Threat

Hacker Menggunakan Trik Baru Untuk Serangan Phishing

February 4, 2023 by Coffee Bean

Penjahat dunia maya menggunakan email phishing yang dibuat secara unik untuk menginfeksi korban dengan malware — dan mereka melakukannya dengan bereksperimen dengan metode baru untuk mengirimkan muatan berbahaya.

Menurut analisis oleh Proofpoint, telah terjadi peningkatan penyerang dunia maya yang mencoba mengirimkan malware menggunakan dokumen OneNote, buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi perkantoran Microsoft 365.

Email phishing, yang pertama kali dikirim selama Desember 2022, dengan jumlah yang meningkat secara signifikan pada Januari 2023, berusaha mengirimkan salah satu dari beberapa muatan malware yang berbeda, termasuk AsyncRAT, Redline, AgentTesla, dan Doubleback, yang semuanya dirancang untuk mencuri informasi sensitif dari korban, termasuk username dan password.

Peneliti Proofpoint juga mencatat bahwa kelompok penjahat dunia maya yang mereka lacak sebagai TA577 juga mulai memanfaatkan OneNote dalam kampanye untuk menghadirkan Qbot.

Para peneliti memperingatkan bahwa kemungkinan kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir — dan lebih banyak kelompok ancaman dunia maya cenderung mengadopsi teknik ini untuk berhasil mengirimkan kampanye phishing dan malware.

“Proofpoint semakin mengamati lampiran OneNote digunakan untuk mengirimkan malware. Berdasarkan penelitian kami, kami yakin banyak pelaku ancaman menggunakan lampiran OneNote dalam upaya untuk melewati deteksi ancaman,” kata peneliti.

walaupun serangan phishing adalah alat yang efektif untuk penjahat dunia maya, jatuhnya korban tidak bisa dihindari. Proofpoint menyarankan bahwa organisasi harus menggunakan filter spam yang kuat yang mencegah pesan ini masuk ke kotak masuk orang, dan bahwa organisasi harus mendidik pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.

Sumber : zdnet.com

Cyberattack Mengirim Perdagangan Derivatif Kembali ke Tahun 1980-an

February 4, 2023 by Coffee Bean

Toko-toko derivatif, yang terbiasa menghabiskan ratusan miliar dolar dalam perdagangan setiap hari, mendapati diri mereka berada di era yang sangat berbeda minggu ini: masa lalu memproses kesepakatan secara manual.

Tidak hanya perusahaan kekurangan staf yang memadai untuk menghadapi krisis, tetapi banyak pekerja terlalu muda untuk mengetahui cara mempertahankan operasi. Itu juga kedua kalinya hanya dalam satu minggu pasar utama direndahkan. Kesalahan manusia di New York Stock Exchange memicu perubahan harga yang hebat pada awal perdagangan pada 24 Januari.

Bank dan perusahaan keuangan lainnya sering melabeli risiko dunia maya sebagai salah satu yang paling mereka takuti — karena keterkaitan sistem keuangan berpotensi memperbesar konsekuensi dari serangan apa pun. Kedua insiden tersebut juga menggarisbawahi betapa pentingnya proses perdagangan yang mendasari pipa ledeng, dan betapapun canggihnya, kerentanan mengintai.

Serangan Dikonfirmasi
ditemukan oleh taipan Italia Andrea Pignataro — lebih dari lima jam untuk mengonfirmasi serangan oleh geng ransomware Rusia LockBit, menurut korespondensi dari ION yang dilihat oleh Bloomberg.
StoneX Financial mengatakan sedang mengambil “langkah-langkah alternatif” untuk menghapus perdagangan dan memprioritaskan kontrak yang kedaluwarsa. Grup Marex terpaksa memberikan nilai transaksi “indikatif” kepada klien di akun mereka.

kehebatan teknologi mereka.

Ketika sistem ION turun, tim pembuat kode di salah satu pialang London berebut untuk membangun sistem ad-hoc mereka sendiri untuk mencocokkan perdagangan klien, dan mereka menjalankannya dalam beberapa jam, menurut satu orang yang mengetahui masalah tersebut.

selengkapnya : bloomberg.com

Varian Spyware Gamaredon Baru yang Didukung Rusia Menargetkan Pihak Berwenang Ukraina

February 3, 2023 by Coffee Bean

Pusat Perlindungan Siber Negara (SCPC) Ukraina telah memanggil aktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon atas serangan siber yang ditargetkan pada otoritas publik dan infrastruktur informasi penting di negara tersebut.

Ancaman gigih tingkat lanjut, juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.

Tujuan serangan lebih diarahkan pada spionase dan pencurian informasi daripada sabotase, catat agensi tersebut. SCPC juga menekankan evolusi taktik grup yang “terus-menerus” dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar, menyebut Gamaredon sebagai “ancaman dunia maya utama”.

Rantai serangan dimulai dengan email spear-phishing yang membawa arsip RAR yang, ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara – file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell.

Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh software yang mengklaim dapat mendeteksi komputer yang terinfeksi.

Namun, setelah meluncurkan file – skrip batch Windows bernama “Protector.bat” – itu mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.

CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern – sebuah cluster aktivitas yang di masa lalu memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.

Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi.

sumber : thehackernews

Cisco Memperbaiki Bug yang Memugkinkan Persistensi Backdoor di Antara Reboot

February 3, 2023 by Coffee Bean

Cisco telah merilis pembaruan keamanan minggu ini untuk mengatasi vulnerability tingkat tinggi di lingkungan hosting aplikasi Cisco IOx yang dapat dieksploitasi dalam serangan injeksi perintah.

Security flaw (CVE-2023-20076) disebabkan oleh sanitasi parameter yang tidak lengkap yang diteruskan selama proses aktivasi aplikasi. Itu ditemukan dan dilaporkan oleh peneliti keamanan Sam Quinn dan Kasimir Schulz dengan Trellix Advanced Research Center.

Eksploitasi yang berhasil dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna memungkinkan pelaku ancaman terautentikasi dari jarak jauh untuk menjalankan perintah dengan izin root pada sistem operasi yang mendasarinya.

“Seorang penyerang dapat mengeksploitasi vulnerability ini dengan menyebarkan dan mengaktifkan aplikasi di lingkungan hosting aplikasi Cisco IOx dengan file payload aktivasi buatan,” Cisco menjelaskan dalam penasihat keamanan yang diterbitkan pada hari Rabu.

Perusahaan mengatakan vulnerability mempengaruhi perangkat Cisco yang menjalankan software IOS XE, tetapi hanya jika mereka tidak mendukung buruh pelabuhan asli.

Selain perangkat berbasis IOS XE yang dikonfigurasi dengan IOx, daftar perangkat yang terpengaruh juga mencakup router ISR Industri Seri 800, modul komputasi CGR1000, gateway komputasi industri IC3000, router industri WPAN IR510, dan titik akses Cisco Catalyst (COS-AP).

Perusahaan juga mengonfirmasi bahwa flaw CVE-2023-20076 tidak memengaruhi sakelar Seri Catalyst 9000, perangkat lunak iOS XR dan NX-OS, atau produk Meraki.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan tidak menemukan bukti bahwa kerentanan ini dieksploitasi secara liar.

Pada bulan Januari, Cisco memperingatkan pelanggan tentang kerentanan bypass otentikasi kritis (CVE-2023-20025) dengan kode eksploit publik yang memengaruhi beberapa model router VPN akhir masa pakainya.

Satu minggu kemudian, Censys menemukan lebih dari 20.000 router Cisco RV016, RV042, RV042G, dan RV082 yang belum ditambal terhadap CVE-2023-20025 dan terkena serangan.

sumber : bleepingcomputer

Vulnerability Dapat Mengarah ke DoS, Eksekusi Kode

February 3, 2023 by Coffee Bean Leave a Comment

F5 memperingatkan tentang vulnerability string format tingkat keparahan tinggi di BIG-IP yang dapat memungkinkan penyerang yang diautentikasi menyebabkan kondisi denial-of-service (DoS) dan berpotensi mengeksekusi kode arbitrer.

Dilacak sebagai CVE-2023-22374, cacat keamanan berdampak pada iControl SOAP, API terbuka yang memungkinkan komunikasi antar sistem, yang berjalan sebagai root.

Antarmuka SOAP dapat diakses dari jaringan, baik melalui port manajemen BIG-IP dan/atau alamat IP mandiri, dan dibatasi untuk akun administratif.

Namun, perusahaan cybersecurity menjelaskan, penyerang tidak dapat membaca memori kecuali mereka memiliki akses ke syslog.

Penyerang dapat merusak layanan dengan menggunakan penentu ‘%s’, dan dapat menggunakan penentu ‘%n’ untuk menulis data arbitrer ke sembarang penunjuk di tumpukan, yang berpotensi menyebabkan eksekusi kode jarak jauh, kata perusahaan keamanan siber.

Menurut penasehat F5, penyerang yang ingin mengeksploitasi kelemahan untuk eksekusi kode pertama-tama harus mengumpulkan informasi tentang lingkungan yang menjalankan komponen yang rentan. Namun, hanya bidang kontrol, bukan bidang data, yang diekspos oleh bug ini.

vulnerability berdampak pada BIG-IP versi 13.1.5, 14.1.4.6 hingga 14.1.5, 15.1.5.1 hingga 15.1.8, 16.1.2.2 hingga 16.1.3, dan 17.0.0. Saat ini tidak ada tambalan yang tersedia untuk vulnerability tersebut, tetapi F5 mengatakan perbaikan terbaru teknik tersedia.

Karena cacat hanya dapat dieksploitasi oleh pengguna yang diautentikasi, akses ke API SOAP iControl harus dibatasi untuk pengguna tepercaya.

CVE-2023-22374 memiliki skor CVSS 7,5 untuk sistem BIG-IP dalam mode penerapan standar, dan skor CVSS 8,5 untuk instans IP-BIG dalam mode aplikasi.

BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX, dan Traffix SDC tidak terpengaruh.

KeePass membantah kerentanan yang memungkinkan pencurian kata sandi secara diam-diam

February 3, 2023 by Søren

Tim pengembangan di balik perangkat lunak manajemen kata sandi open-source KeePass memperdebatkan apa yang digambarkan sebagai kerentanan yang baru ditemukan yang memungkinkan penyerang untuk secara diam-diam mengekspor seluruh database dalam teks biasa.

KeePass adalah pengelola kata sandi sumber terbuka yang sangat populer yang memungkinkan Anda mengelola kata sandi menggunakan basis data yang disimpan secara lokal, daripada yang dihosting di cloud, seperti LastPass atau Bitwarden.

Kerentanan baru sekarang dilacak sebagai CVE-2023-24055, dan memungkinkan pelaku ancaman dengan akses tulis ke sistem target untuk mengubah file konfigurasi KeePass XML dan menyuntikkan pemicu berbahaya yang akan mengekspor database, termasuk semua nama pengguna dan kata sandi dalam teks jelas.

Setelah ini dilaporkan dan diberi CVE-ID, pengguna meminta tim pengembangan di belakang KeePass untuk menambahkan permintaan konfirmasi sebelum ekspor basis data senyap seperti yang dipicu melalui file konfigurasi yang dimodifikasi secara berbahaya atau menyediakan versi aplikasi yang datang tanpa fitur ekspor .

Sementara tim CERT Belanda dan Belgia juga telah mengeluarkan penasehat keamanan mengenai CVE-2023-24055, tim pengembangan KeePass berpendapat bahwa ini tidak boleh diklasifikasikan sebagai kerentanan karena penyerang dengan akses tulis ke perangkat target juga dapat memperoleh informasi yang terkandung dalam database KeePass melalui cara lain.

Faktanya, halaman “Masalah Keamanan” di Pusat Bantuan KeePass telah menjelaskan masalah “Akses Tulis ke File Konfigurasi” setidaknya sejak April 2019 sebagai “sebenarnya bukan kerentanan keamanan KeePass.”

Selengkapnya: Bleeping Computer

Malware Prilex PoS Memblokir Transaksi NFC untuk Mencuri Data Kartu Kredit

February 3, 2023 by Søren

Awalnya dirinci pada tahun 2017, Prilex telah berevolusi dari penargetan ATM menjadi malware PoS canggih yang dapat melakukan berbagai aktivitas jahat yang mengarah ke penipuan kartu kredit.

Sistem pembayaran nirsentuh mengandalkan teknologi identifikasi frekuensi radio (RFID) atau komunikasi jarak dekat (NFC) yang terintegrasi ke dalam kartu, perangkat seluler, key fob, perangkat yang dapat dikenakan, dan perangkat lain, yang memungkinkan individu melakukan pembayaran yang aman hanya dengan melambaikan kartu atau ponsel mereka perangkat melalui terminal PoS.

Saat kartu diletakkan di dekat, terminal pembayaran yang mengaktifkan nirsentuh mengirimkan sinyal untuk mengaktifkan chip RFID yang disematkan di kartu, yang pada gilirannya merespons dengan nomor identifikasi unik (ID) dan informasi transaksi.

Informasi transaksi ini tidak dapat digunakan kembali, sehingga tidak berguna bagi penjahat dunia maya yang menangkapnya.

Pengembang Prilex memperbarui malware dengan kode yang memblokir transaksi tanpa kontak, yang mengakibatkan terminal meminta pembeli untuk memasukkan kartu kredit mereka ke dalam perangkat.

“Tujuannya di sini adalah untuk memaksa korban menggunakan kartu fisik mereka dengan memasukkannya ke dalam pembaca bantalan PIN, sehingga malware dapat menangkap data yang berasal dari transaksi tersebut,” catat Kaspersky.

Kode tersebut ditemukan pada sampel Prilex yang muncul pada akhir tahun 2022, dan yang juga dapat memfilter kartu berdasarkan segmen, seperti hanya memblokir transaksi nirsentuh dan menangkap informasi kartu jika kartu berada dalam tier dengan batas transaksi tinggi.

“Karena data transaksi yang dihasilkan selama pembayaran nirsentuh tidak berguna dari sudut pandang penjahat dunia maya, dapat dipahami bahwa Prilex perlu memaksa korban untuk memasukkan kartu ke terminal PoS yang terinfeksi. Sementara grup sedang mencari cara untuk melakukan penipuan dengan nomor kartu kredit unik, trik pintar ini memungkinkannya untuk terus beroperasi,” tutup Kaspersky.

Selengkapnya: Security Week

Serangan Ransomware pada ION Group Berdampak pada Pasar Perdagangan Derivatif

February 3, 2023 by Coffee Bean

Pada 31 Januari 2023, perusahaan tersebut mengungkapkan insiden tersebut dalam sebuah pernyataan singkat yang mengatakan bahwa hal itu berdampak pada ION Cleared Derivatives, sebuah divisi dari ION Markets.

“ION Cleared Derivatives, sebuah divisi dari ION Markets, mengalami peristiwa keamanan siber yang dimulai pada 31 Januari 2023 yang memengaruhi beberapa layanannya,” perusahaan tersebut.

Namun, serangan tersebut memiliki dampak yang lebih dalam karena pelanggan besar yang menggunakan layanan ION Group di Amerika Serikat dan Eropa terpaksa beralih ke pemrosesan perdagangan secara manual, menyebabkan penundaan yang signifikan.

Organisasi perdagangan global FIA telah menerbitkan pernyataan tentang masalah yang muncul, mengatakan sedang bekerja dengan anggota yang terkena dampak untuk menilai situasi.\

Jika pelaku ransomware menyimpan data apa pun dari ION Group, membocorkannya ke publik dapat mengungkap informasi sensitif investor besar, menyebabkan kerusakan signifikan pada mereka dan organisasi mereka.

BleepingComputer telah menghubungi ION Group untuk meminta perincian lebih lanjut tentang temuan penyelidikan internal mereka dan apakah klaim LockBit benar, dan kami akan memperbarui cerita ini segera setelah kami menerima tanggapan.

sumber : bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings