Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Android menyusup ke 60 aplikasi Google Play dengan 100 juta pemasangan

by

Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.

Komponen malware jahat adalah bagian dari perpustakaan pihak ketiga yang digunakan oleh semua enam puluh aplikasi yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.

Beberapa aplikasi yang terpengaruh adalah:

  • L.POINT with L.PAY
  • Swipe Brick Breaker
  • Money Manager Expense & Budget
  • GOM Player
  • LIVE Score, Real-Time Score
  • Pikicast
  • Compass 9: Smart Compass
  • GOM Audio – Music, Sync lyrics
  • LOTTE WORLD Magicpass
  • Infinite Slice
  • Bounce Brick Breaker
  • Korea Subway Info: Metroid
  • SomNote

Banyak aplikasi yang terpengaruh dibersihkan oleh pengembang mereka, yang menghapus perpustakaan yang melanggar, dan aplikasi yang tidak merespons tepat waktu dihapus dari Google Play karena tidak mematuhi kebijakan toko.

Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.

“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer.

“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”

Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.

Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan mereka masih menyimpan perpustakaan berbahaya itu tinggi.

selengkapnya : bleepingcomputer.com

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

by

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

by

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

NSA, A.S., dan Mitra Internasional Menerbitkan Panduan tentang Mengamankan Teknologi Berdasarkan Rancangan dan Kelalaian

by

Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) bermitra dengan badan keamanan siber mitra internasional untuk mendorong produsen teknologi menciptakan produk yang dirancang dengan aman dan aman secara default.

Kelompok sembilan lembaga tersebut telah menerbitkan Lembar Informasi Keamanan Siber, “Menggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan-oleh-Desain dan Default,” untuk meningkatkan kesadaran dan memfasilitasi percakapan internasional tentang prioritas utama, investasi, dan keputusan yang diperlukan untuk memproduksi teknologi yang aman, terjamin, dan tangguh.

Dalam laporan baru, agensi menyoroti pentingnya memprioritaskan keamanan di seluruh siklus hidup produk untuk mengurangi kemungkinan insiden keamanan. Prinsip-prinsip tersebut memastikan produk teknologi dibuat dan dikonfigurasi dengan cara yang melindungi terhadap pelaku dunia maya jahat yang mendapatkan akses ke perangkat, data, dan infrastruktur yang terhubung.

NSA dan mitranya merekomendasikan produsen teknologi dan eksekutif organisasi untuk memprioritaskan penerapan prinsip-prinsip yang dirancang dengan aman dan standar yang diuraikan dalam laporan tersebut.

Selain rekomendasi yang tercantum dalam laporan, lembaga penulis mendorong penggunaan Secure Software Development Framework (SSDF), juga dikenal sebagai SP 800-218 Institut Nasional Standar dan Teknologi (NIST). SSDF membantu produsen perangkat lunak menjadi lebih efektif dalam menemukan dan menghapus kerentanan dalam perangkat lunak yang dirilis, mengurangi dampak potensial dari eksploitasi kerentanan, dan mengatasi akar penyebab kerentanan untuk mencegah terulangnya kembali di masa mendatang.

sumber : nsa.gov

Bahaya Membeli Kotak TV Android: Mengapa Anda Harus Berhenti Sekarang

by

Video terbaru yang diposting oleh saluran YouTube “Tips Teknologi Linus” memperingatkan orang-orang agar tidak membeli kotak TV Android karena risiko keamanannya. Kotak plastik ini dapat dibeli seharga makanan cepat saji dan menjanjikan akses murah atau bahkan gratis ke konten berhak cipta tanpa keahlian teknis apa pun.

Saluran tersebut menemukan pintu belakang yang sudah diinstal sebelumnya pada kotak TV Android T95, yang membuat mereka bertanya-tanya apakah itu hanya satu kali atau apakah itu memengaruhi kotak Android serupa lainnya yang tersedia di Amazon dan AliExpress. Pintu belakang T95 hanyalah puncak gunung es, dan video menunjukkan bahwa kotak Android lainnya juga memiliki masalah keamanan.

Layar beranda kotak-kotak ini terlihat seperti Android TV, dan proses penyiapannya ramah pengguna. Namun, menjalankan Pi-hole, seperti desktop Echo, mengungkapkan tanda bahaya. Kotak mungkin mencoba melakukan ping ke alamat dengan FOTA di URL, yang merupakan singkatan dari firmware over the air dan merupakan perilaku standar Android. Apa yang relatif tidak standar adalah bahwa alamat IP yang ditunjuk oleh URL ada di China, di mana terdapat peraturan yang lebih longgar, terutama terkait warga negara asing. Tidak ada jaminan bahwa firmware yang diunduh akan bersih atau bahkan firmware sama sekali.

Dalam skenario terburuk, malware dapat menyuntikkan dirinya sendiri di samping aplikasi, melakukan root pada perangkat Anda, dan mengontrol aktivitas jaringan Anda. Sistem file perangkat yang menggunakan Android debug Bridge mengungkapkan bahwa hampir setengahnya memiliki folder Java inti yang sama dan file preferensi terbuka, bahkan jika mereka tidak segera mencoba mengakses URL yang dipertanyakan.

Selengkapnya: Linus Tech Tips

KFC, pemilik Pizza Hut mengungkapkan Pelanggaran Data setelah Serangan Ransomware

by

Nyam! Brands, pemilik merek dari rantai makanan cepat saji KFC, Pizza Hut, dan Taco Bell, mengirimkan surat pemberitahuan pelanggaran data ke sejumlah individu yang informasi pribadinya dicuri dalam serangan ransomware 13 Januari.

Yum! Brands mengungkapkan bahwa penyerang telah mencuri informasi pribadi beberapa individu, termasuk nama, nomor SIM, dan nomor kartu identitas lainnya. Sementara penyelidikan yang sedang berlangsung belum menemukan bukti bahwa data yang dicuri telah digunakan untuk pencurian atau penipuan identitas.

Ini terjadi setelah perusahaan mengatakan bahwa meskipun beberapa data dicuri dari jaringannya, tidak ada bukti bahwa penyerang mengeksfiltrasi informasi pelanggan apa pun.

Sebagai akibat langsung dari serangan ransomware bulan Januari, Yum! Brands terpaksa menutup sekitar 300 restoran di Inggris Raya karena berdampak pada sistem TI tertentu yang mengakibatkan penutupan kurang dari 300 restoran di satu pasar selama satu hari.

Nyam! Merek dan anak perusahaannya mengoperasikan atau mewaralabakan lebih dari 55.000 restoran di 155 negara dan wilayah dengan bantuan sekitar 36.000 karyawan di seluruh dunia.

Klarifikasi Yum! mengatakan bahwa perusahaan tidak menemukan bukti bahwa pelanggan terpengaruh oleh pelanggaran data ini.

Perusahaan juga belum mengungkapkan jumlah total karyawan yang datanya dicuri selama serangan ransomware.

Selengkapnya: BleepingComputer

Serangan ransomware yang memaksa wilayah New York kembali ke pena dan kertas dimulai pada tahun 2021, kata pejabat

by

Suffolk County di New York telah menyelesaikan penyelidikan atas serangan ransomware yang membuat tidak stabil yang memaksa pegawai pemerintah untuk mengandalkan mesin faks dan catatan kertas, menemukan kekurangan mencolok dalam praktik keamanan dunia maya petugas county.

Eksekutif Suffolk County Steven Bellone mengadakan konferensi pers pada hari Rabu untuk mengungkap temuan penyelidikan forensik atas serangan ransomware September 2022, yang membocorkan informasi sensitif dari 1,5 juta penduduk di wilayah Long Island.

Grup ransomware BlackCat/AlphV mengambil pujian atas insiden tersebut dan akhirnya membocorkan 400GB data yang dicuri selama serangan — termasuk ribuan nomor Jaminan Sosial.

Bellone menjelaskan bahwa laporan forensik mengungkapkan bahwa peretas masuk ke kantor panitera daerah pada Desember 2021 melalui kerentanan Log4j.

“[Laporan] menjelaskan dengan sangat rinci delapan bulan yang dihabiskan pelaku kriminal di kantor panitera untuk menginstal perangkat lunak penambangan bitcoin, membangun kegigihan, memasang alat eksfiltrasi, membuat akun palsu, memanen kredensial, dan memasang alat pemantauan jarak jauh untuk membuat perintah dan kontrol, katanya kepada wartawan.

Pada bulan Agustus, para peretas berhasil mendapatkan akses ke folder dengan kata sandi ke “sistem yang sangat kritis yang disimpan di jaringan petugas tanpa perlindungan.” Dalam waktu tiga jam setelah mendapatkan folder itu, para peretas akhirnya dapat pindah ke lingkungan TI daerah yang lebih luas.

Laporan tersebut menunjukkan perolehan folder kata sandi ini sebagai salah satu penyebab utama serangan, karena memberi peretas akses ke “sistem basis data, server, sistem telepon, sistem cadangan, peralatan jaringan, berbagi file, akun layanan, sistem operasional kritis. , situs hosting web, perangkat lunak pemantauan jaringan perangkat lunak virus, dan lainnya, ”jelas Bellone.

Para peretas kemudian menghabiskan waktu berbulan-bulan meletakkan dasar untuk serangan itu sebelum mengekstraksi kumpulan data pada 1 September dan akhirnya menyebarkan ransomware pada 8 September. Bellone mengatakan para peretas awalnya meminta uang tebusan sebesar $2,5 juta sebelum menurunkan permintaan mereka menjadi sekitar $500.000. Tidak ada uang tebusan yang dibayarkan, tambahnya.

Selengkapnya: The Record

Kebocoran ILS besar-besaran mencakup data lebih dari 20.000 penerima Iowa Medicaid

by

Informasi pribadi ribuan penerima Medicaid di Iowa bocor dalam serangan tahun 2022 terhadap perusahaan perangkat lunak kesehatan Independent Living Systems (ILS), Departemen Kesehatan dan Layanan Kemanusiaan negara bagian mengungkapkan minggu ini.

Perusahaan yang berbasis di Miami menjelaskan dalam dokumen yang diajukan ke Jaksa Agung Maine bulan lalu bahwa lebih dari empat juta orang terkena dampak pelanggaran sistem mereka.

Informasi yang bocor termasuk nama, alamat, tanggal lahir, nomor SIM, nomor Jaminan Sosial, informasi rekening keuangan dan data medis seperti kode diagnosis dan informasi asuransi kesehatan.

Pejabat di Iowa mengatakan bahwa informasi 20.800 anggota Medicaid Iowa terlibat dalam pelanggaran ILS.

“Medicaid menganggap serius privasi informasi pribadi dan kesehatan warga Iowan,” kata Elizabeth Matney, direktur medicaid Iowa. “Kami menyesali ketidaknyamanan dan kekhawatiran insiden ini dapat merugikan anggota Medicaid di Iowa. HHS akan terus melakukan segala yang mungkin untuk melindungi informasi anggota dari akses yang tidak sah.”

Pejabat mengkonfirmasi bahwa sistem Medicaid Iowa tidak dilanggar. Tetapi organisasi tersebut bekerja dengan kontraktor swasta bernama Telligen, yang memberikan penilaian tahunan bagi anggota Medicaid untuk memastikan mereka menerima layanan kesehatan yang tepat.

Negara bagian mengatakan Telligen mensubkontrakkan sebagian dari pekerjaan itu ke ILS, yang telah menyediakan layanan administrasi pihak ketiga untuk rencana kesehatan, penyedia, rumah sakit, dan perusahaan farmasi dan perangkat medis selama hampir dua dekade.

Meskipun pelanggaran awal jaringan ILS terjadi pada Juli 2022, perusahaan baru menyelesaikan penyelidikannya dalam dua bulan terakhir, memberi tahu Telligen tentang kebocoran tersebut pada 14 Februari. Telligen kemudian memberi tahu pejabat Iowa pada 17 Februari.

Pejabat Iowa tidak menanggapi permintaan komentar tentang apakah mereka akan terus bekerja dengan Telligen dan ILS setelah kebocoran tersebut.

Selengkapnya: The Record