Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas Menerobos Jaringan Radio Ukraina untuk Menyebarkan Berita Palsu tentang Zelenskiy

by

Pada hari Kamis, kelompok media Ukraina TAVR Media mengkonfirmasi bahwa itu diretas untuk menyebarkan berita palsu tentang Presiden Zelenskiy berada dalam kondisi kritis dan di bawah perawatan intensif.

Menurut Layanan Negara Komunikasi Khusus dan Perlindungan Informasi Ukraina (SSCIP), jaringan tersebut mengoperasikan sembilan stasiun radio utama Ukraina, termasuk Hit FM, Radio ROKS, KISS FM, Radio RELAX, Melody FM, Radio Nashe, Radio JAZZ, Radio Klasik , dan Radio Bayraktar.

“Hari ini, serangan siber dilakukan pada server dan jaringan stasiun radio TAVR Media,” kata perusahaan itu dalam sebuah pernyataan resmi.

“Kami menekankan bahwa tidak ada informasi tentang masalah kesehatan Presiden Ukraina Volodymyr Zelenskyi yang benar.”

SSSCIP menambahkan bahwa penyerang melanggar server TAVR Media dan sistem penyiaran untuk menyebarkan berita palsu yang menunjukkan bahwa Presiden Ukraina diduga berada di bawah perawatan intensif, dalam kondisi kritis, dengan Ketua Parlemen Ruslan Stefanchuk bertindak sebagai penggantinya.

Zelenskyi juga membantah laporan tersebut dalam sebuah video yang dibagikan di akun Instagram resminya, dengan mengatakan bahwa itu adalah berita palsu yang disebarkan oleh aktor ancaman yang terkait dengan Rusia.

“Hari ini, Rusia meluncurkan lebih banyak berita palsu bahwa negara (Ukraina) tidak dikendalikan oleh Presiden Zelenskiy karena dia berada di rumah sakit, atau lebih tepatnya, dalam perawatan intensif karena ‘kondisi kesehatan yang serius’,” katanya, menurut transkrip yang diterjemahkan dari Reuters.

“Jadi, di sini saya di kantor saya, dan saya tidak pernah merasa sebagus sekarang. Dan kabar buruk bagi mereka yang berada di balik pemalsuan semacam itu adalah saya tidak sendirian. Ada 40 juta dari kita (Ukraina). Dan dengan segala cara. sehubungan dengan usia tua, 44 bukan (hampir) 70.”

Sumber: BleepingComputer

Kampanye Peretasan Pro-Rusia Merajalela di Ukraina

by

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan historis grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWinds dari tahun 2020.

Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 meniru Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan yang tidak dapat diterima, salah tafsir, dan kemungkinan eskalasi.”

Sumber: Ars Technica

Bagaimana Conti Ransomware Meretas dan Mengenkripsi Pemerintah Kosta Rika

by

Rincian telah muncul tentang bagaimana geng ransomware Conti melanggar pemerintah Kosta Rika, menunjukkan ketepatan serangan dan kecepatan bergerak dari akses awal ke tahap akhir perangkat enkripsi.

Sebuah laporan dari perusahaan intelijen siber Advanced Intelligence (AdvIntel) merinci langkah-langkah peretas Rusia dari pijakan awal hingga mengekstraksi 672GB data pada 15 April dan mengeksekusi ransomware.

Titik masuk aktor ancaman adalah sistem milik Kementerian Keuangan Kosta Rika, di mana anggota grup yang disebut sebagai ‘MemberX’ memperoleh akses melalui koneksi VPN menggunakan kredensial yang disusupi.

CEO Advanced Intelligence Vitali Kremez mengatakan kepada BleepingComputer bahwa kredensial yang dikompromikan diperoleh dari malware yang diinstal pada perangkat awal yang dikompromikan di jaringan korban.

Lebih dari 10 sesi malware Cobalt Strike disiapkan pada tahap awal serangan, kata peneliti AdvIntel dalam laporan tersebut.

Rincian AdvIntel tentang aktivitas aktor ancaman di jaringan pemerintah Kosta Rika mencakup perintah khusus yang digunakan pada setiap langkah.

Menurut para peneliti, MemberX kemudian menggunakan saluran backdoor Cobalt Strike untuk mengunduh output fileshare ke mesin lokal.

Penyerang dapat mengakses pembagian administratif tempat mereka mengunggah suar Cobalt Strike DLL dan kemudian menjalankannya menggunakan alat PsExec untuk eksekusi file jarak jauh.

Menggunakan alat pasca-eksploitasi Mimikatz untuk mengekstrak kredensial, musuh mengumpulkan kata sandi masuk dan hash NTDS untuk pengguna lokal, sehingga mendapatkan “hash administrator lokal, domain, dan administrator perusahaan yang biasa dan bruteable.”

Para peneliti mengatakan bahwa operator Conti memanfaatkan Mimikatz untuk menjalankan serangan DCSync dan Zerologon yang memberi mereka akses ke setiap host di jaringan interkoneksi Kosta Rika.

Untuk memastikan bahwa mereka tidak kehilangan akses jika defender mendeteksi malware Cobalt Strike, Conti menanam alat akses jarak jauh Atera pada host dengan aktivitas pengguna yang lebih sedikit di mana mereka memiliki hak administratif.

Pencurian data dimungkinkan menggunakan program baris perintah Rclone yang dapat mengelola file di beberapa layanan penyimpanan cloud. Conti menggunakan ini untuk mengunggah data ke layanan hosting file MEGA.

Diagram aliran serangan:

Sumber: BleepingComputer

Kerentanan Twitter Terverifikasi Mengekspos Data dari 5,4 Juta Akun

by

Kerentanan Twitter terverifikasi dari Januari telah dieksploitasi oleh aktor ancaman untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Sementara Twitter sejak itu menambal kerentanan, basis data yang diduga diperoleh dari eksploitasi ini sekarang dijual di forum peretasan populer, yang diposting sebelumnya hari ini.

Kembali pada bulan Januari, sebuah laporan dibuat di HackerOne tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi.

Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses Otorisasi Twitter.

Pengguna HackerOne “zhirinovskiy” mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman.

Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat.
– Pengguna HackerOne

Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid” dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.
Twitter diretas
Twitter mengakui kerentanan dan memberikan hadiah kepada pengguna HackerOne.

Hari ini, bagaimanapun, kita melihat konsekuensi dari kerentanan ini membuahkan hasil.

Sumber: Restore Privacy

Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

by

Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

Argumen baris perintah ransomware Luna (Kaspersky)

Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

Sumber: Bleeping Computer

Peretas mencuri 50.000 kartu kredit dari 300 restoran U.S

by

Detail kartu pembayaran dari pelanggan lebih dari 300 restoran telah dicuri dalam dua kampanye skimming web yang menargetkan tiga platform pemesanan online.

Skimmer web, atau malware Magecart, biasanya adalah kode JavaScript yang mengumpulkan data kartu kredit saat pembeli online mengetiknya di halaman checkout.

Baru-baru ini, alat pendeteksi ancaman Recorded Future mengidentifikasi dua kampanye Magecart yang menyuntikkan kode berbahaya ke portal pemesanan online MenuDrive, Harbortouch, dan InTouchPOS.

Akibatnya, 50.000 kartu pembayaran dicuri dan telah ditawarkan untuk dijual di berbagai pasar di web gelap.

Kampanye pertama dimulai pada 18 Januari 2022 dan mencapai 80 restoran menggunakan MenuDrive dan 74 yang menggunakan platform Harbortouch.

Sebagian besar restoran ini adalah perusahaan lokal kecil di seluruh AS yang menggunakan platform sebagai alternatif hemat biaya untuk melakukan outsourcing proses pemesanan online.

