Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

by

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Gigabyte Systems Mengalami Kerentanan Firmware Kritis yang Membahayakan Jutaan Perangkat

by

Pada April 2023, peneliti keamanan cyber menemukan perilaku mencurigakan dalam sistem Gigabyte yang memungkinkan perangkat-perangkatnya terinfeksi oleh eksekutor Windows melalui firmware UEFI. Eksekutor tersebut dapat mengunduh pembaruan dalam format yang tidak aman.

Eclypsium, perusahaan keamanan firmware, berhasil mendeteksi anomali ini dan menginformasikan masalah ini kepada Gigabyte, yang telah mengakui dan menangani masalah tersebut.

John Loucaides, wakil presiden senior strategi di Eclypsium, menjelaskan bahwa sebagian besar firmware Gigabyte mengandung eksekutor biner Windows Native yang tertanam di dalam firmware UEFI. Eksekutor tersebut akan dieksekusi saat perangkat dinyalakan, mirip dengan serangan agen ganda LoJack. Melalui metode yang tidak aman, eksekutor ini dapat mengunduh dan menjalankan biner tambahan.

Eclypsium juga menemukan bahwa aplikasi berbasis .NET yang ada dalam firmware tersebut dapat mengunduh dan menjalankan pembaruan dari server Gigabyte melalui protokol HTTP biasa. Hal ini membuka kemungkinan serangan oleh pihak yang tidak bertanggung jawab melalui router yang terinfeksi.

Kerentanan ini dapat mempengaruhi sekitar 7 juta perangkat Gigabyte, dengan sekitar 364 sistem terkena dampak secara kasar. Ancaman ini serius karena malware yang disisipkan dalam firmware dapat bertahan bahkan jika perangkat dihapus dan sistem operasi diinstal ulang.

Untuk melindungi diri, disarankan agar pengguna menerapkan pembaruan firmware terbaru dan memeriksa fitur “APP Center Download & Install” dalam Pengaturan UEFI/BIOS untuk menonaktifkannya. Selain itu, pengguna juga disarankan untuk mengatur kata sandi BIOS guna mencegah perubahan yang tidak sah.

Sumber: The Hackernews

Mata-mata Pribadi Dipekerjakan oleh FBI dan Perusahaan-Perusahaan Menyusup Perselisihan, Reddit, WhatsApp

by

Perusahaan “ancaman intelijen” terkemuka menciptakan persona online palsu untuk mendapatkan akses ke setiap sudut web.

Nampaknya persona internet anonim dengan avatar kartun anime di obrolan Discord (mungkin) sebenarnya adalah kontraktor yang dikirim untuk memata-matai Anda.

Mereka menciptakan identitas palsu dan nama pengguna palsu untuk mendapatkan akses ke platform seperti Discord, grup WhatsApp, forum Reddit, dan papan pesan web gelap.

Tujuan mereka adalah untuk mengumpulkan informasi pribadi dan membantu klien korporat dan pemerintah dalam memantau ancaman yang berpotensi, seperti peretas politik dan perdagangan ilegal sandi curian.

Beberapa perusahaan yang terlibat dalam industri ini termasuk ZeroFox, DarkOwl, Searchlight Cyber, Recorded Future, CyberInt, dan Flashpoint. Mereka bekerja sama dengan penegak hukum dan lembaga pemerintah, dan sering kali memiliki kontrak dengan mereka.

Namun, pengawasan yang lebih besar terhadap komunitas online pribadi juga memunculkan kekhawatiran tentang pelanggaran hak privasi dan kebebasan sipil. Industri ini masih sangat rahasia, dan informasi tentang praktik mereka terbatas.

DarkOwl, Searchlight Cyber, CyberInt, banyak dari perusahaan ini mempertahankan hubungan dekat dengan penegak hukum dan lembaga pemerintah. Beberapa saat ini terikat kontrak dengan Biro Investigasi Federal atau intelijen militer.

Setelah mendapatkan akses ke platform media sosial tradisional, pemerintah federal sekarang mengarahkan pandangannya pada komunitas online swasta di mana kelompok teroris, aktivis politik radikal, dan peretas dapat beroperasi dengan relatif bebas.

Perusahaan-perusahaan intelijen ancaman mengklaim bahwa mereka tidak melanggar persyaratan layanan saat mengakses ruang obrolan dan forum online. Keberadaan mereka meningkatkan kekhawatiran tentang pelanggaran kebebasan sipil dan hak konstitusional terhadap penggeledahan dan penyitaan yang tidak wajar.

Beberapa perusahaan intelijen ancaman, seperti ZeroFox dan DarkOwl, mengklaim bahwa semua tindakan mereka diperiksa oleh tim hukum dan mereka memberi tahu otoritas pemerintah ketika menemukan ancaman terhadap keamanan.

Sejumlah individu dan kelompok, termasuk Renée DiResta dari Stanford Internet Observatory, telah mendorong untuk lebih banyak pengawasan ruang obrolan dan komunitas game, menganggapnya sebagai ancaman intelijen.

Beberapa jurnalis mendesak tindakan keras terhadap platform perpesanan pribadi dan bahwa kurangnya visibilitas penegakan hukum terhadap platform seperti Discord menjadi perhatian.

Selengkapnya: Lee Fang

Kelompok Peretas DeltaBoys Bangkit Kembali

by

DeltaBoys, sekelompok peretas yang beroperasi sejak Desember 2021, awalnya bergerak sebagai pialang basis data dan pelaku carding. Namun, pada Agustus 2022, operasi mereka berkembang menjadi defacement massal dan pasar “akses awal”, yang menyediakan webshell untuk situs web sensitif.

Untuk mendanai operasi mereka yang memiliki motif geopolitik, mereka membangun katalog beragam basis data yang baru saja diretas, “zero-day”, “exploit untuk kerentanan yang diketahui”, webshell, dan kartu kredit yang bocor untuk dijual.

DeltaBoys membuat saluran Telegram mereka pada 1 Desember 2021 untuk memonetisasi upaya peretasan mereka. Tidak lama kemudian terbukti bahwa pasar untuk basis data tertentu lebih kecil daripada pasar yang mencari akses domain awal. Para pelaku ancaman ini memposting set pertama webshell mereka untuk dijual pada Agustus 2022.

Akses webshell biasanya terjual sangat cepat di dark web: hal ini tergantung pada siapa yang menemukan kerentanan/konfigurasi yang salah terlebih dahulu, karena secara alami, pelaku ancaman tidak ingin membagikan korban mereka. Dalam kasus ini, 170 webshell terjual dalam waktu satu menit, yang menunjukkan permintaan akan data semacam itu.

DeltaBoys muntul dengan hanya melakukan 2 defacement pada tahun 2021, sedangkan pada bulan April 2023 saja, DeltaBoys telah melakukan defacement terhadap 59 situs web, dengan sebagian besar korban berasal dari Israel, Taiwan, Tiongkok, dan Spanyol.

Kelompok DeltaBoys dikenal menggunakan utilitas “bashupload”, yang memungkinkan pengguna mengunggah file untuk diakses nanti, dan juga memfasilitasi penggalian data. Selain itu, hanya 3 dari 88 vendor antivirus yang mengindikasikan domain ini sebagai berbahaya.

Selengkapnya: CYFIRMA

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

by

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi (Sumber: BleepingComputer)
Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Peretas negara China menginfeksi infrastruktur penting di seluruh AS dan GUAM

by

Sebuah grup peretasan pemerintah China telah memperoleh pijakan yang signifikan di dalam lingkungan infrastruktur kritis di seluruh AS dan Guam dan mencuri kredensial jaringan dan data sensitif sementara sebagian besar tetap tidak terdeteksi, Microsoft dan pemerintah dari AS dan empat negara lainnya mengatakan pada hari Rabu.

Grup tersebut, dilacak oleh Microsoft dengan nama Volt Typhoon, telah aktif setidaknya selama dua tahun dengan fokus pada spionase dan pengumpulan informasi untuk Republik Rakyat China, kata Microsoft. Untuk tetap diam-diam, para peretas menggunakan alat yang sudah terpasang atau dibangun ke dalam perangkat yang terinfeksi yang dikendalikan secara manual oleh penyerang daripada diotomatisasi, sebuah teknik yang dikenal sebagai “living off the land.”

Di antara industri yang terpengaruh adalah komunikasi, manufaktur, utilitas, transportasi, konstruksi, maritim, pemerintahan, teknologi informasi, dan pendidikan. Nasihat memberikan panduan untuk mendisinfeksi setiap jaringan yang telah disusupi.

selengkapnya : arstechnica.com

Malware Legion memperluas cakupan untuk menargetkan alat pemantauan AWS CloudWatch

by Leave a Comment

Pembaruan terbaru Legion, terutama penargetan AWS CloudWatch, mewakili evolusi yang mengkhawatirkan dalam kemampuan alat peretasan ini, kata Ani Chaudhuri, CEO Dasera. Chaudhuri mengatakan perkembangan ini menandakan perluasan cakupan penjahat dunia maya: mereka memanfaatkan server web yang salah konfigurasi untuk mencuri kredensial dan memperluas jangkauan mereka untuk memanipulasi layanan cloud.

Chaudhuri menjelaskan bahwa AWS CloudWatch beroperasi sebagai layanan pemantauan untuk sumber daya dan aplikasi cloud. Jika peretas mendapatkan akses tidak sah ke sana, mereka dapat mengganggu wawasan operasional, berpotensi menyebabkan gangguan yang signifikan atau bahkan pelanggaran.

Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, menambahkan bahwa saat organisasi memindahkan aplikasi dan sistem lama ke infrastruktur cloud, mereka masih berjuang dengan kesalahan konfigurasi yang mengekspos lingkungan cloud, menjadikan mereka sasaran empuk bagi penjahat dunia maya.

selengkapnya : scmagazine.com

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

by

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Blocked attacks (Wordfence)

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com