Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Steam, PayPal diblokir karena Indonesia memberlakukan peraturan Internet baru

by

Kementerian Komunikasi dan Informatika Indonesia, Kominfo, sekarang memblokir akses ke layanan internet dan penyedia konten yang belum terdaftar di platform lisensi baru negara itu pada 27 Juli 2022, karena negara tersebut mulai membatasi akses ke penyedia dan layanan konten online. .

Blok pertama dimulai Jumat, sehari sebelum batas waktu 26 Juni, dan menurut NetBlocks, beberapa penyedia layanan termasuk Yahoo, Steam, dan PayPal.

Sumber Indonesia lainnya juga melaporkan tidak dapat mengakses Battlenet, Epic Games, dan portal game lainnya yang digunakan oleh jutaan pemain di tanah air.

Pemblokiran tersebut tampaknya merupakan hasil dari tindakan terkoordinasi antara Kominfo dan semua ISP (penyedia layanan internet) utama di negara ini. Namun, beberapa yang lebih kecil masih menyimpang dari peraturan baru.

Menurut beberapa laporan pengguna, VPN dapat melewati pemblokiran yang diberlakukan untuk saat ini, tetapi saat menggunakannya dengan layanan pembayaran elektronik atau portal game, mungkin ada masalah dengan kecepatan jaringan dan ketidakcocokan sidik jari akun.

Karena pemblokiran tersebut, banyak pengguna PayPal di Indonesia yang terkunci dari akun dan dana mereka. Namun, seorang juru bicara menyatakan bahwa pemerintah mungkin sementara membuka blokir platform pembayaran minggu ini untuk memungkinkan penarikan.

Kerangka peraturan baru yang diperkenalkan oleh kementerian TI Indonesia tahun lalu disajikan sebagai sistem kontrol konten yang dikatakan diperkenalkan untuk melindungi keamanan nasional dan mencegah penyebaran berita palsu.

Peraturan tersebut memerintahkan pendaftaran wajib semua penyedia layanan internet ke dalam platform lisensi baru yang memungkinkan mereka untuk beroperasi secara legal di negara tersebut. Mereka yang gagal mendaftar dianggap sebagai entitas ilegal dan akan diblokir dari internet Indonesia.

Undang-undang mengharuskan semua entitas terdaftar untuk menugaskan perwakilan dan kantor lokal yang menanggapi permintaan sensor dan tuntutan pengungkapan informasi tak terbatas dari negara bagian.

Setiap informasi yang dipublikasikan pada platform penyedia layanan terdaftar tunduk pada pengawasan negara, seperti halnya informasi tentang akun pengguna, komunikasi di situs ini, dan semua bentuk pertukaran data lainnya.

Jika pemerintah meminta penghapusan segera materi yang dianggap berbahaya bagi keamanan nasional dan publik, penyedia layanan harus menanggapi permintaan tersebut dalam waktu empat jam. Untuk permintaan sensor yang tidak mendesak, penyedia diberikan waktu hingga 24 jam untuk memenuhinya.

Hingga batas waktu yang ditentukan, sekitar 200 penyedia layanan online asing dan 8.000 domestik telah mendaftarkan diri, termasuk Google, Meta, TikTok, Instagram, dan Spotify, yang tidak ingin tersingkir dari populasi sebesar 270 juta orang.

Undang-undang baru disahkan meskipun banyak suara keprihatinan yang diungkapkan oleh koalisi jurnalistik dan pendukung kebebasan berbicara di Indonesia, yang khawatir akan digunakan sebagai alat sensor pemerintah dan untuk membatasi kebebasan pers di negara ini.

Sumber: Bleeping Computer

Ransomware BlackCat mengklaim serangan terhadap Creos Luxembourg S.A.

by

Geng ransomware ALPHV, alias BlackCat, mengaku bertanggung jawab atas serangan siber terhadap Creos Luxembourg S.A. pekan lalu, operator jaringan pipa gas alam dan listrik di negara Eropa tengah itu.

Pemilik Creos, Encevo, yang beroperasi sebagai pemasok energi di lima negara Uni Eropa, mengumumkan pada 25 Juli bahwa mereka telah mengalami serangan siber pada akhir pekan sebelumnya, antara 22 dan 23 Juli.

Sementara serangan siber telah mengakibatkan portal pelanggan Encevo dan Creos menjadi tidak tersedia, tidak ada gangguan dalam layanan yang disediakan.

Pada tanggal 28 Juli, perusahaan memposting pembaruan tentang serangan siber, dengan hasil awal penyelidikan mereka menunjukkan bahwa penyusup jaringan telah mengekstrak “sejumlah data” dari sistem yang diakses.

Pada saat itu, Encevo tidak dalam posisi untuk memperkirakan cakupan dampak dan dengan ramah meminta pelanggan untuk bersabar sampai penyelidikan selesai, di mana setiap orang akan menerima pemberitahuan yang dipersonalisasi.

Karena tidak ada pembaruan lebih lanjut yang diposting di portal media Encevo, prosedur ini kemungkinan masih berlangsung. Encevo mengatakan bahwa ketika lebih banyak informasi tersedia, itu akan diposting di halaman web khusus untuk serangan siber.

Untuk saat ini, semua pelanggan disarankan untuk mengatur ulang kredensial akun online mereka, yang mereka gunakan untuk berinteraksi dengan layanan Encevo dan Creos. Selanjutnya, jika kata sandi tersebut sama di situs lain, pelanggan juga harus mengubah kata sandi mereka di situs tersebut.

Grup ransomware ALPHV/BlackCat menambahkan Creos ke situs pemerasannya pada hari Sabtu, mengancam akan menerbitkan 180.000 file curian dengan ukuran total 150 GB, termasuk kontrak, perjanjian, paspor, tagihan, dan email.

Meskipun tidak ada waktu pasti yang diumumkan untuk pemenuhan ancaman ini, para peretas berjanji pengungkapan akan terjadi hari ini (Senin).

ALPHV ransomware adding Creos on extortion site

ALPHV/BlackCat baru-baru ini meluncurkan platform pemerasan baru di mana mereka membuat data yang dicuri dapat dicari oleh pengunjung, dengan tujuan untuk meningkatkan tekanan pada korban mereka agar mereka membayar uang tebusan.

Sementara BlackCat terus berinovasi pemerasan data, mereka tampaknya tidak pernah belajar dari kesalahan mereka dan terus menargetkan perusahaan-perusahaan terkenal yang kemungkinan akan menempatkan mereka di persimpangan lembaga penegak hukum internasional.

BlackCat diyakini sebagai operasi rebranding DarkSide, yang ditutup di bawah tekanan dari penegak hukum setelah serangan ransomware yang dipublikasikan di Colonial Pipeline.

Setelah menutup DarkSide, mereka berganti nama menjadi BlackMatter untuk menghindari penegakan hukum, tetapi tekanan berlanjut dengan geng ditutup lagi.

Sejak November 2021, ketika pelaku ancaman diluncurkan kembali sebagai BlackCat/ALPHV, pelaku ancaman cenderung menghindari target besar Amerika dan malah menargetkan entitas Eropa, seperti negara bagian Austria, rantai mode Italia, dan penyedia layanan bandara Swiss.

Namun, tampaknya mereka belum belajar dari kesalahan mereka dan terus menyerang infrastruktur penting, seperti perusahaan pemasok bensin Jerman Oiltanking pada Februari dan sekarang Creos Luxembourg.

Sumber: Bleeping Computer

Facebook ads mempromosikan adware Android dengan 7 juta pemasangan di Google Play

by

Beberapa aplikasi adware dipromosikan secara agresif di Facebook sebagai pembersih dan pengoptimal sistem untuk perangkat Android, aplikasi tersebut terhitung sampai jutaan pemasangan di Google Play store.

Untuk menghindari penghapusan, aplikasi bersembunyi di perangkat korban dengan terus mengubah ikon dan nama, menyamar sebagai Pengaturan atau Play Store itu sendiri.

Ikon dan nama pengubah aplikasi yang diinstal (McAfee)

Aplikasi adware menyalahgunakan komponen Android Penyedia Kontak, yang memungkinkan mereka mentransfer data antara perangkat dan layanan online.