Peta korban kampanye Magecart pertama (Recorded Future)

Di kedua platform, skimmer web disuntikkan ke halaman web restoran dan subdomain yang ditetapkan pada platform layanan pembayaran online.

Malware yang disebarkan untuk MenuDrive menggunakan dua skrip, satu untuk mengambil data kartu pembayaran dan satu lagi untuk mengumpulkan nama pemegang kartu, alamat email, dan nomor telepon, dicapai dengan melampirkan ke acara ‘onmousedown’ dan “merespons klik beberapa tombol selama pembuatan akun dan proses checkout.”

Contoh skimmer pada subdomain MenuDrive (Recorded Future)

Di Harbortouch, skimmer yang disuntikkan menggunakan satu skrip untuk mencuri semua informasi pengenal pribadi (PII) dan data kartu pembayaran.

Skimmer disuntikkan pada subdomain Harbortouch (Recorded Future)

Kampanye kedua yang menargetkan InTouchPOS dimulai pada 12 November 2021, tetapi sebagian besar injeksi skimmer di halaman web terjadi jauh kemudian, pada Januari 2022.

Infeksi InTouchPOS dengan loader JS dan cuplikan skimmer (hijau) (Recorded Future)

Skimmer dan artefak yang mencirikannya (penamaan variabel, struktur, kebingungan, dan skema enkripsi) menghubungkannya dengan kampanye yang lebih lama dan masih berlangsung, Recorded Future mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer.

Dalam hal ini, skimmer tidak mencuri detail dari situs, melainkan melapisi formulir pembayaran palsu pada target valid yang siap untuk proses checkout menggunakan kartu kredit.

Menurut Recorded Future, kedua kampanye sedang berlangsung, dan domain eksfiltrasi terkait masih online dan beroperasi.

Perusahaan keamanan telah memperingatkan semua entitas yang terkena dampak dari kompromi tersebut, tetapi mereka belum menerima tanggapan. Lembaga penegak hukum dan platform pembayaran telah diinformasikan.

Dalam kasus MenuDrive dan Harbortouch, menghapus skimmer memerlukan pemindaian semua subdomain restoran.

Infeksi InTouchPOS lebih mudah ditangkap dengan sebagian besar pemindai keamanan, karena menggunakan pengunduh JavaScript untuk skimmer, yang dapat dideteksi melalui perbandingan kode sederhana.

Sumber: Bleeping Computer

Spyware CloudMensis Baru yang Menargetkan Pengguna Apple macOS

by

Peneliti keamanan siber telah mengungkap spyware yang sebelumnya tidak terdokumentasi yang menargetkan sistem operasi Apple macOS.

Malware, dengan nama kode CloudMensis oleh perusahaan keamanan siber Slovakia ESET, dikatakan secara eksklusif menggunakan layanan penyimpanan cloud publik seperti pCloud, Yandex Disk, dan Dropbox untuk menerima perintah penyerang dan mengekstrak file.

CloudMensis, yang ditulis dalam Objective-C, pertama kali ditemukan pada April 2022 dan dirancang untuk menyerang arsitektur silikon Intel dan Apple. Vektor infeksi awal untuk serangan dan target masih belum diketahui. Tetapi distribusinya yang sangat terbatas merupakan indikasi bahwa malware digunakan sebagai bagian dari operasi yang sangat bertarget yang ditujukan terhadap entitas yang diminati.

Rantai serangan yang ditemukan oleh ESET menyalahgunakan eksekusi kode dan hak administratif untuk meluncurkan payload tahap pertama yang digunakan untuk mengambil dan mengeksekusi malware tahap kedua yang dihosting di pCloud, yang, pada gilirannya, mengekstrak dokumen, tangkapan layar, dan lampiran email, antara lain .

Pengunduh tahap pertama juga dikenal untuk menghapus jejak pelarian kotak pasir Safari dan eksploitasi eskalasi hak istimewa yang menggunakan empat kelemahan keamanan yang sekarang diselesaikan pada tahun 2017, hal tersebut menunjukkan bahwa CloudMensis mungkin telah terbang di bawah radar selama bertahun-tahun.

Implan juga dilengkapi dengan fitur untuk melewati kerangka kerja keamanan Transparency, Consent, and Control (TCC), yang bertujuan untuk memastikan bahwa semua aplikasi mendapatkan persetujuan pengguna sebelum mengakses file di Dokumen, Unduhan, Desktop, iCloud Drive, dan volume jaringan.

Ini mencapai ini dengan mengeksploitasi kerentanan keamanan lain yang ditambal yang dilacak sebagai CVE-2020-9934 yang terungkap pada tahun 2020. Fungsi lain yang didukung oleh pintu belakang termasuk mendapatkan daftar proses yang berjalan, menangkap tangkapan layar, membuat daftar file dari perangkat penyimpanan yang dapat dilepas, dan menjalankan shell perintah dan muatan arbitrer lainnya.

Selain itu, analisis metadata dari infrastruktur penyimpanan cloud menunjukkan bahwa akun pCloud dibuat pada 19 Januari 2022, dengan kompromi dimulai pada 4 Februari dan memuncak pada Maret.

Sumber: The Hacker News

Google ads ‘YouTube’ yang terlihat meyakinkan membawa pengunjung ke penipuan Windows support

by

Iklan Google Penelusuran YouTube yang tampak realistis mengarahkan pengunjung ke penipuan tech support yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Hari ini, perusahaan keamanan siber Malwarebytes mengungkapkan bahwa mereka menemukan kampanye malvertising “besar” yang menyalahgunakan iklan Google.

Saat mencari kata kunci terkait “YouTube”, iklan pertama yang ditampilkan di hasil pencarian berjudul, ‘YouTube – Video YouTube Terbaik’ atau ‘YouTube.com – YouTube – Video YouTube Terbaik untuk Anda.’

Dilihat dari iklannya, tidak ada yang terlihat mencurigakan, karena berisi URL youtube.com yang benar dan juga menampilkan elemen iklan tambahan di bawah iklan, seperti yang ditunjukkan di bawah ini.

Iklan YouTube palsu di hasil pencarian Google
Sumber: BleepingComputer

Namun, mengklik iklan tidak akan membawa Anda ke YouTube melainkan ke penipuan dukungan teknis yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Dari tes yang dilakukan oleh BleepingComputer, penipuan dukungan teknis terletak di URL http://matkir[.]ml dan http://159.223.199[.]181/ dan memperingatkan pengunjung bahwa ‘Windows diblokir karena aktivitas yang meragukan’ dan bahwa Windows Defender mendeteksi Trojan Spyware bernama ‘Ads.financetrack(2).dll.’

Penipuan Dukungan Teknis ditunjukkan oleh iklan Google untuk Youtube
Sumber: BleepingComputer

Bagi mereka yang menggunakan VPN, kabar baiknya adalah situs scam akan memeriksa apakah Anda menjalankan VPN dan, jika demikian, mengarahkan pengguna ke situs YouTube yang sah.

Dalam kebanyakan kasus, scammers akan mengunci komputer Anda entah bagaimana atau memberi tahu Anda bahwa komputer Anda terinfeksi dan Anda perlu membeli lisensi dukungan. Either way mengarah ke kontrak dukungan mahal yang tidak memberikan manfaat bagi korban.

Kampanye malvertising masih berjalan di Google Penelusuran saat ini seperti yang ditunjukkan oleh tweet dari Malwarebytes.

Apa yang membuat kampanye malvertising ini begitu menakutkan adalah karena menunjukkan bahwa pelaku ancaman dapat membuat iklan yang meniru perusahaan untuk mendistribusikan malware, halaman phishing, atau jenis serangan lainnya.

Sumber: Bleeping Computer