Threat

Lookout Menemukan ‘BouldSpy’, Android Spyware Terkait dengan Polisi Iran yang Menargetkan Minoritas

May 3, 2023 by Mally

Para peneliti di Lookout Threat Lab telah menemukan alat pengawasan Android baru yang penulis kaitkan dengan keyakinan sedang kepada Komando Penegakan Hukum Republik Islam Iran (FARAJA).

Spyware BouldSpy untuk kelas “BoulderApplication” yang mengonfigurasi perintah dan kontrol alat (C2), telah dilacak sejak Maret 2020. Mulai tahun 2023, malware tersebut telah menarik perhatian peneliti keamanan di Twitter dan oleh orang lain dalam ancaman tersebut.

Komunitas intelijen mencirikannya sebagai botnet Android dan ransomware. Sementara BouldSpy menyertakan kode ransomware, peneliti Lookout menilai bahwa itu tidak digunakan dan tidak berfungsi, tetapi dapat menunjukkan pengembangan yang sedang berlangsung atau upaya penyesatan dari pihak aktor.

Berdasarkan analisis kami terhadap data yang dieksfiltrasi dari server C2 untuk spyware, BouldSpy telah mengorbankan lebih dari 300 orang, termasuk kelompok minoritas seperti Kurdi Iran, Baluchis, Azeri, dan kemungkinan kelompok Kristen Armenia.

Bukti yang dikumpulkan menyiratkan bahwa spyware mungkin juga telah digunakan dalam upaya melawan dan memantau aktivitas perdagangan ilegal yang berkaitan dengan senjata, narkoba, dan alkohol.

Penulis meyakini bahwa FARAJA menggunakan akses fisik ke perangkat untuk menginstal BouldSpy guna memantau target lebih jauh saat dirilis.

Spyware ‘BouldSpy’ mewakili alat pengawasan lain yang memanfaatkan sifat pribadi perangkat seluler.

Beberapa aplikasi yang ditiru oleh BouldSpy termasuk CPU-Z, alat perbandingan CPU seluler, Konverter Mata Uang Pro, kalkulator bunga berbahasa Persia, dan aplikasi Fake Call.

Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon

Kemampuan penting dari BouldSpy adalah dapat merekam panggilan suara melalui beberapa aplikasi Voice over IP (VoIP) serta aplikasi ponsel Android standar, termasuk WhatsApp, Kakao, LINE, Telegram VoIP, Microsoft Office 365 VoIP functionality, Skype, Slack VoIP, WeChat, dan lainnya.

Selengkapnya: Lookout

Penurunan Drastis Ancaman Online di Vietnam

May 2, 2023 by Mally

Perubahan Positif Postur Keamanan Siber Vietnam tersebut menurut laporan terbaru oleh perusahaan keamanan siber global, Kapersky.

Sudah 5 tahun sejak 2022 berturut-turut Vietnam menyaksikan penurunan jumlah insiden keamanan siber yang diblokir oleh perusahaan keamanan siber global.

Kaspersky mendeteksi dan memblokir total hampir 42 juta ancaman siber berbeda dari Internet di komputer peserta KSN di Vietnam pada tahun 2022, turun 34 persen dari tahun 2021.

Persentase pengguna Vietnam yang hampir terinfeksi oleh ancaman web selama periode ini tercatat sebesar 37,6 persen, menduduki peringkat ke-49 secara global dan turun 17 peringkat dibandingkan tahun sebelumnya.

Penurunan jumlah ancaman siber dapat dikaitkan dengan berbagai faktor. Selain peningkatan upaya Pemerintah untuk meningkatkan kesadaran dan meningkatkan langkah-langkah keamanan siber, pengguna Vietnam kini mengambil langkah lebih proaktif untuk melindungi diri mereka sendiri di ruang digital dengan berinvestasi pada perangkat lunak antivirus, memperbarui perangkat secara rutin, dan mempraktikkan kebiasaan online yang lebih aman.

Selengkapnya: bizhub

Penculikan dengan Meniru Suara, Seorang Ibu Percaya Putrinya Diculik Karna AI Generate Voice

April 30, 2023 by Mally

Pada siang hari Jennifer DeStefano sedang menjemmput putrinya yang paling muda dari latihan menari, lalu tiba-tiba Jennifer mendapat telepon dari nomor yang tidak dikenal. Di telepon tersebut, Jennifer mendengar suara putri tertuanya yang meminta bantuan kepada ibunya karena sedang diculik oleh para penipu tersebut.

Selagi ada suara tangisan putrinya dibelakang. Tidak lama penipu tersebut mengatakan bahwa ia memiliki putrinya dan meminta tebusan sebesar 1 miliar dollar. Namun keluarganya sudah dapat memastikan dengan cepat dan mencari putri tertuanya sedang latihan ski untuk latihan.

simak lebih lanjut dengan dialog berikut :

“Halo?” dia menjawab melalui telepon speaker sambil mengunci mobilnya dan membawa dompet dan tas laptopnya ke dalam studio.

Dia disambut dengan teriakan dan isak tangis.

“Mama! Saya mengacau!” teriak suara seorang gadis.

“Apa yang kamu lakukan?!? Apa yang telah terjadi?!?” tanya DeStefano.

“Suaranya terdengar seperti Brie, infleksi, semuanya,” katanya kepada CNN baru-baru ini. “Kemudian, tiba-tiba, saya mendengar seorang pria berkata, ‘Berbaringlah, sandarkan kepalamu.’ Saya pikir dia sedang digiring dari gunung, yang biasa terjadi dalam bermain ski. Jadi saya mulai panik.”

Saat teriakan minta tolong berlanjut di latar belakang, suara laki-laki yang dalam mulai mengeluarkan perintah: “Dengarkan di sini. Aku punya putrimu. Anda menelepon polisi, Anda menelepon siapa pun, saya akan memberinya sesuatu yang penuh dengan obat-obatan. Aku akan pergi bersamanya lalu mengantarnya ke Meksiko, dan kamu tidak akan pernah melihatnya lagi.

DeStefano membeku. Kemudian dia berlari ke studio tari, gemetar dan berteriak minta tolong. Dia merasa seperti tiba-tiba tenggelam.

Setelah serangkaian peristiwa yang kacau dan cepat yang mencakup permintaan tebusan $ 1 juta, panggilan 911, dan upaya panik untuk menghubungi Brianna, “penculikan” itu terungkap sebagai penipuan. Brianna yang bingung menelepon untuk memberi tahu ibunya bahwa dia tidak tahu apa yang diributkan itu dan semuanya baik-baik saja.

sumber : edition.cnn.com

Banyak Situs Salesforce Publik Membocorkan Data Pribadi

April 29, 2023 by Mally

Salesforce Community adalah produk perangkat lunak berbasis cloud yang banyak digunakan yang memudahkan organisasi membuat situs web dengan cepat. Pelanggan dapat mengakses situs web Komunitas Salesforce dengan dua cara: Akses terotentikasi (memerlukan login), dan akses pengguna tamu (tidak perlu login). Fitur akses tamu memungkinkan pengguna yang tidak diautentikasi untuk melihat konten dan sumber daya tertentu tanpa perlu masuk.

Namun, terkadang administrator Salesforce secara keliru memberikan akses kepada pengguna tamu ke sumber daya internal, yang dapat menyebabkan pengguna yang tidak sah mengakses informasi pribadi organisasi dan menyebabkan potensi kebocoran data.

Hingga dihubungi oleh reporter ini pada hari Senin, negara bagian Vermont memiliki setidaknya lima situs Komunitas Salesforce terpisah yang memungkinkan akses tamu ke data sensitif, termasuk program Bantuan Pengangguran Pandemi yang mengungkap nama lengkap pemohon, nomor Jaminan Sosial, alamat, nomor telepon , email, dan nomor rekening bank.

Data itu kemudian dijual di forum kejahatan dunia maya teratas. Associated Press melaporkan bahwa pelanggaran DC Health Link juga merupakan hasil dari kesalahan manusia, dan mengatakan penyelidikan mengungkapkan penyebabnya adalah server DC Health Link yang “salah dikonfigurasi untuk mengizinkan akses ke laporan di server tanpa otentikasi yang tepat.”

Salesforce mengatakan paparan data bukanlah hasil dari kerentanan yang melekat pada platform Salesforce, tetapi hal itu dapat terjadi ketika izin kontrol akses pelanggan salah dikonfigurasi.

selengkapnya : krebsonsecurity

Magecart threat actor rolls out convincing modal forms

April 29, 2023 by Mally

Untuk menjerat korban baru, penjahat sering kali merancang skema yang berusaha terlihat serealistis mungkin. Karena itu, tidak setiap hari kita melihat salinan palsu melebihi karya aslinya.

Saat menindaklanjuti kampanye skimmer kartu kredit Magecart yang sedang berlangsung, kami hampir tertipu oleh formulir pembayaran yang terlihat sangat bagus sehingga kami pikir itu asli. Pelaku ancaman menggunakan logo asli dari toko yang disusupi dan menyesuaikan elemen web yang dikenal sebagai modal untuk membajak halaman checkout dengan sempurna.

Meskipun teknik memasukkan bingkai atau lapisan bukanlah hal baru, hal yang luar biasa di sini adalah skimmer terlihat lebih asli daripada halaman pembayaran asli. Kami dapat mengamati beberapa situs yang lebih disusupi dengan pola yang sama menggunakan modal yang dibuat khusus dan curang.

Skimmer dan kampanye terkait ini merupakan salah satu serangan Magecart paling aktif yang telah kami lacak dalam beberapa bulan terakhir.

selengkapnya : malwarebytes.com

Klon Android Minecraft dengan unduhan 35 juta menginfeksi pengguna dengan adware

April 29, 2023 by Mally

Satu set 38 game peniru Minecraft di Google Play perangkat yang terinfeksi dengan adware Android ‘HiddenAds’ untuk secara diam-diam memuat iklan di latar belakang untuk menghasilkan pendapatan bagi operator.

Minecraft adalah game sandbox populer dengan 140 juta pemain aktif bulanan, yang telah dicoba untuk dibuat ulang oleh banyak penerbit game.

Game mirip Minecraft yang menyembunyikan adware diunduh oleh sekitar 35 juta pengguna Android di seluruh dunia, terutama dari Amerika Serikat, Kanada, Korea Selatan, dan Brasil.

Para pengguna tersebut tidak memperhatikan aktivitas adware jahat yang dilakukan di latar belakang, karena mereka dapat memainkan game seperti yang dijanjikan. Selain itu, kemungkinan kepanasan, peningkatan data jaringan, atau konsumsi baterai yang disebabkan oleh memuat banyak iklan dapat dianggap disebabkan oleh game.

Kumpulan adware ditemukan oleh Tim Riset Seluler McAfee, anggota Aliansi Pertahanan Aplikasi yang dibuat untuk melindungi Google Play dari semua jenis ancaman.

Meskipun aplikasi adware tidak dianggap berbahaya bagi pengguna, aplikasi ini dapat mengurangi kinerja perangkat seluler, meningkatkan masalah privasi, dan bahkan berpotensi membuat celah keamanan yang dapat membuat pengguna terkena infeksi yang lebih buruk.

Pengguna Android harus memeriksa laporan McAfee untuk daftar lengkap aplikasi yang terpengaruh dan menghapusnya secara manual jika belum dihapus.

selengkapnya : bleepingcomputer.com

Bagaimana Microsoft Menamai Aktor Ancaman

April 28, 2023 by Mally

Microsoft telah beralih ke taksonomi penamaan baru untuk aktor ancaman yang selaras dengan tema cuaca. Dengan taksonomi baru, kami bermaksud untuk memberikan kejelasan yang lebih baik kepada pelanggan dan peneliti keamanan lainnya yang telah berhadapan dengan data intelijen ancaman dalam jumlah yang sangat banyak dan menawarkan cara yang lebih terorganisir, jelas, dan mudah untuk mereferensikan pelaku ancaman sehingga organisasi dapat memprioritaskan dan melindungi dengan lebih baik diri.

In our new taxonomy, a weather event or family name represents one of the above categories. In the case of nation-state actors, we have assigned a family name to a country of origin tied to attribution, like Typhoon indicates origin or attribution to China. For other actors, the family name represents a motivation. For example, Tempest indicates financially motivated actors. Threat actors within the same weather family are given an adjective to distinguish actor groups with distinct tactics, techniques, and procedures (TTPs), infrastructure, objectives, or other identified patterns. For groups in development, where there is a newly discovered, unknown, emerging, or developing cluster of threat activity, we use a temporary designation of Storm and a four-digit number, allowing us to track it as a unique set of information until we can reach high confidence about the origin or identity of the actor behind the operation.

selengkapnya : learn.microsoft.com

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Mally

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings