News 376 - Naga Cyber Defense

Penipuan phishing LinkedIn mencoba menipu pengguna dengan dokumen palsu

February 19, 2021 by Winnie the Pooh

Peneliti keamanan JB Bowers telah menemukan bahwa penipu menggunakan LinkedIn untuk menargetkan pengguna agar memberikan kata sandi mereka.

Skema ini mencoba mengelabui pengguna yang tidak curiga agar membuka “LinkedIn Private Shared Document”, setelah itu mereka diminta untuk memasukkan kredensial login mereka di halaman LinkedIn palsu.

Setiap pengguna yang menerima pesan yang tidak diminta dari kontak yang tidak dikenal melalui sistem pesan internal LinkedIn harus berhati-hati. Ini terutama benar jika pengguna diminta untuk memasukkan kembali informasi login mereka.

Untuk pengguna yang mungkin tidak sengaja memasukkan informasi login mereka, kontak LinkedIn mereka mungkin juga mulai melihat pesan phishing yang sama.

Adapun mengapa penjahat menargetkan pengguna di LinkedIn, bisa jadi karena pengguna LinkedIn yang sering memiliki pendapatan lebih tinggi dari rata-rata dan dianggap target bernilai lebih tinggi. Atau mungkin karena LinkedIn terhubung ke layanan Microsoft lainnya, seperti Office 365, membahayakan akun LinkedIn dapat menyebabkan lebih banyak pencurian informasi.

Jika Anda, atau siapa pun yang Anda kenal, menerima email phishing dari kontak di LinkedIn, segera beri tahu mereka. Minta mereka mengubah kata sandi dan gunakan panduan ini untuk melaporkan akun yang diretas ke LinkedIn.

Sumber: Tom’s Guide

Trojan baru yang jahat ini mencuri detail login dari Chrome, Edge, dan Outlook

February 19, 2021 by Winnie the Pooh

Tim intelijen ancaman di Cisco Talos telah menemukan kampanye trojan baru yang dapat mencuri kredensial pribadi dari browser web, Microsoft Outlook, dan aplikasi perpesanan instan. Metode serangan dimulai dengan email phishing yang berisi lampiran file HTML berbahaya.

“Metode ini menggunakan pendekatan multi-modular yang dimulai dengan email phishing awal dan dilanjutkan ke muatan akhir,” Vanja Svajcer, peneliti yang bekerja untuk Cisco Talos, menjelaskan. “Musuh di balik kampanye ini kemungkinan besar melakukan ini untuk menghindari deteksi. Tapi itu juga bisa menjadi kelemahan, karena ada banyak peluang bagi defender untuk menghancurkan killchain”.

Penyerang pertama-tama mengirim email dengan baris subjek yang mengklaim terkait dengan bisnis tertentu. Ini akan disertai dengan lampiran RAR yang membuat file dengan ekstensi RAR “r00” dan kemudian ekstensi .chm. File CHM adalah format HTML terkompilasi dan, dalam hal ini, berisi kode JavaScript yang akan memulai proses infeksi.

Jenis trojan yang digunakan dalam kampanye ini dikenal sebagai “Masslogger” dan telah terlihat di alam liar sebelumnya. Masslogger pertama kali dirilis pada April 2020 dan dijual di forum peretasan sebagai cara untuk mencuri kredensial, sebagian besar dari browser tetapi juga dari klien email dan aplikasi perpesanan.

Cisco Talos mengidentifikasi pesan email yang menargetkan Latvia, Lituania, Turki, Bulgaria, Estonia, Rumania, Hongaria, Italia, dan Spanyol, dengan beberapa pesan tertulis dalam bahasa Inggris.

Selengkapnya: Tech Radar | Cisco Talos

Server Windows dan Linux ditargetkan oleh botnet WatchDog baru selama hampir dua tahun

February 19, 2021 by Winnie the Pooh

Karena kenaikan harga perdagangan cryptocurrency baru-baru ini, sebagian besar sistem online saat ini sering berada di bawah serangan botnet penambangan crypto yang berusaha mendapatkan pijakan pada sistem yang tidak aman dan menghasilkan keuntungan bagi aktor siber.

Ancaman terbaru ini adalah botnet bernama WatchDog. Ditemukan oleh Unit42, sebuah divisi keamanan di Palo Alto Networks, botnet penambangan kripto ini telah aktif sejak Januari 2019.

Ditulis dalam bahasa pemrograman Go, para peneliti mengatakan mereka telah melihat WatchDog menginfeksi sistem Windows dan Linux.

Titik masuk untuk serangan mereka adalah aplikasi perusahaan yang sudah ketinggalan zaman. Menurut analisis operasi botnet WatchDog yang diterbitkan pada hari Rabu, Unit 42 mengatakan operator botnet menggunakan 33 eksploitasi berbeda untuk menargetkan 32 kerentanan dalam perangkat lunak seperti:

Drupal
Elasticsearch
Apache Hadoop
Redis
Spring Data Commons
SQL Server
ThinkPHP
Oracle WebLogic
CCTV (Saat ini tidak diketahui apakah targetnya adalah alat CCTV atau jika ada nama lain “cctv” yang bisa digunakan).

Berdasarkan detail yang dapat dipelajari tim Unit42 dengan menganalisis malware WatchDog, peneliti memperkirakan ukuran botnet sekitar 500 hingga 1.000 sistem yang terinfeksi.

Keuntungan diperkirakan mencapai 209 koin Monero, saat ini bernilai sekitar $ 32.000, tetapi angka sebenarnya diyakini jauh lebih tinggi karena peneliti hanya berhasil menganalisis beberapa binary, dan geng WatchDog diperkirakan telah menggunakan lebih banyak alamat Monero untuk mengumpulkan dana penambangan kripto ilegal mereka.

Sumber: ZDNet

Kia Motors America menderita serangan ransomware dengan tebusan $ 20 juta

February 18, 2021 by Winnie the Pooh

Kia Motors America mengalami pemadaman TI nasional yang memengaruhi aplikasi UVO Link seluler, layanan telepon, sistem pembayaran, portal pemilik, dan situs internal yang digunakan oleh dealer.

Saat mengunjungi situs mereka, pengguna akan disambut dengan pesan yang menyatakan bahwa Kia “mengalami gangguan layanan TI yang berdampak pada beberapa jaringan internal”, seperti yang ditunjukkan di bawah ini.

“KMA mengetahui pemadaman TI yang melibatkan sistem internal, dealer dan yang berhubungan dengan pelanggan, termasuk UVO. Kami mohon maaf atas ketidaknyamanan yang terjadi pada pelanggan kami dan sedang bekerja untuk menyelesaikan masalah dan memulihkan operasi bisnis normal secepat mungkin.” klarifikasi dari Kia Motors America.

BleepingComputer memperoleh catatan tebusan yang kami diberitahu dibuat selama dugaan serangan siber Kia Motors America oleh geng ransomware DoppelPaymer.

Dalam catatan tebusan yang dilihat oleh BleepingComputer, para penyerang menyatakan bahwa mereka menyerang Hyundai Motor America, perusahaan induk Kia. Hyundai tampaknya tidak terpengaruh oleh serangan ini.

Catatan tebusan berisi link ke halaman korban pribadi di situs pembayaran DoppelPaymer Tor yang sekali lagi menyatakan targetnya adalah ‘Hyundai Motor America.’

Halaman korban Tor mengatakan bahwa “sejumlah besar” data telah dicuri, atau dieksfiltrasi, dari Kia Motors America dan akan dirilis dalam 2-3 minggu jika perusahaan tidak bernegosiasi dengan pelaku ancaman.

DoppelPaymer dikenal karena mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat dan kemudian memposting bagian di situs kebocoran data mereka untuk lebih menekan korban agar membayar.

Untuk mencegah kebocoran data dan menerima decryptor, DoppelPaymer meminta 404 bitcoin senilai sekitar $ 20 juta. Jika tebusan tidak dibayarkan dalam jangka waktu tertentu, jumlahnya meningkat menjadi 600 bitcoin, atau $ 30 juta.

Kia motor telah memberikan klarifikasi sebagai berikut, dikutip dari Bleepingcomputer :
Kia Motors America, Inc. (“Kia”) saat ini mengalami pemadaman sistem yang diperpanjang. Sistem yang terpengaruh termasuk Portal Pemilik Kia, Aplikasi Seluler UVO, dan portal Web Urusan Konsumen. Kami mohon maaf atas ketidaknyamanan yang dialami pelanggan yang terpengaruh, dan kami sedang berupaya menyelesaikan masalah ini secepat mungkin dengan gangguan minimal pada bisnis kami. Kami juga mengetahui spekulasi online bahwa Kia terkena serangan “ransomware”. Saat ini, kami dapat mengonfirmasi bahwa kami tidak memiliki bukti bahwa Kia atau data Kia apa pun menjadi sasaran serangan “ransomware”.

Source : Bleepingcomputer

Pelanggaran Singtel membahayakan data pelanggan dan mantan karyawan

February 18, 2021 by Winnie the Pooh

Singtel telah mengonfirmasi bahwa data pribadi 129.000 pelanggan, serta informasi keuangan mantan karyawannya, telah dibobol dalam pelanggaran keamanan yang melibatkan sistem berbagi file pihak ketiga.

Detail kartu kredit milik staf klien korporat dan informasi yang terkait dengan 23 perusahaan, termasuk pemasok dan mitra, juga telah bocor dalam insiden tersebut.

Pengumuman pada hari Rabu datang kurang dari seminggu setelah perusahaan telekomunikasi Singapura mengungkapkan “file telah diambil” dalam serangan yang mempengaruhi sistem berbagi file, yang disebut FTA, yang dikembangkan dua dekade lalu oleh Accellion. Singtel mengatakan telah menggunakan perangkat lunak tersebut secara internal dan dengan stakeholders eksternal.

Setelah penyelidikannya, perusahaan telekomunikasi tersebut mengatakan bahwa data pribadi milik 129.000 pelanggan yang dikompromikan berisi nomor identifikasi mereka bersama beberapa data lain yang mencakup nama, tanggal lahir, nomor ponsel, dan alamat fisik.

Rincian rekening bank dari 28 mantan staf Singtel dan rincian kartu kredit dari 45 karyawan klien korporat dengan saluran seluler Singtel juga bocor. Selain itu, “beberapa informasi” dari 23 perusahaan termasuk pemasok, mitra, dan klien korporat telah disusupi.

Selengkapnya: ZDNet

Departemen Kehakiman Menuntut 3 Peretas Korea Utara Atas Serangan Siber Global

February 18, 2021 by Winnie the Pooh

Departemen Kehakiman mengumumkan dakwaan terhadap tiga peretas Korea Utara karena diduga melakukan serangkaian serangan siber yang merusak, pencurian bank, dan pencurian mata uang kripto di seluruh dunia.

Jaksa penuntut mengatakan para terdakwa – Jon Chang Hyok, Kim Il dan Park Jin Hyok – adalah anggota badan intelijen militer Korea Utara yang dikenal sebagai Reconnaissance General Bureau. Mereka menghadapi tuduhan konspirasi untuk melakukan penipuan komputer dan konspirasi untuk melakukan wire dan bank scam.

Menurut dakwaan, ketiga pria itu berusaha mencuri dan memeras lebih dari $ 1,3 miliar uang tunai dan cryptocurrency dari korban mereka.

Surat dakwaan hari Rabu menambahkan dua terdakwa baru, Jon dan Kim, serta lebih banyak korban dari dugaan pencurian dan skema pemerasan mereka.

Demers mengatakan kasus itu menyoroti penggunaan serangan siber dan skema lain oleh pemerintah Korea Utara sebagai sarana untuk mendapatkan uang.

Menurut dakwaan, para terdakwa bertanggung jawab atas beberapa serangan siber paling merusak yang pernah ada, termasuk peretasan Sony Pictures Entertainment, pencurian siber sebesar $ 81 juta dari Bank Bangladesh, dan serangan WannaCry 2.0.

Selengkapnya: NPR

Malware M1 MacBook pertama telah tiba – inilah yang perlu Anda ketahui

February 18, 2021 by Winnie the Pooh

Malware asli pertama dari MacBook bertenaga M1 telah ditemukan di alam liar, hanya beberapa bulan setelah kedatangan perangkat Apple Silicon pertama.

Berita tentang malware M1 pertama datang dari mantan peneliti NSA dan peneliti keamanan Mac lama Patrick Wardle, yang telah menemukan keberadaan GoSearch22.app, versi asli M1 dari virus Pirrit yang sudah lama ada.

“Hari ini kami mengonfirmasi bahwa musuh berbahaya memang membuat aplikasi multi-arsitektur, sehingga kode mereka akan berjalan secara native di sistem M1,” kata Wardle dalam postingan blog. “Aplikasi GoSearch22 yang berbahaya mungkin merupakan contoh pertama dari kode asli yang kompatibel dengan M1”.

Wardle mencatat bahwa adware ditandatangani dengan ID pengembang Apple, akun berbayar yang memungkinkan Apple melacak semua pengembang Mac dan iOS, pada 23 November.

Memiliki ID pengembang juga berarti membuat pengguna yang mengunduh malware tidak akan memicu Gatekeeper di macOS, yang memberi tahu pengguna saat aplikasi yang akan mereka unduh mungkin tidak aman.

Terlebih lagi, Wardle mengatakan bahwa sejumlah sistem antivirus saat ini yang dapat mendeteksi versi Intel dari virus Pirrit gagal mengidentifikasi versi M1.

Selengkapnya: Tech Radar

Peneliti Membuka Kedok Peretas di Balik Pembuat Malware APOMacroSploit

February 18, 2021 by Winnie the Pooh

Peneliti keamanan siber telah mengungkapkan jenis baru malware Office yang didistribusikan sebagai bagian dari kampanye email berbahaya yang menargetkan lebih dari 80 pelanggan di seluruh dunia dalam upaya untuk mengontrol mesin korban dan mencuri informasi dari jarak jauh.

Alat tersebut – dijuluki “APOMacroSploit” – adalah generator eksploitasi makro yang memungkinkan pengguna membuat dokumen Excel yang mampu melewati perangkat lunak antivirus, Windows Antimalware Scan Interface (AMSI), dan bahkan Gmail dan pendeteksi phishing berbasis email lainnya.

APOMacroSploit diyakini sebagai karya dua pelaku ancaman berbasis di Prancis “Apocaliptique” dan “Nitrix,” yang diperkirakan telah menghasilkan setidaknya $ 5.000 dalam waktu kurang dari dua bulan dengan menjual produk di HackForums.

Serangan itu terlihat pertama kali pada akhir November 2020, menurut perusahaan keamanan siber Check Point.

Dalam salah satu serangan, malware – Delphi Crypter diikuti oleh Trojan akses jarak jauh tahap kedua yang disebut BitRAT – ditemukan di-host di situs Bulgaria yang melayani peralatan medis dan persediaan, menyiratkan bahwa penyerang melanggar situs web untuk menyimpan file executable berbahaya.

Penyelidikan lebih lanjut oleh Check Point melibatkan pengejaran jejak digital yang ditinggalkan oleh dua operator – termasuk dua profil pemain League of Legends – yang pada akhirnya mengarahkan para peneliti untuk mengungkap identitas asli Nitrix, yang mengungkapkan nama aslinya di Twitter ketika dia memposting gambar sebuah tiket yang dia beli untuk konser pada Desember 2014.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings