Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas JuiceLedger Di Balik Serangan Phishing Terbaru Terhadap Pengguna PyPI

by

Rincian lebih lanjut telah muncul tentang operator di balik kampanye phishing pertama yang diketahui secara khusus ditujukan untuk Python Package Index (PyPI), repositori perangkat lunak pihak ketiga resmi untuk bahasa pemrograman.

Kampanye tersebut dikaitkan dengan aktor ancaman JuiceLedger, perusahaan keamanan siber SentinelOne, bersama dengan Checkmarx, menggambarkan kelompok itu sebagai entitas baru yang muncul pada awal 2022.

Kampanye “rendah” awal dikatakan telah melibatkan penggunaan aplikasi penginstal Python jahat untuk mengirimkan malware berbasis .NET yang disebut JuiceStealer yang direkayasa untuk menyedot kata sandi dan data sensitif lainnya dari browser web korban.

Serangan tersebut mengalami peningkatan yang signifikan bulan lalu ketika aktor JuiceLedger menargetkan kontributor paket PyPi dalam kampanye phishing, yang mengakibatkan kompromi tiga paket dengan malware.

“Serangan supply chain (rantai pasokan) terhadap kontributor paket PyPI tampaknya merupakan eskalasi dari kampanye yang dimulai awal tahun yang awalnya menargetkan calon korban melalui aplikasi perdagangan cryptocurrency palsu,” kata peneliti SentinelOne Amitai Ben Shushan Ehrlich dalam sebuah laporan.

Tujuannya mungkin untuk menginfeksi khalayak yang lebih luas dengan infostealer melalui campuran paket trojanized dan typosquat, perusahaan keamanan siber menambahkan.

Perkembangan tersebut menambah kekhawatiran yang berkembang seputar keamanan ekosistem open source, mendorong Google untuk mengambil langkah-langkah mengumumkan imbalan uang karena menemukan kekurangan dalam proyeknya yang tersedia di domain publik.

Dengan serangan pengambilalihan akun menjadi vektor infeksi populer bagi penyerang yang ingin meracuni rantai pasokan perangkat lunak, PyPI telah mulai memberlakukan persyaratan otentikasi dua faktor (2FA) wajib untuk proyek yang dianggap “kritis”.

“JuiceLedger tampaknya telah berkembang sangat cepat dari infeksi oportunistik skala kecil hanya beberapa bulan yang lalu menjadi melakukan serangan rantai pasokan pada distributor perangkat lunak utama,” kata SentinelOne.

Sumber: The Hackernews

Ransomware BlackCat mengklaim serangan terhadap agen energi Italia

by

Geng ransomware BlackCat/ALPHV mengaku bertanggung jawab atas serangan yang menghantam sistem agen energi Italia Gestore dei Servizi Energetici SpA (GSE) selama akhir pekan.

GSE adalah perusahaan milik publik yang mempromosikan dan mendukung sumber energi terbarukan (RES) di seluruh Italia.

GSE mengungkapkan bahwa situs web dan sistemnya diturunkan untuk memblokir penyerang mendapatkan akses ke data setelah mendeteksi serangan pada Minggu malam—situs web GSE masih tidak aktif, hampir seminggu setelah insiden tersebut.

Sebelum pengungkapan GSE, grup ransomware BlackCat menambahkan entri baru ke situs kebocoran data web gelapnya yang mengklaim telah mencuri sekitar 700GB file dari server badan energi Italia.

Para penyerang mengatakan bahwa file yang dicuri berisi data rahasia, termasuk kontrak, laporan, informasi proyek, dokumen akuntansi, dan dokumentasi internal lainnya.

Serangan ini menyusul insiden lain yang melibatkan Eni SpA, perusahaan energi terbesar di Italia, dengan lebih dari 31.000 karyawan yang beroperasi di pasar nasional dan internasional.

Eni SpA juga mengungkapkan bahwa baru-baru ini diretas sebagai bagian dari serangan siber yang menurut perusahaan memiliki konsekuensi kecil pada operasinya.

Awal tahun ini, BlackCat juga mengatakan berada di balik serangan ransomware terhadap Creos Luxembourg S.A., jaringan pipa gas alam dan operator jaringan listrik dari Eropa Tengah, dan perusahaan pemasok bensin Jerman Oiltanking.

Situs GSE masih down (BleepingComputer)

Operasi ransomware BlackCat/ALPHV diluncurkan pada November 2021 dan diyakini sebagai rebrand dari geng DarkSide/BlackMatter.

Geng ransomware pertama kali mendapatkan ketenaran sebagai DarkSide setelah menyerang Colonial Pipeline dan mendarat di garis bidik penegakan hukum internasional.

Meskipun mereka berganti nama menjadi BlackMatter pada Juli 2021, mereka dengan cepat terpaksa ditutup lagi pada November, setelah server geng disita dan Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor.

Grup ini dianggap sebagai salah satu ancaman ransomware paling signifikan yang saat ini menargetkan perusahaan di seluruh dunia.

Sejauh ini, telah dikaitkan dengan serangan terhadap perusahaan seperti penyedia layanan penanganan kargo maskapai Swissport dan grup mode Moncler.

Baru-baru ini, BlackCat juga telah mengembangkan taktik pemerasannya, meluncurkan basis data baru yang dapat dicari dari data curian yang membuat serangan pemerasan ganda kelompok itu semakin merusak korban.

Pada bulan April, FBI memperingatkan bahwa BlackCat memiliki “jaringan dan pengalaman luas dengan operasi ransomware” karena mereka telah melanggar lebih dari 60 entitas di seluruh dunia antara November 2021 dan Maret 2022.

Sumber: Bleeping Computer

Serangan phishing Instagram dengan tawaran Centang biru.

by

Kampanye phishing Instagram baru sedang berlangsung, mencoba menipu pengguna platform media sosial populer dengan memikat mereka dengan tawaran Centang biru.

Centang biru sangat didambakan karena Instagram menyediakannya ke akun yang diverifikasi keasliannya, mewakili tokoh masyarakat, selebritas, atau merek.

Email tombak dalam kampanye phishing yang baru-baru ini diamati, memberi tahu penerima bahwa mereka Instagram meninjau akun mereka dan menganggapnya memenuhi syarat untuk mendapatkan lencana biru.

Pengguna yang terjerat penipuan, diminta untuk mengisi formulir dan mengklaim lencana verifikasi mereka dalam 48 jam ke depan.

Kampanye baru ini ditemukan oleh analis ancaman di Vade, layanan keamanan email berbasis AI, yang melaporkan bahwa pesan pertama ke target dikirim pada 22 Juli.

Selama penerapan, volume distribusi email melonjak dua kali, sekali pada 28 Juli dan lagi pada 9 Agustus 2022, dengan lebih dari 1.000 pesan phishing per hari.

Pesan Phising tersebut menampilkan logo Instagram dan Facebook dan memberi tahu penerima bahwa akun mereka memenuhi syarat untuk lencana biru, mendesak mereka untuk mengklik tombol yang disematkan yang akan membawa mereka ke formulir pengiriman yang relevan.

Contoh email phishing (Vade)

Pengguna diperingatkan bahwa jika mereka mengabaikan pesan, formulir akan dihapus secara permanen dalam 48 jam, menciptakan rasa urgensi dan ilusi kesempatan terbatas.

Formulir phishing di-host di domain bernama “teamcorrectionbadges”, untuk membuatnya tampak seolah-olah Instagram menggunakan domain khusus yang terpisah untuk memverifikasi pengguna.

Proses phishing di situs itu bergantung pada bentuk tiga tahap, setiap langkah menampilkan logo Instagram, Facebook, WhatsApp, Messenger, dan Meta, dalam upaya menciptakan rasa legitimasi.

