Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Serangan phishing menyamar sebagai Pfizer dalam permintaan penawaran palsu

by

Pelaku ancaman sedang melakukan kampanye phishing yang sangat bertarget yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan keuangan dari korban.

Pfizer adalah perusahaan farmasi terkenal yang memproduksi salah satu vaksin mRNA yang saat ini tersedia untuk melawan COVID-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek Pfizer, karena peluang keberhasilan mereka meningkat secara dramatis dibandingkan dengan meniru entitas fiksi.

Dalam laporan baru INKY, para peneliti menjelaskan bahwa pelaku ancaman meniru Pfizer dalam kampanye email phishing yang dimulai sekitar 15 Agustus 2021.

Pelaku di balik kampanye ini rajin dalam operasi phishing mereka, menggabungkan lampiran PDF “bersih” dengan domain baru terdaftar yang muncul sebagai online space resmi Pfizer.

Kemudian, mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati solusi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor untuk tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah:

  • pfizer-nl[.]com
  • pfizer-bv[.]org
  • pfizerhtlinc[.]xyz
  • pfizertenders[.]xyz

Baris subjek biasanya melibatkan kutipan mendesak, undangan untuk menawar, dan topik terkait pasokan peralatan industri.

Sementara tujuan yang sebenernya dari kampanye ini kurang jelas, fakta bahwa persyaratan pembayaran termasuk dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta penerima untuk membagikan rincian perbankan mereka.

Jika informasi pembayaran diberikan, itu dapat digunakan oleh penyerang dalam kampanye BEC di masa mendatang yang dapat digunakan terhadap pelanggan perusahaan yang ditargetkan.

Selengkapnya: Bleeping Computer

Mengapa Kamu Harus Menghapus Cookie, Cache Di Browser Ponsel Android Kamu

by

Aplikasi browser web ponsel Android kamu mungkin diisi dengan data yang terkumpul setiap hari saat kamu menjelajah internet. Data ini memiliki beberapa fungsi yang berbeda, biasanya mengisi cache dan cookie browser web kamu. Ini dapat membantu meningkatkan seberapa cepat browser mu memuat dengan menyimpan aset dari situs web yang sering kamu kunjungi serta menyimpan preferensi, seperti membiarkan kamu tetap login ke situs web tertentu.

Tapi, cookie juga dapat digunakan oleh situs web untuk melacak riwayat penjelajahan kamu, seringkali dengan tujuan untuk menayangkan iklan yang dipersonalisasi hampir ke mana pun kamu pergi.

Selain itu, semakin besar cache browser mu, semakin membengkak aplikasi browser kamu dengan data dari situs web yang mungkin tidak kamu kunjungi lagi — namun beberapa aset mereka dan mungkin beberapa cookie pelacak mungkin masih tersimpan di sana.

Jadi, tidak ada salahnya untuk sesekali menghapus data ini agar browser web kamu tetap ramping, berjalan efisien dan ideal, menyimpan cookie pelacakan sesedikit mungkin.

Google Chrome

Kamu dapat menghapus cookie dan cache dari dalam Google Chrome versi Android dengan mengikuti langkah berikut:

  • Tap Tombol More (dilambangkan sebagai tiga titik vertikal) di pojok kanan atas browser
  • Kemudian tap tombol History, lalu pilih Clear browsing data

Atau :

  • Kamu juga dapat mengakses ini dari menu Chrome Settings
  • Kemudian pilih Privacy and Security
  • Pilih Time Range yang diinginkan
  • lalu Klik Clear browsing data.

Mozilla Firefox

Kamu dapat menghapus cookie dan cache dari dalam Mozilla Firefox versi Android dengan mengikuti langkah berikut:

  • Tap Tombol More (dilambangkan sebagai tiga titik vertikal) di pojok kanan atas browser
  • Kemudian tap tombol Settings, lalu pilih Delete browsing data

Firefox juga memberi opsi terbanyak di bawah menu Delete browsing data, yang memungkinkan kamu untuk menghapus Open tabs, Browsing history dan site data, Site permissions dan bahkan folder Downloads kamu bersama dengan Cookie dan Cached Gambar dan file.

Selengkapnya: CNET

JPMorgan terkena denda $200 juta karena membiarkan karyawan menggunakan WhatsApp untuk menghindari jangkauan regulator

by

JPMorgan Chase membayar denda $200 juta kepada dua regulator perbankan AS untuk menyelesaikan tuduhan bahwa divisi Wall Street-nya mengizinkan karyawannya menggunakan WhatsApp dan platform lain untuk menghindari undang-undang penyimpanan catatan federal.

Komisi Sekuritas dan Bursa mengatakan pada hari Jumat bahwa JPMorgan Securities setuju untuk membayar $125 juta setelah mengakui kegagalan pencatatan “meluas” dalam beberapa tahun terakhir.

Komisi Perdagangan Berjangka Komoditas juga mengatakan pada hari Jumat bahwa mereka telah mendenda bank tersebut $75 juta karena mengizinkan komunikasi yang tidak disetujui setidaknya sejak tahun 2015.

Pejabat SEC yang berbicara kepada wartawan Kamis malam mengatakan kegagalan JPMorgan untuk mempertahankan percakapan offline itu melanggar undang-undang sekuritas federal dan membuat regulator buta terhadap pertukaran antara bank dan kliennya.

Undang-undang federal mengharuskan perusahaan keuangan untuk menyimpan catatan pesan elektronik yang cermat antara pialang dan klien sehingga regulator dapat memastikan perusahaan tersebut tidak mengabaikan undang-undang anti-penipuan atau antitrust.

Penyelidikan di JPMorgan sedang berlangsung, dan SEC telah meluncurkan penyelidikan serupa di perusahaan-perusahaan di seluruh dunia keuangan.

JPMorgan memerintahkan para pedagang, bankir, dan penasihat keuangannya untuk menyimpan pesan terkait pekerjaan di perangkat pribadi awal tahun ini, Bloomberg melaporkan pada bulan Juni.

Pesan termasuk konten pada berbagai diskusi, termasuk strategi investasi, pertemuan klien dan pengamatan pasar, kata pejabat SEC.

JPMorgan menolak berkomentar di luar pengungkapan peraturan yang mengakui penyelesaian dengan kedua agensi.

Selain denda, JPMorgan setuju untuk menyewa konsultan kepatuhan untuk meninjau kebijakan dan pelatihan bank, kata SEC. Bank telah mulai meningkatkan perangkat lunak karyawan untuk meningkatkan kepatuhan, kata SEC.

Selengkapnya: CNBC

CISA meminta Admin untuk menambal kerentanan VMware Workspace ONE UEM

by

CISA telah meminta pengguna VMware untuk menambal kerentanan kritis di Workspace ONE UEM yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses data sensitif.

Bagi mereka yang tidak mengetahui tentang Workspace ONE, ini adalah Solusi Manajemen Titik Akhir Terpadu dari VMware untuk manajemen perangkat over-the-air.

Kerentanan dilacak sebagai CVE-2021-22054 dan ditandai pada peringkat keparahan 9.1/10.

Peretas dapat memanfaatkan kerentanan ini dari jarak jauh dan mendapatkan akses ke informasi sensitif menggunakan konsol UEM. VMware juga telah merilis penasihat keamanan yang menangani kasus ini.

VMware mengatakan bahwa reset IIS akan membuat admin yang login ke instance server dengan patch untuk logout. Setelah beberapa saat, admin akan dapat masuk ke konsol.

Meskipun solusinya bagus, merupakan langkah yang terbaik untuk menambalnya karena kerentanan VMware Workspace ONE UEM adalah eksploitasi keamanan yang kritis dan karenanya yang terbaik adalah jika pengguna dapat memperbaruinya ke versi terbaru dengan menerapkan tambalan sebelum terlambat.

Selengkapnya: The Cybersecurity Times

Perusahaan keamanan Blumira menemukan vektor serangan Log4j baru yang besar

by

Dalam serangan proof-of-concept mereka, Blumira menemukan bahwa dengan menggunakan salah satu dari banyak eksploitasi Java Naming and Directory Interface (JNDI) yang dapat mereka picu melalui URL jalur file menggunakan koneksi WebSocket ke mesin dengan pustaka Log4j2 yang rentan terinstal.

Semua yang diperlukan untuk memicu keberhasilan adalah permintaan jalur yang dimulai pada pemuatan halaman web. Sederhana, tapi mematikan.

Lebih buruk lagi, itu tidak perlu menjadi localhost. WebSockets memungkinkan koneksi ke IP apa pun. Biarkan saya ulangi, “Any IP” dan itu termasuk ruang IP pribadi.

Selanjutnya, saat halaman dimuat, itu akan memulai koneksi WebSocket lokal, menekan server pendengar yang rentan, dan terhubung melalui jenis koneksi yang diidentifikasi berdasarkan string koneksi JNDI.

Para peneliti melihat yang paling sukses memanfaatkan Java Remote Method Invocation (RMI). port default 1099., meskipun kita sering melihat port kustom digunakan.

Pemindaian port sederhana, teknik yang sudah ada di buku pegangan peretas, WebSocket, adalah jalan termudah menuju serangan yang berhasil.

Kemudian, port terbuka ke layanan lokal atau layanan yang dapat diakses oleh host ditemukan, kemudian dapat menjatuhkan string eksploit JNDI di jalur atau parameter.

“Ketika ini terjadi, host yang rentan memanggil server exploit, memuat kelas penyerang, dan mengeksekusinya dengan java.exe sebagai proses induk.” Kemudian penyerang dapat menjalankan apa pun yang dia inginkan.

Selengkapnya: ZDNet

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

by

Pelaku ancaman telah menghidupkan kembali keluarga ransomware lama dan relatif tidak aktif yang dikenal sebagai TellYouThePass, menyebarkannya dalam serangan terhadap perangkat Windows dan Linux yang menargetkan bug eksekusi kode jarak jauh yang kritis di perpustakaan Apache Log4j.

Heige dari Tim KnownSec 404 pertama kali melaporkan serangan ini di Twitter pada hari Senin setelah mengamati bahwa ransomware dijatuhkan pada sistem Windows lama menggunakan eksploitasi yang menyalahgunakan kelemahan yang dilacak sebagai CVE-2021-44228 dan dikenal sebagai Log4Shell.

Laporan Heige dikonfirmasi oleh Tim Intelijen Ancaman Sangfor, yang berhasil menangkap salah satu sampel ransomware TellYouThePass yang digunakan dalam serangan menggunakan eksploitasi Log4Shell yang sebagian besar berdampak pada target China, menurut Curated Intelligence.

Ketika mereka menemukan lebih lanjut (temuan yang juga dikonfirmasi oleh CronUP’s Germán Fernández), ransomware memiliki versi Linux yang memanen kunci SSH dan bergerak secara lateral di seluruh jaringan korban.

“Perlu dicatat bahwa ini bukan pertama kalinya Tellyouthepass ransomware menggunakan kerentanan berisiko tinggi untuk meluncurkan serangan,” kata peneliti Sangfor. “Pada awal tahun lalu, ia telah menggunakan kerentanan Eternal Blue untuk menyerang beberapa unit organisasi.”

Peneliti keamanan lainnya [1, 2] juga telah menganalisis salah satu sampel ransomware yang digunakan dalam serangan ini dan menandainya sebagai “kemungkinan milik” keluarga TellYouThePass.

Menurut statistik pengiriman ke layanan ID Ransomware, ransomware TellYouThePass telah melihat lonjakan aktivitas yang besar dan tiba-tiba setelah eksploitasi proof-of-concept Log4Shell dirilis secara online.

Selengkapnya: Bleeping Computer

Kelemahan keamanan ditemukan dalam sistem Wi-Fi tamu populer yang digunakan di ratusan hotel

by

Seorang peneliti keamanan mengatakan gateway internet yang digunakan oleh ratusan hotel untuk menawarkan dan mengelola jaringan Wi-Fi tamu mereka memiliki kerentanan yang dapat membahayakan informasi pribadi tamu mereka.

Etizaz Mohsin mengatakan kepada TechCrunch bahwa Airangel HSMX Gateway berisi kata sandi hardcode yang “sangat mudah ditebak.”

Dengan kata sandi tersebut, yang tidak kami publikasikan, penyerang dapat memperoleh akses dari jarak jauh ke pengaturan dan basis data gateway, yang menyimpan catatan tentang tamu yang menggunakan Wi-Fi.

Dengan akses itu, penyerang dapat mengakses dan mengekstrak catatan tamu, atau mengkonfigurasi ulang pengaturan jaringan gateway untuk tanpa disadari mengarahkan tamu ke halaman web berbahaya, katanya.

Peneliti keamanan menemukan lima kerentanan yang katanya dapat membahayakan gateway — termasuk informasi tamu.

Satu tangkapan layar yang dia bagikan dengan TechCrunch menunjukkan antarmuka administrasi dari satu gerbang rentan hotel yang mengungkapkan nama tamu, nomor kamar, dan alamat email.

Mohsin melaporkan cache cacat yang baru ditemukan ke Airangel, tetapi berbulan-bulan telah berlalu dan pembuat peralatan jaringan yang berbasis di Inggris itu masih belum memperbaiki bug tersebut.

Seorang perwakilan mengatakan kepada Mohsin bahwa perusahaan belum menjual perangkat sejak 2018 dan tidak lagi didukung.

Namun Mohsin mengatakan perangkat itu masih banyak digunakan oleh hotel, mall, dan pusat konvensi di seluruh dunia. Pemindaian internet menunjukkan lebih dari 600 gateway dapat diakses dari internet saja, meskipun jumlah sebenarnya dari perangkat yang rentan cenderung lebih tinggi.

Sebagian besar hotel yang terkena dampak berada di Inggris, Jerman, Rusia dan di seluruh Timur Tengah, katanya.

Selengkapnya: Tech Crunch

‘Tropic Trooper’ Muncul Kembali untuk Menargetkan Sektor Transportasi

by

Analis memperingatkan bahwa kelompok penyerang, yang sekarang dikenal sebagai ‘Earth Centaur,’ sedang mengasah serangannya untuk mengejar transportasi dan lembaga pemerintah.

Mereka telah menjadi kelompok ancaman aktif sejak 2011, tetapi peningkatan aktivitas baru-baru ini dari Earth Centaur – sebelumnya dikenal sebagai Tropic Trooper – yang ditujukan khusus untuk transportasi dan lembaga pemerintah memicu lonceng alarm di antara para ahli.

Peneliti Trend Micro telah melacak kebangkitan Tropic Trooper, yang dimulai pada Juli 2020 dan baru-baru ini termasuk upaya mengganggu untuk melanggar data sensitif terkait transportasi seperti jadwal penerbangan dan dokumen perencanaan keuangan.

Para analis dapat menghubungkan aktivitas Earth Centaur yang baru dengan Tropic Trooper setelah menemukan kode serupa dalam decoding konfigurasi, mereka melaporkan.

“Saat ini, kami belum menemukan kerusakan substansial pada para korban ini yang disebabkan oleh kelompok ancaman,” jelas analis Trend Micro. “Namun, kami percaya bahwa itu akan terus mengumpulkan informasi internal dari para korban yang dikompromikan dan hanya menunggu kesempatan untuk menggunakan data ini.”

Taktik, teknik, dan prosedur (TTPs) ciri khas kelompok itu termasuk kerja tim merah yang cerdas, catat para peneliti. Earth Centaur mahir melewati keamanan dan bertahan tanpa terdeteksi, tambah laporan itu.

“Tergantung pada targetnya, ia menggunakan pintu belakang dengan protokol yang berbeda, dan juga dapat menggunakan proxy terbalik untuk melewati pemantauan sistem keamanan jaringan. Penggunaan kerangka kerja sumber terbuka juga memungkinkan grup untuk mengembangkan varian pintu belakang baru secara efisien. ”

Biasanya, kelompok ancaman melanggar sistem target melalui server Exchange atau Internet Information Services (IIS) yang rentan, diikuti dengan menjatuhkan backdoor seperti ChiserClient dan SmileSvr, kata laporan itu.

Selengkapnya: Threat Post