalui server Telnet yang berjalan pada antarmuka WAN (sisi internet) perangkat. Kim dan Torres mengatakan bahwa akun tersebut memberikan akses penuh CLI administrator kepada penyerang.

Kedua peneliti mengatakan mereka menemukan empat kombinasi username-password yang disembunyikan di dalam firmware C-Data, dengan akun backdoor berbeda per perangkat, berdasarkan pada model perangkat dan versi firmware.

suma123/panger123
debug/debug124
root/root126
guest/[empty]

Namun akses CLI backdoor awal ini kemudian dapat digunakan untuk mengeksploitasi kerentanan lain. Sebagai contoh, Kim dan Torres mengatakan seorang penyerang juga dapat mengeksploitasi bug kedua untuk mendapatkan daftar kredensial dalam cleartext di Telnet CLI untuk semua administrator perangkat lainnya; kredensial yang dapat digunakan di kemudian hari jika akun backdoor dihapus.

Di bawah ini adalah daftar model C-Data FTTH OLT yang rentan:

  • 72408A
  • 9008A
  • 9016A
  • 92408A
  • 92416A
  • 9288
  • 97016
  • 97024P
  • 97028P
  • 97042P
  • 97084P
  • 97168P
  • FD1002S
  • FD1104
  • FD1104B
  • FD1104S
  • FD1104SN
  • FD1108S
  • FD1108SN
  • FD1204S-R2
  • FD1204SN
  • FD1204SN-R2
  • FD1208S-R2
  • FD1216S-R1
  • FD1608GS
  • FD1608SN
  • FD1616GS
  • FD1616SN
  • FD8000

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kerentanan Keamanan Baru Pada Zoom Memungkinkan Peretas Menargetkan PC Windows 7

by

Celah baru telah ditemukan pada perangkat lunak konferensi video Zoom yang membuat pengguna Windows 7 dalam bahaya.

Para peneliti di perusahaan cybersecurity Slovenia, ACROS Security, telah mengungkapkan kerentanan yang sebelumnya tidak diketahui pada perangkat lunak Zoom. Kerentanan ini memungkinkan seorang penyerang untuk, dari jarak jauh, mengambil alih komputer korban yang menjalankan versi lama dari sistem operasi Microsoft Windows.

Kerentanan “zero-day” ini mempengaruhi perangkat lunak Zoom yang berjalan pada Windows 7, atau bahkan sistem operasi yang lebih lama.

ACROS Security mencatat bahwa siapa pun yang berhasil mengeksploitasi kerentanan ini dapat mengakses file di komputer yang rentan, dan bahkan mengambil alih seluruh perangkat.

Microsoft telah berusaha meyakinkan pengguna Windows 7 untuk meningkatkan ke versi perangkat lunak yang lebih baru dalam beberapa tahun terakhir, namun hanya sedikit yang mau melakukan peningkatan versi – meskipun mereka telah menawarkan upgrade gratis ke Windows 10.

Mereka juga mengungkapkan akan mengakhiri dukungan teknis untuk Windows 7 pada 15 Januari 2020 yang lalu, yang berarti tidak akan ada lagi patch dan pembaruan keamanan untuk Windows 7.

“Zoom menganggap serius semua laporan kerentanan keamanan yang potensial,” kata juru bicara Zoom dalam sebuah pernyataan. “Pagi ini kami menerima laporan tentang masalah yang berdampak pada pengguna yang menjalankan Windows 7 dan versi yang lebih lama. Kami telah mengkonfirmasi masalah ini dan saat ini sedang mengerjakan patch untuk menyelesaikan masalah ini dengan cepat.”

Masalah ini adalah yang terbaru dalam sejumlah kekhawatiran keamanan pada platform Zoom, yang telah meledak dalam popularitas pada tahun 2020 berkat booming kerja jarak jauh yang disebabkan oleh pandemi global.

Zoom telah merilis tambalan untuk klien Windows-nya untuk mengatasi kerentanan zero-day yang dijelaskan oleh ARCOS Security. Pembaruan dapat diunduh dari halaman pengunduhan klien Zoom. Versi yang ditambal adalah Zoom untuk Windows v5.1.3.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Radar

Banking Trojan Cerberus Disebar Melalui Google Play

by

Aplikasi Android berbahaya telah ditemukan di toko aplikasi Google Play yang mendistribusikan trojan perbankan, Cerberus. Aplikasi ini telah memiliki 10.000 unduhan.

Peneliti keamanan mengatakan bahwa trojan ini disebar melalui aplikasi konverter mata uang Spanyol bernama “Calculadora de Moneda”, yang telah tersedia untuk pengguna Android di Spanyol sejak Maret. Setelah dieksekusi, malware memiliki kemampuan untuk mencuri kredensial rekening bank korban dan memotong langkah-langkah keamanan, termasuk otentikasi dua faktor (2FA).

Ondrej David, Peneliti keamanan Avast, mengatakan dalam analisis nya “Yang tidak umum adalah trojan perbankan berhasil menyelinap ke Google Play Store.”

Pada beberapa minggu pertama saat tersedia di Google Play, Aplikasi ini bertindak secara normal sebagai konverter yang sah dan tidak mencuri data apa pun atau menyebabkan kerusakan apa pun. Pada pertengahan Juni, versi yang lebih baru dari konverter mata uang dirilis termasuk apa yang oleh peneliti keamanan disebut sebagai “kode dropper,” tetapi masih belum diaktifkan. Kemudian, pada 1 Juli, aplikasi melakukan tahap kedua di mana ia menjadi dropper.

Cerberus memiliki berbagai macam fungsi mata-mata dan pencurian kredensial. Trojan ini dapat duduk di atas aplikasi perbankan yang ada dan menunggu pengguna untuk login ke rekening bank mereka. Kemudian, trojan membuat lapisan baru di layar login korban, dan mencuri kredensial perbankan mereka. Selain itu, trojan memiliki kemampuan untuk mengakses pesan teks korban, artinya trojan dapat melihat kode otentikasi dua faktor (2FA) yang dikirim melalui pesan.

Para peneliti mengatakan bahwa server C2 dan muatan yang terkait dengan kampanye itu aktif hingga Senin pekan ini. Kemudian, pada Senin malam, server C2 menghilang dan konverter mata uang di Google Play tidak lagi berisi malware trojan.

David mengatakan bahwa pengguna Android dapat melindungi diri mereka sendiri dengan memperhatikan izin yang diminta aplikasi dan memeriksa peringkat pengguna suatu aplikasi. “Jika Anda merasa bahwa aplikasi tersebut meminta lebih dari yang dijanjikan, tandai ini sebagai red flags,” katanya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post