Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

by

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.


Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Korea Utara Meretas Hampir 900 Pakar Kebijakan Luar Negeri Korea Selatan, Mencari Uang Tebusan

by

Otoritas Korea Selatan mengatakan serangan itu mungkin telah menipu beberapa korban untuk masuk ke situs web palsu, memperlihatkan detail login mereka kepada penyerang. Badan Intelijen Nasional Korea Selatan yakin Pyongyang telah mencuri sekitar US$1,72 miliar mata uang kripto di seluruh dunia sejak 2017.

Badan Kepolisian Nasional Korea Selatan mengatakan bahwa Korea Utara melakukan serangan siber terhadap setidaknya 892 ahli kebijakan luar negeri dari Korea Selatan untuk mencuri data pribadi dan daftar email mereka serta melakukan serangan ransomware terhadap mal online.

Peretas melakukan penyerangan dimulai pada awal bulan April, menargetkan pakar dan profesor think tank, dengan mengirimkan email phishing tombak dari beberapa akun yang menyamar sebagai tokoh di Korea Selatan. Email berisi tautan situs web palsu atau lampiran yang membawa virus yang dipicu saat dibuka.

Untuk pertama kalinya, polisi mendeteksi peretas Korea Utara menggunakan ransomware, yang mengenkripsi file perangkat target dan meminta uang tebusan untuk membukanya. Peretas juga menyerang pusat perbelanjaan dengan kerentanan keamanan siber.

Polisi dan Badan Intelijen Nasional (NIS) memperkirakan bahwa aktivitas peretas Pyongyang akan berlanjut dan mendesak orang-orang untuk meningkatkan keamanan akun email dan basis data pribadi lainnya.

Pada 30 November lalu, NIS memperkenalkan pusat kerja sama keamanan siber baru agar penyedia keamanan siber pemerintah dan swasta dapat bekerja sama untuk melindungi dari serangan siber sepanjang waktu.

Paik Jong-wook, salah satu wakil presiden NIS, mengatakan bahwa peretas yang didukung negara seperti Korea Utara ini, akan melanjutkan serangan mereka ke Seoul untuk mencuri teknologi Korea Selatan terkait dengan industri nuklir, luar angkasa, semikonduktor, pertahanan nasional, dan strategi bersama dengan AS melawan Pyongyang.

Selengkapnya: South China Morning Post

Malware Pencuri Info Baru Menginfeksi Pembajak Perangkat Lunak Melalui Situs Crack Palsu

by

Malware pencuri informasi baru bernama ‘RisePro’ sedang didistribusikan melalui situs crack palsu yang dioperasikan oleh layanan distribusi malware PrivateLoader pay-per-install (PPI).

RisePro dirancang untuk membantu penyerang mencuri kartu kredit, kata sandi, dan dompet kripto korban dari perangkat yang terinfeksi.

Flashpoint melaporkan bahwa pelaku ancaman telah mulai menjual ribuan log RisePro (paket data yang dicuri dari perangkat yang terinfeksi) di pasar web gelap Rusia.

Detail dan kemampuan RisePro

RisePro adalah malware C++ yang, menurut Flashpoint, mungkin didasarkan pada malware pencuri kata sandi Vidar, karena menggunakan sistem dependensi DLL tertanam yang sama.

DLL dijatuhkan di direktori kerja malware (Flashpoint)

RisePro berupaya mencuri berbagai macam data dari aplikasi, browser, dompet crypto, dan ekstensi browser, seperti yang tercantum di bawah ini:

  • Web browsers: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
  • Browser extensions: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
  • Software: Discord, battle.net, Authy Desktop
  • Cryptocurrency assets: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Link to PrivateLoader
PrivateLoader adalah layanan distribusi malware bayar per pemasangan yang disamarkan sebagai crack perangkat lunak, pembuat kunci, dan modifikasi game.

Pelaku ancaman memberikan sampel malware yang ingin mereka distribusikan, kriteria penargetan, dan pembayaran kepada tim PrivateLoader, yang kemudian menggunakan jaringan situs web palsu dan yang diretas untuk mendistribusikan malware.

Dengan tambahan RisePro, Sekoia sekarang melaporkan menemukan kemampuan loader di malware baru, juga menyoroti bahwa bagian kodenya ini memiliki banyak tumpang tindih dengan PrivateLoader.

Kesamaannya termasuk teknik kebingungan string, kebingungan pesan HTTP, dan pengaturan HTTP dan port.

Code similarity of 30% in HTTP port setup (Sekoia)

Salah satu skenario yang mungkin terjadi adalah orang yang sama di belakang PrivateLoader mengembangkan RisePro.

sumber : bleeping computer

OSV-Scanner: Pemindai kerentanan gratis untuk perangkat lunak sumber terbuka

by

“OSV.dev memungkinkan semua ekosistem sumber terbuka dan basis data kerentanan yang berbeda untuk menerbitkan dan menggunakan informasi dalam satu format yang sederhana, tepat, dan dapat dibaca mesin,” jelas Rex Pan, seorang insinyur perangkat lunak di Tim Keamanan Sumber Terbuka Google.

“Secara keseluruhan OSV.dev sekarang mendukung 16 ekosistem, termasuk semua ekosistem bahasa utama, distribusi Linux (Debian dan Alpine), serta Android, Kernel Linux, dan OSS-Fuzz. Ini berarti database OSV.dev sekarang menjadi database kerentanan sumber terbuka terbesar dari jenisnya, dengan total lebih dari 38.000 penasihat dari 15.000 penasihat setahun yang lalu.”

OSV-Scanner berfungsi sebagai frontend ke database OSV.dev.

Pertama melalui file kunci proyek (file yang menyimpan informasi grafik dependensi), SBOM, dan direktori git untuk hash komit terbaru, kemudian mencantumkan dependensi transitif dan versi yang digunakan dalam proyek pengembang, dan terakhir membandingkan daftar tersebut dengan OSV basis data (melalui API OSV.dev).

OSV-Scanner dapat diinstal di Linux, macOS atau Windows. Itu juga telah terintegrasi dalam pemeriksaan Kerentanan OpenSSF Scorecard.

“Untuk membuat daftar dependensi, Anda dapat mengarahkan OSV-Scanner ke direktori proyek Anda, atau secara manual meneruskan jalur ke file manifes individual,” kata Google. Alat ini dapat dikonfigurasi untuk mengabaikan kerentanan tertentu.

Google berencana untuk mengubah OSV-Scanner menjadi alat manajemen kerentanan lengkap dengan mengintegrasikan lebih jauh dengan alur kerja pengembang (melalui tindakan CI mandiri), menambahkan fitur seperti remediasi otomatis kerentanan dengan membuat peningkatan versi minimal, dan dengan meningkatkan dukungan kerentanan C/C++ .

Kilang Minyak Besar di Negara NATO, Target Peretas yang Didukung Kremlin

by

Saat invasi Rusia ke Ukraina berlanjut, peretas negara itu memperluas target mereka.

Salah satu kelompok peretas paling aktif di Kremlin yang menargetkan Ukraina, baru-baru ini mencoba meretas perusahaan penyulingan minyak besar yang berlokasi di negara NATO.

Meskipun gagal, serangan pada 30 Agustus ini menandakan bahwa kelompok tersebut berusaha memperluas pengumpulan intelijennya seiring dengan berlanjutnya invasi Rusia ke negara tetangganya. Grup peretasan telah dikaitkan oleh Dinas Keamanan Ukraina dengan Dinas Keamanan Federal Rusia.


Menatap Industri Energi
Dalam 10 bulan terakhir, Unit 42 memetakan lebih dari 500 domain baru dan 200 sampel serta remah roti lain yang ditinggalkan Trident Ursa dalam kampanye phishing tombak yang mencoba menginfeksi target dengan malware pencuri informasi.
Peneliti perusahaan menilai bahwa sampel menunjukkan Trident Ursa sedang berusaha meningkatkan pengumpulan intelijen dan akses jaringan mereka terhadap sekutu Ukraina dan NATO.

Beberapa nama file yang digunakan dalam serangan yang gagal adalah MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar, dan daftar hal-hal yang diperlukan untuk penyediaan bantuan kemanusiaan militer ke Ukraina.lnk.

Direktur Siber Badan Keamanan Nasional, Rob Joyce, mengatakan prihatin dengan serangan siber yang signifikan dari Rusia, khususnya pada sektor energi global, menurut CyberScoop.

Tinjauan tahunan NSA mencatat bahwa Rusia telah mengeluarkan setidaknya tujuh malware penghapus berbeda yang dirancang untuk menghancurkan data secara permanen.

Perdana Menteri Norwegia, Jonas Gahr Støre, memperingatkan bahwa Rusia merupakan ancaman yang nyata dan serius terhadap industri minyak dan gas di Eropa Barat karena negara tersebut berusaha untuk mematahkan keinginan sekutu Ukraina.

Meski sederhana, teknik peretasan yang Trident Ursa cukup efektif. Berbagai cara digunakan untuk menyembunyikan alamat IP dan tanda tangan lain dari infrastrukturnya, dokumen phishing dengan tingkat deteksi rendah di antara layanan anti-phishing, dan dokumen HTML dan Word yang berbahaya.

Salah satu pernyataan peneliti Unit 42 yaitu untuk semua alasan yang ada, Rusia tetap menjadi ancaman signifikan bagi Ukraina, yang harus dilawan secara aktif oleh Ukraina dan sekutunya.

Selengkapnya: arsTECHNICA

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Peretas Mencuri Brankas Kata Sandi LastPass Terenkripsi, Tim The Verge Baru Saja Mendengarnya

by

Bulan lalu, perusahaan mengumumkan bahwa pelaku ancaman telah mengakses elemen tertentu dari informasi pelanggan. Sama seperti banyak pekerja AS yang pergi untuk liburan, perusahaan mengungkapkan itu berarti kata sandi terenkripsi mereka.

LastPass adalah salah satu aplikasi penyimpan dan pengaturan kata sandi yang populer. Baru-baru in LastPass mengumumkan pelanggaran data, yaitu peretas dapat menyalin cadangan data brankas pelanggan. LastPass berjanji untuk menyimpan semua kata sandi di satu tempat aman.

Pengguna yang masih memiliki akun untuk menyimpan kata sandi dan informasi sign-in di LastPass, kemungkinan besar sudah di tangan peretas. Perusahaan memastikan bahwa kata sandi akan aman jika tersusun dari kata sandi utama yang kuat sesuai anjuran dan secara berkala mengubah kata sandi situs web yang telah disimpan.

Pada bulan Agustus, LastPass mendapatkan kabar bahwa data pengguna telah diakses, namun tidak mempercayainya. Kemudian pada bulan November, LastPass mendeteksi gangguan dan tampaknya mengandalkan informasi yang dicuri dalam insiden Agustus.

CEO LastPass, Karim Toubba, mengatakan bahwa aktor jahat hanya bisa mendapatkan data terenkripsi dan karena itu, kata sandi utama haruslah bagus. Sangat sulit untuk mencoba memaksa menebak kata sandi utama tetapi tetap dapat dicoba untuk membukanya dengan menebak kata sandi acak atau brute-forcing. LastPass mengatakan tidak pernah memiliki akses ke kata sandi utama.

Data yang tidak terenkripsi dapat memberikan peretas petunjuk tentang situs web mana yang terdapat akun si target. Jika peretas menargetkan pengguna tertentu, hal itu dapat menjadi informasi kuat jika digabungkan dengan phishing atau jenis serangan lainnya.

Pengumuman ini muncul tiga hari sebelum natal, saat dimana banyak departemen IT akan berlibur dan orang cenderung kurang memperhatikan pengelolaan pembaruan kata sandi mereka.

Menurut Toubba, perusahaan mengambil segala macam tindakan pencegahan sebagai akibat dari pelanggaran awal dan pelanggaran sekunder yang mengungkap cadangan, termasuk menambahkan lebih banyak pencatatan untuk mendeteksi aktivitas mencurigakan di masa mendatang, membangun kembali lingkungan pengembangannya, merotasi kredensial, dan banyak lagi.

Selengkapnya: The Verge+