News 291 - Naga Cyber Defense

Serangan phishing baru ini ‘lebih licik dari biasanya’, Microsoft memperingatkan

August 3, 2021 by Winnie the Pooh

Tim Intelijen Keamanan Microsoft telah mengeluarkan peringatan kepada pengguna dan admin Office 365 untuk waspada terhadap email phishing “licik” dengan alamat pengirim palsu.

Microsoft mengeluarkan peringatan setelah mengamati kampanye aktif yang menargetkan organisasi Office 365 dengan email yang meyakinkan dan beberapa teknik untuk melewati deteksi phishing, termasuk halaman phishing Office 365, hosting aplikasi web cloud Google, dan situs SharePoint yang disusupi yang mendesak korban untuk mengetikkan kredensial.

Phishing terus menjadi masalah rumit bagi bisnis untuk dibasmi, membutuhkan pelatihan kesadaran phishing yang diperbarui secara berkala dan solusi teknis, seperti otentikasi multi-faktor di semua akun – yang sangat direkomendasikan oleh Microsoft dan CISA.

Grup phishing menggunakan Microsoft SharePoint dalam nama tampilan untuk menarik korban agar mengklik tautan. Email tersebut berpura-pura sebagai permintaan “berbagi file” untuk mengakses “Laporan Staf”, “Bonus”, “Buku Harga”, dan konten lain yang dihosting di spreadsheet Excel yang seharusnya.

Sementara logo Microsoft yang meyakinkan berserakan di seluruh email, URL phishing utama bergantung pada sumber daya penyimpanan Google yang mengarahkan korban ke domain Google App Engine AppSpot – tempat untuk meng-host aplikasi web.

URL kedua disematkan dalam pengaturan pemberitahuan yang menautkan korban ke situs SharePoint yang disusupi. Kedua URL memerlukan masuk untuk membuka halaman terakhir, memungkinkan serangan melewati sandbox.

Selengkapnya: ZDNet

Google akan memblokir login di perangkat Android lama mulai September

August 2, 2021 by Winnie the Pooh

Google mengirim email kepada pengguna Android untuk memberi tahu mereka bahwa, mulai akhir September, mereka tidak lagi dapat masuk ke akun Google mereka di perangkat yang menjalankan Android 2.3.7 (Gingerbread) dan yang lebih rendah.

“Sebagai bagian dari upaya berkelanjutan kami untuk menjaga keamanan pengguna kami, Google tidak akan lagi mengizinkan login di perangkat Android yang menjalankan Android 2.3.7 atau lebih rendah mulai 27 September 2021,” jelas Zak Pollack, Manajer Komunitas Bantuan Android.

“Jika Anda masuk ke perangkat setelah 27 September, Anda mungkin mendapatkan kesalahan nama pengguna atau sandi saat mencoba menggunakan produk dan layanan Google seperti Gmail, YouTube, dan Maps.”

Pengguna disarankan untuk memperbarui perangkat mereka ke versi Android yang lebih baru (3.0 atau lebih baru) sesegera mungkin sehingga mereka tidak akan kehilangan akses ke aplikasi dan layanan Google.

Mereka yang tidak dapat memperbarui ke versi Android yang lebih baru dapat mencoba masuk ke akun Google mereka menggunakan browser web yang akan memberi mereka cara alternatif untuk menggunakan layanan Google pada perangkat Android yang tidak didukung.

Selengkapnya: Bleeping Computer

Sysadmin: Mengapa tidak memverifikasi bahwa tidak ada pintu belakang di setiap program yang Anda instal, dan dengan demikian menghindari drama dunia maya?

August 2, 2021 by Winnie the Pooh

Setengah dari serangan rantai pasokan yang dilaporkan secara publik dilakukan oleh “kelompok APT terkenal”, menurut analisis oleh badan infosec UE ENISA, yang memperingatkan serangan digital semacam itu perlu mendorong “metode perlindungan baru.”

Juhan Lepassaar, direktur eksekutif ENISA, mengatakan dalam sebuah pernyataan: “Karena efek berjenjang dari serangan rantai pasokan, pelaku ancaman dapat menyebabkan kerusakan luas yang mempengaruhi bisnis dan pelanggan mereka sekaligus. Dengan praktik yang baik dan tindakan terkoordinasi di tingkat UE, Negara-negara Anggota akan dapat mencapai tingkat kemampuan yang sama untuk meningkatkan tingkat keamanan siber yang sama di UE.”

Studi open-source dimaksudkan sebagai primer pada serangan rantai pasokan, yang biasanya terdiri dari penargetan pemasok perangkat lunak B2B yang memiliki daftar pelanggan yang luas. Setelah pemasok dikompromikan, penyerang kemudian bergerak secara lateral ke jaringan pelanggan mereka, biasanya untuk mencuri data dan memeras para korban.

“Karakteristik tambahan dari serangan rantai pasokan melibatkan kompleksitas dalam menanganinya dan upaya yang diperlukan untuk mengurangi dan mengatasi serangan tersebut,” kata ENISA dalam laporannya.

ENISA mengkritik pemasok karena tidak mengetahui atau tidak mengakui di depan umum bagaimana mereka dikompromikan.

Laporan tersebut mencantumkan insiden rantai pasokan yang dipelajari oleh ENISA. Selain yang terkenal yang melibatkan Accellion, SolarWinds, dan Kaseya, itu juga mencantumkan ProjectWeb Fujitsu, emulator Android Bignox Noxplayer, dan banyak lagi.

Selengkapnya: The Register

HACKERS BERBAHASA RUSIA DITANGKAP DI POLANDIA ATAS SERANGAN JACKPOTTING ATM

July 31, 2021 by Winnie the Pooh

Dengan dukungan Europol, pihak berwenang Polandia telah menangkap dua orang yang melakukan apa yang disebut serangan ‘Kotak Hitam’ terhadap ATM, di mana para penjahat menghubungkan perangkat elektronik ke mesin ATM dan memaksanya dari jarak jauh untuk mengeluarkan semua uangnya.

Kedua tersangka – keduanya warga negara Belarusia, ditangkap di Warsawa pada 17 Juli.

Penyelidikan menemukan bahwa para penjahat ini melakukan lusinan serangan ATM di setidaknya tujuh negara Eropa, mencuri uang tunai sekitar €230.000. Para penjahat selalu mengincar merek dan model ATM yang sama.

Para penjahat akan mendapatkan akses ke kabel ATM dengan mengebor lubang atau melelehkan bagian-bagiannya untuk menghubungkan mesin secara fisik ke laptop yang kemudian digunakan untuk mengirim perintah relai yang menyebabkan mesin mengeluarkan semua uangnya.

selengkapnya : www.europol.europa.eu

Crimea “manifesto” menyebarkan VBA Rat menggunakan vektor serangan ganda

July 31, 2021 by Winnie the Pooh

Pada 21 Juli 2021, kami mengidentifikasi dokumen mencurigakan bernama “Манифест.docx” (“Manifest.docx”) yang mengunduh dan menjalankan dua template: satu berkemampuan makro dan yang lainnya adalah objek html yang berisi eksploitasi Internet Explorer.

Sementara kedua teknik mengandalkan injeksi template untuk menjatuhkan Trojan Akses Jarak Jauh berfitur lengkap, eksploitasi IE (CVE-2021-26411) yang sebelumnya digunakan oleh Lazarus APT adalah penemuan yang tidak biasa. Penyerang mungkin ingin menggabungkan teknik rekayasa sosial dengan eksploitasi yang diketahui untuk memaksimalkan peluang mereka menginfeksi target.

Kami juga menemukan panel yang digunakan oleh aktor ancaman yang dijuluki “Ekipa” yang dapat diterjemahkan menjadi “tim.” Korban dilacak dan statistik mencakup apakah eksploitasi IE berhasil atau tidak.

Kami tidak dapat menentukan siapa yang mungkin berada di balik serangan ini berdasarkan teknik saja, tetapi dokumen umpan yang ditampilkan kepada para korban mungkin memberikan beberapa petunjuk. Ini berisi pernyataan dari kelompok yang berhubungan dengan Andrey Sergeevich Portyko dan menentang kebijakan Putin di semenanjung Krimea.

selengkapnya : blog.malwarebytes.com

Ransomware ‘Death Kitty’ Terkait dengan Serangan Pelabuhan Afrika Selatan

July 31, 2021 by Winnie the Pooh

Perusahaan pelabuhan dan kereta api Afrika Selatan tampaknya telah menjadi sasaran dengan jenis ransomware yang dikaitkan oleh para pakar keamanan siber dengan serangkaian pelanggaran data tingkat tinggi yang kemungkinan dilakukan oleh geng-geng kejahatan dari Eropa Timur dan Rusia.

Peretas meninggalkan catatan tebusan di komputer Transnet SOC Ltd., dilihat oleh Bloomberg News, mengklaim bahwa mereka mengenkripsi file perusahaan, termasuk satu terabyte data pribadi, laporan keuangan, dan dokumen lainnya. Catatan itu menginstruksikan perusahaan untuk mengunjungi portal obrolan di web gelap untuk memasuki negosiasi.

Penyelidikan atas motif serangan itu masih berlangsung, kata Menteri Perusahaan Umum Pravin Gordhan dalam sebuah pernyataan pada hari Rabu. Juru bicara Transnet Ayanda Shezi merujuk pada pernyataan menteri dan menolak berkomentar lebih lanjut.

Serangan siber pada 22 Juli menyebabkan perusahaan mengumumkan force majeure di terminal peti kemas dan beralih ke pemrosesan kargo secara manual. Pelabuhan Durban Transnet sendiri menangani lebih dari setengah pengiriman nasional dan merupakan pintu gerbang utama bagi eksportir komoditas lainnya termasuk Republik Demokratik Kongo dan Zambia.

selengkapnya: www.bloomberg.com

Malware Android baru merekam ponsel cerdas melalui VNC untuk mencuri kata sandi

July 29, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan bagian baru dari malware Android yang menggunakan teknologi VNC untuk merekam dan menyiarkan aktivitas smartphone korban, memungkinkan pelaku ancaman untuk mengumpulkan penekanan keyboard dan kata sandi aplikasi.

Pertama kali ditemukan pada Maret 2021 oleh perusahaan keamanan Belanda ThreatFabric, malware baru ini, bernama Vultur, adalah penyimpangan dari jenis malware Android lainnya yang biasanya mengandalkan layar login palsu yang mengambang di atas aplikasi yang sah untuk mengumpulkan kredensial korban.

Sebagai gantinya, Vultur membuka server VNC di ponsel yang terinfeksi, dan menyiarkan tangkapan layar ke server perintah dan kontrol penyerang, tempat operator Vultur mengekstrak kata sandi untuk aplikasi yang diinginkan.

selengkapnya : therecord.media

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings