Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Rackspace: Email Data Customer Diakses dalam Serangan Ransomware

by

Rackspace mengungkapkan pada hari Kamis bahwa penyerang di balik insiden bulan lalu mengakses beberapa file Personal Storage Table (PST) pelanggannya yang dapat berisi berbagai informasi, termasuk email, data kalender, kontak, dan tugas.

Seperti yang ditemukan selama penyelidikan yang dipimpin oleh perusahaan keamanan siber Crowdstrike, penyerang memperoleh akses ke folder penyimpanan pribadi dari 27 pelanggan Rackspace.

hampir 30.000 pelanggan di lingkungan email Hosted Exchange pada saat serangan, penyelidikan forensik menentukan pelaku ancaman mengakses Personal Storage Table (‘PST’) dari 27 pelanggan Hosted Exchange,” kata Rackspace dalam pembaruan laporan insiden yang dibagikan dengan BleepingComputer terlebih dahulu.

Sementara RackSpace mengatakan tidak ada bukti bahwa pelaku ancaman mengakses data pelanggan, sejarah menunjukkan bahwa tidak selalu demikian.

Selain itu, meskipun data mungkin tidak bocor jika uang tebusan dibayarkan atau karena alasan lain, kemungkinan besar data pelanggan setidaknya dilihat selama serangan.

Klien yang terpengaruh dapat mengunduh beberapa data PST yang dipulihkan

Sejak menemukan serangan pada tanggal 2 Desember dan mengonfirmasi bahwa pemadaman yang diakibatkannya disebabkan oleh serangan ransomware, Rackspace telah menawarkan lisensi gratis kepada pelanggan yang terpengaruh untuk memigrasikan email mereka dari platform Exchange yang Dihosting ke Microsoft 365.

lingkungan email Exchange yang Dihosting tidak akan dibangun kembali sebagai penawaran layanan maju,” kata Rackspace.

“Bahkan sebelum insiden keamanan baru-baru ini, lingkungan email Exchange yang Dihosting telah direncanakan untuk migrasi ke Microsoft 365, yang memiliki model penetapan harga yang lebih fleksibel, serta fitur dan fungsionalitas yang lebih modern.”

sumber : bleepincomputer

Peretas Web vs. Industri Otomotif: Kerentanan Kritis di Ferrari, BMW, Rolls Royce, Porsche, dan Lainnya

by

Para peneliti yang juga peretas web menemukan kerentanan terkait industri otomotif dari banyak perusahaan besar. Mereka menyadari bahwa hampir setiap mobil yang diproduksi dalam 5 tahun terakhir memiliki fungsi yang hampir sama.

Jika penyerang dapat menemukan kerentanan di titik akhir API yang digunakan sistem telematika kendaraan, mereka dapat membunyikan klakson, menyalakan lampu, melacak dari jarak jauh, mengunci/membuka kunci, dan memulai/menghentikan kendaraan, sepenuhnya dari jarak jauh.

Penulisan Kerentanan
1. Dalam beberapa bulan berikutnya, peneliti menemukan banyak kerentanan terkait mobil. Peneliti merangkum hasil eksplorasi keamanannya dalam sebuah blog. Berikut adalah rangkuman hasil penelitian keamanan sistem telematika, API otomotif, dan infrastruktur yang mendukungnya.
2. Pengambilalihan Akun Penuh pada BMW dan Rolls Royce melalui SSO yang Salah Konfigurasi
3. Eksekusi Kode Jarak Jauh dan Akses ke Ratusan Alat Internal di Mercedes-Benz dan Rolls Royce melalui SSO yang Salah Konfigurasi
4. Pengambilalihan Kendaraan Penuh pada Kia melalui Portal Dealer yang Tidak Berlaku Lagi
5. Pengambilalihan Akun Penuh pada Ferrari dan Pembuatan Akun Sewenang-wenang memungkinkan Penyerang untuk Mengakses, Mengubah, dan Menghapus Semua Informasi Pelanggan dan 6. Mengakses Fungsi CMS Administratif untuk Mengelola Situs Web Ferrari
6. Injeksi SQL dan Bypass Otorisasi Regex pada Sistem Spireon memungkinkan Penyerang untuk Mengakses, Melacak, dan Mengirim Perintah Sewenang-wenang ke 15 juta sistem Telematika dan Selain itu, Sistem Manajemen Armada Pengambilalihan Sepenuhnya untuk Departemen Kepolisian, Layanan Ambulans, Pengemudi Truk, dan Banyak Sistem Armada Bisnis
7. Akses Kendaraan Jarak Jauh Penuh dan Pengambilalihan Akun Penuh yang mempengaruhi Hyundai dan Genesis.
8. Akses Kendaraan Jarak Jauh Penuh dan Pengambilalihan Akun Penuh yang memengaruhi Honda, Nissan, Infiniti, Acura.
9. Pengambilalihan Kendaraan Penuh atas Nissan melalui Penugasan Massal.

Selain dalam blognya, para peneliti juga membagi hasil kerentanan melalui sebuah thread pada akun twitter @ssamwcyo dan @_specters_ .

Selengkapnya: Sam Curry

Infeksi Malware Android SpyNote Melonjak Setelah Source Code Leak

by

SpyNote (atau SpyMax) tiba-tiba mengalami peningkatan deteksi pada kuartal terakhir tahun 2022, yang dikaitkan dengan kebocoran kode sumber dari salah satu yang terbaru, yang dikenal sebagai ‘CypherRat.’

‘CypherRat’ menggabungkan kemampuan memata-matai SpyNote, seperti menawarkan akses jarak jauh, pelacakan GPS, dan pembaruan status dan aktivitas perangkat, dengan fitur trojan perbankan yang menyamar sebagai lembaga perbankan untuk mencuri kredensial akun.

Pelaku ancaman dengan cepat mengambil kode sumber malware dan meluncurkan kampanye mereka sendiri. Hampir seketika, varian khusus muncul yang menargetkan bank terkemuka seperti HSBC dan Deutsche Bank.

Beberapa bank yang ditargetkan oleh SpyNote (ThreatFabric)

Aktivitas ini diamati oleh analis ThreatFabric, yang memperingatkan tentang kemungkinan CypherRat menjadi ancaman yang lebih meluas.

Fitur malware SpyNote
Semua varian SpyNote yang beredar bergantung pada permintaan akses ke Layanan Aksesibilitas Android untuk diizinkan menginstal aplikasi baru, mencegat pesan SMS (untuk bypass 2FA), mengintai panggilan, dan merekam video dan audio di perangkat.

Aplikasi berbahaya meminta akses ke Layanan Aksesibilitas (ThreatFabric)

ThreatFabric mencantumkan yang berikut ini sebagai fitur “menonjol”:

Gunakan Camera API untuk merekam dan mengirim video dari perangkat ke server C2

  • GPS dan informasi pelacakan lokasi jaringan
  • Mencuri kredensial akun Facebook dan Google.
  • Gunakan Aksesibilitas (A11y) untuk mengekstrak kode dari Google Authenticator.
  • Gunakan keylogging didukung oleh layanan Aksesibilitas untuk mencuri kredensial perbankan.
  • Untuk menyembunyikan kode jahatnya dari pengawasan, versi terbaru SpyNote menggunakan pengaburan string dan menggunakan pengemas komersial untuk membungkus APK.

Selain itu, semua informasi yang diambil dari SpyNote ke server C2-nya disamarkan menggunakan base64 untuk menyembunyikan host.

Pelaku ancaman saat ini menggunakan CypherRat sebagai trojan perbankan, tetapi malware tersebut juga dapat digunakan sebagai spyware dalam operasi spionase bertarget volume rendah.

pengguna disarankan untuk sangat berhati-hati selama penginstalan aplikasi baru, terutama jika berasal dari luar Google Play, dan menolak permintaan untuk memberikan izin untuk mengakses Layanan Aksesibilitas.

Sayangnya, meskipun Google berupaya terus-menerus untuk menghentikan penyalahgunaan API Layanan Aksesibilitas oleh malware Android, masih ada cara untuk melewati batasan yang diberlakukan.

sumber : bleepingcomputer

Anti-Prediksi Cybersecurity untuk Tahun 2023

by

Anti-prediksi untuk industri keamanan siber 2023:

The Threat Landscape is Changing
Pada tahun 2023, setiap orang akan mengalami kualitas dan kuantitas serangan yang sama seperti yang kita alami pada tahun 2022. Teknologi, personel, dan praktik dapat berubah sehingga menyebabkan kita memandang keamanan secara berbeda. Namun, ancaman sebenarnya yang kita hadapi sebagian besar akan tetap sama.

Eksekutif Akan Mulai Menanggapi Keamanan dengan Serius
Bohong.

Alasan kelambanan eksekutif sederhana, ada konsekuensi minimal untuk tidak bertanggung jawab. Berapa banyak CEO yang kehilangan pekerjaan karena pelanggaran data? Satu dua? Jumlahnya sangat rendah. Meskipun insiden ini mungkin memiliki dampak finansial yang signifikan, dampak tersebut dapat dengan mudah diabaikan dan disalahkan pada CISO atau staf keamanan lainnya.

Perusahaan akan Berkomitmen pada Pertahanan Keamanan yang Lebih Kuat
Bukan berarti para eksekutif sama sekali tidak peduli dengan keamanan. Mereka peduli sampai pada titik yang tepat bahwa mereka setara dengan orang lain. Ini adalah pendekatan yang “cukup baik” untuk keamanan siber.

Staf Keamanan akan Melihat Peningkatan
Kemungkinan tidak.

Setiap tahun, dengan ketepatan absolut dari jam atom, ada banjir blog keamanan yang dengan bangga menyatakan ini akan menjadi tahun keamanan menyelesaikan masalah kepegawaian. Solusinya biasanya mengharuskan berlangganan produk mereka.

Dan dengan ketelitian yang lebih tinggi, masalahnya tetap tidak terselesaikan setahun kemudian.

Kesimpulan
Saya memperkirakan pada tahun 2023 keamanan siber akan membuat banyak kesalahan yang sama. Saya juga memprediksi, beberapa orang akan mulai melihat masa depan yang lebih cerah. Mereka akan menjadi agen perubahan. Mereka mungkin tidak disukai dan bahkan ditakuti. Namun, mereka akan membuat perbedaan.

selengkapnya : andrewplato.medium

Raspberry Robin Worm Menetaskan Peningkatan yang Sangat Kompleks

by

Kelompok peretas menggunakan versi baru kerangka kerja Raspberry Robin untuk menyerang lembaga keuangan berbasis bahasa Spanyol dan Portugis

Raspberry Robin adalah worm backdoor yang menginfeksi PC melalui perangkat USB Trojan sebelum menyebar ke perangkat lain di jaringan target, bertindak sebagai loader untuk malware lainnya.

Versi Malware yang Ditingkatkan
Dalam iterasi terbaru, mekanisme perlindungan malware telah ditingkatkan untuk menerapkan setidaknya lima lapis perlindungan sebelum kode jahat diterapkan, termasuk pengemas tahap pertama untuk mengaburkan kode tahap serangan selanjutnya diikuti oleh pemuat kode shell.

Penelitian juga menunjukkan operator Raspberry Robin mulai mengumpulkan lebih banyak data tentang korban mereka daripada yang dilaporkan sebelumnya.

Dalam kasus kedua, muatan jahat dihosting di server Discord, yang digunakan oleh pelaku ancaman untuk mengirimkan malware ke mesin korban, untuk menghindari deteksi dan melewati kontrol keamanan.

Raspberry Robin Beraksi
Ancamannya bertingkah, mengikuti pola muncul, menghilang, lalu muncul kembali dengan kemampuan yang ditingkatkan secara signifikan.

Perusahaan keamanan Red Canary pertama kali menganalisis dan menamai Raspberry Robin pada bulan Mei, mencatat bahwa itu menginfeksi target melalui drive USB berbahaya dan menyebar ke titik akhir lainnya – tetapi kemudian tetap tidak aktif.

sumber : darkreading

200 Juta Alamat Email Pengguna Twitter Diduga Bocor Secara Online

by

Kebocoran data yang digambarkan berisi alamat email untuk lebih dari 200 juta pengguna Twitter telah dipublikasikan di forum peretas populer seharga sekitar $2. BleepingComputer telah mengonfirmasi validitas banyak alamat email yang tercantum dalam kebocoran tersebut.

Sejak 22 Juli 2022, pelaku ancaman dan pengumpul pelanggaran data telah menjual dan mengedarkan set data besar dari profil pengguna Twitter tergores yang berisi data pribadi (nomor telepon dan alamat email) dan publik di berbagai forum peretas online dan pasar kejahatan dunia maya.

200 juta baris profil Twitter dirilis secara gratis
Hari ini, seorang aktor ancaman merilis kumpulan data yang terdiri dari 200 juta profil Twitter di forum peretasan yang Dilanggar untuk delapan kredit mata uang forum, bernilai sekitar $2.

Kumpulan data ini diduga sama dengan kumpulan 400 juta yang beredar pada bulan November tetapi dibersihkan agar tidak mengandung duplikat, mengurangi total menjadi sekitar 221.608.279 baris.

Penjualan perdana data Facebook pada Juni 2020

Data dirilis sebagai arsip RAR yang terdiri dari enam file teks untuk ukuran gabungan data sebesar 59 GB.

RAR arsip mengansung leaked data twitter

Setiap baris dalam file mewakili pengguna Twitter dan datanya, yang mencakup alamat email, nama, nama layar, jumlah pengikut, dan tanggal pembuatan akun, seperti yang ditunjukkan di bawah ini.

contoh data leaked twitter

Kumpulan datanya jauh dari lengkap, karena ada banyak pengguna yang tidak ditemukan dalam kebocoran tersebut.

Ada atau tidaknya informasi Anda dalam kumpulan data ini sangat bergantung pada apakah alamat email Anda terungkap dalam pelanggaran data sebelumnya.

Pencakar kemudian memasukkan daftar ini ke dalam bug API untuk melihat apakah nomor atau alamat email Anda dikaitkan dengan ID Twitter yang sesuai dengan email atau nomor telepon tersebut.

Jika alamat email Anda hanya digunakan di Twitter atau tidak dalam banyak pelanggaran data, itu tidak akan dimasukkan ke dalam bug API dan ditambahkan ke kumpulan data ini.

sumber : bleepingcomputer

Penipu Cina, RedZei, Menargetkan Pelajar Cina di Inggris Raya

by

Pelajar internasional Tionghoa di Inggris telah menjadi sasaran scammers berbahasa Mandarin yang gigih selama lebih dari setahun sebagai bagian dari aktivitas yang dijuluki RedZei (alias RedThief).

RedZei telah memilih target mereka dengan hati-hati, meneliti, dan menyadari bahwa itu adalah kelompok korban kaya yang siap untuk dieksploitasi.

Operasi yang dilancarkan penipu cukup cerdik yaitu menelpon calon korban dilakukan sekali atau dua kali sebulan menggunakan nomor telepon Inggris yang unik, kemudian meninggalkan pesan suara otomatis yang tidak biasa jika pangginlan tak dijawab.

Pesan suara meniru perusahaan seperti Bank of China dan China Mobile serta kedutaan besar China untuk merekayasa sosial para siswa agar membagikan informasi pribadi mereka.

Thomas, menunjukkan keahlian yang sangat teliti yang digunakan oleh para scammer, yaitu pelaku ancaman berganti-ganti SIM dari beberapa operator seluler.

Kampanye RedZei terindikasi dimulai sejak Agustus 2019, dengan laporan dari The Guardian yang merinci penipuan visa yang menipu pelajar China agar mengeluarkan uang dalam jumlah besar untuk menghindari deportasi.

Penipu Cina RedZei

Selengkapnya: The Hacker News

Lebih Dari 60.000 Server Exchange Rentan Terhadap Serangan ProxyNotShell

by

Lebih dari 60.000 server Microsoft Exchange yang terpapar secara online belum ditambal terhadap kerentanan eksekusi kode remote (RCE) CVE-2022-41082, salah satu dari dua kelemahan keamanan yang ditargetkan oleh eksploitasi ProxyNotShell.

Menurut sebuah organisasi nirlaba yang didedikasikan untuk meningkatkan keamanan internet, Shadowserver Foundation, hampir 70.000 server Microsoft Exchange rentan terhadap serangan ProxyNotShell menurut informasi versi (header x_owa_version server).

Namun, data terbaru menunjukkan penurunan jumlah server Exchange yang rentan dari 83.946 pada pertengahan Desember menjadi 60.865 pada tanggal 2 Januari.

Exchange server rentan terhadap serangan ProxyNotShell (Shadowserver Foundation)

Kedua bug keamanan tersebut dilacak sebagai CVE-2022-41082 dan CVE-2022-41040 dan secara kolektif dikenal sebagai ProxyNotShell, memengaruhi Exchange Server 2013, 2016, dan 2019.

Jika berhasil dieksploitasi, penyerang dapat meningkatkan hak istimewa dan mendapatkan eksekusi kode arbitrer atau jarak jauh pada server yang disusupi.

Perusahaan Intelijen Ancaman, GreyNoise, telah melacak eksploitasi ProxyNotShell dan memberikan informasi tentang aktivitas pemindaian ProxyNotShell dan daftar alamat IP yang terkait dengan serangan tersebut.

Peta server Exchange belum ditambal terhadap ProxyNotShell (Shadowserver Foundation)

Melindungi server Exchange dari serangan masuk adalah dengan menerapkan tambalan ProxyNotShell yang dirilis oleh Microsoft pada bulan November.

Aktor ancaman ransomware Play saat ini menggunakan rantai eksploit baru untuk mem-bypass mitigasi penulisan ulang URL ProxyNotShell dan mendapatkan eksekusi kode jarak jauh pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan intelijen ancaman, Prodaft, memindai dan mengeksploitasi berbagai eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa, seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

Selengkapnya: BleepingComputer