Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Layanan kafein memungkinkan siapa saja meluncurkan serangan phishing Microsoft 365

by

Platform phishing-as-a-service (PhaaS) bernama ‘Caffeine’ memudahkan pelaku ancaman untuk meluncurkan serangan, menampilkan proses pendaftaran terbuka yang memungkinkan siapa saja untuk masuk dan memulai kampanye phishing mereka sendiri.

Kafein tidak memerlukan undangan atau rujukan, juga tidak memerlukan calon pelaku ancaman untuk mendapatkan persetujuan dari admin di Telegram atau forum peretasan. Karena itu, Caffeine menghilangkan banyak hambatan yang menjadi ciri hampir semua platform semacam ini.

Ciri khas lain dari Caffeine adalah bahwa template phishingnya menargetkan platform Rusia dan Cina, sedangkan sebagian besar platform PhaaS cenderung berfokus pada umpan untuk layanan Barat.

Analis Mandiant menemukan dan menguji Caffeine secara menyeluruh, dan melaporkan bahwa Caffeine adalah PhaaS kaya fitur yang mengkhawatirkan mengingat hambatannya yang rendah untuk masuk.

Dalam hal opsi phishing, beberapa fitur lanjutan yang ditawarkan oleh platform ini meliputi:

  • Mekanisme untuk menyesuaikan skema URL dinamis untuk membantu menghasilkan halaman yang diisi sebelumnya secara dinamis dengan informasi khusus korban.
  • Halaman pengalihan kampanye tahap pertama dan halaman iming-iming terakhir.
  • Opsi pemblokiran IP untuk pemblokiran geografis, pemblokiran berbasis range CIDR, dll.

Selengkapnya: Bleeping Computer

Fortinet mengatakan bug bypass auth kritis dieksploitasi dalam serangan

by

Fortinet telah mengkonfirmasi bahwa kerentanan keamanan bypass otentikasi kritis yang ditambal minggu lalu sedang dieksploitasi di alam liar.

Kelemahan keamanan (CVE-2022-40684) adalah bypass autentikasi pada antarmuka administratif yang memungkinkan pelaku ancaman jarak jauh untuk masuk ke firewall FortiGate, proxy web FortiProxy, dan FortiSwitch Manager (FSWM).

“Sebuah bypass otentikasi menggunakan jalur alternatif atau kerentanan saluran [CWE-288] di FortiOS, FortiProxy dan FortiSwitchManager memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi pada antarmuka administratif melalui permintaan HTTP atau HTTPS yang dibuat khusus,” kata Fortinet dalam sebuah advisory.

Perusahaan tersebut merilis pembaruan keamanan untuk mengatasi kelemahan ini pada hari Kamis. Mereka juga memperingatkan beberapa pelanggannya melalui email untuk menonaktifkan antarmuka pengguna manajemen jarak jauh pada perangkat yang terpengaruh “dengan sangat mendesak.”

Fortinet telah merilis security patch dan meminta pelanggan untuk memperbarui perangkat yang rentan ke FortiOS 7.0.7 atau 7.2.2 dan yang lebih baru, FortiProxy 7.0.7 atau 7.2.1 dan yang lebih baru, dan FortiSwitchManager 7.2.1 atau yang lebih baru untuk mempertahankan perangkat mereka dari serangan.

Fortinet juga memberikan informasi tentang bagaimana pelanggan dapat memblokir serangan yang masuk meskipun mereka tidak dapat segera memasang pembaruan keamanan.

Selengkapnya: Fortiguard | Bleeping Computer

Peneliti Merinci Alat Berbahaya yang Digunakan oleh Kelompok Siber Spionase Earth Aughisky

by

Sebuah penelitian baru telah merinci sifat perangkat malware yang semakin canggih yang digunakan oleh kelompok ancaman persisten tingkat lanjut (APT) bernama Earth Aughisky.

“Selama dekade terakhir, grup ini terus melakukan penyesuaian dalam alat dan penyebaran malware pada target tertentu yang berlokasi di Taiwan dan, baru-baru ini, Jepang,” ungkap Trend Micro dalam profil teknis minggu lalu.

Earth Aughisky, juga dikenal sebagai Taidoor, adalah kelompok siber spionase yang dikenal karena kemampuannya untuk menyalahgunakan akun, perangkat lunak, aplikasi, dan kelemahan lain yang sah dalam desain dan infrastruktur jaringan untuk tujuan mereka sendiri.

Vertikal industri yang paling sering ditargetkan termasuk pemerintah, telekomunikasi, manufaktur, alat berat, teknologi, transportasi, dan perawatan kesehatan.

