Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

TikTok diretas, lebih dari 2 miliar catatan basis data pengguna dicuri.

by

Peneliti keamanan siber pada hari Senin menemukan potensi pelanggaran data dalam aplikasi video pendek China TikTok, yang diduga melibatkan hingga 2 miliar catatan basis data pengguna.

Beberapa analis keamanan siber men-tweet tentang penemuan “pelanggaran server tidak aman yang memungkinkan akses ke penyimpanan TikTok, yang mereka yakini berisi data pengguna pribadi”.

“Ini adalah peringatan Anda. #TikTok dilaporkan mengalami #pelanggaran #data, dan jika benar, mungkin ada dampak darinya dalam beberapa hari mendatang. Kami sarankan Anda mengubah #kata sandi TikTok Anda dan mengaktifkan Otentikasi Dua Faktor, jika Anda belum melakukannya sudah melakukannya,” cuit BeeHive CyberSecurity.

“Kami telah meninjau sampel data yang diekstraksi. Kepada pelanggan email dan klien pribadi kami, kami telah mengirimkan komunikasi peringatan,” tambahnya.

Troy Hunt, pencipta situs informasi pelanggaran data yang telah dibuat, memposting utas di Twitter untuk memverifikasi apakah data sampel itu asli atau tidak. Baginya, buktinya “sejauh ini tidak meyakinkan”.

BlueHornet|AgaisntTheWest memposting semua detail di forum yang dilanggar.

“Siapa yang mengira @TikTok akan memutuskan untuk menyimpan semua kode sumber backend internal mereka di satu instance Alibaba Cloud menggunakan kata sandi yang tidak berguna?” tweet mereka, memposting tentang betapa mudahnya mereka mengunduh data.

Seorang juru bicara TikTok mengatakan dalam laporan berita bahwa tim keamanan mereka “menyelidiki pernyataan ini dan memutuskan bahwa kode yang dimaksud sama sekali tidak terkait dengan kode sumber backend TikTok”.

Tim Riset Pembela Microsoft 365 baru saja menemukan kerentanan di aplikasi TikTok untuk Android yang memungkinkan peretas mengambil alih video pribadi jutaan pengguna setelah mereka mengklik tautan berbahaya.

Microsoft menemukan kerentanan tingkat tinggi dalam aplikasi TikTok Android, yang memungkinkan penyerang menyusup ke akun pengguna dengan satu klik.

Kerentanan, yang akan membutuhkan beberapa masalah untuk dirantai bersama untuk dieksploitasi, kini telah diperbaiki oleh perusahaan China.

“Penyerang dapat memanfaatkan kerentanan untuk membajak akun tanpa sepengetahuan pengguna jika pengguna yang ditargetkan hanya mengklik tautan yang dibuat khusus,” kata raksasa teknologi itu dalam sebuah pernyataan pekan lalu.

Sumber: Business Standard

Penyerang Ransomware Menyalahgunakan Sistem Anti-Cheat Genshin untuk Menonaktifkan Antivirus

by

Driver anti-cheat yang rentan untuk video game Genshin Impact telah dimanfaatkan oleh pelaku kejahatan dunia maya untuk menonaktifkan program antivirus guna memfasilitasi penyebaran ransomware, menurut temuan dari Trend Micro.

Infeksi ransomware, yang dipicu pada minggu terakhir Juli 2022, mengandalkan fakta bahwa driver yang dimaksud (“mhyprot2.sys”) ditandatangani dengan sertifikat yang valid, sehingga memungkinkan untuk menghindari hak istimewa dan menghentikan layanan yang terkait dengan aplikasi perlindungan titik akhir.

Genshin Impact adalah Game aksi populer yang dikembangkan dan diterbitkan oleh pengembang miHoYo yang berbasis di Shanghai pada September 2020.

Driver yang digunakan dalam rantai serangan dikatakan telah dibuat pada Agustus 2020, dengan adanya kelemahan dalam modul yang dibahas setelah rilis game, dan mengarah ke eksploitasi yang menunjukkan kemampuan untuk membunuh proses sewenang-wenang dan meningkat ke kernel mode.

