Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

42.000 Domain Penipu Digunakan oleh Peretas Tiongkok dalam Kampanye Phishing Besar

by

Kampanye phishing besar-besaran yang dioperasikan oleh kelompok peretasan China “Fangxiao” menempatkan ribuan orang dalam bahaya. Kampanye ini telah menggunakan 42.000 domain palsu untuk memfasilitasi serangan phishing. Domain penipu ini dirancang untuk mengarahkan pengguna ke aplikasi adware (periklanan malware), hadiah, dan situs kencan.

Cyjax, sebuah perusahaan solusi keamanan dan ancaman siber, menemukan 42.000 domain palsu yang digunakan dalam kampanye ini. Dalam posting blog Cyjax oleh Emily Dennison dan Alana Witten, penipuan itu digambarkan sebagai canggih, dengan kemampuan untuk “mengeksploitasi reputasi internasional, merek tepercaya di berbagai vertikal termasuk ritel, perbankan, perjalanan, farmasi, perjalanan dan energi”.

Penipuan dimulai dengan pesan WhatsApp berbahaya, di mana merek tepercaya ditiru. Contoh merek tersebut termasuk Emirates, Coca-Cola, McDonald’s, dan Unilever. Pesan ini memberi penerima tautan ke halaman web yang diberi daya pikat. Situs pengalihan tergantung pada alamat IP target, serta agen pengguna mereka.

Misalnya, McDonald’s mungkin mengklaim melakukan pemberian gratis. Ketika korban menyelesaikan pendaftaran mereka ke giveaway, unduhan malware Triada Trojan dapat dipicu. Malware juga dapat diinstal setelah mengunduh aplikasi tertentu, yang diminta untuk dipasang oleh korban agar dapat terus mengikuti giveaway.

Selengkapnya: Make Use Of

Ransomware adalah masalah global yang membutuhkan solusi global

by

kali ini tahun lalu, kami optimis. Sepertinya gelombang sedang menghidupkan ransomware setelah pemerintah AS mencetak beberapa kemenangan melawan penjahat dunia maya yang melakukan serangan yang semakin merusak ini: Departemen Kehakiman berhasil menyita $2,3 juta dalam bitcoin yang dibayarkan Colonial Pipeline ke geng ransomware DarkSide untuk mendapatkan kembali datanya , dan berbulan-bulan kemudian ia berperan dalam menjatuhkan geng ransomware REvil yang terkenal kejam.

Optimisme kami berumur pendek. Terlepas dari tindakan ini, 2022 tampaknya akan menjadi yang teratas tahun lalu sebagai tahun terburuk dalam catatan serangan ransomware; sebuah laporan baru-baru ini menunjukkan bahwa serangan telah meningkat sebesar 80% dari tahun ke tahun dan bahwa penjahat dunia maya yang bertanggung jawab atas serangan ini dengan mudah menghindari tindakan penegakan hukum dengan memanfaatkan ransomware sebagai layanan, atau hanya dengan mengubah citra.

“Jelas bahwa serangan ransomware sedang meningkat,” Matthew Prince, CEO Cloudflare, mengatakan kepada TechCrunch. “Pada September 2022, hampir satu dari setiap empat responden survei pelanggan kami melaporkan menerima serangan atau ancaman ransomware, bulan tertinggi sejauh ini di tahun 2022.”

Selengkapnya: Tech Crunch

Polisi membongkar jaringan streaming TV bajakan dengan 500.000 pengguna

by

Polisi Spanyol telah membongkar jaringan situs streaming bajakan yang mendistribusikan konten secara ilegal dari 2.600 saluran TV dan 23.000 film dan serial kepada sekitar 500.000 pengguna.

Penegakan hukum terjadi dalam operasi gabungan yang melibatkan polisi Spanyol dan EUROPOL, yang mengakibatkan penangkapan empat operator di Malaga.

Selain itu, 95 pengecer di Spanyol, Malta, Portugal, Siprus, Yunani, dan Inggris telah diidentifikasi.

Jaringan TV bajakan menggunakan banyak situs web untuk mengiklankan dan mempromosikan layanan streaming berbasis langganan, mencantumkan akses tak terbatas ke saluran dari berbagai platform.

Streaming langsung dari platform ini didekodekan dengan akun dan kata sandi yang dicuri atau disalahgunakan dan kemudian disiarkan ulang ke klien pemutar video pelanggan.

Pengecer membeli paket berlangganan dari operator organisasi dan menjualnya kembali ke ribuan orang di negara lokal mereka untuk mendapatkan keuntungan dari selisih harga.

Selama pencarian di lokasi tersangka, penegak hukum menemukan sepuluh panel administrasi yang terhubung ke 32 server streaming yang tersebar di Prancis, Spanyol, dan Belanda, yang menampung konten yang disebutkan di atas.

Polisi memutuskan panel administrasi ini, membuat platform bajak laut offline, dan menyita peralatan komputer, 2.800 Euro tunai, dan kendaraan senilai sekitar 180.000 Euro.

Pihak berwenang akan melanjutkan penyelidikan untuk menentukan apakah anggota inti lebih lanjut dari jaringan bajak laut beroperasi di Spanyol atau negara lain.

Menurut pengumuman polisi, jaringan streaming bajakan telah beroperasi sejak 2012, terus-menerus menghindari deteksi dengan mendirikan perusahaan cangkang baru.

Selengkapnya: Bleeping Computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Internet Korea Utara untuk Sementara Dimatikan

by

Internet Korea Utara dilanda pemadaman terbesar dalam beberapa bulan pada hari Kamis, seorang peneliti keamanan dunia maya mengatakan kepada Reuters, setelah gangguan layanan serupa pada bulan Januari disalahkan atas dugaan serangan dunia maya.

Akses internet sangat dibatasi di Korea Utara. di bawah 1%- dari populasi sekitar 25 juta. Banyak lagi yang memiliki akses ke jaringan internal yang tidak terhubung ke dunia luar

Kurang lebih dua gelombang pemadaman melanda internet negara yang terisolasi itu selama kira kira 2,5 jam, memuncak dengan lonjakan tekanan jaringan yang membuat seluruh internet Korea Utara yang dapat dijangkau

Situs web Kementerian Luar Negeri Korea Utara dan Naenara, yang merupakan portal resmi untuk pemerintah Korea Utara, tampaknya melihat dampak dari dugaan serangan tersebut, sebelum menjadi begitu hebat sehingga seluruh internet dimatikan, kata Ali.

Situs web utama lainnya yang terpengaruh termasuk maskapai penerbangan nasional Air Koryo dan server email internal utama.

Korea Utara menembakkan rudal balistik pada hari Kamis karena memperingatkan “tanggapan militer yang lebih keras” terhadap upaya AS untuk meningkatkan kehadiran keamanannya di kawasan itu dengan sekutunya, dengan mengatakan Washington mengambil “pertaruhan yang akan disesalinya”.

Para peneliti mengatakan pemadaman seperti itu menunjukkan tanda-tanda yang mereka sebut serangan denial-of-service (DDoS) terdistribusi, di mana peretas mencoba membanjiri jaringan dengan volume lalu lintas data yang sangat tinggi untuk melumpuhkannya.

sumber : reuters

Otentikasi Dua Faktor Twitter Memiliki Kerentanan – DIPERBARUI

by

Grup Media Keamanan Informasi telah menyadari bahwa peneliti keamanan lain, @BetoOnSecurity, juga mengidentifikasi kemampuan untuk mematikan SMS 2FA Twitter melalui perintah “STOP” yang dikirim sebagai kerentanan, mengingat potensi spoofing. Sumber kami secara independen mengidentifikasi kerentanan.

Peneliti keamanan memperingatkan bahwa autentikasi multifaktor di Twitter mengandung kerentanan yang memungkinkan pengambilalihan akun potensial.

Kerentanan muncul ketika Twitter memasuki minggu ketiga di bawah kepemilikan Elon Musk, periode di mana staf keamanan dan kepatuhan utama di perusahaan telah pergi, banyak karyawan dan kontraktor telah diberhentikan, dan keretakan mulai terlihat di perusahaan. teknologi yang berhadapan dengan pelanggan

Kerentanan, yang diverifikasi ISMG, memungkinkan peretas untuk memalsukan nomor telepon yang terdaftar untuk menonaktifkan otentikasi dua faktor. Itu berpotensi membuat akun terkena serangan reset kata sandi atau pengambilalihan akun melalui isian kata sandi. Twitter memungkinkan penggunaan untuk mengatur multifact

Selama masa jabatan Musk sebagai kepala eksekutif, masalah lain terkait dengan kontrol akun telah muncul – serentetan akun palsu yang menyamar sebagai merek multinasional yang tampak asli, berkat adanya tanda centang biru.

Musk tetap melanjutkan. Selama periode kira-kira dua hari selama Rabu dan Kamis, penipu menyamar sebagai perusahaan farmasi Eli Lilly dengan mengumumkan bahwa insulin sekarang akan gratis, produsen pisang Chiquita dengan mengumumkan penggulingan pemerintah Brasil, dan pembuat mobil listrik yang dipimpin Musk Tesla dengan memperpanjang menawarkan untuk mengirimkan 10.000 mobil untuk mendukung militer Ukraina.

Pada saat itu, serentetan peniruan telah menarik perhatian Partai Demokrat AS.

sumber : data breach today

Microsoft memperbaiki masalah autentikasi Windows Kerberos dalam pembaruan darurat

by

Microsoft telah merilis pembaruan out-of-band (OOB) opsional untuk memperbaiki masalah yang memicu kegagalan masuk Kerberos dan masalah autentikasi lainnya pada pengontrol domain Windows setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa November.

Microsoft mengakui dan mulai menyelidiki pada hari Senin dan mengatakan bahwa masalah yang diketahui dapat memengaruhi skenario autentikasi Kerberos apa pun dalam lingkungan perusahaan yang terpengaruh.

“Saat masalah ini terjadi, Anda mungkin menerima peristiwa kesalahan Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain Anda dengan teks di bawah ini.”

Daftar skenario autentikasi Kerberos yang terpengaruh mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal tersambung.
  • ​Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan autentikasi pengguna domain mungkin gagal.

Microsoft merilis pembaruan darurat OOB yang harus diinstal oleh admin Windows di semua Pengontrol Domain (DC) pada lingkungan yang terpengaruh.

Pembaruan OOB tersedia melalui Katalog Pembaruan Microsoft dan tidak akan ditawarkan melalui Pembaruan Windows.

Redmond telah merilis pembaruan kumulatif untuk penginstalan di Pengontrol Domain (tidak diperlukan tindakan di sisi klien):

Microsoft juga merilis pembaruan mandiri yang dapat diimpor ke Windows Server Update Services (WSUS) dan Microsoft Endpoint Configuration Manager:

Satu-satunya platform yang terpengaruh yang masih menunggu perbaikan adalah Windows Server 2008 R2 SP1. Redmond mengatakan bahwa pembaruan khusus akan tersedia minggu depan.

Anda dapat menemukan instruksi penyebaran WSUS terperinci di WSUS dan instruksi Pengelola Konfigurasi dan Situs Katalog di halaman Impor pembaruan dari halaman Katalog Pembaruan Microsoft.

Sumber: Bleeping Computer

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

by

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Isi gambar ISO
Sumber: BleepingComputer

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer