Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

CISA: Agen federal diretas menggunakan alat desktop jarak jauh yang sah

by

CISA, NSA, dan MS-ISAC memperingatkan hari ini dalam peringatan bersama bahwa penyerang semakin sering menggunakan perangkat lunak pemantauan dan manajemen jarak jauh (RMM) yang sah untuk tujuan berbahaya.

Yang lebih mengkhawatirkan, CISA menemukan aktivitas jahat dalam jaringan beberapa lembaga cabang eksekutif sipil federal (FCEB) menggunakan sistem deteksi intrusi EINSTEIN setelah rilis laporan Silent Push pada pertengahan Oktober 2022.

Aktivitas ini terkait dengan “kampanye phishing yang tersebar luas dan termotivasi secara finansial” yang dilaporkan oleh Silent Push dan terdeteksi di “banyak jaringan FCEB lainnya” setelah pertama kali terlihat di satu jaringan FCEB pada pertengahan September 2022.

Penyerang di balik kampanye ini mulai mengirim email phishing bertema help desk ke pemerintah staf federal dan alamat email pribadi setidaknya sejak pertengahan Juni 2022.

“Organisasi penulis menilai bahwa setidaknya sejak Juni 2022, pelaku kejahatan dunia maya telah mengirim email phishing bertema meja bantuan ke alamat email pribadi staf federal FCEB dan pemerintah,” bunyi penasihat itu.

“Email tersebut berisi tautan ke domain jahat ‘tahap pertama’ atau meminta penerima untuk memanggil penjahat dunia maya, yang kemudian mencoba meyakinkan penerima untuk mengunjungi domain berbahaya tahap pertama.”

Serangan callback phishing seperti yang menargetkan staf FCEB dalam kampanye ini telah mengalami pertumbuhan besar-besaran sebesar 625% sejak Q1 2021 dan juga telah diadopsi oleh geng ransomware.

Grup ini termasuk grup yang terpisah dari operasi kejahatan dunia maya Conti, seperti Silent Ransom Group, Quantum (sekarang Dagon Locker), dan Royal.

Selengkapnya: Bleeping Computer

Jaringan toko pakaian tiruan membuka 330.000 kartu kredit pelanggan

by

Jika Anda baru saja melakukan pembelian dari toko online luar negeri yang menjual pakaian dan barang tiruan, ada kemungkinan nomor kartu kredit dan informasi pribadi Anda terungkap.

Sejak 6 Januari, database yang berisi ratusan ribu nomor kartu kredit yang tidak terenkripsi dan informasi pemegang kartu yang sesuai menyebar ke web terbuka.

Pada saat ditarik offline pada hari Selasa, database memiliki sekitar 330.000 nomor kartu kredit, nama pemegang kartu, dan alamat penagihan lengkap — dan meningkat secara real-time saat pelanggan melakukan pemesanan baru.

Data tersebut berisi semua informasi yang dibutuhkan penjahat untuk melakukan transaksi penipuan dan pembelian menggunakan informasi pemegang kartu.

Nomor kartu kredit milik pelanggan yang melakukan pembelian melalui jaringan toko online yang hampir identik yang mengklaim menjual barang dan pakaian bermerek.

etapi toko-toko tersebut memiliki masalah keamanan yang sama: Setiap kali pelanggan melakukan pembelian, data kartu kredit dan informasi penagihan mereka disimpan dalam database, yang dibiarkan terekspos ke internet tanpa kata sandi.

Siapa pun yang mengetahui alamat IP database dapat mengakses rim data keuangan yang tidak terenkripsi.

Anurag Sen, seorang peneliti keamanan dengan itikad baik, menemukan catatan kartu kredit yang terbuka dan meminta bantuan TechCrunch untuk melaporkannya kepada pemiliknya.

Sen memiliki rekam jejak yang baik dalam memindai internet untuk mencari server yang terbuka dan data yang dipublikasikan secara tidak sengaja, dan melaporkannya ke perusahaan untuk mengamankan sistem mereka.

Selengkapnya: Tech Crunch

Hilton menyangkal peretasan setelah data dari 3,7 juta pelanggan Honors ditawarkan untuk dijual

by

Raksasa hotel Hilton membantah telah diretas setelah penjahat dunia maya mengklaim telah melanggar sistem perusahaan dan mencuri data terkait 3,7 juta pelanggan.

Pada hari Senin, peretas mengatakan mereka mencuri database dari tahun 2017 yang berisi informasi dari pelanggan yang terdaftar dalam program Hilton Hotel Honors. Informasi dalam database mencakup nama, ID Kehormatan, dan Tingkat Kehormatan serta data yang lebih spesifik tentang reservasi seperti tanggal check-in dan lainnya.

Seorang juru bicara Hilton mengatakan kepada The Record bahwa meskipun mereka tidak yakin telah diretas, mereka sedang menyelidiki klaim tersebut.

“Hilton sangat berkomitmen untuk melindungi informasi tamu dan menjaga integritas sistemnya. Tidak ada bukti yang menunjukkan bahwa sistem Hilton telah disusupi, dan kami dapat mengonfirmasi bahwa tidak ada kata sandi, kontak, atau informasi keuangan tamu yang diungkapkan, ”kata juru bicara itu.

“Kami sedang menyelidiki laporan ini dengan cermat dan mengambil semua tindakan yang tepat untuk memastikan keamanan berkelanjutan dari informasi anggota dan tamu Hilton Honors kami.”

Menurut IntelBroker, pengguna forum peretas, database 3,7 juta pengguna milik Hilton Hotels Honors telah bocor. Menurut mereka, data tersebut berisi informasi seperti id kehormatan, alamat, nama, dan sebagainya.

Setelah memeriksa postingan forum peretas, juru bicara Hilton mengklaim bahwa data yang ditawarkan untuk dijual tidak termasuk kata sandi tamu, kontak, atau informasi keuangan.

“3,7 juta keping data yang tidak aman adalah catatan reservasi individu yang ketika digandakan, berdampak pada sekitar 500.000 akun Hilton Honors,” kata juru bicara itu.

Selengkapnya: The Record

Lebih dari 4.500 Situs WordPress Diretas untuk Mengarahkan Pengunjung ke Halaman Iklan yang Samar

by

Menurut Sucuri milik GoDaddy, infeksi tersebut melibatkan injeksi JavaScript yang dikaburkan yang dihosting di domain jahat bernama “track[.]violetlovelines[.]com” yang dirancang untuk mengarahkan pengunjung ke situs yang tidak diinginkan.

Kode nakal dimasukkan ke dalam file WordPress index.php, dengan Sucuri mencatat bahwa itu telah menghapus perubahan tersebut dari lebih dari 33.000 file di situs yang disusupi dalam 60 hari terakhir.

Kampanye malware ini secara bertahap beralih dari halaman scam pemberitahuan push CAPTCHA palsu terkenal ke ‘jaringan iklan’ topi hitam yang berganti-ganti antara pengalihan ke situs web yang sah, samar, dan murni berbahaya.

Google sejak itu masuk untuk memblokir salah satu domain jahat yang terlibat dalam skema pengalihan, mengklasifikasikannya sebagai situs tidak aman yang memasang “perangkat lunak yang tidak diinginkan atau berbahaya di komputer pengunjung”.

Untuk mengurangi ancaman tersebut, pemilik situs WordPress disarankan untuk mengubah kata sandi dan memperbarui tema dan plugin yang diinstal serta menghapus yang tidak digunakan atau ditinggalkan oleh pengembangnya.

Selengkapnya : thehackernews

SEABORGIUM dan TA453 Melanjutkan Kampanye Spear-phishing masing-masing

by Leave a Comment

Pelaku SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) yang berbasis di Rusia dan TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) yang berbasis di Iran terus berhasil menggunakan serangan spear-phishing terhadap organisasi dan individu yang ditargetkan di Inggris , dan bidang minat lainnya, untuk kegiatan pengumpulan informasi.

Menggunakan sumber daya sumber terbuka untuk melakukan pengintaian, termasuk media sosial dan platform jejaring profesional, SEABORGIUM dan TA453 mengidentifikasi pengait untuk melibatkan target mereka. Mereka meluangkan waktu untuk meneliti minat mereka dan mengidentifikasi kontak sosial atau profesional dunia nyata mereka.

Mereka juga telah membuat profil media sosial atau jaringan palsu yang menyamar sebagai pakar yang dihormati, dan menggunakan undangan konferensi atau acara yang seharusnya, serta pendekatan palsu dari jurnalis.

Pusat Intelijen Ancaman Microsoft (MSTIC) menyediakan daftar Indikator Kompromi (IOC) yang diamati di blog SEABORGIUM mereka, meskipun ini tidak boleh dianggap lengkap.

Meskipun spear-phishing adalah teknik mapan yang digunakan oleh banyak aktor, SEABORGIUM dan TA453 terus menggunakannya dengan sukses dan mengembangkan teknik tersebut untuk mempertahankan kesuksesan mereka.

Individu dan organisasi dari sektor yang ditargetkan sebelumnya harus waspada terhadap teknik di atas. Di Inggris Raya, laporkan aktivitas sesuai dengan yang dijelaskan di atas ke NCSC.

sumber : National Cyber Security Centre

Peretas melelang dugaan kode sumber untuk League of Legends

by

Pelaku ancaman sedang melelang kode sumber yang diduga untuk League of Legends Riot Game dan perangkat lunak anti-cheat Packman, yang dipastikan telah dicuri dalam peretasan baru-baru ini di lingkungan pengembang perusahaan game tersebut.

Jumat lalu, Riot Games mengungkapkan bahwa lingkungan pengembangannya telah diretas, memungkinkan pelaku ancaman mencuri kode sumber untuk League of Legends (LoL), Teamfight Tactics (TFT), dan platform anti-cheat warisan Packman milik perusahaan.

riot games tweet

Threat actor mengklaim bahwa mereka memiliki akses ke jaringan pengembangan selama tiga puluh enam jam hingga terdeteksi oleh pusat operasi keamanan (SOC) perusahaan.

Mereka memberi tahu VX bahwa tujuan mereka adalah mencuri kode sumber Riot Vanguard, perangkat lunak anti-cheat perusahaan game.

Peretas mulai menjual kode sumber curian

Aktor ancaman mengatakan mereka menjual kode sumber League of Legends dan Packman minimal $1 juta. Namun, mereka memberi tahu BleepingComputer bahwa mereka bersedia menjual Packman sendiri seharga $500.000.

forum selling riot games source code
Forum post selling Riot Games source code

Apakah itu bernilai $ 1 juta?

“Sejujurnya, setiap paparan kode sumber dapat meningkatkan kemungkinan munculnya cheat baru. Sejak serangan itu, kami telah bekerja untuk menilai dampaknya terhadap anticheat dan bersiap untuk menerapkan perbaikan secepat mungkin jika diperlukan,” cuit Riot Games .

Sementara kode sumber memudahkan untuk menemukan bug dalam kode, juga memungkinkan untuk menemukannya menggunakan rekayasa balik dengan sedikit biaya selain waktu.

Oleh karena itu, hanya waktu yang akan memberi tahu apakah kode sumber yang diduga dicuri ini bernilai $1 juta untuk menipu pengembang dan pelaku ancaman lainnya.

selengkapnya : bleepingcomputer

Daftar Periksa Keamanan Browser Definitif

by

Pemangku kepentingan keamanan telah menyadari bahwa peran penting browser dalam lingkungan perusahaan modern memerlukan evaluasi ulang tentang cara pengelolaan dan perlindungannya.

Namun, karena kategori solusi keamanan ini masih relatif baru, belum ada seperangkat praktik terbaik keamanan browser, atau kriteria evaluasi umum. LayerX, Platform Keamanan Peramban yang Mengutamakan Pengguna, menangani kebutuhan tim keamanan dengan Daftar Periksa Keamanan Peramban yang dapat diunduh, yang memandu pembaca melalui hal-hal penting dalam memilih solusi terbaik dan memberi mereka daftar periksa yang dapat ditindaklanjuti untuk digunakan selama proses evaluasi.

Keamanan Peramban 101 – Apa yang Perlu Kita Lindungi?

Dari aspek perlindungan ancaman, platform semacam itu mendeteksi dan mencegah tiga jenis serangan:

  • Serangan yang menargetkan browser itu sendiri, dengan tujuan membahayakan perangkat host atau data yang berada di dalam aplikasi browser itu sendiri, seperti cookies, password, dan lain-lain.
  • Serangan yang memanfaatkan browser melalui kredensial yang disusupi untuk mengakses data perusahaan yang berada di aplikasi SaaS yang dikenai sanksi dan tidak.
  • Serangan yang memanfaatkan halaman web modern sebagai vektor serangan untuk menargetkan kata sandi pengguna, melalui berbagai metode phishing atau melalui modifikasi berbahaya pada fitur browser.

Cara Memilih Solusi yang Tepat
tidak seperti solusi keamanan lainnya, Anda tidak bisa hanya melakukan ping ke salah satu rekan Anda dan menanyakan apa yang dia lakukan. Keamanan browser masih baru, dan kebijaksanaan orang banyak belum terbentuk. Faktanya, ada kemungkinan besar rekan-rekan Anda sekarang bergumul dengan pertanyaan yang sama dengan Anda.

selengkapnya : thehackernews

Penasihat Teknis: Rantai Eksploitasi “Proxy*Hell” di Alam Liar

by

Pada akhir November 2022, para pakar Bitdefender Labs mulai melihat peningkatan serangan menggunakan rantai eksploitasi ProxyNotShell/OWASSRF yang menargetkan penerapan Microsoft Exchange lokal.

Serangan SSRF di server Microsoft Exchange adalah beberapa kerentanan yang paling populer dan sering dieksploitasi. Pihaknya memutuskan merilis penasehat teknis yang menjelaskan serangan ini dan juga mendokumentasikan beberapa serangan baru-baru ini yang terdeteksi secara liar.

Arsitektur Berorientasi Layanan (SOA)
Merupakan pendekatan desain perangkat lunak yang melibatkan pengorganisasian sistem sebagai kumpulan layanan yang berkomunikasi satu sama lain melalui antarmuka yang terdefinisi dengan baik. Salah satu manfaat utama SOA adalah memungkinkan fleksibilitas dan skalabilitas yang lebih besar dengan menghapus batasan aplikasi.

Microsoft Exchange
Microsoft Exchange adalah contoh aplikasi yang menggunakan layanan proxy untuk melindungi backend sensitif dari jaringan publik yang tidak terpercaya.

Layanan Akses Klien (CAS) adalah lapisan yang bertanggung jawab untuk menerima semua bentuk koneksi klien (front-end) dan memproyeksikannya ke layanan back-end.

Pemalsuan Permintaan Sisi Server (SSRF)
Pemalsuan permintaan sisi server (SSRF) adalah jenis serangan yang memungkinkan penyerang mengirim permintaan buatan dari server yang rentan ke server lain, atas nama server yang rentan.

Ini memungkinkan penyerang mengakses sumber daya atau informasi yang sebaliknya tidak dapat diakses secara langsung oleh mereka dan memungkinkan mereka melakukan tindakan atas nama server yang rentan.

Serangan proxy di Microsoft Exchange
Sebagian besar kerentanan yang ditemukan peneliti keamanan didasarkan pada implementasi yang cacat. Kerentanan arsitektur sulit diperbaiki dalam sistem produksi, terutama untuk perangkat lunak yang didistribusikan secara luas dimana kompatibilitas mundur merupakan fitur penting, seperti server Microsoft Exchange.

Serangan Nyata
Berikut adalah beberapa serangan kehidupan nyata yang telah dideteksi oleh para ahli Bitdefender Labs pada akhir November 2022 terdiri dari beberapa kasus diantaranya alat administrasi remote, broker akses awsal, ransomware kuba, pencurian kredensial. Terdapat kami peningkatan penggunaan ProxyNotShell/OWASSRF untuk eksekusi perintah jahat.

Selengkapnya: Bitdefender