Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

by

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Pembaruan Windows 11 tidak resmi menginstal malware pencuri info

by

Peretas memikat pengguna yang tidak curiga dengan pemutakhiran Windows 11 palsu yang dilengkapi dengan malware yang mencuri data browser dan dompet cryptocurrency.

Kampanye saat ini aktif dan bergantung pada hasil pencarian yang meracuni untuk mendorong situs web yang meniru halaman promosi Microsoft untuk Windows 11, untuk menawarkan pencuri informasi.

Microsoft menawarkan alat pemutakhiran bagi pengguna untuk memeriksa apakah mesin mereka mendukung sistem operasi (OS) terbaru dari perusahaan. Salah satu persyaratannya adalah dukungan untuk Trusted Platform Module (TPM) versi 2.0, yang hadir pada mesin yang tidak lebih dari empat tahun.

Peretas memangsa pengguna yang langsung menginstal Windows 11 tanpa menghabiskan waktu untuk mengetahui bahwa OS harus memenuhi spesifikasi tertentu.

Situs web berbahaya yang digunakan dalam kampanye (windows11-upgrade11[.]com)

Jika pengunjung memuat situs web berbahaya melalui koneksi langsung – unduhan tidak tersedia melalui TOR atau VPN, mereka akan mendapatkan file ISO yang melindungi file yang dapat dieksekusi untuk malware pencuri info baru.

Menurut CloudSEK, pelaku ancaman di balik kampanye ini menggunakan malware baru yang peneliti beri nama “Inno Stealer” karena penggunaan penginstal Windows Setup Inno.

Para peneliti mengatakan bahwa Inno Stealer tidak memiliki kesamaan kode dengan pencuri info komoditas lain yang saat ini beredar dan mereka belum menemukan bukti malware yang diunggah ke platform pemindaian Virus Total.

File loader (berbasis Delphi) adalah “pengaturan Windows 11” yang dapat dieksekusi yang terkandung dalam ISO, yang, ketika diluncurkan, membuang file sementara bernama is-PN131.tmp dan membuat file .TMP lain di mana loader menulis 3.078KB data .

CloudSEK menjelaskan bahwa pemuat memunculkan proses baru menggunakan CreateProcess Windows API yang membantu menelurkan proses baru, membangun kegigihan, dan menanam empat file.

Kegigihan dicapai dengan menambahkan file .LNK (pintasan) di direktori Startup dan menggunakan icacls.exe untuk mengatur izin aksesnya agar tersembunyi.

Membuat proses untuk membangun persistensi (CloudSEK)

Dua dari empat file yang dijatuhkan adalah Windows Command Scripts untuk menonaktifkan keamanan Registry, menambahkan pengecualian Defender, menghapus produk keamanan, dan menghapus volume bayangan.

Menurut para peneliti, malware juga menghapus solusi keamanan dari Emsisoft dan ESET, kemungkinan karena produk ini mendeteksinya sebagai berbahaya.

File ketiga adalah utilitas eksekusi perintah yang berjalan dengan hak sistem tertinggi; dan yang keempat adalah script VBA yang dibutuhkan untuk menjalankan dfl.cmd.

Pada tahap kedua infeksi, file dengan ekstensi .SCR dijatuhkan ke direktori C:\Users\\AppData\Roaming\Windows11InstallationAssistant dari sistem yang disusupi.

File itu adalah agen yang membongkar muatan info-stealer dan mengeksekusinya dengan memunculkan proses baru yang disebut “Windows11InstallationAssistant.scr”, sama seperti dirinya sendiri.

Rantai infeksi Inno Stealer (CloudSEK)

Kemampuan Inno Stealer khas untuk jenis malware ini, termasuk mengumpulkan cookie browser web dan kredensial yang disimpan, data dalam dompet cryptocurrency, dan data dari sistem file.

Kumpulan browser dan dompet kripto yang ditargetkan sangat luas, termasuk Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser, dan Comodo.

Browser web yang ditargetkan oleh Inno Stealer (CloudSEK)
Dompet Crypto yang ditargetkan oleh Inno Stealer (CloudSEK)

Karakteristik menarik dari Inno Stealer adalah bahwa manajemen jaringan dan fungsi pencurian data bersifat multi-thread.

Semua data yang dicuri disalin melalui perintah PowerShell ke direktori temporay pengguna, dienkripsi, dan kemudian dikirim ke server perintah dan kontrol operator (“windows-server031.com”)

Muatan Delphi tambahan ini, yang berbentuk file TXT, menggunakan pemuat berbasis Inno yang sama yang mengutak-atik alat keamanan host dan menggunakan mekanisme pembentukan kegigihan yang sama.

Kemampuan ekstra mereka termasuk mencuri informasi clipboard dan mengekstrak data enumerasi direktori.

untuk itu disarankan menghindari mengunduh file ISO dari sumber yang tidak jelas dan hanya melakukan peningkatan OS utama dari dalam panel kontrol Windows 10 Anda atau mendapatkan file instalasi langsung dari sumbernya.

Sumber : Bleeping Computer

Pasar data curian Industrial Spy baru dipromosikan melalui celah, adware

by

Pelaku ancaman telah meluncurkan pasar baru bernama Industrial Spy yang menjual data curian dari perusahaan yang dilanggar, serta menawarkan data curian gratis kepada anggotanya.

Industrial Spy mempromosikan dirinya sebagai pasar tempat bisnis dapat membeli data pesaing mereka untuk mendapatkan akses ke rahasia dagang, diagram manufaktur, laporan akuntansi, dan basis data klien .

Pasar Industrial Spy menawarkan berbagai tingkatan penawaran data, dengan paket data curian “premium” seharga jutaan dolar dan data tingkat rendah yang dapat dibeli sebagai file individual hanya dengan $2.

Misalnya, Industrial Spy saat ini menjual data perusahaan India dalam kategori premium seharga $1,4 juta, dibayar dalam bitcoin.

Kategori data curian premium
Sumber: BleepingComputer

Namun, sebagian besar data mereka dijual sebagai file individual, di mana pelaku ancaman dapat membeli file tertentu yang mereka inginkan seharga $2 masing-masing.

Kemampuan untuk membeli file individual
Sumber: BleepingComputer

Pasar juga menawarkan paket data curian gratis, yang kemungkinan akan menarik pelaku ancaman lain untuk menggunakan situs tersebut. Beberapa perusahaan yang datanya ditawarkan dalam kategori “Umum” diketahui pernah mengalami serangan ransomware di masa lalu.

Oleh karena itu, pelaku ancaman mungkin telah mengunduh data ini dari situs kebocoran geng ransomware untuk dijual kembali di Industrial Spy.

BleepingComputer pertama kali mengetahui pasar Industrial Spy dari peneliti keamanan MalwareHunterTeam, yang menemukan malware yang dapat dieksekusi [1, 2] yang membuat file README.txt untuk mempromosikan situs.

Saat dijalankan, file malware ini akan membuat file teks di setiap folder di perangkat, yang berisi deskripsi layanan dan tautan ke situs Tor.

File README.txt dibuat untuk mempromosikan pasar
Sumber: BleepingComputer

Setelah penyelidikan lebih lanjut oleh BleepingComputer, kami menemukan bahwa executable ini didistribusikan melalui pengunduh malware lain yang biasanya menyamar sebagai crack dan adware.

Misalnya, STOP ransomware dan Trojan pencuri kata sandi, biasanya didistribusikan melalui celah, dipasang bersama dengan executable Industrial Spy.

Selanjutnya, VirusTotal menunjukkan bahwa file README.txt ditemukan di banyak kumpulan log trojan pencuri kata sandi, yang menunjukkan bahwa kedua program dijalankan pada perangkat yang sama.

Ini menunjukkan bahwa operator situs mata-mata Industri kemungkinan besar bermitra dengan distributor adware dan crack untuk mendistribusikan program yang mempromosikan pasar.

Sumber : Bleeping Computer

Cara melindungi diri Anda dari Serangan Rantai Pasokan Aplikasi GitHub/OAuth

by

Postingan ini ditulis sebagai tanggapan atas peringatan keamanan GitHub dari tanggal 15 April tentang penyalahgunaan integrasi aplikasi OAuth, dan ini mencakup detail teknis untuk mengidentifikasi dan mencegah serangan semacam itu.

Eksploitasi aplikasi GitHub adalah vektor serangan rantai pasokan perangkat lunak lain untuk membahayakan banyak organisasi dengan cepat, dan tidak ada ketergantungan kode atau pipa CI/CD yang diperkeras yang akan mengurangi risiko ini atau memberikan konteks yang memadai untuk serangan tersebut

Apa yang dapat anda lakukan?

OAuth Apps

  • Pastikan Pembatasan Akses Aplikasi OAuth diaktifkan
  • Tinjau Aktivitas Otorisasi OAuth di seluruh Organisasi
  • Tinjau Aktivitas Otorisasi OAuth Pribadi

Aplikasi Github

  • Review perizinan applikasi
  • Batasi izin Aplikasi GitHub untuk repositori tertentu
  • Instal aplikasi di Sandbox terlebih dahulu

Selengkapnya: Arnica.io

Penyelidik DHS mengatakan mereka menggagalkan serangan siber pada kabel internet bawah laut di Hawaii

by

Agen federal di Honolulu pekan lalu “mengganggu” serangan siber yang nyata pada server perusahaan telekomunikasi yang tidak disebutkan namanya yang terkait dengan kabel bawah air yang bertanggung jawab untuk internet, layanan kabel, dan koneksi seluler di Hawaii dan kawasan itu, kata badan tersebut dalam sebuah pernyataan Selasa.

Agen yang berbasis di Hawaii dengan Investigasi Keamanan Dalam Negeri, sebuah cabang dari Departemen Keamanan Dalam Negeri, menerima tip dari rekan-rekan HSI daratan mereka yang menyebabkan gangguan “pelanggaran signifikan yang melibatkan server perusahaan swasta yang terkait dengan kabel bawah laut.”

Penyelidikan mengungkapkan bahwa “kelompok peretas internasional” berada di balik serangan itu, dan “agen HSI dan mitra penegak hukum internasional di beberapa negara dapat melakukan penangkapan.”

Pernyataan itu tidak mengidentifikasi jenis serangan siber yang diduga telah terjadi, kelompok peretas yang bertanggung jawab, lembaga penegak hukum lainnya, atau di mana penangkapan terjadi. Tidak ada kerusakan atau gangguan yang terjadi, dan tidak ada ancaman langsung, kata pernyataan itu.

John Tobon, agen khusus HSI yang bertanggung jawab di Hawaii, mengatakan kepada stasiun berita lokal bahwa penyelidik menemukan bahwa penyerang telah memperoleh kredensial yang memungkinkan akses ke sistem perusahaan yang tidak disebutkan namanya.

“Itu bisa menjadi sesuatu yang hanya membuat kekacauan, dengan kata lain, mematikan komunikasi, atau bisa digunakan untuk menargetkan individu dalam skema jenis ransomware,” katanya.

Selengkapnya: Cyber Scoop

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

by

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

Penyelidikan lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Selengapnya: Bleeping Computer

Apple masih belum menangkap aplikasi scam, dan kali ini ada di Mac

by

Pemburu / pengembang aplikasi scam Kosta Eleftheriou, yang dikenal karena menangkap penipuan mengerikan yang berhasil melewati proses peninjauan Apple, sekali lagi membawa perhatian pada aplikasi baru yang dijajakan melalui App Store.

Kali ini mereka menggunakan Mac, dan mereka menggunakan pop-up yang membuatnya sangat sulit untuk keluar dari aplikasi tanpa menyetujui harga berlangganan yang keterlaluan — semua tanpa sepengetahuan Apple, meskipun argumennya bahwa proses Peninjauan Aplikasinya membuat perangkat dan pengguna tetap terjaga. aman.

Aplikasi yang memulai perburuan, yang tampaknya ditemukan oleh Edoardo Vacchi, disebut My Metronome. Menurut Vacchi, Eleftheriou, dan ulasan pengguna, aplikasi terkunci dan tidak akan membiarkan Anda keluar menggunakan pintasan keyboard atau bilah menu sampai Anda menyetujui langganan $9,99 per bulan. (Namun, itu dapat dihentikan secara paksa.)

Eleftheriou mengatakan kepada The Verge bahwa “sepertinya pengembang ini telah bereksperimen dengan berbagai teknik selama bertahun-tahun untuk mencegah orang menutup paywall,” mengarahkan kami ke beberapa aplikasi lain yang masih ada di toko dengan perilaku serupa — kita akan membahasnya sebentar lagi.

Beberapa saat setelah Eleftheriou men-tweet tentang My Metronome, aplikasi itu tampaknya dihapus dari toko. Mencoba membuka tautan muncul dengan pesan yang mengatakan bahwa itu tidak lagi tersedia di wilayah saya. (Meskipun, untuk lebih jelasnya, Anda mungkin tidak harus mencoba mengunduhnya atau aplikasi apa pun yang akan kita bicarakan.)

Apple tidak menanggapi permintaan The Verge untuk berkomentar tentang apakah itu yang mengambil aplikasi turun, atau bagaimana hal itu lulus Tinjauan Aplikasi di tempat pertama.

Selengkapnya: The Verge