Subsistem dipanggil setiap kali aplikasi baru diinstal, sehingga adware mungkin menggunakannya untuk memulai proses penayangan iklan. Bagi pengguna, ini mungkin terlihat seperti iklan didorong oleh aplikasi sah yang mereka instal.

Para peneliti di McAfee menemukan aplikasi adware. Mereka mencatat bahwa pengguna tidak perlu meluncurkannya setelah penginstalan untuk melihat iklan karena adware memulai sendiri secara otomatis tanpa interaksi apa pun.

Tindakan pertama dari aplikasi yang mengganggu ini adalah membuat layanan permanen untuk menampilkan iklan. Jika proses “dimatikan” (dihentikan), ia segera diluncurkan kembali.

Layanan berbahaya segera diluncurkan kembali (McAfee)

Pengguna yakin untuk mempercayai aplikasi adware karena mereka melihat tautan Play Store di Facebook.

Promosi Facebook untuk aplikasi yang lebih bersih (McAfee)

Hal ini mengakibatkan jumlah unduhan yang luar biasa tinggi untuk jenis aplikasi tertentu, seperti yang ditunjukkan dalam daftar di bawah ini:

  • Junk Cleaner, cn.junk.clean.plp, 1 juta unduhan
  • EasyCleaner, com.easy.clean.ipz, 100 ribu unduhan
  • Power Doctor, com.power.doctor.mnb, 500 ribu unduhan
  • Super Clean, com.super.clean.zaz, 500 ribu unduhan
  • Full Clean -Clean Cache, org.stemp.fll.clean, 1 juta unduhan
  • Fingertip Cleaner, com.fingertip.clean.cvb, 500 ribu unduhan
  • Quick Cleaner, org.qck.cle.oyo, 1 juta unduhan
  • Keep Clean, org.clean.sys.lunch, 1 juta unduhan
  • Windy Clean, in.phone.clean.www, 500 ribu unduhan
  • Carpet Clean, og.crp.cln.zda, 100 ribu unduhan
  • Cool Clean, syn.clean.cool.zbc, 500 ribu unduhan
  • Strong Clean, in.memory.sys.clean, 500 ribu unduhan
  • Meteor Clean, org.ssl.wind.clean, 100 ribu unduhan

Sebagian besar pengguna yang terpengaruh berbasis di Korea Selatan, Jepang, dan Brasil, tetapi sayangnya adware telah menjangkau pengguna di seluruh dunia.

Aplikasi adware tidak lagi tersedia di Play Store. Namun, pengguna yang menginstalnya harus menghapusnya secara manual dari perangkat.

Pembersih dan pengoptimal sistem adalah kategori perangkat lunak yang populer meskipun manfaatnya rendah. Penjahat dunia maya tahu bahwa sejumlah besar pengguna akan mencoba solusi semacam itu untuk memperpanjang umur perangkat mereka dan sering kali menyamar sebagai aplikasi berbahaya.

Sumber: Bleeping Computer

Ransomware LockBit Menyalahgunakan Windows Defender untuk Memuat Cobalt Strike

by Leave a Comment

Pelaku ancaman yang terkait dengan operasi ransomware LockBit 3.0 menyalahgunakan alat baris perintah Windows Defender untuk memuat suar Cobalt Strike pada sistem yang disusupi dan menghindari deteksi oleh perangkat lunak keamanan.

Cobalt Strike adalah rangkaian pengujian penetrasi yang sah dengan fitur ekstensif yang populer di kalangan pelaku ancaman untuk melakukan pengintaian jaringan tersembunyi dan gerakan lateral sebelum mencuri data dan mengenkripsinya.

Namun, solusi keamanan menjadi lebih baik dalam mendeteksi suar Cobalt Strike, menyebabkan pelaku ancaman mencari cara inovatif untuk menerapkan toolkit.

Dalam kasus respons insiden baru-baru ini untuk serangan ransomware LockBit, para peneliti di Sentinel Labs memperhatikan penyalahgunaan alat baris perintah Microsoft Defender “MpCmdRun.exe” untuk memuat DLL berbahaya yang mendekripsi dan menginstal beacon Cobalt Strike.

Kompromi jaringan awal dalam kedua kasus dilakukan dengan mengeksploitasi kelemahan Log4j pada Server VMWare Horizon yang rentan untuk menjalankan kode PowerShell.

Beacon Cobalt Strike yang dimuat di samping pada sistem yang disusupi bukanlah hal baru bagi LockBit, karena ada laporan tentang rantai infeksi serupa yang mengandalkan penyalahgunaan utilitas baris perintah VMware.
Menyalahgunakan Microsoft Defender

Setelah membuat akses ke sistem target dan mendapatkan hak pengguna yang diperlukan, pelaku ancaman menggunakan PowerShell untuk mengunduh tiga file: salinan bersih utilitas Windows CL, file DLL, dan file LOG.

MpCmdRun.exe adalah utilitas baris perintah untuk melakukan tugas Microsoft Defender, dan mendukung perintah untuk memindai malware, mengumpulkan informasi, memulihkan item, melakukan pelacakan diagnostik, dan banyak lagi.

Saat dijalankan, MpCmdRun.exe akan memuat DLL sah bernama “mpclient.dll” yang diperlukan agar program dapat beroperasi dengan benar.

Dalam kasus yang dianalisis oleh SentinelLabs, pelaku ancaman telah membuat versi mpclient.dll mereka sendiri yang dipersenjatai dan menempatkannya di lokasi yang memprioritaskan pemuatan versi berbahaya dari file DLL.

Kode yang dieksekusi memuat dan mendekripsi muatan Cobalt Strike terenkripsi dari file “c00000015.log”, yang dijatuhkan bersama dengan dua file lainnya dari tahap serangan sebelumnya.

Meskipun tidak jelas mengapa afiliasi LockBit beralih dari VMware ke alat baris perintah Windows Defender untuk pemuatan samping suar Cobalt Strike, mungkin saja untuk melewati perlindungan yang ditargetkan yang diterapkan sebagai tanggapan terhadap metode sebelumnya.

Menggunakan alat “hidup di luar negeri” untuk menghindari deteksi EDR dan AV sangat umum akhir-akhir ini; maka organisasi perlu memeriksa kontrol keamanan mereka dan menunjukkan kewaspadaan dengan melacak penggunaan executable yang sah yang dapat digunakan oleh penyerang.

Sumber: BleepingComputer

SharpTongue Menyebarkan Ekstensi Browser Pencuri Email yang Cerdas “SHARPEXT”

by

Volexity melacak berbagai aktor ancaman untuk memberikan wawasan unik dan informasi yang dapat ditindaklanjuti kepada pelanggan Threat Intelligence-nya. Salah satu yang sering ditemui—yang sering menghasilkan investigasi forensik pada sistem yang disusupi—dilacak oleh Volexity sebagai SharpTongue. Aktor ini diyakini berasal dari Korea Utara dan sering disebut publik dengan nama Kimsuky.Volexity sering mengamati SharpTongue menargetkan dan mengorbankan individu yang bekerja untuk organisasi di Amerika Serikat, Eropa dan Korea Selatan yang bekerja pada topik yang melibatkan Korea Utara, masalah nuklir, sistem senjata, dan hal-hal lain yang menjadi kepentingan strategis Korea Utara.

Pada September 2021, Volexity mulai mengamati keluarga malware yang menarik dan tidak terdokumentasi yang digunakan oleh SharpTongue. Dalam setahun terakhir, Volexity telah menanggapi beberapa insiden yang melibatkan SharpTongue dan, dalam banyak kasus, telah menemukan ekstensi berbahaya Google Chrome atau Microsoft Edge yang disebut Volexity “SHARPEXT”.

SHARPEXT berbeda dari ekstensi yang didokumentasikan sebelumnya yang digunakan oleh aktor “Kimsuky”, karena tidak mencoba mencuri nama pengguna dan kata sandi. Sebaliknya, malware secara langsung memeriksa dan mengekstrak data dari akun email web korban saat mereka menjelajahinya. Sejak penemuannya, ekstensi telah berkembang dan saat ini berada di versi 3.0, berdasarkan sistem versi internal. Ini mendukung tiga browser web dan pencurian email dari Gmail dan webmail AOL.

Penggunaan ekstensi peramban berbahaya oleh aktor ancaman Korea Utara bukanlah hal baru; taktik ini biasanya digunakan untuk menginfeksi pengguna sebagai bagian dari fase pengiriman serangan. Namun, ini adalah pertama kalinya Volexity mengamati ekstensi peramban berbahaya yang digunakan sebagai bagian dari fase kompromi pasca-eksploitasi. Dengan mencuri data email dalam konteks sesi pengguna yang sudah masuk, serangan disembunyikan dari penyedia email, membuat deteksi menjadi sangat menantang. Demikian pula, cara kerja ekstensi berarti aktivitas mencurigakan tidak akan dicatat di halaman status “aktivitas akun” email pengguna, jika mereka meninjaunya.

Penerapan SHARPEXT sangat disesuaikan, karena penyerang harus terlebih dahulu mendapatkan akses ke file Preferensi Keamanan browser asli korban. File ini kemudian dimodifikasi dan digunakan untuk menyebarkan ekstensi berbahaya. Volexity telah mengamati SharpTongue menyebarkan SHARPEXT terhadap target selama lebih dari setahun; dan, dalam setiap kasus, folder khusus untuk pengguna yang terinfeksi dibuat berisi file yang diperlukan untuk ekstensi.

Volexity telah mengikuti evolusi SHARPEXT karena beberapa keterlibatan yang ditangani oleh tim respons insidennya. Ketika Volexity pertama kali menemukan SHARPEXT, tampaknya merupakan alat dalam pengembangan awal yang mengandung banyak bug, indikasi bahwa alat tersebut belum matang. Pembaruan terbaru dan pemeliharaan berkelanjutan menunjukkan penyerang mencapai tujuannya, menemukan nilai dalam terus menyempurnakannya. Visibilitas Volexity sendiri menunjukkan ekstensi telah cukup berhasil, karena log yang diperoleh Volexity menunjukkan penyerang berhasil mencuri ribuan email dari banyak korban melalui penyebaran malware.

Untuk mendeteksi dan menyelidiki serangan seperti ini secara umum, Volexity merekomendasikan hal berikut:

  • Karena PowerShell memainkan peran kunci dalam penyiapan dan pemasangan malware, mengaktifkan dan menganalisis hasil logging PowerShell ScriptBlock dapat berguna untuk identifikasi dan triase aktivitas berbahaya.
  • Tim keamanan yang bertanggung jawab untuk membela pengguna yang sangat ditargetkan oleh pelaku ancaman ini dapat mempertimbangkan untuk meninjau ekstensi yang diinstal pada mesin pengguna berisiko tinggi secara berkala untuk mengidentifikasi ekstensi yang tidak tersedia di Toko Web Chrome atau dimuat dari jalur yang tidak biasa.

Untuk mencegah serangan spesifik ini, Volexity merekomendasikan hal berikut:

  • Gunakan aturan YARA di sini untuk mendeteksi aktivitas terkait.
  • Blokir IOC yang terdaftar di sini.

Sumber: Volexity

Layanan Proxy 911 Meledak Setelah Mengungkapkan Pelanggaran

by

911[.]re, layanan proxy yang sejak 2015 telah menjual akses ke ratusan ribu komputer Microsoft Windows setiap hari, mengumumkan minggu ini bahwa ia akan ditutup setelah pelanggaran data yang menghancurkan komponen utama dari operasi bisnisnya. Penutupan tiba-tiba terjadi sepuluh hari setelah KrebsOnSecurity menerbitkan pandangan mendalam tentang 911 dan koneksinya ke program afiliasi bayar-per-instal yang diam-diam menggabungkan perangkat lunak proxy 911 dengan judul lain, termasuk utilitas “gratis” dan perangkat lunak bajakan.

911[.]re is adalah salah satu jaringan “proksi perumahan” asli, yang memungkinkan seseorang untuk menyewa alamat IP perumahan untuk digunakan sebagai relai untuk komunikasi Internetnya, memberikan anonimitas dan keuntungan dianggap sebagai pengguna perumahan berselancar di web.

Layanan proxy perumahan sering dipasarkan kepada orang-orang yang mencari kemampuan untuk menghindari pemblokiran khusus negara oleh penyedia streaming film dan media utama. Tetapi beberapa dari mereka — seperti 911 — membangun jaringan mereka sebagian dengan menawarkan layanan “VPN gratis” atau “proksi gratis” yang didukung oleh perangkat lunak yang mengubah PC pengguna menjadi relai lalu lintas bagi pengguna lain. Dalam skenario ini, pengguna memang bisa menggunakan layanan VPN gratis, tetapi mereka sering tidak menyadari bahwa hal itu akan mengubah komputer mereka menjadi proxy yang memungkinkan orang lain menggunakan alamat Internet mereka untuk bertransaksi online.

Dari perspektif situs web, lalu lintas IP pengguna jaringan proxy perumahan tampaknya berasal dari alamat IP perumahan yang disewa, bukan dari pelanggan layanan proxy. Layanan ini dapat digunakan dengan cara yang sah untuk beberapa tujuan bisnis — seperti perbandingan harga atau intelijen penjualan — tetapi layanan ini disalahgunakan secara besar-besaran untuk menyembunyikan aktivitas kejahatan dunia maya karena dapat mempersulit pelacakan lalu lintas berbahaya ke sumber aslinya.

Sebagaimana dicatat dalam cerita KrebsOnSecurity 19 Juli di 911, layanan proxy mengoperasikan beberapa skema bayar-per-instal yang membayar afiliasi untuk secara diam-diam menggabungkan perangkat lunak proxy dengan perangkat lunak lain, terus menghasilkan aliran proxy baru yang stabil untuk layanan tersebut.

Dalam beberapa jam setelah cerita itu, 911 memposting pemberitahuan di bagian atas situsnya, mengatakan, “Kami sedang meninjau jaringan kami dan menambahkan serangkaian langkah-langkah keamanan untuk mencegah penyalahgunaan layanan kami. Top-up saldo proxy dan pendaftaran pengguna baru ditutup. Kami meninjau setiap pengguna yang ada, untuk memastikan penggunaannya sah dan [sesuai] dengan Persyaratan Layanan kami.”

Pada pengumuman ini, semua terjadi di berbagai forum kejahatan dunia maya, di mana banyak pelanggan 911 lama melaporkan bahwa mereka tidak dapat menggunakan layanan tersebut. Orang lain yang terkena dampak pemadaman mengatakan tampaknya 911 mencoba menerapkan semacam aturan “kenali pelanggan Anda” – bahwa mungkin 911 hanya mencoba menyingkirkan pelanggan yang menggunakan layanan tersebut untuk aktivitas kejahatan dunia maya dalam jumlah besar.

Kemudian pada tanggal 28 Juli, situs web 911 mulai mengalihkan ke pemberitahuan yang mengatakan, “Dengan menyesal kami memberi tahu Anda bahwa kami secara permanen menutup 911 dan semua layanannya pada tanggal 28 Juli.”

Menurut 911, layanan tersebut diretas pada awal Juli, dan ditemukan bahwa seseorang memanipulasi saldo sejumlah besar akun pengguna. 911 mengatakan penyusup menyalahgunakan antarmuka pemrograman aplikasi (API) yang menangani pengisian akun ketika pengguna melakukan setoran keuangan dengan layanan tersebut.

“Tidak yakin bagaimana peretas bisa masuk,” bunyi pesan 911. “Oleh karena itu, kami segera mematikan sistem isi ulang, pendaftaran pengguna baru, dan penyelidikan dimulai.”

Namun penyusup masuk, kata 911, mereka juga berhasil menimpa server, data, dan cadangan data tersebut.

“Pada 28 Juli, sejumlah besar pengguna melaporkan bahwa mereka tidak dapat masuk ke sistem,” lanjut pernyataan itu. “Kami menemukan bahwa data di server dirusak oleh peretas, mengakibatkan hilangnya data dan cadangan. Ini [sic] mengkonfirmasi bahwa sistem isi ulang juga diretas dengan cara yang sama. Kami terpaksa membuat keputusan sulit ini karena hilangnya data penting yang membuat layanan tidak dapat dipulihkan.”

Dioperasikan sebagian besar di luar China, 911 adalah layanan yang sangat populer di banyak forum kejahatan dunia maya, dan ini menjadi sesuatu yang mirip dengan infrastruktur penting bagi komunitas ini setelah dua dari pesaing lama 911 — layanan proxy berbasis malware VIP72 dan LuxSocks — menutup pintu mereka di masa lalu tahun.

Sekarang, banyak di forum kejahatan yang mengandalkan 911 untuk operasi mereka bertanya-tanya apakah ada alternatif yang sesuai dengan skala dan utilitas yang ditawarkan 911. Konsensus tampaknya menjadi “tidak.”

Saya kira kita akan segera belajar lebih banyak tentang insiden keamanan yang menyebabkan 911 meledak. Dan mungkin layanan proxy lain akan bermunculan untuk memenuhi apa yang tampaknya menjadi permintaan yang berkembang untuk layanan tersebut saat ini, dengan pasokan yang relatif sedikit.

Sementara itu, ketidakhadiran 911 mungkin bertepatan dengan penangguhan hukuman terukur (jika hanya berumur pendek) dalam lalu lintas yang tidak diinginkan ke tujuan Internet teratas, termasuk bank, retailer platform tailers dan cryptocurrency, karena banyak mantan pelanggan layanan proxy berebut untuk membuat pengaturan alternatif.

Riley Kilmer, salah satu pendiri layanan pelacakan proxy Spur.us, mengatakan jaringan 911 akan sulit untuk ditiru dalam jangka pendek.

“Spekulasi saya adalah [pesaing 911 yang tersisa] akan mendapatkan dorongan besar dalam jangka pendek, tetapi pemain baru pada akhirnya akan datang,” kata Kilmer. “Tidak satu pun dari itu adalah pengganti yang baik untuk LuxSocks atau 911. Namun, mereka semua akan mengizinkan siapa pun untuk menggunakannya. Untuk tingkat penipuan, upaya akan terus berlanjut tetapi melalui layanan penggantian ini yang seharusnya lebih mudah dipantau dan dihentikan. 911 memiliki beberapa alamat IP yang sangat bersih.”

911 bukan satu-satunya penyedia proxy besar yang mengungkapkan pelanggaran minggu ini terkait dengan API yang tidak diautentikasi: Pada 28 Juli, KrebsOnSecurity melaporkan bahwa API internal yang diekspos ke web telah membocorkan database pelanggan untuk Microleaves, layanan proxy yang merotasi alamat IP pelanggannya setiap lima sampai sepuluh menit. Penyelidikan itu menunjukkan Microleaves — seperti 911 — memiliki sejarah panjang dalam menggunakan skema bayar-per-instal untuk menyebarkan perangkat lunak proxy-nya.

Sumber: Kresbon Security

Microsoft “Menghubungkan” Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

by

Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.

Raksasa teknologi itu mengatakan telah mengamati malware FakeUpdates (alias SocGholish) yang dikirimkan melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.

Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.

DEV-0206 adalah nama lain Redmond untuk broker akses awal yang menyebarkan kerangka JavaScript berbahaya yang disebut FakeUpdates dengan menarik target untuk mengunduh pembaruan browser palsu dalam bentuk arsip ZIP.

Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.

Disebut sebagai Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.

Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.

Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.

Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.

“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.

“Pada akhirnya, terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”

SUmber: The Hacker News

Peneliti Memperingatkan Peningkatan Serangan Phishing Menggunakan Jaringan IPFS Terdesentralisasi

by

Solusi sistem file terdesentralisasi yang dikenal sebagai IPFS menjadi “sarang” baru untuk hosting situs phishing.

Perusahaan keamanan siber Trustwave SpiderLabs, yang mengungkapkan secara spesifik kampanye serangan tersebut, mengatakan pihaknya mengidentifikasi tidak kurang dari 3.000 email yang berisi URL phishing IPFS sebagai vektor serangan dalam tiga bulan terakhir.

IPFS, kependekan dari InterPlanetary File System, adalah jaringan peer-to-peer (P2P) untuk menyimpan dan berbagi file dan data menggunakan hash kriptografi, alih-alih URL atau nama file, seperti yang diamati dalam pendekatan client-server tradisional. Setiap hash membentuk dasar untuk pengidentifikasi konten unik (CID).

Idenya adalah untuk membuat sistem file terdistribusi tangguh yang memungkinkan data disimpan di banyak komputer. Ini akan memungkinkan informasi diakses tanpa harus bergantung pada pihak ketiga seperti penyedia penyimpanan cloud, yang secara efektif membuatnya tahan terhadap sensor.

“Menghapus konten phishing yang disimpan di IPFS bisa sulit karena meskipun dihapus di satu node, mungkin masih tersedia di node lain,” kata peneliti Trustwave Karla Agregado dan Katrina Udquin dalam sebuah laporan.

Masalah rumit lebih lanjut adalah kurangnya Uniform Resource Identifier (URI) statis yang dapat digunakan untuk mencari dan memblokir satu bagian dari konten yang sarat malware. Ini juga berarti akan lebih sulit untuk menghapus situs phishing yang dihosting di IPFS.

Serangan yang diamati oleh Trust biasanya melibatkan beberapa jenis rekayasa sosial untuk menurunkan penjaga target untuk membujuk mereka untuk mengklik tautan IPFS palsu dan mengaktifkan rantai infeksi.

Domain ini meminta calon korban untuk memasukkan kredensial mereka untuk melihat dokumen, melacak paket di DHL, atau memperbarui langganan Azure mereka, hanya untuk menyedot alamat email dan kata sandi ke server jarak jauh.

“Dengan persistensi data, jaringan yang kuat, dan sedikit regulasi, IPFS mungkin merupakan platform yang ideal bagi penyerang untuk menghosting dan berbagi konten berbahaya,” kata para peneliti.

Temuan ini muncul di tengah pergeseran yang lebih besar dalam lanskap ancaman email, dengan rencana Microsoft untuk memblokir makro yang menyebabkan pelaku ancaman menyesuaikan taktik mereka untuk mendistribusikan executable yang dapat mengarah pada pengintaian lanjutan, pencurian data, dan ransomware.

Dilihat dari sudut pandang itu, penggunaan IPFS menandai evolusi lain dalam phishing, memberikan penyerang tempat bermain lain yang menguntungkan untuk bereksperimen.

“Teknik phishing telah mengambil lompatan dengan memanfaatkan konsep layanan cloud terdesentralisasi menggunakan IPFS,” para peneliti menyimpulkan.

“Para spammer dapat dengan mudah menyamarkan aktivitas mereka dengan meng-hosting konten mereka di layanan hosting web yang sah atau menggunakan beberapa teknik pengalihan URL untuk membantu menggagalkan pemindai menggunakan reputasi URL atau analisis URL otomatis.”

Terlebih lagi, perubahan ini juga disertai dengan penggunaan kit phishing siap pakai – tren yang disebut phishing-as-a-service (PhaaS) – yang menawarkan cara cepat dan mudah bagi pelaku ancaman untuk melakukan serangan melalui email dan SMS.

Memang, kampanye skala besar yang ditemukan bulan lalu diamati menggunakan platform PhaaS berusia empat bulan yang dijuluki Robin Banks untuk menjarah kredensial dan mencuri informasi keuangan dari pelanggan bank terkenal di Australia, Kanada, Inggris, dan AS, perusahaan keamanan siber IronNet mengungkapkan minggu ini.

“Sementara motivasi utama scammers menggunakan kit ini tampaknya finansial, kit juga meminta korban untuk kredensial Google dan Microsoft mereka setelah mereka melakukan perjalanan ke halaman arahan phishing, menunjukkan itu juga dapat digunakan oleh pelaku ancaman yang lebih maju yang ingin mendapatkan keuntungan. akses awal ke jaringan perusahaan untuk ransomware atau aktivitas pasca-intrusi lainnya,” kata para peneliti.

Sumber: The Hacker News