Langkah kedua dalam proses phishing
(Vade)

Formulir pertama meminta “nama pengguna”, yang kedua meminta korban untuk memasukkan “nama”, “email”, dan “nomor telepon”, sedangkan langkah ketiga dan terakhir meminta memasukkan “kata sandi” pengguna, untuk memverifikasi bahwa mereka memilikinya. Akun.

Setelah korban menyelesaikan prosesnya, sebuah pesan menginformasikan bahwa akun mereka sekarang telah diverifikasi dan tim Instagram akan menghubungi mereka dalam dua hari ke depan. ID kasus palsu juga ditampilkan pada langkah terakhir ini.

Pesan terlihat setelah terkena phishing (Vade)

Untuk memahami bagaimana Anda dapat melindungi diri dari penipuan ini, penting untuk mengetahui cara kerja program verifikasi Instagram.

Pertama, platform media sosial tidak akan pernah menghubungi Anda untuk menawarkan lencana biru. Pengguna hanya bisa mendapatkannya dengan menerapkan sendiri.

Kedua, mengajukan verifikasi hanya dapat dilakukan melalui platform resmi, tidak pernah dengan mengunjungi domain terpisah.

Ketiga, lencana biru Instagram disediakan untuk tokoh masyarakat, selebriti, dan merek terkenal, sehingga akun biasa tidak memenuhi syarat.

Untuk melindungi akun Anda, Instagram menawarkan autentikasi dua faktor untuk keamanan tambahan, jadi meskipun Anda memberikan semua detail Anda kepada pelaku phishing, kehilangan akses ke akun Anda akan lebih rumit.

Sumber: Bleeping Computer

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer

Lebih dari 1.800 Aplikasi Android dan iOS Ditemukan Membocorkan Kredensial AWS Hard-Coded

by

Para peneliti telah mengidentifikasi 1.859 aplikasi di Android dan iOS yang berisi kredensial Amazon Web Services (AWS) hard-coded, yang menimbulkan risiko keamanan besar.

“Lebih dari tiga perempat (77%) aplikasi berisi token akses AWS yang valid yang memungkinkan akses ke layanan cloud AWS pribadi,” tim Threat Hunter Symantec, bagian dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.

Menariknya, sedikit lebih dari 50% aplikasi ditemukan menggunakan token AWS yang sama dengan yang ditemukan di aplikasi lain yang dikelola oleh pengembang dan perusahaan lain, yang menunjukkan kerentanan rantai pasokan.

Kredensial ini biasanya digunakan untuk mengunduh sumber daya yang sesuai yang diperlukan untuk fungsi aplikasi serta mengakses file konfigurasi dan mengautentikasi ke layanan cloud lainnya.

Lebih buruk lagi, 47% dari aplikasi yang diidentifikasi berisi token AWS valid yang memberikan akses lengkap ke semua file pribadi dan bucket Amazon Simple Storage Service (S3) di cloud. Ini termasuk file infrastruktur, dan cadangan data, antara lain.

Dalam satu contoh yang ditemukan oleh Symantec, sebuah perusahaan B2B yang tidak disebutkan namanya yang menawarkan platform intranet dan komunikasi yang juga menyediakan perangkat pengembangan perangkat lunak seluler (SDK) kepada pelanggannya memiliki kunci infrastruktur cloud yang tertanam di SDK untuk mengakses layanan terjemahan.

Hal ini mengakibatkan terbukanya semua data pribadi pelanggannya, yang mencakup data perusahaan dan catatan keuangan milik lebih dari 15.000 perusahaan menengah hingga besar.

“Alih-alih membatasi token akses hard-code untuk digunakan dengan layanan cloud terjemahan, siapa pun yang memiliki token memiliki akses penuh tanpa batas ke semua layanan cloud AWS perusahaan B2B,” catat para peneliti.

Selain itu ditemukan juga lima aplikasi perbankan iOS yang mengandalkan AI Digital Identity SDK yang sama yang berisi kredensial cloud, yang secara efektif membocorkan lebih dari 300.000 informasi sidik jari pengguna.

Perusahaan keamanan siber mengatakan telah memberi tahu organisasi tentang masalah yang ditemukan di aplikasi mereka.

Perkembangan ini terjadi ketika para peneliti dari CloudSEK mengungkapkan bahwa 3.207 aplikasi seluler mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.

Sumber: The Hackernews

AS memerintahkan Nvidia untuk menghentikan penjualan chip AI teratas ke China

by

Perancang chip Nvidia Corp (NVDA.O) mengatakan pada hari Rabu bahwa AS menyuruh mereka untuk menghentikan mengekspor dua chip komputasi teratas untuk artificial intelligence ke China.

Pengumuman tersebut menandakan eskalasi besar dari tindakan keras AS terhadap kemampuan teknologi China saat ketegangan menggelembung atas nasib Taiwan, di mana chip untuk Nvidia dan hampir setiap perusahaan chip besar lainnya diproduksi.

Saham Nvidia turun 6,6% setelah beberapa jam. Perusahaan mengatakan larangan tersebut, yang mempengaruhi chip A100 dan H100 yang dirancang untuk mempercepat tugas pembelajaran mesin, dapat mengganggu penyelesaian pengembangan H100, chip unggulan yang diumumkan tahun ini.

Saham saingannya Advanced Micro Devices Inc (AMD.O) turun 3,7% setelah beberapa jam. Seorang juru bicara AMD mengatakan kepada Reuters bahwa pihaknya telah menerima persyaratan lisensi baru yang akan menghentikan chip kecerdasan buatan MI250 untuk diekspor ke China, tetapi diyakini chip MI100-nya tidak akan terpengaruh. AMD mengatakan tidak percaya aturan baru akan berdampak material pada bisnisnya.

Nvidia mengatakan para pejabat AS mengatakan kepadanya bahwa aturan baru “akan mengatasi risiko bahwa produk dapat digunakan, atau dialihkan ke, ‘penggunaan akhir militer’ atau ‘pengguna akhir militer’ di China.”

Departemen Perdagangan AS tidak akan mengatakan kriteria baru apa yang telah ditetapkan untuk chip AI yang tidak dapat lagi dikirim ke China tetapi mengatakan sedang meninjau kebijakan dan praktik terkait China untuk “menjaga teknologi canggih dari tangan yang salah.

Kementerian luar negeri China menanggapi pada hari Kamis dengan menuduh Amerika Serikat berusaha memaksakan “blokade teknologi” di China, sementara kementerian perdagangannya mengatakan tindakan seperti itu akan merusak stabilitas rantai pasokan global.

Ini bukan pertama kalinya AS bergerak untuk menghentikan pasokan chip perusahaan China. Pada tahun 2020, pemerintahan mantan presiden Donald Trump melarang pemasok menjual chip yang dibuat menggunakan teknologi AS kepada raksasa teknologi Huawei tanpa lisensi khusus.

Tanpa chip Amerika dari perusahaan seperti Nvidia dan AMD, organisasi China tidak akan mampu melakukan jenis komputasi canggih yang digunakan untuk pengenalan gambar dan ucapan, di antara banyak tugas lainnya dengan biaya yang efektif.

Pengenalan gambar dan pemrosesan bahasa alami adalah hal biasa dalam aplikasi konsumen seperti ponsel cerdas yang dapat menjawab pertanyaan dan menandai foto. Mereka juga memiliki kegunaan militer seperti menjelajahi citra satelit untuk senjata atau pangkalan dan menyaring komunikasi digital untuk tujuan pengumpulan intelijen.

Nvidia mengatakan telah membukukan $400 juta dalam penjualan chip yang terpengaruh kuartal ini ke China yang bisa hilang jika perusahaan memutuskan untuk tidak membeli produk Nvidia alternatif. Dikatakan pihaknya berencana untuk mengajukan pengecualian terhadap aturan tersebut.

Stacy Rasgon, seorang analis keuangan di Bernstein, mengatakan pengungkapan itu mengisyaratkan bahwa sekitar 10% dari penjualan pusat data Nvidia berasal dari China dan bahwa pukulan terhadap penjualan kemungkinan “terkelola” untuk Nvidia.

Nvidia pekan lalu memperkirakan penurunan tajam pendapatan untuk kuartal saat ini di belakang industri game yang lebih lemah. Dikatakan pihaknya memperkirakan penjualan kuartal ketiga turun 17% dari periode yang sama tahun lalu.

Sumber: Reuters

Peretas Menggunakan ModernLoader untuk Menginfeksi Sistem dengan Stealers dan Cryptominers

by

Sebanyak tiga kampanye yang berbeda tetapi terkait antara Maret dan Juni 2022 telah ditemukan mengirimkan berbagai malware, termasuk ModernLoader, RedLine Stealer, dan Cryptominers (penambang cryptocurrency) ke sistem yang disusupi.

“Para aktor menggunakan PowerShell, .NET assemblies, dan file HTA dan VBS untuk menyebar ke seluruh jaringan yang ditargetkan, akhirnya menjatuhkan malware lain, seperti trojan SystemBC dan DCRat, untuk mengaktifkan berbagai tahap operasi mereka,”

Implan berbahaya yang dimaksud, ModernLoader, dirancang untuk memberi penyerang kendali jarak jauh atas mesin korban, yang memungkinkan musuh menyebarkan malware tambahan, mencuri informasi sensitif, atau bahkan menjerat komputer dalam botnet.

Cisco Talos mengaitkan infeksi tersebut dengan aktor ancaman yang sebelumnya tidak berdokumen tetapi berbahasa Rusia, mengutip penggunaan alat yang tersedia. Target potensial termasuk pengguna Eropa Timur di Bulgaria, Polandia, Hongaria, dan Rusia.

Rantai infeksi yang ditemukan oleh perusahaan keamanan siber melibatkan upaya untuk mengkompromikan aplikasi web yang rentan seperti WordPress dan CPanel untuk mendistribusikan malware melalui file yang menyamar sebagai kartu hadiah Amazon palsu.

Payload tahap pertama adalah file Aplikasi HTML (HTA) yang menjalankan skrip PowerShell yang dihosting di server command-and-control (C2) untuk memulai penyebaran muatan intertim yang pada akhirnya menyuntikkan malware menggunakan teknik yang disebut proses pengosongan.

Digambarkan sebagai trojan akses jarak jauh .NET sederhana, ModernLoader (alias Avatar bot) dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menjalankan perintah arbitrer, atau mengunduh dan menjalankan file dari server C2, memungkinkan musuh mengubah modul secara real- waktu.

Investigasi Cisco juga menemukan dua kampanye sebelumnya pada Maret 2022 dengan modus operandi serupa yang memanfaatkan ModerLoader sebagai komunikasi malware C2 utama dan menyajikan malware tambahan, termasuk XMRig, RedLine Stealer, SystemBC, DCRat, dan pencuri token Discord.

“Kampanye ini menggambarkan seorang aktor bereksperimen dengan teknologi yang berbeda,” kata Svajcer. “Penggunaan alat yang sudah jadi menunjukkan bahwa aktor memahami TTP yang diperlukan untuk kampanye malware yang sukses tetapi keterampilan teknis mereka tidak cukup berkembang untuk sepenuhnya mengembangkan alat mereka sendiri.”

Sumber: The Hackernews

Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

by

Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

  • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
  • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

    • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

    Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

    Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

    Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

    Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

    Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

    Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

    Sumber : Bleeping Computer