Idenya, singkatnya, adalah menggunakan modul driver perangkat yang sah dengan penandatanganan kode yang valid untuk meningkatkan hak istimewa dari mode pengguna ke mode kernel, menegaskan kembali bagaimana musuh terus mencari cara berbeda untuk menyebarkan malware secara diam-diam.

Dalam insiden yang dianalisis oleh Trend Micro, titik akhir yang disusupi milik entitas yang tidak disebutkan namanya digunakan sebagai saluran untuk terhubung ke pengontrol domain melalui protokol desktop jarak jauh (RDP) dan mentransfer ke sana penginstal Windows yang menyamar sebagai AVG Internet Security, yang menjatuhkan dan dieksekusi, antara lain, driver yang rentan.

Tujuannya, kata para peneliti, adalah untuk menyebarkan ransomware secara massal menggunakan pengontrol domain melalui file batch yang menginstal driver, mematikan layanan antivirus, dan meluncurkan muatan ransomware.

Trend Micro menunjukkan bahwa game “tidak perlu diinstal pada perangkat korban agar ini berfungsi,” yang berarti pelaku ancaman dapat dengan mudah menginstal driver anti-cheat sebagai pendahulu penyebaran ransomware.

Kami telah menghubungi miHoYo untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

“Masih jarang ditemukan modul dengan penandatanganan kode sebagai driver perangkat yang dapat disalahgunakan,” kata para peneliti. “Modul ini sangat mudah didapat dan akan tersedia untuk semua orang sampai dihapus dari keberadaannya. Modul ini bisa bertahan lama sebagai utilitas yang berguna untuk melewati hak istimewa.”

“Pencabutan sertifikat dan deteksi antivirus mungkin membantu untuk mencegah penyalahgunaan, tetapi tidak ada solusi saat ini karena ini adalah modul yang sah.”

Sumber: The Hackernews

CodeRAT: Sumber Terbuka Pengembang Malware Setelah Diekspos

by

Kode sumber trojan akses jarak jauh (RAT) yang dijuluki ‘CodeRAT’ telah bocor di GitHub setelah analis malware mengonfrontasi pengembang tentang serangan yang menggunakan alat tersebut.

Operasi jahat, yang tampaknya berasal dari Iran, menargetkan pengembang perangkat lunak berbahasa Farsi dengan dokumen Word yang menyertakan eksploitasi Microsoft Dynamic Data Exchange (DDE).

Eksploitasi mengunduh dan mengeksekusi CodeRAT dari repositori GitHub pelaku ancaman, memberikan operator jarak jauh berbagai kemampuan pasca-infeksi.

Lebih khusus lagi, CodeRAT mendukung sekitar 50 perintah dan dilengkapi dengan kemampuan pemantauan ekstensif yang menargetkan webmail, dokumen Microsoft Office, database, platform jaringan sosial, lingkungan pengembangan terintegrasi (IDE) untuk Windows Android, dan bahkan situs web individual seperti PayPal.

Perusahaan keamanan siber SafeBreach melaporkan bahwa malware juga memata-matai jendela sensitif untuk alat seperti Visual Studio, Python, PhpStorm, dan Verilog – bahasa deskripsi perangkat keras untuk memodelkan sistem elektronik.

Untuk berkomunikasi dengan operatornya dan untuk mengekstrak data yang dicuri, CodeRAT menggunakan mekanisme berbasis Telegram yang mengandalkan API unggah file anonim publik alih-alih infrastruktur server perintah dan kontrol yang lebih umum.

Meskipun kampanye berhenti tiba-tiba ketika para peneliti menghubungi pengembang malware, CodeRAT kemungkinan akan menjadi lebih umum sekarang karena pembuatnya membuat kode sumber publik.

Detail CodeRAT

Malware ini mendukung sekitar 50 perintah yang mencakup mengambil tangkapan layar, menyalin konten clipboard, mendapatkan daftar proses yang sedang berjalan, menghentikan proses, memeriksa penggunaan GPU, mengunduh, mengunggah, menghapus file, menjalankan program.

Penyerang dapat membuat perintah melalui alat UI yang membangun dan mengaburkannya, lalu menggunakan salah satu dari tiga metode berikut untuk mengirimkannya ke malware:

1. Telegram bot API dengan proxy (tidak ada permintaan langsung)
2. Mode manual (termasuk opsi USB)
3. Perintah yang disimpan secara lokal di folder ‘myPictures’
Tiga metode yang sama juga dapat digunakan untuk eksfiltrasi data, termasuk file tunggal, seluruh folder, atau penargetan ekstensi file tertentu.

Jika negara korban telah melarang Telegram, CodeRAT menawarkan fungsionalitas anti-filter yang membuat saluran perutean permintaan terpisah yang dapat membantu melewati pemblokiran.

Penulis juga mengklaim bahwa malware dapat bertahan di antara reboot tanpa membuat perubahan apa pun pada registri Windows, tetapi SafeBreach tidak memberikan detail apa pun tentang fitur ini.

CodeRAT hadir dengan kemampuan kuat yang kemungkinan akan menarik penjahat dunia maya lainnya. Pengembang malware selalu mencari kode malware yang dapat dengan mudah diubah menjadi “produk” baru yang akan meningkatkan keuntungan mereka.

Sumber: BleepingComputer

Microsoft Defender salah mendeteksi Win32/Hive.ZY di Google Chrome, aplikasi Electron

by

Pembaruan tambahan untuk cerita di bawah ini, termasuk versi pembaruan intelijen keamanan yang diperlukan untuk memperbaiki False Positive (positif palsu) Win32/Hive.ZY.

Pembaruan tanda tangan Microsoft Defender yang buruk salah mendeteksi Google Chrome, Microsoft Edge, Discord, dan aplikasi Electron lainnya sebagai ‘Win32/Hive.ZY’ setiap kali aplikasi dibuka di Windows.

Masalah dimulai Minggu pagi ketika Microsoft mendorong pembaruan tanda tangan Defender 1.373.1508.0 untuk menyertakan dua deteksi ancaman baru, termasuk Behavior:Win32/Hive.ZY.

“Deteksi umum untuk perilaku mencurigakan ini dirancang untuk menangkap file yang berpotensi berbahaya. Jika Anda mengunduh file atau menerimanya melalui email, pastikan file tersebut berasal dari sumber yang dapat dipercaya sebelum membukanya,”

Microsoft Defender salah mendeteksi Win32/Hive.ZY
Sumber: Twitter

Meskipun Microsoft Defender akan terus menampilkan deteksi ini saat aplikasi dibuka, penting untuk dicatat bahwa ini adalah False Positive, dan perangkat Anda salah terdeteksi sebagai terinfeksi.

Untuk memeriksa pembaruan intelijen keamanan baru, pengguna Windows dapat mencari dan membuka Keamanan Windows dari Start Menu, klik Perlindungan virus & ancaman, lalu klik Periksa pembaruan di bawah Pembaruan perlindungan virus & ancaman.

Microsoft telah merilis pembaruan intelijen keamanan Microsoft Defender versi 1.373.1537.0 untuk menyelesaikan False Positive Win32/Hive.ZY yang dialami oleh pengguna Windows saat ini.

“Kami telah merilis pembaruan untuk mengatasi masalah ini dan pelanggan yang menggunakan pembaruan otomatis untuk Microsoft Defender tidak perlu melakukan tindakan tambahan.”

Selain itu, Microsoft berbagi bahwa pelanggan perusahaan yang mengelola pembaruan mereka harus memastikan mereka menggunakan deteksi build 1.373.1537.0 atau yang lebih baru.

Sumber: Bleeping Computer

Peretas JuiceLedger Di Balik Serangan Phishing Terbaru Terhadap Pengguna PyPI

by

Rincian lebih lanjut telah muncul tentang operator di balik kampanye phishing pertama yang diketahui secara khusus ditujukan untuk Python Package Index (PyPI), repositori perangkat lunak pihak ketiga resmi untuk bahasa pemrograman.

Kampanye tersebut dikaitkan dengan aktor ancaman JuiceLedger, perusahaan keamanan siber SentinelOne, bersama dengan Checkmarx, menggambarkan kelompok itu sebagai entitas baru yang muncul pada awal 2022.

Kampanye “rendah” awal dikatakan telah melibatkan penggunaan aplikasi penginstal Python jahat untuk mengirimkan malware berbasis .NET yang disebut JuiceStealer yang direkayasa untuk menyedot kata sandi dan data sensitif lainnya dari browser web korban.

Serangan tersebut mengalami peningkatan yang signifikan bulan lalu ketika aktor JuiceLedger menargetkan kontributor paket PyPi dalam kampanye phishing, yang mengakibatkan kompromi tiga paket dengan malware.

“Serangan supply chain (rantai pasokan) terhadap kontributor paket PyPI tampaknya merupakan eskalasi dari kampanye yang dimulai awal tahun yang awalnya menargetkan calon korban melalui aplikasi perdagangan cryptocurrency palsu,” kata peneliti SentinelOne Amitai Ben Shushan Ehrlich dalam sebuah laporan.

Tujuannya mungkin untuk menginfeksi khalayak yang lebih luas dengan infostealer melalui campuran paket trojanized dan typosquat, perusahaan keamanan siber menambahkan.

Perkembangan tersebut menambah kekhawatiran yang berkembang seputar keamanan ekosistem open source, mendorong Google untuk mengambil langkah-langkah mengumumkan imbalan uang karena menemukan kekurangan dalam proyeknya yang tersedia di domain publik.

Dengan serangan pengambilalihan akun menjadi vektor infeksi populer bagi penyerang yang ingin meracuni rantai pasokan perangkat lunak, PyPI telah mulai memberlakukan persyaratan otentikasi dua faktor (2FA) wajib untuk proyek yang dianggap “kritis”.

“JuiceLedger tampaknya telah berkembang sangat cepat dari infeksi oportunistik skala kecil hanya beberapa bulan yang lalu menjadi melakukan serangan rantai pasokan pada distributor perangkat lunak utama,” kata SentinelOne.

Sumber: The Hackernews

Ransomware BlackCat mengklaim serangan terhadap agen energi Italia

by

Geng ransomware BlackCat/ALPHV mengaku bertanggung jawab atas serangan yang menghantam sistem agen energi Italia Gestore dei Servizi Energetici SpA (GSE) selama akhir pekan.

GSE adalah perusahaan milik publik yang mempromosikan dan mendukung sumber energi terbarukan (RES) di seluruh Italia.

GSE mengungkapkan bahwa situs web dan sistemnya diturunkan untuk memblokir penyerang mendapatkan akses ke data setelah mendeteksi serangan pada Minggu malam—situs web GSE masih tidak aktif, hampir seminggu setelah insiden tersebut.

Sebelum pengungkapan GSE, grup ransomware BlackCat menambahkan entri baru ke situs kebocoran data web gelapnya yang mengklaim telah mencuri sekitar 700GB file dari server badan energi Italia.

Para penyerang mengatakan bahwa file yang dicuri berisi data rahasia, termasuk kontrak, laporan, informasi proyek, dokumen akuntansi, dan dokumentasi internal lainnya.

Serangan ini menyusul insiden lain yang melibatkan Eni SpA, perusahaan energi terbesar di Italia, dengan lebih dari 31.000 karyawan yang beroperasi di pasar nasional dan internasional.

Eni SpA juga mengungkapkan bahwa baru-baru ini diretas sebagai bagian dari serangan siber yang menurut perusahaan memiliki konsekuensi kecil pada operasinya.

Awal tahun ini, BlackCat juga mengatakan berada di balik serangan ransomware terhadap Creos Luxembourg S.A., jaringan pipa gas alam dan operator jaringan listrik dari Eropa Tengah, dan perusahaan pemasok bensin Jerman Oiltanking.

Situs GSE masih down (BleepingComputer)

Operasi ransomware BlackCat/ALPHV diluncurkan pada November 2021 dan diyakini sebagai rebrand dari geng DarkSide/BlackMatter.

Geng ransomware pertama kali mendapatkan ketenaran sebagai DarkSide setelah menyerang Colonial Pipeline dan mendarat di garis bidik penegakan hukum internasional.

Meskipun mereka berganti nama menjadi BlackMatter pada Juli 2021, mereka dengan cepat terpaksa ditutup lagi pada November, setelah server geng disita dan Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor.

Grup ini dianggap sebagai salah satu ancaman ransomware paling signifikan yang saat ini menargetkan perusahaan di seluruh dunia.

Sejauh ini, telah dikaitkan dengan serangan terhadap perusahaan seperti penyedia layanan penanganan kargo maskapai Swissport dan grup mode Moncler.

Baru-baru ini, BlackCat juga telah mengembangkan taktik pemerasannya, meluncurkan basis data baru yang dapat dicari dari data curian yang membuat serangan pemerasan ganda kelompok itu semakin merusak korban.

Pada bulan April, FBI memperingatkan bahwa BlackCat memiliki “jaringan dan pengalaman luas dengan operasi ransomware” karena mereka telah melanggar lebih dari 60 entitas di seluruh dunia antara November 2021 dan Maret 2022.

Sumber: Bleeping Computer

Serangan phishing Instagram dengan tawaran Centang biru.

by

Kampanye phishing Instagram baru sedang berlangsung, mencoba menipu pengguna platform media sosial populer dengan memikat mereka dengan tawaran Centang biru.

Centang biru sangat didambakan karena Instagram menyediakannya ke akun yang diverifikasi keasliannya, mewakili tokoh masyarakat, selebritas, atau merek.

Email tombak dalam kampanye phishing yang baru-baru ini diamati, memberi tahu penerima bahwa mereka Instagram meninjau akun mereka dan menganggapnya memenuhi syarat untuk mendapatkan lencana biru.

Pengguna yang terjerat penipuan, diminta untuk mengisi formulir dan mengklaim lencana verifikasi mereka dalam 48 jam ke depan.

Kampanye baru ini ditemukan oleh analis ancaman di Vade, layanan keamanan email berbasis AI, yang melaporkan bahwa pesan pertama ke target dikirim pada 22 Juli.

Selama penerapan, volume distribusi email melonjak dua kali, sekali pada 28 Juli dan lagi pada 9 Agustus 2022, dengan lebih dari 1.000 pesan phishing per hari.

Pesan Phising tersebut menampilkan logo Instagram dan Facebook dan memberi tahu penerima bahwa akun mereka memenuhi syarat untuk lencana biru, mendesak mereka untuk mengklik tombol yang disematkan yang akan membawa mereka ke formulir pengiriman yang relevan.

Contoh email phishing (Vade)

Pengguna diperingatkan bahwa jika mereka mengabaikan pesan, formulir akan dihapus secara permanen dalam 48 jam, menciptakan rasa urgensi dan ilusi kesempatan terbatas.

Formulir phishing di-host di domain bernama “teamcorrectionbadges”, untuk membuatnya tampak seolah-olah Instagram menggunakan domain khusus yang terpisah untuk memverifikasi pengguna.

Proses phishing di situs itu bergantung pada bentuk tiga tahap, setiap langkah menampilkan logo Instagram, Facebook, WhatsApp, Messenger, dan Meta, dalam upaya menciptakan rasa legitimasi.

Langkah kedua dalam proses phishing
(Vade)

Formulir pertama meminta “nama pengguna”, yang kedua meminta korban untuk memasukkan “nama”, “email”, dan “nomor telepon”, sedangkan langkah ketiga dan terakhir meminta memasukkan “kata sandi” pengguna, untuk memverifikasi bahwa mereka memilikinya. Akun.

Setelah korban menyelesaikan prosesnya, sebuah pesan menginformasikan bahwa akun mereka sekarang telah diverifikasi dan tim Instagram akan menghubungi mereka dalam dua hari ke depan. ID kasus palsu juga ditampilkan pada langkah terakhir ini.

Pesan terlihat setelah terkena phishing (Vade)

Untuk memahami bagaimana Anda dapat melindungi diri dari penipuan ini, penting untuk mengetahui cara kerja program verifikasi Instagram.

Pertama, platform media sosial tidak akan pernah menghubungi Anda untuk menawarkan lencana biru. Pengguna hanya bisa mendapatkannya dengan menerapkan sendiri.

Kedua, mengajukan verifikasi hanya dapat dilakukan melalui platform resmi, tidak pernah dengan mengunjungi domain terpisah.

Ketiga, lencana biru Instagram disediakan untuk tokoh masyarakat, selebriti, dan merek terkenal, sehingga akun biasa tidak memenuhi syarat.

Untuk melindungi akun Anda, Instagram menawarkan autentikasi dua faktor untuk keamanan tambahan, jadi meskipun Anda memberikan semua detail Anda kepada pelaku phishing, kehilangan akses ke akun Anda akan lebih rumit.

Sumber: Bleeping Computer

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer