Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Mantan Analis Keamanan Microsoft Mengklaim Office 365 Sengaja Menghosting Malware Selama Bertahun-tahun

by

Pada hari Jumat, peneliti keamanan siber TheAnalyst menjelaskan di Twitter bagaimana malware BazarLoader mengarah ke ransomware yang dapat sangat memengaruhi industri kesehatan, di antara industri lainnya.

Dia kemudian memanggil Microsoft, menanyakan apakah perusahaan memiliki “tanggung jawab dalam hal ini ketika mereka TAHU bahwa mereka meng-hosting ratusan file yang mengarah ke hal ini,” di samping hal yang tampaknya menjadi file berbahaya yang di-host di OneDrive.

Untuk mendukung ini, mantan analis keamanan Microsoft Kevin Beaumont menjawab, mengatakan bahwa Microsoft tidak dapat menyebut dirinya sebagai pemimpin keamanan karena penyalahgunaan Office365 dan OneDrive terjadi selama bertahun-tahun.

Dia melanjutkan, menjelaskan bahwa menghapus sesuatu dari OneDrive adalah proses mimpi buruk dengan waktu reaksi yang agak lambat, menjadikan Microsoft “hoster malware terbaik di dunia selama sekitar satu dekade, karena O365.”

Namun, ini bukan masalah eksklusif Microsoft atau masalah baru, karena kita juga telah melihat malware yang dihosting di platform lain di masa lalu.

Menurut penelitian oleh Bern University of Applied Sciences, Google dan Cloudflare saat ini berada di antara jaringan hosting malware online teratas. Dengan demikian, seluruh industri teknologi harus lebih baik dalam menemukan konten berbahaya yang dihosting di servernya sebelum mencari masalah di tempat lain.

Bagaimanapun, semoga, insiden ini akan mendorong Microsoft untuk mengambil tindakan tegas yang dapat membantu melindungi jutaan orang dan ribuan organisasi dari serangan malware.

Sumber: Hot Hardware

Penipuan romantis dengan twist cryptocurrency – penelitian baru dari SophosLabs

by

Ada sudut lain yang diambil oleh scammer situs kencan akhir-akhir ini, dimana para penjahat dengan sengaja menaruh uang di atas cinta.

Mereka masih menggunakan situs kencan untuk memilih, menguntit, dan merawat korban mereka, tetapi alih-alih menghabiskan waktu berminggu-minggu atau berbulan-bulan untuk berkembang dari persahabatan, melalui cinta, romansa, dan mungkin bahkan pertunangan yang curang, ke fase “melarikan diri” mereka menjalin pertemanan, menggunakan permainan kencan sebagai tipu muslihat, tetapi kemudian dengan cepat beralih ke uang, kali ini dengan kedok mereka membantu Anda dengan menawarkan Anda kesempatan untuk bergabung dengan peluang investasi yang “tak terkalahkan”.

Seperti yang dapat Anda bayangkan, “investasi” yang mereka usulkan biasanya melibatkan cryptocoin, tetapi untuk menambahkan lapisan legitimasi, penjahat CryptoRom ini, seperti yang kami sebut mereka (crypto- dari “cryptocurrency” dan -rom dari “romance scam”) , mengundang Anda untuk menginstal aplikasi “resmi” untuk bergabung dengan skema.

Faktanya, penipu cryptorom bahkan akan menawarkan Anda sebuah aplikasi jika Anda memiliki iPhone, di mana pendekatan “Walled Garden” Apple yang mengharuskan semua unduhan aplikasi konsumen berasal dari Apple App Store hampir pasti meyakinkan banyak korban bahwa aplikasi cryptorom memang harus memilikinya. semacam otorisasi atau persetujuan resmi.

Jadi penjahat ini melewati App Store sepenuhnya, menggunakan serangkaian trik yang dijelaskan dalam laporan penelitian SophosLabs baru berjudul CryptoRom aplikasi cryptocurrency iOS palsu menghantam AS, korban Eropa setidaknya $ 1,4 juta.

Selengkapnya: Naked Security

Wanita Diduga Meretas Sekolah Penerbangan, Mengizinkan Pesawat Dengan Masalah Pemeliharaan untuk Terbang

by

Seorang wanita diduga meretas sistem sekolah pelatihan penerbangan di Florida untuk menghapus dan merusak informasi yang terkait dengan pesawat sekolah. Dalam beberapa kasus, pesawat yang sebelumnya memiliki masalah perawatan telah “diizinkan” untuk terbang, menurut laporan polisi. Peretasan itu, menurut CEO sekolah, bisa membahayakan pilot.

Lauren Lide, 26 tahun yang pernah bekerja di sekolah Pelatihan Penerbangan Melbourne, mengundurkan diri dari posisinya sebagai Manajer Operasi Penerbangan pada akhir November 2019, setelah perusahaan memecat ayahnya. Berbulan-bulan kemudian, dia diduga meretas ke dalam sistem bekas perusahaannya, menghapus dan mengubah catatan, dalam upaya nyata untuk membalas mantan majikannya, menurut catatan pengadilan yang diperoleh dari Motherboard pelaku.

Derek Fallon, CEO Melbourne Flight Training menelepon polisi pada 17 Januari 2020, dan melaporkan bahwa lima hari sebelumnya, dia masuk ke akunnya untuk Flight Circle, aplikasi yang digunakan perusahaannya untuk mengelola dan melacak pesawatnya, dan menemukan bahwa ada informasi yang hilang.

Fallon menemukan bahwa seseorang telah menghapus catatan terkait pesawat dengan masalah perawatan dan pengingat inspeksi semuanya telah dihapus, “artinya pesawat yang mungkin tidak aman untuk terbang sengaja dibuat ‘layak terbang,'” menurut dokumen yang ditulis oleh Polisi Bandara Melbourne petugas.

“Antara waktu data diubah dan diperbaiki, itu adalah situasi yang bisa membahayakan kehidupan manusia,” kata Fallon dalam pernyataan tertulis. Fallon kemudian menghentikan semua penerbangan.

Selengkapnya: Vice

Malware BlackByte yang ‘Kikuk’ Menggunakan Kembali Kunci Crypto, Worms Ke Jaringan

by

Ransomware baru yang dijuluki BlackByte memiliki semua keunggulan dari upaya pengembangan pertama oleh pengembang malware amatir, membuat kesalahan signifikan — seperti mengaburkan kode dengan cara yang mudah dilewati dan menggunakan kunci enkripsi yang sama untuk setiap korban.

Malware ini memiliki beberapa kesamaan dengan ransomware lain yang terkait dengan Rusia, seperti menghindari sistem berbahasa Rusia dengan cara yang sama seperti REvil dan menggunakan eksploitasi jaringan untuk menyebar di dalam jaringan dengan cara yang sama seperti Ryuk, menurut para peneliti di Trustwave, yang menerbitkan analisis mereka. varian minggu ini.

Para peneliti, yang menemukan program jahat ketika menanggapi insiden keamanan, juga menemukan bahwa program tersebut menggunakan kunci enkripsi simetris yang diunduh dari server publik. Itu memungkinkan mereka untuk membuat utilitas dekripsi untuk membantu korban memulihkan data mereka.

Pilihan desain yang buruk itu menunjukkan bahwa ransomware bukanlah varian dari keluarga ransomware sebelumnya dan bahwa para pengembang relatif tidak berpengalaman dalam merancang ransomware, kata Karl Sigler, manajer riset keamanan senior di Trustwave.

“Sepertinya mereka menulis ini dari awal,” katanya. “Tapi itu kikuk. Ini sangat kikuk.”

Pertumbuhan serangan ransomware mungkin telah meyakinkan para pengembang di balik BlackByte untuk membuat kerangka kerja malware mereka sendiri, kata Sigler dari Trustwave.

Selengkapnya: Dark Reading

Peretas baru saja mencuri data pribadi dari jutaan pelanggan Acer

by

Acer baru saja mengkonfirmasi bahwa servernya ditembus oleh sekelompok peretas bernama Desorden. Peretas berhasil mencuri lebih dari 60 gigabyte data yang berisi informasi sensitif tentang jutaan pelanggan Acer.

Informasi yang dikompromikan termasuk nama, alamat, dan nomor telepon beberapa juta klien, tetapi juga membatasi data keuangan perusahaan.

Peretasan itu baru-baru ini dilaporkan oleh peretas itu sendiri dan kemudian dikonfirmasi kebenarannya oleh Acer. Desorden telah berhasil menembus server Acer di India dan mendapatkan sejumlah besar data. Data tersebut terdiri dari akun konsumen dan perusahaan. Menurut Desorden, “data pelanggan yang terpengaruh berjumlah jutaan.”

Sebagai bukti pencurian data, kelompok peretas menerbitkan lebih dari 10.000 akun data pelanggan pribadi. Data yang tersisa akan dijual, dan pos tersebut telah menarik minat dari pembeli potensial. Peretas belum menjelaskan apakah mereka ingin menjual data di pasar bawah tanah, atau mereka hanya ingin Acer membayar uang tebusan untuk itu.

Menurut Acer, perusahaan telah segera menerapkan langkah-langkah keamanan dan melakukan pemindaian penuh terhadap sistemnya. Serangan memengaruhi sistem layanan purna jual lokal Acer di India. Perusahaan kemudian mulai memberi tahu semua pelanggan yang berpotensi terkena dampak.

Dalam pernyataannya kepada Privacy Affairs, Acer mengklaim bahwa insiden ini tidak akan berdampak pada kelangsungan bisnisnya. Itu kemungkinan besar benar, tetapi ini tentu saja waktu yang buruk untuk merek, karena ini adalah pencurian data besar kedua yang dideritanya tahun ini.

Selengkapnya: Digital Trends

Google memperingatkan lonjakan aktivitas oleh peretas yang didukung negara

by

Google telah memperingatkan lonjakan aktivitas peretas yang didukung pemerintah tahun ini, termasuk serangan dari kelompok Iran yang menargetkan universitas Inggris.

Grup pencari mengatakan bahwa sejauh ini pada tahun 2021 telah mengirim lebih dari 50.000 peringatan kepada pemegang akun bahwa mereka telah menjadi target upaya phishing atau malware yang didukung pemerintah. Ini merupakan peningkatan sepertiga pada periode yang sama tahun lalu, kata Google dalam sebuah blogpost, dengan kenaikan yang dikaitkan dengan “kampanye yang luar biasa besar” oleh kelompok peretasan Rusia yang dikenal sebagai APT28, atau Fancy Bear.

Namun, pos Google berfokus pada kelompok yang terkait dengan Pengawal Revolusi Iran, yang dikenal sebagai APT35, atau Charming Kitten, yang secara teratur melakukan serangan phishing – di mana, misalnya, email digunakan untuk mengelabui seseorang agar menyerahkan informasi sensitif atau memasang malware.

“Ini adalah salah satu kelompok yang kami ganggu selama siklus pemilihan AS 2020 karena menargetkan staf kampanye,” tulis Ajax Bash, dari grup analisis ancaman Google. “Selama bertahun-tahun kelompok ini telah membajak akun, menyebarkan malware, dan menggunakan teknik baru untuk melakukan spionase yang selaras dengan kepentingan pemerintah Iran.”

Dalam satu serangan di awal tahun 2021, APT35 menyerang situs web yang berafiliasi dengan universitas Inggris menggunakan teknik yang telah dicoba dan diuji: mengarahkan pengguna ke halaman web yang disusupi di mana mereka didorong untuk masuk melalui penyedia layanan email mereka – Gmail, Hotmail atau Yahoo misalnya – untuk melihat webinar. Pengguna juga diminta kode otentikasi faktor kedua, yang langsung menuju ke APT35.

Selengkapnya: The Guardian

Pembaruan Windows 10 baru “KB5006670” merusak network printing

by

Pada hari Selasa (12/10/2021), Microsoft merilis pembaruan Windows untuk memperbaiki bug dan kerentanan keamanan sebagai bagian dari Patch Selasa Oktober 2021.

Pembaruan ini termasuk KB5006674 untuk Windows 11, KB5006670 untuk Windows 10 2004, 20H1, dan 21H1, KB5006667 untuk Windows 10 1909, dan KB5006714 untuk Windows 8.

Sejak menginstal pembaruan KB5006670, pengguna melaporkan bahwa mereka tidak dapat mencetak ke server cetak jaringan, dengan beberapa pengguna menerima kesalahan 0x00000709 atau ‘Elemen tidak ditemukan’ saat mencoba mencetak.

Dalam topik forum delapan halaman di BleepingComputer, administrator Windows menceritakan frustrasi mereka dengan bug pencetakan dan sampai pada kesimpulan yang sama – menghapus pembaruan minggu ini menyelesaikan masalah.

Sejak Juli, Microsoft telah merilis aliran pembaruan keamanan yang konstan untuk memperbaiki kerentanan PrintNightmare di Windows Print Spooler.

Karena pelaku ancaman, termasuk geng ransomware, secara aktif mengeksploitasi kerentanan ini, Microsoft telah mengubah fitur pencetakan Titik dan Cetak secara drastis. Sayangnya, sementara perubahan ini memperbaiki kerentanan, mereka juga menyebabkan masalah pencetakan ke server cetak jaringan.

Minggu ini, Microsoft merilis pembaruan keamanan lebih lanjut untuk kerentanan pencetakan Windows yang dilacak sebagai CVE-2021-41332 dan CVE-2021-36970, kemungkinan menyebabkan masalah pencetakan jaringan baru.

Sementara sebagian besar masalah yang dilaporkan terkait dengan pembaruan KB5006670 Windows 10, kemungkinan karena ini adalah versi Windows yang paling banyak digunakan saat ini.

Perbaikan keamanan yang sama juga dirilis untuk Windows 10 1909 dan Windows 11 dan kemungkinan akan menyebabkaSn masalah serupa pada versi Windows tersebut.

Selengkapnya: Bleeping Computer

Kampanye MirrorBlast Baru yang Eksplosif Menargetkan Perusahaan Keuangan

by

Tim Morphisec Labs telah melacak versi baru kampanye yang menargetkan organisasi keuangan. Dijuluki “MirrorBlast” oleh ET Labs, kampanye serangan saat ini yang dilacak tim Labs dimulai pada awal September. Ada kegiatan serupa pada April 2021 juga, tetapi kampanye saat ini dimulai baru-baru ini.

Rantai serangan infeksi memiliki kesamaan dengan taktik, teknik, dan prosedur yang biasa digunakan oleh kelompok ancaman TA505 yang diduga berbasis di Rusia. Kesamaan meluas ke rantai serangan, fungsionalitas GetandGo, muatan akhir, dan kesamaan dalam pola nama domain.

Pada bulan September peneliti mengamati kampanye malspam yang mengirimkan dokumen Excel sebagai lampiran. Kampanye ini menargetkan beberapa sektor dari Kanada, Amerika Serikat, Hong Kong, Eropa, dan banyak lagi.

Rantai serangan dimulai dengan dokumen lampiran email, tetapi pada tahap selanjutnya, itu berubah untuk menggunakan URL proksi umpan Google dengan SharePoint dan umpan OneDrive, yang bertindak sebagai permintaan berbagi file. URL ini mengarah ke SharePoint yang disusupi atau situs OneDrive palsu yang digunakan penyerang untuk menghindari deteksi, selain persyaratan masuk (SharePoint) yang membantu menghindari sandboxing.

MirrorBlast memiliki deteksi yang rendah pada VirusTotal karena makro yang sangat ringan yang tertanam dalam file Excel-nya, membuatnya sangat berbahaya bagi organisasi yang bergantung pada keamanan berbasis deteksi dan sandboxing

Selengkapnya: Security Boulevard