News 101 - Naga Cyber Defense

Whoosh Mengonfirmasi Pelanggaran Data Setelah Peretas Menjual 7,2 Juta Catatan Pengguna

November 15, 2022 by Coffee Bean Leave a Comment

Layanan berbagi skuter Rusia Whoosh telah mengonfirmasi pelanggaran data setelah peretas mulai menjual basis data yang berisi rincian 7,2 juta pelanggan di forum peretasan.

Perusahaan mengkonfirmasi serangan siber melalui pernyataan di media Rusia awal bulan ini tetapi mengklaim bahwa para ahli TI telah berhasil menggagalkannya dengan sukses.

Penjualan Hari Ini

Pada hari Jumat, seorang pengguna di forum peretasan ‘Breached’ memposting database yang berisi rincian tentang 7,2 juta pelanggan Whoosh, termasuk alamat email, nomor telepon, dan nama depan.

Penjualan data Woosh di forum Pelanggaran (BleepingComputer)

Penjual juga mengakui bahwa data yang dicuri termasuk 3.000.000 kode promo yang dapat digunakan orang untuk menyewa skuter Whoosh tanpa membayar.

Penjual mengatakan mereka menjual data hanya kepada lima pembeli masing-masing seharga $4.200, atau 0,21490980 bitcoin, dan menurut platform SatoshiDisk yang digunakan untuk transaksi, belum ada yang membeli database.

Kebocoran Database Rusia

Menurut laporan Agustus 2022 dari Roskomnadzor, pengawas internet Rusia, ada 40 pelanggaran data perusahaan Rusia yang dikonfirmasi sejak awal tahun.

Pada September 2022, Group-IB menerbitkan laporan yang mengklaim telah mengamati 140 penjualan database yang dicuri dari perusahaan Rusia musim panas ini saja, dengan jumlah total catatan yang terpapar mencapai 304 juta.

sumber : bleeping computer

Ukraina Mengatakan Peretas Rusia Menggunakan Ransomware Somnia Baru

November 15, 2022 by Coffee Bean

Peretas Rusia telah menginfeksi banyak organisasi di Ukraina dengan jenis ransomware baru yang disebut ‘Somnia’, yang mengenkripsi sistem mereka dan menyebabkan masalah operasional.

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengonfirmasi wabah tersebut melalui pengumuman di portalnya, menghubungkan serangan tersebut dengan ‘From Russia with Love’ (FRwL), juga dikenal sebagai ‘Z-Team,’ yang mereka lacak sebagai UAC-0118.

Detail serangan FRwL

Situs web palsu yang untuk menjatuhkan Vidar Stealer (CERT-UA)

penginstal menginfeksi sistem dengan pencuri Vidar, yang mencuri data sesi Telegram korban untuk mengambil kendali akun mereka.

Selanjutnya, CERT-UA mengatakan bahwa pelaku ancaman menyalahgunakan akun Telegram korban dengan cara yang tidak ditentukan untuk mencuri data koneksi VPN (otentikasi dan sertifikat).

Jika akun VPN tidak dilindungi oleh otentikasi dua faktor, peretas menggunakannya untuk mendapatkan akses tidak sah ke jaringan perusahaan majikan korban.

Selanjutnya, penyusup menyebarkan suar Cobalt Strike, mengekstrak data, dan menggunakan Netscan, Rclone, Anydesk, dan Ngrok, untuk melakukan berbagai aktivitas pengawasan dan akses jarak jauh.

CERT-UA melaporkan bahwa sejak musim semi 2022, dengan bantuan broker akses awal, FRwL telah melakukan beberapa serangan terhadap komputer milik organisasi Ukraina.

Jenis file (ekstensi) yang ditargetkan oleh ransomware Somnia ditunjukkan di bawah ini, termasuk dokumen, gambar, database, arsip, file video, dan lainnya, yang mencerminkan kehancuran yang ingin ditimbulkan oleh ketegangan ini.

Jenis file yang dienkripsi oleh ransomware Somnia (CERT-UA)

Somnia tidak meminta korban untuk membayar uang tebusan sebagai ganti dekripsi yang berfungsi, karena operatornya lebih tertarik mengganggu operasi target daripada menghasilkan pendapatan.

Oleh karena itu, malware ini harus dianggap sebagai penghapus data daripada serangan ransomware tradisional.

sumber : bleeping computer

42.000 Situs Digunakan Untuk Skema Peniruan Identitas Merek

November 15, 2022 by Coffee Bean

Grup nirlaba jahat bernama ‘Fangxiao’ telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.

Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.

Ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

faktor keuntungan
Untuk menghasilkan keramaian besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.

Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.

Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.

Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.

Investigasi Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

November 15, 2022 by Eevee

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Aplikasi Google Play Store Berbahaya Terlihat Mendistribusikan Trojan Xenomorph Banking

November 14, 2022 by Coffee Bean

Google telah menghapus dua aplikasi dropper jahat baru yang telah terdeteksi di Play Store untuk Android, salah satunya dianggap sebagai aplikasi gaya hidup dan diketahui mendistribusikan malware perbankan Xenomorph.

“Xenomorph adalah trojan yang mencuri kredensial dari aplikasi perbankan di perangkat pengguna,” kata peneliti Zscaler ThreatLabz Himanshu Sharma dan Viral Gandhi dalam analisis yang diterbitkan Kamis.

dua aplikasi malicious/berbahaya adalah sebagai berikut

Todo: Day manager (com.todo.daymanager)
経費キーパー (com.setprice.expenses)

Xenomorph, pertama kali didokumentasikan oleh ThreatFabric awal Februari ini, diketahui menyalahgunakan izin aksesibilitas Android untuk melakukan serangan overlay, di mana layar login palsu ditampilkan di atas aplikasi bank yang sah untuk mencuri kredensial korban.

Terlebih lagi, malware memanfaatkan deskripsi saluran Telegram untuk memecahkan kode dan membangun domain command-and-control (C2) yang digunakan untuk menerima perintah tambahan.

Perkembangan tersebut mengikuti penemuan empat aplikasi jahat di Google Play yang ditemukan mengarahkan korban ke situs web jahat sebagai bagian dari kampanye pencurian informasi dan adware. Google mengatakan kepada The Hacker News bahwa sejak itu mereka telah melarang pengembang.

sumber : the hacker news

Penipuan pemerasan baru mengancam merusak reputasi situs, membocorkan data

November 14, 2022 by Coffee Bean

Penipuan pemerasan aktif menargetkan pemilik situs web dan admin di seluruh dunia, mengklaim telah meretas server mereka dan menuntut $2.500 agar tidak membocorkan data.

Para penyerang (dijuluki sendiri Tim Montesano) mengirim email dengan subjek “Situs web, basis data, dan email Anda telah diretas”.

Email tersebut tampaknya tidak ditargetkan, dengan penerima permintaan tebusan dari semua vertikal, termasuk blogger pribadi, lembaga pemerintah, dan perusahaan besar.

Penipuan ini begitu tersebar luas sehingga reporter kami sendiri Axe Sharma dan Apakah Saya Telah Dilanggar menciptakan Troy Hunt juga telah menerima upaya pemerasan ini.

Pesan spam memperingatkan bahwa peretas akan membocorkan data yang dicuri, merusak reputasi mereka, dan membuat situs tersebut masuk daftar hitam spam jika target tidak melakukan pembayaran sebesar $2.500.

Email pemerasan reputasi situs web (Ax Sharma)

untuk email yang lengkap dapat dilihat dari

email lengkap : bleeping computer

Dari email pemerasan yang dilihat oleh BleepingComputer, pelaku ancaman saat ini menggunakan dua alamat bitcoin.

3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7
3PmYSqtG5x5bGNrsYUy5DGtu93qNtsaPRH

Sayangnya, transaksi bitcoin ke dompet 3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7 menunjukkan bahwa seseorang mungkin telah membayar permintaan pemerasan tersebut.

Meskipun email ini bisa menakutkan bagi pemilik situs web yang menerimanya, penting untuk diingat bahwa itu hanyalah penipuan.

Sejak musim panas 2018, ketika BleepingComputer mulai melaporkan penipuan ini, pelaku ancaman berada di balik berbagai macam penipuan pemerasan email.

sumber : bleeping computer

Pemilik ponsel Android Secara Tidak Sengaja menemukan cara untuk melewati layar kunci

November 14, 2022 by Coffee Bean

Peneliti keamanan siber David Schütz secara tidak sengaja menemukan cara untuk melewati layar kunci pada ponsel cerdas Google Pixel 6 dan Pixel 5 yang sepenuhnya ditambal, memungkinkan siapa pun yang memiliki akses fisik ke perangkat untuk membuka kuncinya.

Memanfaatkan kerentanan untuk melewati layar kunci pada ponsel Android adalah proses lima langkah sederhana yang tidak akan memakan waktu lebih dari beberapa menit.

Temuan tidak disengaja
setelah Pixel 6 kehabisan baterai, salah memasukkan PIN tiga kali, dan memulihkan kartu SIM yang terkunci menggunakan kode PUK (Personal Unblocking Key).

Yang mengejutkan, setelah membuka kunci SIM dan memilih PIN baru, perangkat tidak meminta kata sandi layar kunci tetapi hanya meminta pemindaian sidik jari.

Perangkat Android selalu meminta kata sandi layar kunci atau pola saat reboot untuk alasan keamanan, jadi langsung membuka kunci sidik jari tidak normal.

Penyerang dapat dengan mudah menggunakan kartu SIM mereka sendiri pada perangkat target, menonaktifkan otentikasi biometrik (dengan mencoba membuka kunci sidik jari terlalu sering), memasukkan PIN yang salah tiga kali, memberikan nomor PUK, dan mengakses perangkat korban tanpa batasan.

Google’s patching

Schütz melaporkan kelemahan tersebut ke Google pada Juni 2022, dan meskipun raksasa teknologi tersebut mengakui penerimaan tersebut dan menetapkan ID CVE dari CVE-2022-20465, mereka tidak merilis perbaikan hingga 7 November 2022.

Solusi Google adalah menyertakan parameter baru untuk metode keamanan yang digunakan di setiap panggilan “tutup” sehingga panggilan tersebut menutup jenis layar keamanan tertentu dan bukan hanya yang berikutnya dalam tumpukan.

Pada akhirnya, meskipun laporan Schütz merupakan duplikat, Google membuat pengecualian dan memberi peneliti $70.000 untuk penemuannya.

sumber : bleeping computer

Dua Kampanye Spyware Android yang Menargetkan Uyghurs

November 14, 2022 by Coffee Bean Leave a Comment

Dua kampanye pengawasan jangka panjang telah ditemukan menargetkan komunitas Uyghur di China dan di tempat lain dengan alat spyware Android yang dirancang untuk mengumpulkan informasi sensitif dan melacak keberadaan mereka.

Ini mencakup jenis malware yang sebelumnya tidak terdokumentasi yang disebut BadBazaar dan varian terbaru dari artefak spionase yang dijuluki MOONSHINE oleh para peneliti dari Citizen Lab Universitas Toronto pada September 2019.

BadBazaar, setelah diinstal, hadir dengan beberapa fitur yang memungkinkannya mengumpulkan log panggilan, lokasi GPS, pesan SMS, dan file yang diinginkan; merekam panggilan telepon; ambil foto; dan mengekstrak metadata perangkat yang substansial.

Serangan yang menggunakan MOONSHINE, dalam nada yang sama, telah menggunakan lebih dari 50 aplikasi berbahaya sejak Juli 2022 yang direkayasa untuk mengumpulkan data pribadi dari perangkat yang terinfeksi, selain merekam audio dan mengunduh file sewenang-wenang.

Perkembangan ini juga mengikuti laporan dari Google Project Zero minggu lalu, yang mengungkap bukti vendor pengawasan komersial yang tidak disebutkan namanya mempersenjatai tiga kelemahan keamanan zero-day di ponsel Samsung dengan chip Exynos yang menjalankan kernel versi 4.14.113. Lubang keamanan dipasang oleh Samsung pada Maret 2021.

Yang mengatakan, raksasa pencarian mengatakan eksploitasi mencerminkan pola yang mirip dengan kompromi baru-baru ini di mana aplikasi Android berbahaya disalahgunakan untuk menargetkan pengguna di Italia dan Kazakhstan dengan implan yang disebut Hermit, yang telah dikaitkan dengan perusahaan Italia RCS Lab.

sumber : the hacker news

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings