Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Melindungi Terhadap Penggunaan Malicious Remote Monitoring dan Management Software

by

Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Multi-State Information Sharing and Analysis Center (MS-ISAC) (selanjutnya disebut sebgai “organisasi penulis”) merilis bersama Cybersecurity Advirsoty (CSA) untuk memperingatkan pembela jaringan tentang penggunaan berbahaya perankat lunak RMM yang sah. Secara khusus, pelaku kejahatan dunia maya mengirimkan email phishing yang mengarah ke pengunduhan eprangkat lunka RMM ayng sah – ScreenConnect (sekarang ConnectWise Control) dan AnyDesk – yang digunakan pelaku dalam penipuan pengembalian uang tuntuk mencuri uang dari rekening bank korban.

Menggunakan executable portabel perangkat lunak RMM menyediakan cara bagi pelaku untuk membuat akses pengguna lokal tanpa memerlukan hak istimewa administratif dan instalasi perangkat lunak lengkap—secara efektif melewati kontrol perangkat lunak umum dan asumsi manajemen risiko.

Organisasi penulis sangat menganjurkan pembela jaringan untuk meninjau bagian Indikator Kompromi (IOC) dan Mitigasi dalam CSA ini dan menerapkan rekomendasi untuk melindungi perangkat lunak RMM yang sah dari penggunaan berbahaya.

Berita ini dikembangkan oleh CISA, NSA, dan MS-ISAC sebagai kelanjutan dari misi kemanan siber masing-masing, termasuk tanggungjawab mereka untuk mengembangkan dan mengeluarkan spesisfikasi dan mitigasi kemanan siber

selengkapnya : cisa.gov

Target Mengatakan Data yang Dijual di Dark Web ‘outdated’, Kemungkinan ‘dirilis oleh Pihak Ketiga’

by Leave a Comment

Menyusul posting dugaan basis data informasi pelanggan di forum peretas, Target menyangkal bahwa data yang dijual di web gelap adalah terkini dan mengatakan bahwa informasi itu tidak diambil langsung dari sistemnya.

Peretas mengklaim di pos bahwa basis data mencakup informasi tentang pembelian pelanggan dari apotek dan informasi tentang Kartu Merah – kartu dari raksasa ritel yang menawarkan diskon dan manfaat kepada pelanggan.

Sebuah laporan dari Pusat Sumber Daya Pencurian Identitas yang diterbitkan minggu ini menemukan bahwa 1.802 perusahaan AS melaporkan kebocoran data pada tahun 2022 setelah 1.862 dilaporkan pada tahun sebelumnya.

Para peneliti menemukan bahwa lebih dari 422 juta orang telah membocorkan informasi mereka tahun lalu dan 1.143 pelanggaran melibatkan nomor Jaminan Sosial penuh orang.

CEO Identity Theft Resource Center Eva Velasquez mengatakan angka tersebut hanya perkiraan karena pemberitahuan pelanggaran data semakin dikeluarkan dengan informasi yang lebih sedikit.

sumber : therecord

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

by

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow
The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

by

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

Kampanye Masif Menggunakan Situs WordPress yang Diretas sebagai Platform untuk Jaringan Iklan Black Hat

by

Seringkali penyerang mendaftarkan domain baru untuk menghosting malware mereka. Dalam banyak kasus, domain baru dikaitkan dengan kampanye malware tertentu.

Dalam postingan blognya, penulis bersama rekannya Ben Martin, akan meninjau bagaimana perilaku wave terbaru untuk domain violetlovelines, bagaimana kampanye telah berkembang dalam beberapa bulan terakhir, dan cara menghapus malware dari situs web korban.

Jenis Suntikan
Pada situs web yang terinfeksi, ditemukan dua jenis injeksi violetlovelines[.]com yang umum yaitu injeksi tag skrip sederhana (subdomain dan nama file dapat bervariasi) dan dan injeksi yang disamarkan (JavaScript) yang memanfaatkan fungsi fromCharCode.

Rantai Pengalihan dan Jaringan Iklan
Beberapa bulan terakhir, kampanye malware ini secara bertahap beralih dari halaman penipuan pemberitahuan push CAPTCHA palsu yang terkenal ke jaringan iklan ’black hat’ yang berganti-ganti antara pengalihan ke sah, samar, dan murni berbahaya situs web.

Berbagai level untuk injeksi skrip, TDS (Sistem Pengarahan Lalu Lintas), rantai pengalihan dan jaringan iklan, diantaranya yaitu tingkat pertama – skrip yang disuntikkan, tingkat kedua – TDS pendahuluan, tingkat ketiga – jaringan iklan/TDS.

TDS berfungsi sebagai Jaringan Iklan untuk situs WordPress yang terinfeksi
TDS tampaknya menggabungkan penawaran dari berbagai aktor jahat dan mitra iklan yang lebih sah dan menggunakan situs WordPress yang diretas sebagai inventaris untuk penempatan/pengalihan iklan.

Pemasaran samar, pembaruan browser palsu, penipuan dukungan teknis, unduhan drive-by berbahaya dari Discord, malware pencuri, dan penjelajahan aman Google, merupakan upaya-upaya masif dari penyerang untuk melancarkan aksinya.

Langkah-langkah Perbaikan dan Pembersihan
Pemilik situs web WordPress dan pengguna melaporkan bahwa situs web dialihkan melalui violetlovelines[.]com dan/atau ke lokasi tak terduga lainnya, maka pengguna dapat memindainya melalui malware SiteCheck dan pemeriksa keamanan.

Langkah untuk perbaikan dan pembersihan yang dapat dilakukan adalah menghapus malware yang disuntikkan, perbarui tema, plugin, dan perangkat lunak pihak ketiga, mengubah kata sandi situs web, dan hapus backdoors

Selengkapnya: SUCURI

Kebocoran Source Code Layanan Yandex

by

beberapa jam yang lalu disebutkan di Twitter bahwa kode sumber milik raksasa Rusia Yandex telah bocor di komunitas online bernama BreachForums. Dalam posting ini saya akan membagikan hasil penggalian teman saya ke arsip tersebut.

Detail penting tentang torrent:

  • Itu hanya konten repositori tanpa yang lain.
  • Semua file bertanggal kembali ke 24 Februari 2022.
  • Itu tidak mengandung riwayat git, kebanyakan hanya kode
  • Tidak ada binari pra-bangun untuk sebagian besar perangkat lunak dengan hanya sedikit pengecualian
  • Tidak ada model ML terlatih dengan beberapa pengecualian

Implikasi keamanan.

Karena bocoran ini hanya berisi konten repositori git, tidak ada data pribadi. Setidaknya ada beberapa kunci API, tetapi kemungkinan besar hanya digunakan untuk pengujian penerapan saja.

DOJ, FBI melumpuhkan ransomware Hive setelah menghabiskan waktu berbulan-bulan di dalam sistem geng

by

FBI dan Departemen Kehakiman membongkar infrastruktur grup ransomware Hive pada hari Kamis, mengumumkan bahwa agen mereka telah berada di dalam sistem grup tersebut sejak Juli 2022.

Direktur FBI Christopher Wray mengatakan agen memperoleh “akses rahasia dan terus-menerus” ke panel kontrol yang digunakan oleh operator Hive tujuh bulan lalu, memungkinkan mereka untuk mengidentifikasi korban dan menawarkan kunci dekripsi kepada lebih dari 1.300 dari mereka di seluruh dunia dan mencegah setidaknya $130 juta masuk. pembayaran tebusan.

Badan-badan itu mengatakan Hive telah menargetkan 1.500 korban di lebih dari 80 negara sejak muncul pada Juni 2021, dan Jaksa Agung Merrick Garland membuat daftar lusinan contoh spesifik di mana mereka dapat membantu korban menangani serangan ransomware, mencatat afinitas kelompok tersebut untuk menargetkan sekolah. dan rumah sakit selama pandemi COVID-19.

Grup ini menghasilkan setidaknya $100 juta pada tahun pertama operasinya.

Garland mengatakan mereka akhirnya memutuskan untuk mengganggu sistem grup setelah menemukan server komputer yang berlokasi di Los Angeles yang digunakan oleh aktor Hive untuk menyimpan informasi penting. Mereka menyita server pada Rabu malam dan menutup situs darknet Hive. Pemberitahuan penyitaan dari beberapa lembaga AS dan internasional kini muncul di situs kebocoran grup.

Dia mencatat bahwa selama berada di sistem Hive, mereka menemukan bahwa hanya sekitar 20% korban yang melaporkan insiden ransomware mereka ke penegak hukum, menyoroti masalah terus-menerus dari korban yang tidak melapor dan malah membayar uang tebusan.

Europol mengatakan bahwa kesuksesan Hive berakar pada model “ransomware-as-a-service”, di mana afiliasi menerima 80% uang tebusan dan pengembang ransomware menerima 20% lainnya.

Mereka mencatat bahwa pertemuan operasional diadakan di Portugal dan Belanda untuk mendukung operasi – menyediakan tautan ke “data yang tersedia untuk berbagai kasus kriminal di dalam dan di luar UE, dan mendukung penyelidikan melalui cryptocurrency, malware, dekripsi, dan analisis forensik.”

Wray mencatat bahwa pekerjaan FBI dalam kasus ini istimewa karena mereka tidak pernah memiliki akses semacam ini ke backend grup ransomware.

sumber : therecord

Chip Keamanan MacBook Menjadi Neraka Pasar Komputer Bekas

by

Vice mengatakan bahwa masalahnya terletak pada chip keamanan T2 Macbook (atau chip seri M pada model yang lebih baru, yang memiliki fitur bawaan T2), yang diluncurkan kembali pada tahun 2018. Fitur keamanan chip termasuk mengenkripsi data yang disimpan dan data biometrik dari TouchID. Masalahnya adalah rekondisi tidak dapat masuk ke laptop dengan chip T2 bahkan setelah reset pabrik kecuali pemilik aslinya mematikan “Find My” atau menggunakan Erase Assistant sebelum menyalakan MacBook, karena Kunci Aktivasi chip. Sebaliknya, laptop ini, yang bisa bernilai ribuan dolar, dijual untuk barang bekas.

Kunci aktivasi chip T2 dirancang, sebagian, untuk membantu mencegah pencurian, oleh karena itu terkait dengan fitur “Find My”.

Tapi sekarang pasar barang bekas yang sah telah terperangkap dalam baku tembak, karena pemilik Mac dengan polos menyerahkan aktivasi MacBook yang terkunci yang akan menjadi batu bata setelah meninggalkan tangan mereka.Chip T2 terkandung di dalam beberapa model Macbook dan beberapa iMac, menurut Apple. Di dunia yang ideal, pengguna akan mengatur ulang pabrik komputer mereka sebelum dikirim ke pembaru, tetapi sebaliknya, Bumstead dan rekan-rekannya terpaksa menerima pengurangan keuntungan.

sumber : gizmodo