Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pembaruan WhatsApp baru memberi Anda lebih banyak kontrol atas privasi Anda

by

Pembaruan beta WhatsApp baru diluncurkan, dengan fitur privasi baru yang akan memudahkan untuk menghindari kontak tertentu atau menyembunyikan informasi Anda dari pengguna tertentu.

Ditemukan oleh WABetaInfo, pembaruan menambahkan opsi baru ke pengaturan privasi “Terakhir dilihat”. Sebelumnya, ini memberi pengguna opsi untuk menunjukkan status mereka kepada semua orang, kontak mereka, atau tidak kepada siapa pun.

Opsi tambahan “Kontak saya kecuali…” memungkinkan pengguna menentukan kontak tertentu yang tidak ingin mereka lihat status Terakhir dilihat.

Ini akan memberi pengguna lebih banyak kontrol atas siapa yang dapat melihat kapan mereka terakhir online, dan mungkin cara yang baik untuk menghindari kontak tertentu, memberi Anda kesan tidak sedang online untuk menanggapi pesan mereka.

Meskipun demikian, mereka tetap dapat melihat saat Anda online. Dan sementara opsi untuk sepenuhnya memblokir kontak selalu ada, opsi ini bertindak lebih sebagai “blok lunak” karena mereka masih dapat menghubungi Anda.

Opsi ini juga tiba untuk foto profil dan bagian “Tentang”. Ini diluncurkan dengan WhatsApp versi beta 2.21.23.14 dan dapat diakses dari pengaturan privasi akun di bawah masing-masing opsi.

Seperti yang ditunjukkan oleh gambar di atas, jika Anda menyembunyikan status “Terakhir dilihat” dari siapa pun, Anda juga tidak akan dapat melihat status mereka. Namun, WABetaInfo mencatat bahwa batasan ini tidak berlaku untuk foto profil atau bagian Tentang.

Fitur ini diluncurkan secara bertahap untuk penguji beta tertentu di ponsel Android terbaik, sehingga Anda yang menggunakan saluran beta mungkin tidak langsung melihat opsi tersebut.

Selengkapnya: Android Central

SharkBot: generasi baru Trojan Android menargetkan bank di Eropa

by

Pada akhir Oktober 2021, trojan perbankan Android baru ditemukan dan dianalisis oleh tim Cleafy TIR. Karena tim peneliti tidak menemukan referensi ke keluarga yang dikenal, tim peneliti memutuskan untuk menjuluki keluarga baru ini SharkBot.

Tujuan utama SharkBot adalah untuk memulai transfer uang dari perangkat yang disusupi melalui teknik Sistem Transfer Otomatis (ATS) melewati mekanisme otentikasi multi-faktor (mis., SCA).

Mekanisme ini digunakan untuk menegakkan verifikasi dan otentikasi identitas pengguna, biasanya dikombinasikan dengan teknik deteksi perilaku untuk mengidentifikasi transfer uang yang mencurigakan.

Tim peneliti mengidentifikasi botnet yang saat ini menargetkan Inggris, Italia, dan AS, termasuk aplikasi perbankan dan pertukaran mata uang kripto. Mengingat arsitektur modularitasnya, tim peneliti tidak mengecualikan keberadaan botnet dengan konfigurasi dan target lain.

Setelah SharkBot berhasil dipasang di perangkat korban, penyerang dapat memperoleh informasi perbankan sensitif melalui penyalahgunaan Layanan Aksesibilitas, seperti kredensial, informasi pribadi, saldo saat ini, dll., tetapi juga untuk melakukan gerakan pada perangkat yang terinfeksi.

Pada saat penulisan, SharkBot tampaknya memiliki tingkat deteksi yang sangat rendah oleh solusi antivirus karena beberapa teknik anti-analisis telah diterapkan: string obfuscation routine, deteksi emulator, dan algoritme pembuatan domain (DGA) untuk komunikasi jaringannya selain fakta bahwa malware telah ditulis dari awal.

SharkBot mengimplementasikan serangan Overlay untuk mencuri kredensial login dan informasi kartu kredit dan juga memiliki kemampuan untuk mencegat komunikasi perbankan yang sah yang dikirim melalui SMS.

Pada saat penulisan, beberapa indikator menunjukkan bahwa SharkBot dapat berada pada tahap awal pengembangannya.

Selengkapnya: Cleafy

Peretas Korea Utara menargetkan “Wadah Pemikir” Korea Selatan melalui konten blog

by

Dalam kampanye baru, yang dilacak sejak Juni 2021, kelompok Advanced Persistent Threat (APT) yang disponsori negara telah mencoba menanam malware berbasis pengawasan dan pencurian pada mesin korban.

Pada hari Rabu, para peneliti dari Cisco Talos mengatakan bahwa APT Kimsuky, juga dikenal sebagai Thallium atau Black Banshee, bertanggung jawab atas gelombang serangan, di mana konten Blogspot berbahaya digunakan untuk memikat “Wadah Pemikir” yang berbasis di Korea Selatan yang penelitiannya berfokus pada politik. , diplomatik, dan topik militer yang berkaitan dengan Korea Utara, Cina, Rusia, dan AS.”

Secara khusus, organisasi geopolitik dan kedirgantaraan tampaknya berada di radar APT.

Kimsuky telah aktif setidaknya sejak 2012. Badan Keamanan Dunia Maya dan Infrastruktur (CISA) AS mengeluarkan penasehat (.PDF) pada APT pada tahun 2020, mencatat bahwa kelompok yang disponsori negara ditugaskan oleh pemerintah Korea Utara dengan “intelijen global mengumpulkan.” Korban sebelumnya telah ditemukan di Korea Selatan, Jepang, dan Amerika Serikat.

AhnLab mengatakan bahwa formulir kompensasi, kuesioner, dan dokumen penelitian yang dilampirkan ke email telah digunakan di masa lalu sebagai umpan phishing, dan dalam kampanye yang dideteksi oleh Talos, dokumen Microsoft Office yang berbahaya masih menjadi vektor serangan utama.

Selengkapnya: ZDNet

Microsoft: Pembaruan keamanan baru memicu masalah autentikasi Windows Server

by

Microsoft mengatakan pengguna mungkin mengalami masalah otentikasi pada Domain Controllers (DC) yang menjalankan Windows Server. setelah menginstal pembaruan keamanan yang dirilis selama Patch November Selasa.

Masalah otentikasi ini memengaruhi sistem yang menjalankan Windows Server 2019 dan versi yang lebih rendah dengan skenario delegasi Kerberos tertentu.

Daftar platform yang terpengaruh juga mencakup Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, dan Windows Server 2008 SP2.

Masalah otentikasi mencegah pengguna di Active Directory lokal atau lingkungan Azure Active Directory hibrid masuk ke layanan atau aplikasi menggunakan Single Sign-On (SSO).

“Setelah menginstal pembaruan keamanan November, [..] Anda mungkin mengalami kegagalan otentikasi pada server yang berkaitan dengan Tiket Kerberos yang diperoleh melalui S4u2self,” Microsoft menjelaskan di dasbor kesehatan Windows.

“Kegagalan otentikasi adalah akibat dari Tiket Kerberos yang diperoleh melalui S4u2self dan digunakan sebagai tiket bukti untuk transisi protokol untuk didelegasikan ke layanan backend yang gagal validasi tanda tangan.”

Daftar lengkap pembaruan awal untuk masalah umum Windows Server ini meliputi:

  • KB5007206 – Windows Server 2019
  • KB5007192 – Windows Server 2016
  • KB5007247 – Windows Server 2012 R2
  • KB5007260 – Windows Server 2012
  • KB5007236 – Windows Server 2008 R2 SP1
  • KB5007263 – Windows Server 2008 SP2

Microsoft mengatakan sedang mengerjakan resolusi untuk mengatasi masalah Windows Server ini dan memperkirakan bahwa itu akan segera memberikan solusi.

Selengkapnya: Bleeping Computer

Tagged With:

Google Menangkap Peretas Yang Menggunakan Mac Zero-Day Terhadap Pengguna Hong Kong

by

Peneliti Google menangkap peretas yang menargetkan pengguna di Hong Kong yang mengeksploitasi apa yang pada saat itu tidak diketahui kerentanannya di sistem operasi Apple Mac. Menurut para peneliti, serangan tersebut memiliki ciri khas peretas yang didukung pemerintah.

Pada hari Kamis, Grup Analisis Ancaman Google (TAG), tim elit pemburu peretas perusahaan, menerbitkan laporan yang merinci kampanye peretasan.

Para peneliti tidak melangkah sejauh menunjuk pada kelompok atau negara peretasan tertentu, tetapi mereka mengatakan itu adalah “kelompok yang memiliki sumber daya yang baik, kemungkinan didukung oleh negara.”

“Kami tidak memiliki cukup bukti teknis untuk memberikan atribusi dan kami tidak berspekulasi tentang atribusi,” kata kepala TAG Shane Huntley kepada Motherboard melalui email. “Namun, sifat kegiatan dan penargetan konsisten dengan aktor yang didukung pemerintah.”

Erye Hernandez, peneliti Google yang menemukan kampanye peretasan dan menulis laporan tersebut, menulis bahwa TAG menemukan kampanye tersebut pada akhir Agustus tahun ini.

Para peretas telah membuat serangan lubang air, yang berarti mereka menyembunyikan malware di dalam situs web sah “outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka” di Hong Kong.

Pengguna yang mengunjungi situs web tersebut akan diretas dengan kerentanan yang tidak diketahui—dengan kata lain, zero-day—dan eksploitasi lain yang memanfaatkan kerentanan yang sebelumnya ditambal untuk MacOS yang digunakan untuk memasang pintu belakang di komputer mereka, menurut Hernandez.

Selengkapnya: VICE

AT&T Alien Labs menemukan malware Golang (BotenaGo) baru yang menargetkan jutaan router dan perangkat IoT dengan lebih dari 30 eksploitasi

by

AT&T Alien Labs™ telah menemukan malware baru yang ditulis dalam bahasa pemrograman sumber terbuka Golang.

Dikerahkan dengan lebih dari 30 eksploitasi, ia berpotensi menargetkan jutaan router dan perangkat IoT.

BotenaGo memiliki lebih dari 30 fungsi exploit yang berbeda untuk menyerang target.

Malware membuat pintu belakang dan menunggu untuk menerima target untuk diserang dari operator jarak jauh melalui port 19412 atau dari modul terkait lainnya yang berjalan di mesin yang sama.

Belum jelas aktor ancaman mana yang berada di balik malware dan jumlah perangkat yang terinfeksi.

Saat ini, BotenaGo memiliki tingkat deteksi antivirus (AV) yang masih rendah dengan hanya 6/62 AV yang diketahui terlihat di VirusTotal.

Selengkapnya: AT&T Cybersecurity

TrickBot bekerja sama dengan phisher Shatak untuk serangan ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.

Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.

Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.

Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.

Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.

Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.

Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.

Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Selengkapnya: Bleeping Computer

FBI Memperingatkan Peretas Iran yang Ingin Membeli Data yang Dicuri Organisasi AS

by Leave a Comment

Biro Investigasi Federal (FBI) memperingatkan mitra industri swasta tentang upaya oleh aktor ancaman Iran untuk membeli informasi curian mengenai organisasi AS dan internasional.

Peringatan itu datang dalam pemberitahuan industri swasta (PIN) yang ditandai sebagai TLP: AMBER, yang dilihat oleh BleepingComputer awal pekan ini.

Menurut FBI, aktor ancaman kemungkinan akan menggunakan data yang bocor (misalnya, email dan info jaringan) yang dibeli dari sumber web yang jelas dan gelap untuk melanggar sistem organisasi terkait.

FBI mengatakan bahwa organisasi AS yang memiliki data dicuri dan bocor secara online sebelumnya harus berharap menjadi sasaran serangan di masa depan yang dikoordinasikan oleh aktor ancaman Iran yang tidak disebutkan namanya ini.

Organisasi yang berisiko disarankan untuk mengambil langkah-langkah mitigasi untuk memblokir upaya peretasan dengan mengamankan server Remote Desktop Protocol (RDP), Firewall Aplikasi Web, dan instalasi CMS Kentico yang ditargetkan oleh musuh ini.

Di antara Taktik, Teknik, dan Prosedur (TTP) yang digunakan dalam serangan oleh aktor ancaman ini sejak Mei 2021, FBI menyebutkan penggunaan alat eksploitasi otomatis yang digunakan untuk mengkompromikan situs WordPress untuk menyebarkan cangkang web, melanggar server RDP dan menggunakannya untuk mempertahankan akses ke jaringan korban.

Aktor ancaman ini juga berusaha melanggar sistem kontrol pengawasan dan akuisisi data (SCADA) dengan bantuan kata sandi default umum, menurut FBI.

Tautan ke aktivitas peretasan Iran sebelumnya

Sementara FBI menyebut nama aktor ancaman Iran di PIN, penggunaan alat pentest situs dan pemindai kerentanan seperti Acunetix dan SQLmap yang tidak aman untuk menemukan server yang mengkoordinasikan koordinat oleh kelompok peretasan pemerintah Iran.

Sebagai contoh, kelompok peretasan Iran yang tidak disebutkan namanya menggunakan alat serupa untuk mencuri data pendaftaran pemilih dari situs pemilu antara September dan 20 Oktober 2020.

Info pemilih kemudian digunakan untuk meniru organisasi anak-anak yang bangga dan mengirim email ancaman ke pemilih demokratis agar mereka harus memilih Trump atau menghadapi konsekuensinya.

Divisi Cyber FBI juga memperingatkan dalam pemberitahuan industri swasta minggu lalu bahwa geng ransomware telah membahayakan jaringan beberapa kasino milik suku, melumpuhkan server mereka dan mematikan sistem yang terhubung.

Minggu yang sama, agensi federal juga memberi peringatan pada publik bahwa penjahat semakin banyak menggunakan kode kriptocurrency and QR untuk penipuan, membuat lebih sulit bagi penegak hukum untuk memulihkan kerugian finansial korban.

Sumber: Bleepingcomputer