News 246 - Naga Cyber Defense

7 juta alamat email pengguna Robinhood dijual di forum peretas

November 16, 2021 by Eevee

Sekitar 7 juta data pelanggan Robinhood dicuri dalam pelanggaran data baru-baru ini dan data tersebut dijual di forum dan pasar peretasan populer.

Robinhood mengungkapkan setelah salah satu karyawannya diretas,pelaku kemudian menggunakan akun mereka untuk mengakses informasi sekitar 7 juta pengguna melalui sistem dukungan pelanggan.

Data yang dicuri selama serangan termasuk informasi pribadi adalah:

Alamat email untuk 5 juta pelanggan
Nama lengkap untuk 2 juta pelanggan lainnya
Nama, tanggal lahir, dan kode pos untuk 300 orang
Informasi akun yang lebih luas untuk sepuluh orang

Selain mencuri data, Robinhood menyatakan bahwa peretas berusaha memeras perusahaan untuk mencegah pelepasan data. Dua hari setelah Robinhood mengungkapkan serangan itu, seorang aktor ancaman bernama ‘pompompurin’ mengumumkan bahwa mereka menjual data di forum peretasan.

Pompompurin mengatakan dia menjual 7 juta informasi curian pelanggan Robinhood untuk setidaknya lima angka, yaitu $ 10.000 atau lebih tinggi.

Data yang terjual termasuk 5 juta alamat email, dan untuk kumpulan pelanggan Robinhood lainnya, 2 juta alamat email dan nama lengkap mereka. Namun, pompompurin mengatakan mereka tidak menjual data untuk 310 pelanggan yang memiliki informasi lebih sensitif yang dicuri, termasuk kartu identitas untuk beberapa pengguna.

pompompurin memperoleh akses ke sistem dukungan pelanggan Robinhood setelah menipu karyawan meja bantuan untuk menginstal perangkat lunak akses jarak jauh di komputer mereka.

Setelah perangkat lunak akses jarak jauh diinstal pada perangkat, pelaku ancaman dapat memantau aktivitas mereka, mengambil tangkapan layar, dan mengakses komputer dari jarak jauh. Selain itu, saat mengendalikan perangkat dari jarak jauh, penyerang juga dapat menggunakan kredensial login yang disimpan karyawan untuk masuk ke sistem Robinhood internal yang dapat mereka akses.

Pompompurin memposting tangkapan layar yang mengakses sistem internal Robinhood. Tangkapan layar ini termasuk bantuan internal yang digunakan untuk mencari informasi anggota Robinhood melalui alamat email, halaman basis pengetahuan internal tentang inisiatif “Project Oliver Twister” yang dirancang untuk melindungi pelanggan berisiko tinggi, dan halaman “anotasi” yang menunjukkan catatan untuk tujuan tertentu. pelanggan.

Bagian dari tangkapan layar yang menunjukkan catatan anggota internal

pompompurin juga bertanggung jawab atas penyalahgunaan server email FBI untuk mengirim email ancaman selama akhir pekan,entitas AS mulai menerima email yang dikirim dari penerima peringatan infrastruktur FBI bahwa “kluster virtual” mereka menjadi sasaran dalam “serangan berantai canggih,” seperti yang ditunjukkan dalam email di bawah ini.
Email peringatan FBI palsu dikirim akhir pekan ini

Untuk mengirim email ini, pompompurin menemukan bug di portal FBI Law Enforcement Enterprise Portal (LEEP) yang dapat dimanfaatkan aktor untuk mengirim email dari alamat IP milik FBI.

Karena email tersebut berasal dari alamat IP yang dimiliki oleh FBI, itu menambah legitimasi pada email tersebut, menyebabkan badan pemerintah dibanjiri dengan panggilan prihatin tentang peringatan palsu tersebut.

Setelah mengetahui serangan itu, FBI membuat server terkait offline untuk menyelesaikan masalah tersebut.

Selengkapnya : Bleeping Computer

QBot kembali untuk gelombang infeksi baru menggunakan Squirrelwaffle

November 16, 2021 by Eevee

Aktivitas trojan perbankan QBot (juga dikenal sebagai Quakbot) melonjak lagi, Beberapa perusahaan riset keamanan mengaitkannya dengan munculnya Squirrelwaffle.

Squirrelwaffle muncul mengisi kekosongan yang ditinggalkan oleh penghapusan Emotet, prediksi ini dengan cepat dikonfirmasi.

TrendMicro telah mengamati kampanye distribusi baru untuk QBot yang mengandalkan makro Visual Basic Macros (VBA) dalam dokumen Microsoft Word yang dikirim sebagai lampiran dalam email phishing.

Semua variasi kedatangan QBot
Sumber: TrendMicro

Korban masih harus membuka dokumen secara manual dan “Aktifkan Konten” di suite Microsoft Office mereka untuk membiarkan kode makro berjalan, menjatuhkan muatan QBot pada sistem.

Qbot juga dikenal bermitra dengan operasi ransomware untuk memberi mereka akses awal ke jaringan. QBot sebelumnya telah berkolaborasi dengan geng ransomware untuk menyebarkan strain REvil, Egregor, ProLock, PwndLocker, dan MegaCortex.

Kita tidak boleh lupa bahwa bahkan jika kompromi ini tidak pernah berkembang menjadi peristiwa enkripsi file, QBot dapat melakukan kerusakan signifikan dengan sendirinya.

Modul tambahan yang diunduh oleh malware QBot dapat mengambil cookie browser, kata sandi, email, menjatuhkan Cobalt Strike, mengaktifkan gerakan lateral, dan mengubah mesin yang terinfeksi menjadi proxy untuk lalu lintas C2.

Sentinel Labs menerbitkan munculnya pemuat malware SquirrelWaffle, menghubungkannya langsung ke QBot, yang dijatuhkan sebagai malware tahap kedua. Para peneliti di Minerva Labs juga telah menarik kesimpulan serupa, Lihat skema pengiriman berikut:

Rantai infeksi SquirrelWaffle
Sumber: Minerva Labs

SquirrelWaffle juga menggunakan makro VBA untuk menjalankan perintah PowerShell yang mengambil muatannya dan meluncurkannya.

Pembuatan email phishing yang lebih meyakinkan dapat dialihdayakan atau diselesaikan dengan cepat dengan menghubungi ahli di bagian operasi phishing tersebut, yang menyebabkan jumlah infeksi SquirrelWaffle yang lebih signifikan.

Selengkapnya : Bleeping Computer

Teknik Rowhammer baru melewati pertahanan memori DDR4 yang ada

November 16, 2021 by Winnie the Pooh

Para peneliti telah mengembangkan teknik berbasis fuzzing baru yang disebut ‘Blacksmith’ yang menghidupkan kembali serangan kerentanan Rowhammer terhadap perangkat DRAM modern yang melewati mitigasi yang ada.

Munculnya metode Blacksmith baru ini menunjukkan bahwa modul DDR4 saat ini rentan terhadap eksploitasi, memungkinkan berbagai serangan dapat dilakukan.

Rowhammer adalah eksploitasi keamanan yang mengandalkan kebocoran muatan listrik antara sel memori yang berdekatan, memungkinkan aktor ancaman untuk membalik 1 dan 0 dan mengubah konten dalam memori.

Serangan kuat ini dapat melewati semua mekanisme keamanan berbasis perangkat lunak, yang mengarah ke eskalasi hak istimewa, kerusakan memori, dan banyak lagi.

Ini pertama kali ditemukan pada tahun 2014, dan dalam setahun, dua eksploitasi eskalasi hak istimewa kerja berdasarkan peneliti sudah tersedia.

Mitigasi yang diterapkan untuk mengatasi masalah bit-flipping ini menunjukkan tanda-tanda pertama ketidakcukupan mereka pada Maret 2020, ketika peneliti akademis membuktikan bahwa bypass mungkin dilakukan.

Pabrikan telah menerapkan serangkaian mitigasi yang disebut “Target Row Refresh” (TRR), yang terutama efektif dalam menjaga agar DDR4 baru tetap aman dari serangan.

Serangan yang digunakan untuk melawannya disebut ‘TRRespass’, dan merupakan teknik berbasis fuzzing lain yang berhasil menemukan pola Rowhammering yang dapat digunakan.

Modul DRAM DDR5 yang lebih baru sudah tersedia di pasar, dan adopsi akan meningkat dalam beberapa tahun ke depan.

Di DDR5, Rowhammer mungkin tidak terlalu menjadi masalah, karena TRR digantikan oleh “refresh management”, sebuah sistem yang melacak aktivasi di bank dan mengeluarkan penyegaran selektif setelah ambang batas tercapai.

Ini berarti bahwa fuzzing yang dapat diskalakan pada perangkat DRAM DDR5 akan jauh lebih sulit dan mungkin jauh lebih tidak efektif, tetapi itu masih harus ditinjau kembali.

Selengkapnya: Bleeping Computer

Peretas generasi China berikutnya tidak akan menjadi penjahat. Itu adalah sebuah masalah.

November 16, 2021 by Winnie the Pooh

Penjahat memiliki sejarah panjang melakukan spionase dunia maya atas nama China. Dilindungi dari penuntutan oleh afiliasi mereka dengan Kementerian Keamanan Negara (MSS) China, para penjahat yang berubah menjadi peretas pemerintah melakukan banyak operasi spionase. Mengkhawatirkan kedengarannya, namun ini bukan fenomena baru.

Serentetan kebijakan yang dimulai pada tahun 2015 menempatkan China pada posisi untuk menggantikan penjahat kontrak dengan darah baru dari universitas.

Upaya untuk memprofesionalkan tim peretas negara juga terkait langsung dengan tujuan politik Presiden Xi untuk mengurangi korupsi. Pembersihan baru-baru ini oleh Xi atas layanan keamanan negara China menunjukkan pejabat berisiko yang dijalankan dengan memperkaya diri mereka sendiri menggunakan sumber daya pemerintah.

Hubungan patronase antara peretas kontrak dan handler adalah jenis perilaku profiteering yang ditargetkan Xi dalam kampanye anti-korupsinya.

Dalam lingkungan yang semakin kejam, petugas yang menjalankan operasi yang memicu kemarahan internasional atau dakwaan pidana asing rentan untuk diserahkan oleh saingannya. Pejabat yang ditargetkan oleh penyelidik internal mungkin menemukan diri mereka dikurung di “penjara hitam.” Layanan keamanan China akan memutuskan hubungan mereka dengan peretas bawah tanah saat mereka menyingkirkan pejabat korup dan merekrut peretas secara langsung.

Implikasi dari langkah-langkah ini menunjukkan bahwa peretas China yang biasa dilawan oleh perusahaan dan badan intelijen dunia akan jauh lebih profesional pada akhir dekade ini.

China yang lebih mampu akan berperilaku berbeda dari China yang kita lihat sekarang. Mengingat ketergantungannya pada peretas gelap untuk menyembunyikan kegiatan kriminal dan spionasenya, Kementerian Keamanan Publik telah menoleransi beberapa operasi penjahat siber di Tiongkok, terlepas dari masalah yang ditimbulkannya.

Setelah aktivitas kriminal tidak lagi menjadi norma, dinas keamanan China akan sadar bahwa mereka dapat memindahkan operasi ini di dalam negeri, karena aktivitas mata-mata pemerintah adalah perilaku yang diterima dalam hubungan internasional.

Akibatnya, Kementerian Keamanan Publik China dapat melakukan lebih banyak operasi terhadap penjahat dunia maya. Analis harus waspada terhadap peningkatan operasi anti-kejahatan yang terfokus secara internal ini, yang akan menjadi indikator yang baik dari perubahan taktik operasional.

Selengkapnya: Tech Crunch

Peringatan Dikeluarkan Untuk Jutaan Pengguna Microsoft Windows 10, Windows 11

November 15, 2021 by Winnie the Pooh

Pengguna Windows harus waspada. Microsoft telah mengkonfirmasi kerentanan kritis telah ditemukan di semua versi Windows yang menghadirkan ancaman langsung, dan tindakan harus dilakukan secepatnya.

Dilacak sebagai CVE-2021-34484, kerentanan “zero-day” memungkinkan peretas untuk menembus semua versi Windows (termasuk Windows 10, Windows 11 dan Windows Server 2022) dan mengambil kendali komputer Anda. Dan bagian terburuknya adalah cacatnya telah diketahui selama beberapa waktu.

Alasan untuk ini adalah Microsoft secara keliru mengira telah menambal kerentanan (yang pertama kali ditemukan pada bulan Agustus) ketika diungkapkan kepada publik pada bulan Oktober.

Tetapi perbaikan itu sendiri ditemukan tidak sempurna, sesuatu yang diakui perusahaan, dan ini menarik lebih banyak perhatian pada kerentanan. Microsoft kemudian berjanji untuk “mengambil tindakan yang tepat untuk menjaga pelanggan tetap terlindungi” tetapi dua minggu kemudian, perbaikan baru masih belum tiba.

Tapi di sinilah semua pengguna Windows dapat mengambil kendali. Spesialis keamanan pihak ketiga 0patch telah mengalahkan Microsoft dengan ‘micropatch’ yang sekarang telah tersedia untuk semua pengguna Windows (tautan unduhan).

“Micropatch untuk kerentanan ini akan gratis hingga Microsoft mengeluarkan perbaikan resmi,” 0patch mengkonfirmasi. Anda dapat melihat video micropatch yang diinstal di bawah ini:

Anda harus mendaftar untuk akun 0patch dan menginstal download agent nya sebelum perbaikan dapat diterapkan, tetapi dengan 0patch yang cepat menjadi tujuan utama untuk hot fix yang mengalahkan Microsoft, ini bukan masalah.

Selengkapnya: Forbes

AMD Mengungkapkan 50 Celah Keamanan yang Mempengaruhi CPU EPYC, Driver Radeon

November 15, 2021 by Winnie the Pooh

AMD menerbitkan tiga buletin keamanan yang membahas kerentanan keamanan yang memengaruhi prosesor EPYC dan driver grafis Radeon untuk Windows 10. Meskipun banyak yang ditandai dengan Keparahan Tinggi, mereka dapat dimitigasi dengan pembaruan driver dan paket AGESA.

Pembuat chip tersebut mengungkap 22 potensi kerentanan yang memengaruhi tiga generasi prosesor EPYC: EPYC 7001 (Naples), EPYC 7002 (Roma), dan EPYC 7003 (Milan).

Eksploitasi secara khusus menargetkan AMD Platform Security Processor (PSP), AMD System Management Unit (SMU), AMD Secure Encrypted Virtualization (SEV) dan komponen platform lainnya.

Menanggapi eksploitasi, AMD mendistribusikan pembaruan AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C dan MilanPI-SP3_1.0.0.4 ke mitra OEM-nya. Jika Anda menjalankan salah satu chip EPYC AMD, Anda harus menghubungi OEM Anda untuk pembaruan.

Driver grafis Radeon untuk Windows 10 sama-sama dipenuhi dengan kerentanan. AMD mendeteksi hingga 27 eksploitasi berbeda dengan berbagai tingkat keparahan yang berdampak pada konsumen mainstream dan perusahaan. Untungnya, pengguna hanya perlu memperbarui driver Radeon mereka ke versi terbaru untuk menambal lubang keamanan tersebut.

Selengkapnya: Tom’s Hardware

Hacker Iran Serang Layanan telekomunikasi di Timur Tengah dan Afrika

November 15, 2021 by Eevee

APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP menggunakan malware dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.

Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.

Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.

Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.

Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari algoritma pembuatan domain (DGA).

Kedua pintu belakang berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.

Menurut analisis teknis, yang mengungkapkan penyegaran terus-menerus dari suar dan muatan, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.

Tanggal pembuatan terbaru adalah dari Oktober 2021, dan para peneliti menunjukkan bahwa setidaknya dua dari kompromi yang diidentifikasi sedang berlangsung.

Para analis berhasil memetakan korban Lyceum dengan menganeksasi dua puluh domain aktor dan menganalisis data telemetri tanpa menghapusnya.

Laporan yang dihasilkan memberikan daftar baru dengan indicators of compromise (IoC) dan berbagai cara untuk mendeteksi dua backdoors, sehingga berpotensi mengganggu kampanye Lyceum yang sedang berlangsung.

Bermotif Politik
Kelompok peretas diyakini memiliki motif politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.

Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.

Prevailion menjelaskan belum diketahui sumber backdoor beacon Milan.

Secara historis Lyceum menargetkan penyedia telekomunikasi dan tim Kaspersky mengidentifikasi penargetan baru-baru ini terhadap operator telekomunikasi di Tunisia, maka Lyceum diperkirakan akan menargetkan perusahaan telekomunikasi Afrika utara lainnya.

Meskipun kampanye ‘GhostShell’ kemungkinan besar diatur oleh musuh baru APT, kampanye itu masih memiliki hubungan dengan kelompok APT Iran yang terkenal seperti Lyceum.

sumber: BLEEPING COMPUTER

Cryptominers Menargetkan CPU AMD Ryzen untuk Cache L3 Besar Mereka

November 15, 2021 by Eevee

Menurut laporan baru dari Bitcoin Press, crypto Raptoreum (RTM) baru memiliki potensi untuk menciptakan kekurangan prosesor AMD Ryzen jika cukup banyak penambang cryptocurrency yang ikut-ikutan. Tidak seperti cryptocurrency lain yang dapat Anda tambang dengan kartu grafis atau ASIC, Raptoreum lebih menyukai prosesor, terutama yang memiliki cache besar, seperti chip Ryzen, Threadripper, atau Epyc dari AMD yang cenderung berperingkat tinggi dalam daftar benchmark CPU dan CPU terbaik kami untuk bermain game.

Setelah berada di testnet selama tiga tahun, Raptoreum diluncurkan awal tahun ini. Ini didasarkan pada model Proof-Of-Work (PoW) dan algoritma GhostRider. Yang terakhir menggabungkan algoritma x16r dan CryptoNight yang ada di Ravencoin dan Monero atau Bytecoin, masing-masing. GhostRider menyukai cache L3, terutama yang besar, dan itu adalah area di mana chip Ryzen unggul.

Prosesor mainstream Zen 3 AMD, seperti Ryzen 9 5950X dan Ryzen 9 5900X, memiliki cache L3 hingga 64MB. Berdasarkan informasi dari Raptoreum Mining Profitability Calculator, Ryzen 9 5950X dan Ryzen 9 5900X masing-masing menawarkan hingga 4.247 h/s dan 3.557 h/s. Yang pertama dapat menjaring Anda 205 Raptoreum sehari, sedangkan yang kedua menghasilkan hingga 172. Dengan $0,0220255 per Raptoreum dan menggunakan biaya energi $0,12/kWh, Ryzen 9 5950X menghasilkan sekitar $4,16 sehari, sedangkan Ryzen 9 5900X menghasilkan terhormat $3,43. Itu berarti Ryzen 9 5950X ($739) praktis membayar sendiri dalam 178 hari dan Ryzen 9 5900X ($524) dalam waktu sekitar 153 hari. Sementara Ryzen 9 5950X memberikan hashrate yang lebih tinggi, Ryzen 9 5900X membutuhkan waktu lebih sedikit untuk mencapai titik impas.

Penambang cryptocurrency yang lebih serius dapat memanfaatkan produk inti-berat Ryzen Threadripper atau EPYC AMD. Jenis investor ini jelas ada di dalamnya untuk permainan panjang. Misalnya, Ryzen Threadripper 3970X menambang hingga 404 Raptoreum per hari, sementara sesuatu seperti EPYC 7742 memberi Anda 597 Raptoreum. Sekarang, bayangkan memiliki dua anak nakal EPYC ini dalam sistem dual-socket atau prosesor Milan-X spick-and-span AMD dengan cache L3 hingga 768MB.

Pasokan untuk prosesor AMD Zen 3 masih sangat stabil, dan beberapa SKU, seperti Ryzen 7 5800X telah turun menjadi $329,99 di Micro Center. Ada juga beberapa potongan harga kecil dengan chip Ryzen 5000 lainnya, tetapi secara keseluruhan, ada banyak stok. Untuk sementara, Raptoreum tampaknya tidak berpengaruh pada saham Ryzen, yang merupakan hal yang baik. Namun, panorama dapat berubah ketika Ryzen dengan 3D V-Cache menghadirkan chip yang dapat mengirimkan hingga 192MB L3 cache, tiga kali lipat dari prosesor vanilla Ryzen.

sumber: TOMSHARDWARE

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings