Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Software Bajakan Mengganggu Perusahaan Utilitas Ukraina

by

Seorang karyawan perusahaan utilitas Ukraina mengunduh dan menginstal versi Microsoft Office yang tidak berlisensi dari situs web torrent yang mengakibatkan dua Trojan akses jarak jauh menginfeksi sistem perusahaan selama dua bulan.

Tim Tanggap Darurat Komputer Ukraina mengatakan versi bajakan dari Office suite berisi Trojan akses jarak jauh DarkCrystal dan alat administrasi jarak jauh DWAgent. Kedua aplikasi tersebut menyediakan akses pihak ketiga yang tidak sah ke jaringan perusahaan antara 19 Januari dan 22 Maret.

Responden pertama cybersecurity mengaitkan Trojans dengan grup yang dilacaknya sebagai UAC-0145. CERT Ukraina sebelumnya mengaitkan penggunaan DarkCrystal RAT dengan grup Sandworm, nama Barat yang populer untuk unit peretas intelijen militer Rusia yang bertanggung jawab atas serangkaian serangan komputer yang merusak terhadap Ukraina. Kyiv melacak Sandworm sebagai UAC-0113 (lihat: Russian Sandworm APT Menambahkan Wiper Baru ke Persenjataannya).

CERT-UA mengatakan perangkat lunak torrent adalah jalur umum untuk infeksi. “Selain produk perangkat lunak Microsoft Office, ada kasus infeksi yang diketahui, termasuk saat menginstal sistem operasi yang diunduh dari sumber tidak resmi, serta program lain seperti pemindai, alat pemulihan kata sandi, dll.”

Peretas negara Rusia telah menyerang Ukraina selama hampir satu dekade sekarang dengan peningkatan yang mencolok selama empat bulan pertama tahun 2022, sekitar waktu Moskow memulai perang penaklukan melawan Kyiv. Dimensi dunia maya dari konflik tersebut telah gagal terwujud ke dalam perang dunia maya yang diprediksi banyak orang, tetapi peretasan terus terjadi. Microsoft baru-baru ini memperkirakan peretas Rusia akan meningkatkan penggunaan ransomware, mencari akses awal ke sistem, dan melakukan operasi pengaruh tambahan (lihat: Rusia Mungkin Menghidupkan Kembali Operasi Cyber Menjelang Serangan Musim Semi).

sumber : govinfosecurity.com

EKSKLUSIF: Kejaksaan UE menyelidiki ‘Predatorgate’ Yunani

by

Beberapa sumber mengonfirmasi kepada EURACTIV bahwa atas permintaan dari MEP Stelios Kouloglou, anggota Komite PEGA Parlemen Eropa, komite penyelidikan yang menyelidiki penggunaan spyware ilegal di seluruh blok, EPPO telah meluncurkan penyelidikan terhadap beberapa aspek skandal tersebut.

Penyelidikan Komite PEGA berfokus pada ekspor ilegal spyware Predator dari Yunani ke negara-negara di Asia, Afrika, dan tempat lain, serta tuduhan bahwa perusahaan yang terlibat dalam apa yang disebut Predatorgate terlibat dalam penghindaran pajak.

Dihubungi oleh EURACTIV, juru bicara EPPO menolak untuk mengonfirmasi atau menyangkal bahwa ada penyelidikan yang sedang berlangsung.

“Sebagai aturan umum, kami tidak mengomentari penyelidikan yang sedang berlangsung, kami juga tidak secara terbuka mengonfirmasi kasus mana yang sedang kami tangani. Ini agar tidak membahayakan prosedur yang sedang berlangsung dan hasilnya, ”kata juru bicara itu kepada EURACTIV.

“Setiap kali kami dapat mengatakan sesuatu tentang investigasi kami, kami akan melakukannya secara proaktif,” tambah juru bicara itu.

Dua sumber berbeda mengatakan kepada EURACTIV bahwa jaksa Uni Eropa, dalam beberapa pekan terakhir, telah menerima informasi spesifik dari jurnalis Yunani yang menyelidiki skandal penyadapan.

“Orang-orang yang memberikan kesaksian kepada jaksa mengajukan bukti yang membuktikan bahwa administrasi (Perdana Menteri) Kyriakos Mitsotakis memfasilitasi proliferasi spyware Predator Intellexa ke negara-negara seperti Arab Saudi, Sudan, Madagaskar, dan Bangladesh dengan memberikan lisensi ekspor melalui Kementerian Yunani. Urusan Luar Negeri, ”kata salah satu sumber yang dekat dengan masalah itu.

Selengkapnya: Euractiv

Joker DPR dan Perang Informasi

by Leave a Comment

Recorded Future’s Insikt Group meneliti kelompok ancaman peretas pro-Rusia “Joker DPR”, yang menjadi lebih menonjol selama invasi Rusia yang sedang berlangsung ke Ukraina.

Kelompok ini terkenal dengan dugaan aktivitas dunia maya, yang telah menargetkan dan mempublikasikan informasi sensitif tentang sumber daya web militer dan pemerintah Ukraina, dan untuk kehadiran media sosialnya, yang telah dieksploitasi untuk menyebarkan propaganda pro-Rusia, anti-Ukraina.

Hingga saat ini, klaim Joker DPR yang paling signifikan adalah dugaan pelanggaran DELTA, sistem manajemen medan perang (BMS) yang terbukti efektif untuk pertahanan nasional Ukraina.

Dugaan pelanggaran Joker DPR tidak mungkin seluas yang diklaim oleh kelompok ancaman. Namun demikian, itu adalah bagian dari semakin banyak bukti yang menunjukkan bahwa Joker DPR sengaja mendukung perang informasi Rusia di Ukraina.

Joker DPR terkenal menyebarkan propaganda pro-Rusia, anti-Ukraina. Di sini kelompok ancaman mengolok-olok kematian seorang pejuang pro-Ukraina di Donbass.

Berdasarkan keselarasan kegiatan Joker DPR dengan tujuan operasi pengaruh Rusia di Ukraina — khususnya, merongrong dukungan untuk Angkatan Bersenjata Ukraina (AFU) dan pemerintah Ukraina — kemungkinan besar kegiatan Joker DPR diarahkan untuk memperkuat operasi informasi Rusia di Ukraina, mungkin dengan koordinasi negara Rusia.

Joker DPR telah menumbuhkan kepribadian yang canggih. Meskipun dicirikan sebagai individu dalam komunikasinya, kemungkinan besar Joker DPR adalah kelompok ancaman yang bergantung pada infrastruktur manusia terkoordinasi dari warga Ukraina yang bersimpati dengan Rusia dan aktor ancaman yang berpikiran sama untuk mengumpulkan informasi sensitif yang dipublikasikan kelompok tersebut.

Selengkapnya: Recorded Future

Cara lama: BabLock, ransomware baru yang diam-diam menjelajahi Eropa, Timur Tengah, dan Asia

by

Pada pertengahan Januari 2023, tim Digital Forensics and Incident Response Group-IB yang berbasis di Amsterdam dipanggil untuk menyelidiki salah satu serangan pasca-liburan Tahun Baru terhadap perusahaan sektor industri di Eropa.

Selama penyelidikan, para ahli Group-IB menetapkan bahwa korban telah dienkripsi dengan jenis ransomware yang sebelumnya tidak dikenal. Ketegangan, pertama kali ditemukan oleh peneliti Group-IB pada Januari 2023, diberi nama kode BabLock, karena versinya untuk Linux dan ESXi memiliki kesamaan dengan ransomware Babuk yang bocor.

Terlepas dari kesamaan kecil ini, grup ini memiliki modus operandi yang sangat berbeda dan ransomware canggih khusus untuk Windows. Selain itu, geng BabLock (juga dilacak dengan nama “Rorschach” oleh CheckPoint), tidak seperti kebanyakan “rekan industri”, tidak menggunakan Situs Kebocoran Data (DLS) dan berkomunikasi dengan korbannya melalui email.

Tidak adanya DLS, bersama dengan permintaan tebusan yang relatif sederhana mulai dari 50.000 hingga 1.000.000 USD, memungkinkan grup untuk beroperasi secara diam-diam dan tetap berada di bawah radar peneliti keamanan siber. Strain tersebut telah aktif setidaknya sejak Juni 2022, ketika versi ESXi yang paling awal diketahui dirilis. Menariknya, semua modul ransomware BabLock untuk Windows yang ditemukan oleh peneliti Group-IB dikompilasi pada tahun 2021, menurut stempel waktu.

Selain Eropa, kelompok tersebut diduga melakukan serangan di Asia dan Timur Tengah, berdasarkan sampel BabLock yang diserahkan ke VirusTotal. Khususnya, grup tersebut tidak mengenkripsi perangkat yang menggunakan bahasa Rusia dan bahasa lain yang digunakan di ruang pasca-Soviet.

Artefak yang dikumpulkan selama keterlibatan respons insiden di Eropa menyarankan BabLock menggunakan taktik canggih seperti eksploitasi CVE, pemuatan samping DLL serta anti-analisis kompleks dan teknik penghindaran deteksi.

Selengkapnya: Group IB

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

by

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

    Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

  • kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
  • Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
  • Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
  • Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
  • Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
  • Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

by

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Grafik kemampuan Rilide (Trustwave)

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Penegakan Hukum Internasional Merebut Pasar Web Gelap

by

Badan penegak hukum internasional telah menyita pasar web gelap yang populer dengan penjahat siber, menurut pemberitahuan yang diposting ke situs tersebut pada hari Selasa.

Sebuah spanduk terpampang di situs Genesis Market mengatakan domain milik organisasi telah disita oleh FBI. Logo organisasi polisi Eropa, Kanada, dan Australia lainnya juga terpampang di seluruh situs, bersama dengan perusahaan keamanan siber Qintel.

Badan Kejahatan Nasional Inggris memberikan sebuah penegasan bahwa pihaknya berpartisipasi dalam operasi penegakan hukum internasional yang menargetkan penjahat siber. Belum ada tanggapan lagi terkait pengumuman yang direncanakan pada Selasa.

Hingga saat ini Reuters belum dapat menemukan detail kontak untuk administrator Genesis Market.

Seorang analis perusahaan keamanan siber Inggris, Louise Ferrett, mengatakan bahwa Genesis berspesialisasi dalam penjualan produk digital, terutama “sidik jari peramban” yang diambil dari komputer yang terinfeksi perangkat lunak berbahaya.

Lebih lanjut, karena sidik jari tersebut sering menyertakan kredensial, cookie, alamat protokol internet, dan detail browser atau sistem operasi lainnya, mereka dapat digunakan oleh penjahat untuk melewati solusi anti-penipuan seperti autentikasi multi-faktor atau sidik jari perangkat, menurutnya

Selengkapnya: Reuters

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

by

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory