Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas Beralih ke Iklan Pencarian Google untuk Mendorong Malware Pencuri Info

by

Peretas menyiapkan situs web palsu untuk perangkat lunak bebas dan sumber terbuka populer untuk mempromosikan unduhan berbahaya melalui iklan di hasil penelusuran Google.

Setidaknya satu pengguna terkemuka di kancah cryptocurrency telah menjadi korban kampanye, mengklaim itu memungkinkan peretas mencuri semua aset kripto digital mereka bersama dengan kendali atas akun profesional dan pribadi mereka.

Tanpa sepengetahuan Alex, ini kemungkinan adalah malware pencuri informasi yang mencuri kata sandi browser, cookie, token Discord, dan dompet cryptocurrency yang disimpan dan mengirimkannya ke penyerang jarak jauh.

Segera, Alex menemukan bahwa akun mereka di pasar OpenSea NFT juga telah disusupi dan dompet lain terdaftar sebagai pemilik salah satu aset digital mereka.

Crypto influencer NFT God’s online accounts hacked
sumber: NFT God

The distribution method was unknown at the time but separate reports in December from cybersecurity companies Trend Micro and Guardio revealed that hackers were abusing the Google Ads platform to push malicious downloads in search results.

Kebingungan iklan berbahaya di hasil pencarian Google
situs web berisi unduhan perangkat lunak palsu yang didistribusikan hanya melalui hasil penelusuran Google Ads. Situs web tersebut meniru apa yang tampak sebagai perusahaan desain web resmi di India bernama Zensoft Tech.

Sayangnya, kami tidak dapat memverifikasi apakah unduhan itu berbahaya tetapi karena domain tersebut adalah URL yang salah ketik, situs tersebut memblokir mesin telusur agar tidak mengindeks konten dan mempromosikan unduhan hanya melalui iklan di hasil penelusuran, ada indikasi kuat adanya aktivitas berbahaya.

Di antara perangkat lunak yang kami temukan di situs web adalah utilitas kompresi file 7-ZIP dan WinRAR, dan pemutar media VLC yang banyak digunakan.

Pemblokir iklan dapat meningkatkan perlindungan
Pemblokir iklan tersedia sebagai ekstensi di sebagian besar browser web dan, seperti namanya, mereka menghentikan pemuatan iklan dan ditampilkan di halaman web, termasuk hasil pencarian.

Selain menambah kenyamanan penggunaan internet, pemblokir iklan juga meningkatkan privasi dengan mencegah kuki pelacak di iklan mengumpulkan data tentang kebiasaan menjelajah Anda.

Namun, dalam kasus ini, ekstensi semacam itu dapat membuat perbedaan antara kehilangan akses ke informasi sensitif atau akun online Anda dan mendapatkan sumber daya digital dari vendor yang sah.

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

by

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Port visibility setting on Codespaces

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

Lebih dari 4.000 perangkat Sophos Firewall rentan terhadap serangan RCE

by

Lebih dari 4.000 perangkat Sophos Firewall yang terpapar akses Internet rentan terhadap serangan yang menargetkan kerentanan eksekusi kode jarak jauh (RCE) kritis.

Sophos mengungkapkan cacat injeksi kode ini (CVE-2022-3236) yang ditemukan di Portal Pengguna dan Webadmin Sophos Firewall pada bulan September dan juga merilis hotfix untuk beberapa versi Sophos Firewall (perbaikan resmi dikeluarkan tiga bulan kemudian, pada Desember 2022).

Instans Sophos Firewall yang menjalankan versi produk lama harus ditingkatkan secara manual ke versi yang didukung untuk menerima hotfix CVE-2022-3236 secara otomatis.

Admin yang tidak dapat menambal perangkat lunak yang rentan juga dapat menghapus permukaan serangan dengan menonaktifkan akses WAN ke Portal Pengguna dan Webadmin.

Thousands of devices are still vulnerable
Saat memindai Internet untuk perangkat Sophos Firewall, peneliti kerentanan VulnCheck Jacob Baines menemukan bahwa dari lebih dari 88.000 kejadian, sekitar 6% atau lebih dari 4.000 menjalankan versi yang belum menerima perbaikan terbaru dan rentan terhadap serangan CVE-2022-3236.

Meskipun sudah dieksploitasi sebagai zero-day, eksploitasi proof-of-concept CVE-2022-3236 belum dipublikasikan secara online.

Namun, Baines mampu mereproduksi eksploit dari informasi teknis yang dibagikan oleh Zero Day Initiative (ZDI) dari Trend Micro, sehingga kemungkinan pelaku ancaman juga akan segera dapat melakukannya.

Tantangan CAPTCHA Firewall Sophos (Jacob Baines)

​Bug Firewall Sophos sebelumnya ditargetkan dalam serangan
Pada bulan Maret 2022, Sophos menambal bug Sophos Firewall kritis serupa (CVE-2022-1040) di modul Portal Pengguna dan Webadmin yang mengaktifkan pintasan autentikasi dan serangan eksekusi kode arbitrer.

Itu juga dieksploitasi dalam serangan sebagai hari nol sejak awal Maret (kira-kira tiga minggu sebelum Sophos merilis tambalan) terhadap organisasi Asia Selatan oleh kelompok ancaman China yang dilacak sebagai DriftingCloud.

sumber : bleepingcomputer

Paket PyPi ‘Lolip0p’ Berbahaya Menginstal Malware Pencuri Info

by

Pelaku ancaman telah mengunggah tiga paket berbahaya ke repositori PyPI (Python Package Index), membawa kode untuk menjatuhkan malware pencuri informasi pada sistem pengembang.

Seluruh paket jahat yang ditemukan Fortinet diunggah oleh penulis bernama ‘Lolip0p’ antara 7 dan 12 Januari 2023. Nama mereka adalah ‘colorslib’, ‘httpslib’, dan ‘libhttps’. Ketiganya telah dilaporkan dan dihapus dari PyPI.

Popularitas PyPi menjadikannya menarik bagi pelaku ancaman yang menargetkan pengembang atau proyek mereka. Apalagi PyPI tidak memiliki sumber daya untuk memeriksa semua unggahan paket.

Kampanye Baru
Trio yang ditemukan Fortinet menampilkan deskripsi lengkap yang membantu mengelabui pengembang agar percaya bahwa itu adalah sumber daya asli.

Deskripsi paket berbahaya di PyPI (Fortinet)

Nama paket tidak meniru proyek lain, hanya berusaha meyakinkan bahwa mereka datang dengan kode yang andal dan bebas risiko.

Menurut layanan penghitungan stat paket PyPI ‘pepy.tech,’ tiga entri berbahaya memiliki jumlah unduhan yang tampak kecil, namun dampak potensial dari infeksi ini sebagai bagian dari rantai pasokan membuatnya signifikan.

Tingkat deteksi untuk ketiga executable yang digunakan dalam serangan ini cukup rendah, berkisar antara 4,5% dan 13,5%, memungkinkan file berbahaya untuk menghindari deteksi dari beberapa agen keamanan yang mungkin berjalan di host korban.

Hasil deteksi untuk ‘update.exe’ di VirusTotal (Fortinet)

Pengembang perangkat lunak harus memperhatikan pemilihan paket untuk diunduh, termasuk memeriksa pembuat paket dan meninjau kode jika ada niat mencurigakan atau jahat demi memastikan keamanan dan keselamatan proyek mereka.

Selengkapnya: BleepingComputer

Avast Merilis Dekriptor Ransomware BianLian Gratis

by

Perusahaan perangkat lunak keamanan Avast merilis dekriptor gratis bagi ransomware BianLian untuk membantu korban malware memulihkan file yang terkunci tanpa membayar peretas.

Alat dekriptor Avast hanya dapat membantu korban yang diserang oleh varian yang diketahui dari ransomware BianLian.

Dekriptor BianLian sedang dalam proses dan kemampuan untuk membuka lebih banyak strain akan segera ditambahkan.

Ransomware BianLian
BianLian adalah jenis ransomware berbasis Go yang menargetkan sistem Windows, menggunakan algoritma AES-256 simetris dengan mode sandi CBC untuk mengenkripsi lebih dari 1013 ekstensi file di semua drive yang dapat diakses.

Malware melakukan enkripsi intermiten pada file korban, sebuah taktik yang membantu mempercepat serangan dengan mengorbankan kekuatan penguncian data.

Informasi lebih lanjut tentang pengoperasian ransomware lain dapat dilihat dalam laporan SecurityScoreCard tentang strain yang diterbitkan pada Desember 2022.

Dekriptor Avast
Dekriptor ransomware BianLian tersedia secara gratis dan program ini dapat dijalankan secara mandiri yang tidak memerlukan instalasi.

Dekriptor ini menyediakan beberapa fitur, seperti pemilihan lokasi yang akan dijalankan dekriptor, menyediakan perangkat lunak dengan sepasang file asli/terenkripsi, mencadangkan file terenkripsi, dan opsi terkait kata sandi.

Selengkapnya: BleepingComputer

Backdoor Baru Dibuat Menggunakan Bocoran Malware Sarang CIA yang Ditemukan di Alam Liar

by

Pelaku ancaman tak dikenal telah menyebarkan backdoor baru yang meminjam fitur-fiturnya dari suite malware multi-platform Hive Central Intelligence Agency (CIA), yang kode sumbernya dirilis oleh WikiLeaks pada November 2017.

Hal baru bagi Qihoo Netlab 360 dalam menangkap varian kit serangan CIA Hive di alam liar. Mereka memberinya nama xdr33 berdasarkan sertifikat sisi Bot yang disematkan CN=xdr33.

xdr33 disebarkan dengan mengeksploitasi kerentanan keamanan N-day yang tidak ditentukan di peralatan F5. Berkomunikasi dengan server perintah-dan-kontrol (C2) menggunakan SSL dengan sertifikat Kaspersky palsu.

Backdoor dimaksudkan untuk mengumpulkan informasi sensitif dan bertindak sebagai landasan peluncuran untuk intrusi berikutnya. Ini meningkatkan Hive dengan menambahkan instruksi dan fungsionalitas C2 baru, di antara perubahan implementasi lainnya.

Malware menggabungkan modul pemicu yang dirancang untuk menguping lalu lintas jaringan untuk paket pemicu tertentu untuk mengekstrak server C2 yang disebutkan dalam muatan paket IP, membuat koneksi, dan menunggu eksekusi perintah yang dikirim oleh C2.

Selengkapnya: The Hacker News

Spionase Industri: Bagaimana Cina Menyelinap Keluar Rahasia Teknologi Amerika

by

Dakwaan Departemen Kehakiman (DOJ) mengatakan warga AS melakukan steganografi dan kemudian dikirimkan oleh Zheng kepada dirinya sendiri. Ia dijatuhi hukuman dua tahun penjara atas tindakan tersebut.

Zheng Xiaoqing, mantan karyawan konglomerat energi General Electric Power, melakukannya berkali-kali untuk mengambil file sensitif dari GE, sebuah konglomerat multinasional di sektor perawatan kesehatan, energi, dan kedirgantaraan.

Meskipun bukan hal baru bagi otoritas AS, ini merupakan bagian dari perjuangan yang lebih luas karena China berusaha untuk mendapatkan pengetahuan teknologi untuk memperkuat ekonominya dan tantangannya terhadap tatanan geopolitik, sementara AS melakukan yang terbaik untuk mencegah munculnya pesaing serius bagi kekuatan Amerika.

Tiongkok Berupaya Menggulingkan Status AS
Alan Kohler Jr dari FBI mengatakan bahwa China menargetkan kecerdikan Amerika dan berusaha untuk menjatuhkan status AS sebagai pemimpin global.

Peralatan kedirgantaraan dan penerbangan termasuk di antara 10 sektor yang ditargetkan oleh otoritas China untuk perkembangan pesat guna mengurangi ketergantungan negara pada teknologi asing dan akhirnya melampauinya. Spionase industri China juga menargetkan berbagai sektor lain.

Kesepakatan Peretasan adalah ‘Lelucon’
Pada tahun 2015, AS dan China mencapai kesepakatan bahwa kedua belah pihak berjanji tidak melakukan pencurian kekayaan intelektual melalui dunia maya. Namun pada tahun berikutnya, Badan Keamanan Nasional AS menuduh Cina melanggar perjanjian tersebut, meskipun mengakui bahwa jumlah upaya untuk meretas data pemerintah dan perusahaan telah turun secara dramatis.

Pengamat mengatakan itu adalah lelucon karena kurangnya penegakan hukum. Spionase dunia maya China di AS telah meresap dan meluas ke laboratorium akademik.

AS saat ini mencoba untuk memblokir kemajuan China dalam industri semikonduktor utama dengan mengatakan penggunaan teknologi oleh China menimbulkan ancaman keamanan nasional.

AS mengalahkan China Dalam Pertarungan Memperebutkan Chip
AS akan mempercepat upaya China untuk menghapus AS dan produk asing lainnya dari rantai pasokan teknologinya. China juga menyerukan keamanan nasionalnya sendiri.

Selengkapnya: BBC News

Apa itu Sertifikat Digital? Cara Menghentikan Peretas Mencuri Data Sensitif

by

Sertifikat digital adalah kredensial elektronik yang mengikat identitas pemilik sertifikat yang juga dapat memasangkan kunci enkripsi elektronik yang dapat bersifat publik dan pribadi. Ini terutama digunakan untuk mengenkripsi informasi tanda secara digital.

Pekerjaan utama sertifikat digital adalah memastikan konten kunci publik, milik entitas yang bermasalah.

Siapa yang dapat Menerbitkan Sertifikat Digital?
Setiap entitas memiliki kewenangan untuk membuat PKI sendiri dan dapat menerbitkan sertifikat digital. Tapi beberapa kasus, pendekatannya bisa diubah dan masuk akal.

Jenis Sertifikat Digital
Ada beberapa jenis sertifikat digital yang digunakan oleh browser web dan server web yaitu Validasi Domain (DV SSL), Wildcard SSL, Organization Validated (OV SSL), Extended Validation (EV SSL), Sertifikat Penandatanganan Kode, dan Sertifikasi Klien.

Fitur yang Bermanfaat dari Sertifikat Digital
Sertifikat digital menjadi penting karena serangan siber. Disini kita akan mendapatkan beberapa fitur sertifikat digital yang dapat membantu kita untuk mengurangi serangan cyber. Berikut beberapa fitur yang bermanfaat dari sertifikat digital yaitu Keamanan, Skalabilitas, Keaslian, Keandalan, dan Kepercayaan Publik.

Jenis Keamanan apa yang ditawarkan oleh Sertifikat Digital?
Sertifikat digital berfungsi sebagai langkah verifikasi yang terutama digunakan untuk mengirim data rahasia yang membutuhkan perlindungan. Manfaat dari penggunaan sertifikat digital yaitu berupa Kerahasiaan Data, Integritas Data, Manajemen Akses, dan Penerimaan Transaksi.

Dalam kemajuan teknologi yang diiringi tumbuhnya kejahatan dunia maya yang terus meningkat, sertifikat digital membantu organisasi untuk memiliki komunikasi yang aman dengan melakukan transaksi online.

Selengkapnya: Cyber Security News