Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Infeksi Malware Android SpyNote Melonjak Setelah Source Code Leak

by

SpyNote (atau SpyMax) tiba-tiba mengalami peningkatan deteksi pada kuartal terakhir tahun 2022, yang dikaitkan dengan kebocoran kode sumber dari salah satu yang terbaru, yang dikenal sebagai ‘CypherRat.’

‘CypherRat’ menggabungkan kemampuan memata-matai SpyNote, seperti menawarkan akses jarak jauh, pelacakan GPS, dan pembaruan status dan aktivitas perangkat, dengan fitur trojan perbankan yang menyamar sebagai lembaga perbankan untuk mencuri kredensial akun.

Pelaku ancaman dengan cepat mengambil kode sumber malware dan meluncurkan kampanye mereka sendiri. Hampir seketika, varian khusus muncul yang menargetkan bank terkemuka seperti HSBC dan Deutsche Bank.

Beberapa bank yang ditargetkan oleh SpyNote (ThreatFabric)

Aktivitas ini diamati oleh analis ThreatFabric, yang memperingatkan tentang kemungkinan CypherRat menjadi ancaman yang lebih meluas.

Fitur malware SpyNote
Semua varian SpyNote yang beredar bergantung pada permintaan akses ke Layanan Aksesibilitas Android untuk diizinkan menginstal aplikasi baru, mencegat pesan SMS (untuk bypass 2FA), mengintai panggilan, dan merekam video dan audio di perangkat.

Aplikasi berbahaya meminta akses ke Layanan Aksesibilitas (ThreatFabric)

ThreatFabric mencantumkan yang berikut ini sebagai fitur “menonjol”:

Gunakan Camera API untuk merekam dan mengirim video dari perangkat ke server C2

  • GPS dan informasi pelacakan lokasi jaringan
  • Mencuri kredensial akun Facebook dan Google.
  • Gunakan Aksesibilitas (A11y) untuk mengekstrak kode dari Google Authenticator.
  • Gunakan keylogging didukung oleh layanan Aksesibilitas untuk mencuri kredensial perbankan.
  • Untuk menyembunyikan kode jahatnya dari pengawasan, versi terbaru SpyNote menggunakan pengaburan string dan menggunakan pengemas komersial untuk membungkus APK.

Selain itu, semua informasi yang diambil dari SpyNote ke server C2-nya disamarkan menggunakan base64 untuk menyembunyikan host.

Pelaku ancaman saat ini menggunakan CypherRat sebagai trojan perbankan, tetapi malware tersebut juga dapat digunakan sebagai spyware dalam operasi spionase bertarget volume rendah.

pengguna disarankan untuk sangat berhati-hati selama penginstalan aplikasi baru, terutama jika berasal dari luar Google Play, dan menolak permintaan untuk memberikan izin untuk mengakses Layanan Aksesibilitas.

Sayangnya, meskipun Google berupaya terus-menerus untuk menghentikan penyalahgunaan API Layanan Aksesibilitas oleh malware Android, masih ada cara untuk melewati batasan yang diberlakukan.

sumber : bleepingcomputer

Anti-Prediksi Cybersecurity untuk Tahun 2023

by

Anti-prediksi untuk industri keamanan siber 2023:

The Threat Landscape is Changing
Pada tahun 2023, setiap orang akan mengalami kualitas dan kuantitas serangan yang sama seperti yang kita alami pada tahun 2022. Teknologi, personel, dan praktik dapat berubah sehingga menyebabkan kita memandang keamanan secara berbeda. Namun, ancaman sebenarnya yang kita hadapi sebagian besar akan tetap sama.

Eksekutif Akan Mulai Menanggapi Keamanan dengan Serius
Bohong.

Alasan kelambanan eksekutif sederhana, ada konsekuensi minimal untuk tidak bertanggung jawab. Berapa banyak CEO yang kehilangan pekerjaan karena pelanggaran data? Satu dua? Jumlahnya sangat rendah. Meskipun insiden ini mungkin memiliki dampak finansial yang signifikan, dampak tersebut dapat dengan mudah diabaikan dan disalahkan pada CISO atau staf keamanan lainnya.

Perusahaan akan Berkomitmen pada Pertahanan Keamanan yang Lebih Kuat
Bukan berarti para eksekutif sama sekali tidak peduli dengan keamanan. Mereka peduli sampai pada titik yang tepat bahwa mereka setara dengan orang lain. Ini adalah pendekatan yang “cukup baik” untuk keamanan siber.

Staf Keamanan akan Melihat Peningkatan
Kemungkinan tidak.

Setiap tahun, dengan ketepatan absolut dari jam atom, ada banjir blog keamanan yang dengan bangga menyatakan ini akan menjadi tahun keamanan menyelesaikan masalah kepegawaian. Solusinya biasanya mengharuskan berlangganan produk mereka.

Dan dengan ketelitian yang lebih tinggi, masalahnya tetap tidak terselesaikan setahun kemudian.

Kesimpulan
Saya memperkirakan pada tahun 2023 keamanan siber akan membuat banyak kesalahan yang sama. Saya juga memprediksi, beberapa orang akan mulai melihat masa depan yang lebih cerah. Mereka akan menjadi agen perubahan. Mereka mungkin tidak disukai dan bahkan ditakuti. Namun, mereka akan membuat perbedaan.

selengkapnya : andrewplato.medium

Raspberry Robin Worm Menetaskan Peningkatan yang Sangat Kompleks

by

Kelompok peretas menggunakan versi baru kerangka kerja Raspberry Robin untuk menyerang lembaga keuangan berbasis bahasa Spanyol dan Portugis

Raspberry Robin adalah worm backdoor yang menginfeksi PC melalui perangkat USB Trojan sebelum menyebar ke perangkat lain di jaringan target, bertindak sebagai loader untuk malware lainnya.

Versi Malware yang Ditingkatkan
Dalam iterasi terbaru, mekanisme perlindungan malware telah ditingkatkan untuk menerapkan setidaknya lima lapis perlindungan sebelum kode jahat diterapkan, termasuk pengemas tahap pertama untuk mengaburkan kode tahap serangan selanjutnya diikuti oleh pemuat kode shell.

Penelitian juga menunjukkan operator Raspberry Robin mulai mengumpulkan lebih banyak data tentang korban mereka daripada yang dilaporkan sebelumnya.

Dalam kasus kedua, muatan jahat dihosting di server Discord, yang digunakan oleh pelaku ancaman untuk mengirimkan malware ke mesin korban, untuk menghindari deteksi dan melewati kontrol keamanan.

Raspberry Robin Beraksi
Ancamannya bertingkah, mengikuti pola muncul, menghilang, lalu muncul kembali dengan kemampuan yang ditingkatkan secara signifikan.

Perusahaan keamanan Red Canary pertama kali menganalisis dan menamai Raspberry Robin pada bulan Mei, mencatat bahwa itu menginfeksi target melalui drive USB berbahaya dan menyebar ke titik akhir lainnya – tetapi kemudian tetap tidak aktif.

sumber : darkreading

200 Juta Alamat Email Pengguna Twitter Diduga Bocor Secara Online

by

Kebocoran data yang digambarkan berisi alamat email untuk lebih dari 200 juta pengguna Twitter telah dipublikasikan di forum peretas populer seharga sekitar $2. BleepingComputer telah mengonfirmasi validitas banyak alamat email yang tercantum dalam kebocoran tersebut.

Sejak 22 Juli 2022, pelaku ancaman dan pengumpul pelanggaran data telah menjual dan mengedarkan set data besar dari profil pengguna Twitter tergores yang berisi data pribadi (nomor telepon dan alamat email) dan publik di berbagai forum peretas online dan pasar kejahatan dunia maya.

200 juta baris profil Twitter dirilis secara gratis
Hari ini, seorang aktor ancaman merilis kumpulan data yang terdiri dari 200 juta profil Twitter di forum peretasan yang Dilanggar untuk delapan kredit mata uang forum, bernilai sekitar $2.

Kumpulan data ini diduga sama dengan kumpulan 400 juta yang beredar pada bulan November tetapi dibersihkan agar tidak mengandung duplikat, mengurangi total menjadi sekitar 221.608.279 baris.

Penjualan perdana data Facebook pada Juni 2020

Data dirilis sebagai arsip RAR yang terdiri dari enam file teks untuk ukuran gabungan data sebesar 59 GB.

RAR arsip mengansung leaked data twitter

Setiap baris dalam file mewakili pengguna Twitter dan datanya, yang mencakup alamat email, nama, nama layar, jumlah pengikut, dan tanggal pembuatan akun, seperti yang ditunjukkan di bawah ini.

contoh data leaked twitter

Kumpulan datanya jauh dari lengkap, karena ada banyak pengguna yang tidak ditemukan dalam kebocoran tersebut.

Ada atau tidaknya informasi Anda dalam kumpulan data ini sangat bergantung pada apakah alamat email Anda terungkap dalam pelanggaran data sebelumnya.

Pencakar kemudian memasukkan daftar ini ke dalam bug API untuk melihat apakah nomor atau alamat email Anda dikaitkan dengan ID Twitter yang sesuai dengan email atau nomor telepon tersebut.

Jika alamat email Anda hanya digunakan di Twitter atau tidak dalam banyak pelanggaran data, itu tidak akan dimasukkan ke dalam bug API dan ditambahkan ke kumpulan data ini.

sumber : bleepingcomputer

Penipu Cina, RedZei, Menargetkan Pelajar Cina di Inggris Raya

by

Pelajar internasional Tionghoa di Inggris telah menjadi sasaran scammers berbahasa Mandarin yang gigih selama lebih dari setahun sebagai bagian dari aktivitas yang dijuluki RedZei (alias RedThief).

RedZei telah memilih target mereka dengan hati-hati, meneliti, dan menyadari bahwa itu adalah kelompok korban kaya yang siap untuk dieksploitasi.

Operasi yang dilancarkan penipu cukup cerdik yaitu menelpon calon korban dilakukan sekali atau dua kali sebulan menggunakan nomor telepon Inggris yang unik, kemudian meninggalkan pesan suara otomatis yang tidak biasa jika pangginlan tak dijawab.

Pesan suara meniru perusahaan seperti Bank of China dan China Mobile serta kedutaan besar China untuk merekayasa sosial para siswa agar membagikan informasi pribadi mereka.

Thomas, menunjukkan keahlian yang sangat teliti yang digunakan oleh para scammer, yaitu pelaku ancaman berganti-ganti SIM dari beberapa operator seluler.

Kampanye RedZei terindikasi dimulai sejak Agustus 2019, dengan laporan dari The Guardian yang merinci penipuan visa yang menipu pelajar China agar mengeluarkan uang dalam jumlah besar untuk menghindari deportasi.

Penipu Cina RedZei

Selengkapnya: The Hacker News

Lebih Dari 60.000 Server Exchange Rentan Terhadap Serangan ProxyNotShell

by

Lebih dari 60.000 server Microsoft Exchange yang terpapar secara online belum ditambal terhadap kerentanan eksekusi kode remote (RCE) CVE-2022-41082, salah satu dari dua kelemahan keamanan yang ditargetkan oleh eksploitasi ProxyNotShell.

Menurut sebuah organisasi nirlaba yang didedikasikan untuk meningkatkan keamanan internet, Shadowserver Foundation, hampir 70.000 server Microsoft Exchange rentan terhadap serangan ProxyNotShell menurut informasi versi (header x_owa_version server).

Namun, data terbaru menunjukkan penurunan jumlah server Exchange yang rentan dari 83.946 pada pertengahan Desember menjadi 60.865 pada tanggal 2 Januari.

Exchange server rentan terhadap serangan ProxyNotShell (Shadowserver Foundation)

Kedua bug keamanan tersebut dilacak sebagai CVE-2022-41082 dan CVE-2022-41040 dan secara kolektif dikenal sebagai ProxyNotShell, memengaruhi Exchange Server 2013, 2016, dan 2019.

Jika berhasil dieksploitasi, penyerang dapat meningkatkan hak istimewa dan mendapatkan eksekusi kode arbitrer atau jarak jauh pada server yang disusupi.

Perusahaan Intelijen Ancaman, GreyNoise, telah melacak eksploitasi ProxyNotShell dan memberikan informasi tentang aktivitas pemindaian ProxyNotShell dan daftar alamat IP yang terkait dengan serangan tersebut.

Peta server Exchange belum ditambal terhadap ProxyNotShell (Shadowserver Foundation)

Melindungi server Exchange dari serangan masuk adalah dengan menerapkan tambalan ProxyNotShell yang dirilis oleh Microsoft pada bulan November.

Aktor ancaman ransomware Play saat ini menggunakan rantai eksploit baru untuk mem-bypass mitigasi penulisan ulang URL ProxyNotShell dan mendapatkan eksekusi kode jarak jauh pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan intelijen ancaman, Prodaft, memindai dan mengeksploitasi berbagai eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa, seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

Selengkapnya: BleepingComputer

Serangan Flipper Zero Phishing yang Menargetkan Komunitas Infosec

by

Kampanye phishing baru memanfaatkan meningkatnya minat anggota komunitas keamanan terhadap Flipper Zero untuk mencuri informasi pribadi dan mata uang kripto mereka.

Flipper Zero adalah alat keamanan siber multi-fungsi portabel untuk penguji pena dan penggemar peretasan. Alat ini memungkinkan peneliti untuk mengutak-atik berbagai perangkat keras dengan mendukung emulasi RFID, kloning kunci akses digital, komunikasi radio, NFC, inframerah, Bluetooth, dan banyak lagi.

Pengembang meluncurkan perangkat setelah kampanye Kickstarter 2020 yang sangat sukses, yang melampaui target pendanaan sebesar $60.000 sebanyak 81 kali, setelah menerima $4.882.784 dalam janji.

Menargetkan peneliti keamanan siber
Aktor ancaman sekarang memanfaatkan minat besar pada Flipper Zero dan kurangnya ketersediaannya dengan membuat toko palsu yang berpura-pura menjualnya.

Kampanye phishing ini ditemukan oleh analis keamanan Dominic Alvieri, yang melihat tiga akun Twitter palsu dan dua toko Flipper Zero palsu.

Sekilas, salah satu akun Twitter palsu itu tampak memiliki pegangan yang sama dengan akun resmi Flipper Zero. Namun, pada kenyataannya, ia menggunakan huruf besar “I” pada namanya, yang terlihat seperti huruf “l” di Twitter.

Akun Twitter palsu (kiri) Akun Twitter asli (kanan)
Flipper Zero shop palsu

Tujuannya adalah membawa pembeli ke halaman checkout phishing, di mana mereka diminta untuk memasukkan alamat email, nama lengkap, dan alamat pengiriman.

Para korban kemudian diberikan pilihan untuk membayar menggunakan cryptocurrency Ethereum atau Bitcoin dan diberitahu bahwa pesanan mereka akan diproses dalam waktu 15 menit setelah penyerahan.

Pelaku ancaman sejak itu beralih menggunakan faktur plisio.net untuk menerima pembayaran crypto, yang sekarang termasuk Litecoin. Namun, faktur tersebut tidak berfungsi, yang menyatakan bahwa pesanan telah kedaluwarsa.

sangat penting untuk mencari promosi ini dan toko yang mengklaim ketersediaan produk langsung dan hanya membeli dari toko resmi.

sumber : bleepingcomputer

Kampanye Malware BitRAT Menggunakan Data Bank Curian Untuk Phishing

by Leave a Comment

Pelaku ancaman di balik kampanye malware baru-baru ini telah menggunakan informasi yang dicuri dari nasabah bank di Kolombia sebagai umpan dalam email phishing yang dirancang untuk menginfeksi target dengan trojan BitRAT, menurut perusahaan keamanan cloud Qualys.

Infrastruktur bank koperasi Kolombia yang dirahasiakan telah dibajak oleh penyerang saat menyelidiki umpan BitRAT dalam serangan phishing aktif. Sejumlah 418.777 catatan berisi data sensitif pelanggan dicuri dari server yang dilanggar.

Qualys juga menemukan bukti bahwa penyerang telah mengakses data pelanggan, termasuk log yang menunjukkan bahwa mereka mencari bug injeksi SQL menggunakan alat sqlmap.

Belum ada informasi yang dicuri dari server bank Kolombia yang ditemukan di web yang dipantau oleh Qualys.

Malware dikirim ke komputer korban melalui file Excel berbahaya yang menjatuhkan dan mengeksekusi file INF, disandikan dalam makro yang disamarkan, dibundel dengan lampiran.

Umpan BitRAT Excel (Qualys)

Pada tahap terakhir serangan, malware RAT memindahkan pemuatnya ke folder startup Windows untuk mendapatkan persistensi dan memulai ulang secara otomatis setelah sistem dinyalakan ulang.

Setidaknya Agustus 2020, BitRAT telah dijual sebagai malware siap pakai di pasar web gelap dan forum kejahatan dunia maya dengan harga $20 untuk akses seumur hidup.

BitRAT dapat digunakan untuk berbagai tujuan jahat, seperti merekam video dan audio, pencurian data, serangan DDoS, penambangan mata uang kripto, dan mengirimkan muatan tambahan.

Selengkapnya: BleepingComputer