Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Apple mengumumkan rencana untuk mengenkripsi cadangan iCloud

by

apel mengumumkan pada hari Rabu bahwa mereka berencana untuk mengizinkan pengguna mengenkripsi jenis data iCloud tambahan di servernya, termasuk cadangan lengkap, foto, dan catatan.

Fitur tersebut, yang disebut Perlindungan Data Lanjutan, akan mencegah Apple melihat konten dari beberapa data pengguna paling sensitif yang disimpan di servernya dan akan membuat Apple tidak mungkin menyediakan konten cadangan terenkripsi kepada penegak hukum.

Sementara Apple sebelumnya telah mengenkripsi banyak data yang disimpannya di server, seluruh cadangan perangkat yang mencakup pesan teks, kontak, dan data penting lainnya tidak dienkripsi ujung ke ujung, dan Apple sebelumnya memiliki akses ke konten cadangan.

Aparat penegak hukum di seluruh dunia umumnya menentang enkripsi karena memungkinkan tersangka untuk “menjadi gelap” dan menolak akses penegakan hukum ke bukti potensial yang sebelumnya dapat mereka akses di bawah tingkat keamanan yang lebih rendah.

Pada tahun 2018, CEO Apple Tim Cook mengatakan dalam sebuah wawancara bahwa salah satu faktor dalam pengambilan keputusan Apple seputar pencadangan iCloud terenkripsi ujung ke ujung adalah penggunanya mengharapkan Apple dapat membantu memulihkan data mereka. Jika pengguna lupa kata sandinya, dan mereka mengaktifkan Perlindungan Data Lanjutan, Apple tidak akan dapat memulihkan akun karena tidak memiliki kunci enkripsi yang diperlukan.

Apple juga mengumumkan dua fitur keamanan lainnya pada hari Rabu. Pengguna akan segera dapat menggunakan kunci fisik sebagai perlindungan faktor kedua untuk login ID Apple. Pembaruan lain memungkinkan pengguna menghadapi ancaman keamanan yang signifikan untuk mengonfirmasi bahwa pesan teks tidak dicegat.

sumber : cnbc

Telegram Menjual Nomor Telepon Palsu untuk Crypto

by

Telegram telah memfasilitasi penjualan nama pengguna senilai lebih dari $50 juta dalam lelang crypto, dan sekarang ingin melelang nomor telepon palsu untuk memungkinkan akses ke platform.

Telegram mengatakan itu memungkinkan untuk mengakses aplikasi dengan “menggunakan nomor anonim bertenaga blockchain” yang sekarang dilelang untuk crypto di platform crypto Fragment perusahaan sendiri. Meskipun pengguna dapat mengakses Telegram dengan nomor telepon terenkripsi, itu sekarang memberi pengguna aplikasi cara untuk melakukannya secara lebih anonim, selama mereka bersedia membuka dompet crypto mereka.

Perlu dicatat bahwa pasar Fragmen tidak tersedia di A.S. Setelah terhubung ke layanan dengan VPN, ini menunjukkan beberapa nomor hanya di bawah $40 dengan enam hari tersisa untuk menawar, sementara nomor lain, seperti 888-8 -888, terjual lebih dari $61.850 dengan dua minggu tersisa dalam proses penawaran. Masalahnya, Anda tidak dapat menggunakan nomor-nomor itu untuk apa pun selain mendaftar ke Telegram, yang membuat gagasan “lelang” menjadi lebih gila.

Telegram telah secara agresif memonetisasi platformnya selama setahun terakhir untuk menghasilkan lebih banyak uang dari 700 juta pengguna aktif globalnya. Pada hari Selasa, CEO Telegram Pavel Durov mengatakan di saluran resminya bahwa perusahaannya memiliki lebih dari 1 juta orang yang membayar Telegram Premium, yang dirilis hanya lima bulan lalu, meskipun pelanggan premium hanya mewakili “sebagian kecil” dari keseluruhan pendapatan mereka.

Fragmen juga merupakan tempat Telegram menjual nama pengguna populer untuk mendapatkan sedikit uang kripto tambahan. Tampaknya Telegram dan kecintaannya yang baru terhadap crypto tidak cocok dengan regulator AS, seperti yang telah terbukti di masa lalu.

Pada 30 November, CEO mengklaim di halamannya bahwa Fragment telah menjual nama pengguna senilai $50 juta dalam waktu kurang dari sebulan. Dia mengatakan dia memiliki tujuan untuk menambahkan dompet kripto dan pertukaran kripto yang “terdesentralisasi” ke dalam platform Fragmen, tampaknya mengabaikan apa yang terjadi terakhir kali ketika perusahaannya dipukul terbalik oleh SEC. Meskipun dunia crypto telah diguncang oleh korupsi yang dirinci oleh ledakan pertukaran crypto FTX, Durov secara terbuka menyerukan manfaat “desentralisasi” dalam crypto dan bagaimana teknologi blockchain “akhirnya harus dapat memenuhi misi intinya – memberikan kekuasaan kembali kepada rakyat.”

sumber : gizmodo

Samsung Galaxy S22 diretas dua kali pada hari pertama Pwn2Own Toronto

by

Para kontestan telah meretas smartphone Samsung Galaxy S22 dua kali selama hari pertama kompetisi peretasan Pwn2Own Toronto 2022, edisi ke-10 dari acara yang berfokus pada konsumen.

Kontestan lain, Chim, juga mendemonstrasikan eksploitasi sukses yang menargetkan Samsung Galaxy S22 dan mampu melakukan serangan validasi masukan yang tidak tepat dan menghasilkan $25.000 (50% dari hadiah untuk putaran kedua penargetan perangkat yang sama) dan 5 poin Master of Pwn.

“Untuk putaran kedua dan selanjutnya pada setiap target, semua pemenang lainnya akan menerima 50% dari paket hadiah, namun mereka tetap akan mendapatkan poin Master of Pwn penuh.”

Menurut aturan kontes, dalam kedua kasus tersebut, perangkat Galaxy S22 menjalankan sistem operasi Android versi terbaru dengan semua pembaruan yang tersedia terpasang.

Selama hari pertama kompetisi ini, kontestan juga berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di printer dan router dari berbagai vendor, termasuk Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology, dan HP.

Kontes diperpanjang hingga empat hari
Selama acara peretasan Pwn2Own Toronto 2022 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peneliti keamanan dapat menargetkan ponsel, hub otomasi rumah, printer, router nirkabel, penyimpanan yang terhubung ke jaringan, speaker cerdas, dan perangkat lain, semuanya aktif sampai saat ini dan dalam konfigurasi default mereka.

Mereka dapat memenangkan hadiah tertinggi dalam kategori ponsel, dengan hadiah uang tunai hingga $200.000 untuk meretas smartphone Google Pixel 6 dan Apple iPhone 13.

Meretas perangkat Google dan Apple juga dapat memberikan bonus $50.000 jika eksploit dijalankan dengan hak istimewa tingkat kernel, menjadikan penghargaan maksimum untuk satu tantangan menjadi total $250.000 untuk rantai eksploitasi penuh dengan akses tingkat kernel.

Pwn2Own Toronto 2022 – Papan peringkat hari pertama (ZDI)

sumber : bleeping computer

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

by

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Pasar web gelap otomatis menjual akun email perusahaan seharga $2

by

Pasar web gelap menjual alamat email korporat yang dicuri dengan harga serendah $2 untuk memenuhi permintaan yang meningkat dari peretas yang menggunakannya untuk business email compromise dan serangan phishing atau akses awal ke jaringan.

Analis di perusahaan intelijen siber Israel KELA telah mengikuti tren ini dengan cermat, melaporkan setidaknya 225.000 akun email dijual di pasar bawah tanah.

Toko email web terbesar adalah Xleet dan Lufix, mengklaim menawarkan akses ke lebih dari 100 ribu akun email perusahaan yang dilanggar, dengan harga berkisar antara $2 dan $30.

Biasanya, akun ini dicuri melalui peretasan kata sandi (brute-forcing) atau isian kredensial, kredensialnya dicuri melalui phishing, atau dibeli dari penjahat dunia maya lainnya.

Peretas menggunakan akses mereka ke akun email perusahaan dalam serangan yang ditargetkan seperti business email compromise (BEC), rekayasa sosial, spear-phishing, dan infiltrasi jaringan yang lebih dalam.

Penjualan akses email perusahaan tetap stabil di ruang kejahatan dunia maya selama beberapa tahun terakhir, dengan pelaku ancaman di semua forum peretasan utama menjual “daftar kombo” email untuk mengakses berbagai perusahaan.

Daftar kombo dijual di forum ‘Breached’ (KELA)

Dalam kasus profil tinggi baru-baru ini, aktor ransomware ‘Everest’ diduga menawarkan akses ke akun email perusahaan manufaktur kedirgantaraan seharga $15.000.

Baik penawaran massal maupun penawaran yang dikuratori melibatkan proses negosiasi yang membosankan dengan penjual dan mengambil risiko atas validitas klaim. Pada saat yang sama, permintaan email korporat terus meningkat.

Hal tersebut menciptakan kebutuhan akan toko email web otomatis seperti Xleet, Odin, Xmina, dan Lufix, yang memungkinkan penjahat dunia maya dengan mudah membeli akses ke akun email pilihan mereka.

Sistem checker yang tergabung pada keempat toko (KELA)

Penawaran paling menarik adalah akun Office 365, yang merupakan hampir setengah dari semua webmail yang terdaftar, diikuti oleh penyedia hosting seperti cPanel, GoDaddy, dan Ionos.

Penjual di toko-toko ini tidak menggunakan nama samaran tetapi bersembunyi di balik sistem penyamaran dengan memberi mereka nomor. Odin menawarkan detail lebih lanjut tentang penjual, seperti jumlah barang yang terjual, angka penjualan total, dan peringkat pengguna.

Odin dan Xleet juga mengklarifikasi bagaimana webmail itu bersumber, dengan kategori termasuk “diretas”, “diretas”, “log”, atau “dibuat”. Namun, mayoritas (98%) di Xleet “diretas” atau “diretas”.

“Log” adalah kredensial email yang dicuri oleh malware pencuri info, sementara “dibuat” adalah akun email baru yang dibuat oleh penyusup jaringan di perusahaan yang dilanggar menggunakan akun administrator yang disusupi.

Karena sebagian besar email web yang ditawarkan telah diretas atau diretas, menggunakan kata sandi yang kuat (lebih panjang), pengaturan ulang kata sandi secara berkala dan melatih personel untuk mengidentifikasi email phishing akan membantu mengurangi ancaman ini secara signifikan.

Sumber: Bleeping Computer

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

Pasar Malware Infostealer Meledak, Saat Kelelahan MFA Terjadi

by

Aktor jahat menemukan keberhasilan dalam menyebarkan malware pencuri informasi (infostealer), menggabungkan kredensial yang dicuri dan rekayasa sosial untuk melakukan pelanggaran profil tinggi dan memanfaatkan serangan kelelahan otentikasi multifaktor (MFA).

Pasar untuk kredensial yang dikompromikan juga berkembang, menurut laporan tersebut, yang melihat secara mendalam situs pasar Rusia yang digunakan oleh grup jahat RedLine, Raccoon Stealer, Vidar, Taurus, dan AZORult untuk mendapatkan kredensial untuk dijual.

Paul Mansfield, analis intelijen ancaman dunia maya di Accenture, menjelaskan poin terpenting untuk dipahami tentang munculnya malware infostealer adalah ancaman terhadap jaringan perusahaan.

Dia menambahkan bahwa kesamaan yang dimiliki oleh kelompok orang tersebut adalah minat untuk mengumpulkan data sensitif (data pribadi dari komputer mereka, termasuk kredensial login, detail rekening bank, alamat cryptocurrency, dan data lokasi granular).

Melampaui Batas MFA
Laporan tersebut menyoroti peningkatan efektivitas serangan kelelahan MFA, yang melibatkan upaya berulang kali untuk masuk ke akun yang mengaktifkan MFA menggunakan kredensial curian, sehingga membombardir calon korban dengan permintaan push MFA.

Laporan sebelumnya menemukan bahwa sementara MFA telah diadopsi di antara organisasi sebagai cara untuk meningkatkan keamanan atas kata sandi saja, peningkatan pencurian cookie browser melemahkan keamanan tersebut.

Aktor jahat mengimbau pengguna yang “bosan” dengan beberapa pemberitahuan push yang mengklaim sebagai verifikasi faktor kedua dan dia menerimanya untuk menghilangkannya.

Villadiego menambahkan ini tentang memiliki kontrol yang tepat dan kecerdasan untuk mengurangi semua kontak dengan musuh segera setelah mereka masuk — dan untuk menahan dampak serangan terhadap organisasi.

Mansfield mengatakan ketika aktor ancaman mengamati seberapa sukses grup lain pada tahun 2022 — misalnya, mereka yang berada di belakang Raccoon Stealer, Redline Stealer, dan Vidar — lebih banyak lagi yang akan memasuki arena dan menciptakan pasar yang lebih kompetitif.

Membela Terhadap Malware Infostealer
Mansfield mengatakan organisasi dapat melindungi dari malware infostealer dengan memastikan sistem operasi dan perangkat lunak diperbarui sepenuhnya dan bahwa staf dilatih tentang cara menemukan dan menangani email dan tautan yang mencurigakan dan juga menggunakan perangkat lunak antivirus.

Villadiego menambahkan satu langkah cepat yang dapat diambil organisasi untuk menopang pertahanan terhadap malware infostealer adalah melihat ke dalam jaringan.

Dia mengatakan penting untuk mengingat serangan ini tidak terjadi dalam hitungan detik — musuh meninggalkan remah roti dan mengirim telegram apa yang akan mereka lakukan, tetapi tim keamanan TI perlu menemukan serangan itu dan memiliki cara untuk menanggapinya secara real time.

sumber : dark reading

Kerentanan besar yang berlangsung lama membuat jutaan handset Android terbuka lebar untuk pencurian data

by

Menurut tweet dari Łukasz Siewierski Google (melalui Mishaal Rahman, 9to5Google), peretas dan “orang dalam yang jahat” telah dapat membocorkan kunci penandatanganan platform yang digunakan oleh beberapa produsen Android untuk menandatangani aplikasi sistem yang digunakan pada perangkat Android.

Kerentanan jangka panjang memengaruhi LG, Samsung, dan produsen terkait Android lainnya
sistem yang mempercayai aplikasi yang ditandatangani oleh kunci yang sama yang digunakan untuk mengautentikasi sistem operasi itu sendiri. Jadi Anda bisa melihat apa masalahnya di sini. Aktor jahat yang mengontrol kunci-kunci ini dapat membuat Android “mempercayai” aplikasi sarat malware di tingkat sistem.

Sementara semua sumber kunci yang bocor belum teridentifikasi, perusahaan yang disebutkan adalah sebagai berikut:

  • Samsung
  • LG
  • Mediatek
  • Szroco (perusahaan yang memproduksi tablet Onn Walmart)
  • Revoview

Google mengatakan bahwa kerentanan dilaporkan pada bulan Mei tahun ini dan bahwa perusahaan yang terlibat telah “mengambil tindakan perbaikan untuk meminimalkan dampak pengguna.

Google, dalam sebuah pernyataan, mengatakan bahwa pengguna Android dilindungi melalui fitur Google Play Store Protect, dan melalui tindakan yang diambil oleh produsen. Google menyatakan bahwa eksploit ini tidak memengaruhi aplikasi apa pun yang diunduh dari Play Store.

Apa yang perlu Anda lakukan untuk membatasi eksposur Anda
Google merekomendasikan agar perusahaan yang terlibat menukar kunci penandatanganan yang saat ini digunakan dan berhenti menggunakan kunci yang bocor. Ini juga menunjukkan bahwa setiap perusahaan memulai penyelidikan untuk memahami bagaimana kunci itu bocor.

Jadi apa yang dapat Anda lakukan sebagai pemilik ponsel Android yang mungkin terpengaruh? Pastikan handset Anda menjalankan Android versi terbaru dan instal semua pembaruan keamanan segera setelah tiba.

Yang menakutkan adalah bahwa kerentanan ini tampaknya telah ada selama bertahun-tahun.

sumber : phone arena