Rantai serangan yang dipasang oleh grup biasanya memanfaatkan spear-phishing sebagai metode awal masuk, menggunakannya untuk menyebarkan backdoor tahap berikutnya. Yang utama di antara alat-alatnya adalah trojan akses jarak jauh yang disebut Taidoor (alias Roudan).

Beberapa pintu backdoor terkenal lainnya yang digunakan oleh Earth Aughisky selama bertahun-tahun adalah sebagai berikut:

  • SiyBot, backdoor dasar yang menggunakan layanan publik seperti Gubb dan 30 Box untuk command-and-control (C2)
  • TWTRAT, yang menyalahgunakan fitur pesan langsung Twitter untuk C2
  • DropNetClient (alias Buxzop), yang memanfaatkan API Dropbox untuk C2

Selengkapnya: The Hacker News

Multitool Kriminal LilithBot Hadir Di Kancah Malware-as-a-service

by

Kelompok ancaman yang berbasis di Rusia yang mendirikan toko distribusi malware awal tahun ini berada di belakang botnet yang dilengkapi dengan berbagai kemampuan jahat, mulai dari mencuri informasi hingga menambang cryptocurrency.

Itu menurut para peneliti di unit intelijen ancaman ThreatLabz Zscaler. Dikatakan grup Eternity – juga dikenal sebagai EternityTeam dan Eternity Project – menawarkan malware LilithBot multifungsi melalui grup Telegram khusus dan tautan Tor di mana penjahat dunia maya dapat memperoleh berbagai muatan melalui langganan.

Grup malware as a service (MaaS) telah aktif setidaknya sejak Januari, mendistribusikan berbagai modul di bawah merek Eternity yang – bersama dengan malware pencuri dan penambang – termasuk ransomware, bot distributed denial of service (DDoS), worm and dropper, dan clipper yang memalsukan alamat crypto di dompet, tulis para peneliti dalam sebuah laporan.

Beberapa kelompok ancaman beralih ke model as-a-service sebagai penghasil pendapatan utama mereka atau sebagai sumber pendapatan tambahan untuk melengkapi aktivitas jahat mereka yang lain. Tidak hanya mencakup MaaS tetapi juga ransomware dan access-as-a-service, di mana sebuah grup akan mendapatkan akses awal ke jaringan perusahaan dan kemudian menjual akses itu ke penjahat dunia maya lainnya.

Selengkapnya: The Register

Singtel mengkonfirmasi pencurian digital di anak perusahaan, Dialog

by

Singtel telah mengkonfirmasi bahwa bisnis Australia lainnya yang dimilikinya, unit konsultan Dialog, telah menjadi korban perampokan dunia maya hanya beberapa minggu setelah kebocoran data raksasa di telco Optus terungkap.

Dalam sebuah pernyataan kepada bursa saham Singapura, Singtel mengatakan penyusup mungkin telah mengakses data perusahaan “berpotensi mempengaruhi kurang dari 20 klien dan 1.000 karyawan Dialog saat ini serta mantan karyawan”.

Akses tidak sah ke servernya pertama kali terdeteksi pada 10 September. Sistem ini ditutup sebagai “tindakan pencegahan” tetapi dipulihkan dan beroperasi penuh kembali dua hari kemudian.

Singtel telah memberi tahu pihak berwenang terkait dan menawarkan dukungan kepada mereka yang terjebak dalam kekacauan ini. Saat ini “tidak ada bukti” bahwa “insiden keamanan siber” di Dialog memiliki kaitan dengan insiden di Optus.

Singtel telah menyewa Deloitte untuk membantunya menginvestigasi insiden itu, dan Polisi Federal Australia (AFP) telah meminta FBI untuk membantu mereka menyisir jaring untuk menemukan para pelaku.

Selengkapnya: The Register

Laporan Baru Mengungkap Teknik Pengiriman dan Pengelakan Emotet yang Digunakan dalam Serangan Baru-baru ini

by

Pelaku ancaman yang memiliki kaitan dengan malware Emotet yang terkenal terus-menerus mengubah taktik dan infrastruktur command-and-control (C2) mereka untuk menghindari deteksi, menurut penelitian baru dari VMware.

Kebangkitan Emotet, yang diatur oleh tim Conti yang sekarang sudah tidak aktif, telah membuka jalan bagi infeksi Cobalt Strike dan, baru-baru ini, serangan ransomware yang melibatkan Quantum dan BlackCat.

Alur serangan emotet juga ditandai dengan penggunaan vektor serangan yang berbeda dalam upaya untuk tetap terselubung untuk waktu yang lama.

Penyusupan ini biasanya bergantung pada gelombang pesan spam yang mengirimkan dokumen yang mengandung malware atau URL yang disematkan, yang ketika dibuka atau diklik, mengarah pada penyebaran malware.

Pada Januari 2022 saja, VMware mengatakan telah mengamati tiga rangkaian serangan yang berbeda di mana muatan Emotet dikirimkan melalui makro Excel 4.0 (XL4), makro XL4 dengan PowerShell, dan makro Aplikasi Visual Basic (VBA) dengan PowerShell.

Kemunculan kembali Emotet juga ditandai dengan perubahan infrastruktur C2, dengan aktor ancaman mengoperasikan dua klaster botnet baru yang dijuluki Epochs 4 dan 5. Sebelum penghapusan, operasi Emotet berjalan di atas tiga botnet terpisah yang disebut sebagai Epochs 1, 2, dan 3.

Selain itu, 10.235 muatan Emotet yang terdeteksi di alam liar antara 15 Maret 2022, dan 18 Juni 2022, menggunakan kembali server C2 milik Epoch 5.

Selengkapnya: The Hacker News

Apple merilis iOS 16.0.3

by

Apple terus memperbaiki beberapa bug awal yang memengaruhi iOS 16 serta iPhone 14 dan iPhone 14 Pro. Perusahaan tersebut sekarang meluncurkan iOS 16.0.3, yang mencakup perbaikan bug tambahan dan peningkatan kinerja untuk notifikasi, aplikasi Kamera, dan banyak lagi.

Nomor build untuk pembaruan terbaru adalah 20A392 dan tersedia untuk iPhone apa pun yang mampu menjalankan iOS 16, yang mencakup iPhone 8 dan yang lebih baru.

  • Panggilan masuk dan pemberitahuan aplikasi mungkin tertunda atau tidak terkirim di iPhone 14 Pro dan iPhone 14 Pro Max.
  • Volume mikrofon rendah dapat terjadi selama panggilan telepon CarPlay pada model iPhone 14.
  • Kamera mungkin lambat diluncurkan atau beralih di antara mode di iPhone 14 Pro dan iPhone 14 Pro Max.
  • Email crash saat diluncurkan setelah menerima email yang salah format.

Salah satu hal terbesar yang kami perhatikan adalah apakah iOS 16.0.3 mengatasi keluhan masa pakai baterai yang saat ini membanjiri banyak pengguna iPhone atau tidak.

Selengkapnya: 9to5mac

Pengguna Microsoft Teams menggunakannya untuk alasan yang sangat buruk, jadi hentikan sekarang

by

Perusahaan keamanan siber Hornetsecurity mendesak perusahaan untuk mengambil tindakan pencegahan yang lebih terhadap potensi ancaman menggunakan platform konferensi video Microsoft Teams.

Menurut penelitiannya, hampir setengah (45%) pengguna mengaku sering mengirim informasi “rahasia dan sensitif” melalui Microsoft Teams.

Lebih buruk lagi, angka yang lebih tinggi (51%) ditemukan di berbagi informasi “penting bisnis”, sementara jumlah yang sama (48%) dari responden secara tidak sengaja mengirim pesan Microsoft Teams yang seharusnya tidak dikirim, seperti kepada orang yang salah.

Ketika berbicara mengenai perangkat, pelanggar lebih cenderung berbagi informasi rahasia menggunakan perangkat pribadi (51%), dibandingkan dengan peralatan kerja (29%). Jelas, pentingnya menggunakan perangkat yang diamankan secara profesional perlu ditekankan dalam pelatihan staf.

Hornetsecurity mengusulkan ini sebagai salah satu solusi untuk mengurangi tekanan pada keamanan siber perusahaan, mengutip 56% dari peserta survei yang percaya bahwa pelatihan dan kesadaran karyawan adalah aspek terpenting untuk mengurangi risiko.

CEO perusahaan, Daniel Hofmann, menjelaskan bahwa “perusahaan harus memiliki perlindungan yang memadai untuk melindungi dan mengamankan data bisnis” karena lebih banyak pekerja beralih ke chat-like messaging services.

Jika pengguna ingin terus berbagi konten melalui obrolan, Hofmann mengatakan bahwa perusahaan harus “memastikan informasi dan file yang dibagikan di seluruh platform dicadangkan dengan cara yang aman dan bertanggung jawab.”

Selengkapnya: MSN