News 431 - Naga Cyber Defense

Lebih dari 300 ribu akun Spotify diretas dalam serangan credential stuffing

November 24, 2020 by Winnie the Pooh

Peretas telah mencoba untuk mendapatkan akses ke akun Spotify menggunakan database 380 juta data dengan kredensial login dan informasi pribadi yang dikumpulkan dari berbagai sumber.

Sebuah laporan baru yang merinci bagaimana database yang berisi lebih dari 380 juta data, termasuk kredensial login, secara aktif digunakan untuk meretas akun Spotify dapat menjelaskan pelanggaran akun ini.

Serangan umum yang digunakan untuk meretas akun disebut serangan credential stuffing, yaitu ketika pelaku ancaman menggunakan kumpulan besar kombinasi nama pengguna / sandi yang bocor dalam pelanggaran keamanan sebelumnya untuk mendapatkan akses ke akun pengguna di platform online lainnya.

Hari ini, VPNMentor merilis laporan tentang database yang terekspos di Internet yang berisi 300 juta data kombinasi nama pengguna dan kata sandi yang digunakan dalam serangan isian kredensial terhadap Spotify.

Setiap data dalam database ini berisi nama login (alamat email), kata sandi, dan apakah kredensial berhasil masuk ke akun Spotify, seperti yang ditunjukkan di bawah ini.

Tidak diketahui bagaimana 300 juta data ini dikumpulkan, tetapi kemungkinan melalui pelanggaran data atau “koleksi” kredensial yang besar yang biasanya dirilis oleh pelaku ancaman secara gratis.

Para peneliti percaya bahwa 300 juta data yang terdaftar dalam database memungkinkan penyerang menembus 300.000 hingga 350.000 akun Spotify.

Sumber: Bleeping Computer

Malware membuat toko online palsu di atas situs WordPress yang diretas

November 24, 2020 by Winnie the Pooh

Geng kejahatan siber baru terlihat mengambil alih situs WordPress yang rentan untuk memasang toko e-commerce tersembunyi dengan tujuan membajak peringkat dan reputasi search engine situs asli serta mempromosikan penipuan online.

Serangan tersebut ditemukan awal bulan ini dengan menargetkan honeypot WordPress yang disiapkan dan dikelola oleh Larry Cashdollar, seorang peneliti keamanan untuk tim keamanan Akamai.

Para penyerang memanfaatkan serangan brute-force untuk mendapatkan akses ke akun admin situs, setelah itu mereka menimpa file indeks utama situs WordPress dan menambahkan kode berbahaya.

Sementara kode itu sangat disamarkan, Cashdollar mengatakan peran utama malware adalah bertindak sebagai proxy dan mengarahkan semua lalu lintas masuk ke server command-and-control (C&C) jarak jauh yang dikelola oleh peretas.

Di server inilah seluruh “logika bisnis” serangan terjadi. Menurut Cashdollar, tipikal serangan adalah sebagai berikut:

Pengguna mengunjungi situs WordPress yang diretas.
Situs WordPress yang diretas mengalihkan permintaan pengguna untuk melihat situs tersebut ke server C&C malware.
Jika pengguna memenuhi kriteria tertentu, server C&C memberi tahu situs tersebut untuk membalas dengan file HTML berisi toko online yang menjajakan berbagai macam objek duniawi.
Situs yang diretas menanggapi permintaan pengguna dengan toko online palsu alih-alih situs asli yang ingin dilihat pengguna.

Cashdollar mengatakan bahwa selama peretas memiliki akses ke honeypot nya, para penyerang menampung lebih dari 7.000 toko e-commerce yang mereka maksudkan untuk melayani pengunjung yang datang.

Selain itu, para peneliti Akamai mengatakan para peretas juga membuat peta situs XML untuk situs WordPress yang diretas yang berisi entri untuk toko online palsu bersama dengan halaman asli situs tersebut. Ini berakibat meracuni kata kuncinya dengan entri yang tidak terkait dan palsu yang menurunkan peringkat halaman hasil mesin pencari (SERP) situs web.

Sumber: ZDNet

Router eksklusif Walmart dan lainnya yang dijual di Amazon & eBay memiliki backdoor tersembunyi untuk mengontrol perangkat

November 24, 2020 by Winnie the Pooh

Dalam kolaborasi antara CyberNews Sr. Peneliti Keamanan Informasi Mantas Sasnauskas dan peneliti James Clee dan Roni Carta, backdoor yang mencurigakan telah ditemukan di router Jetstream buatan China, dijual secara eksklusif di Walmart sebagai router wifi yang “terjangkau”.

Backdoor ini memungkinkan penyerang memiliki kemampuan untuk mengontrol tidak hanya router, tetapi juga perangkat apa pun yang terhubung ke jaringan itu dari jarak jauh.

Selain router Jetstream, tim peneliti keamanan siber juga menemukan bahwa router Wavlink berbiaya rendah, biasanya dijual di Amazon atau eBay, memiliki backdoor serupa. Router Wavlink juga berisi skrip yang memindai wifi terdekat dan memiliki kemampuan untuk terhubung ke jaringan tersebut.

Para peneliti keamanan juga menemukan bukti bahwa backdoor ini secara aktif dieksploitasi, dan ada upaya untuk menambahkan perangkat ke botnet Mirai.

Meskipun Jetstream memiliki kesepakatan eksklusif dengan Walmart, dan dijual dengan nama merek lain seperti Ematic, hanya ada sedikit informasi yang tersedia tentang perusahaan China mana yang benar-benar memproduksi produk ini. Sementara Wavlink adalah perusahaan teknologi yang berbasis di Shenzhen, Cina, di provinsi Guangdong.

Salah satu aspek paling menarik dari penelitian ini adalah penemuan backdoor mencurigakan yang diaktifkan di semua perangkat.

Router Jetstream dan Wavlink menampilkan GUI sederhana (atau antarmuka yang ramah pengguna) untuk backdoor nya yang berbeda dari antarmuka yang disajikan kepada admin router. Meskipun Wavlink memiliki instruksi di situs webnya tentang bagaimana pengguna dapat mengakses router mereka, backdoor yang ditemukan tampaknya diarahkan pada eksekusi kode jarak jauh, atau RCE.

Penelitian ini juga menemukan bahwa kredensial yang diperlukan untuk mengakses perangkat diperiksa di kode Javascript. Artinya, jika Anda akan memeriksa elemen, pada endpoint tertentu Anda dapat mengambil kata sandi root dan mengakses komputer target dari jarak jauh.

Di perangkat yang tidak memiliki sandi di Javascript, ada cadangan tidak terenkripsi yang dapat diunduh tanpa autentikasi. Cadangan ini akan memungkinkan penyerang mendapatkan kata sandi admin juga.

Tonton video di bawah ini untuk mendengar langsung dari Sasnauskas, Clee dan Carta tentang bagaimana mereka menemukan backdoor dan apa artinya bagi konsumen:

Sumber: Cyber News

Botnet secara diam-diam telah memindai internet secara massal untuk mencari file ENV yang tidak aman

November 22, 2020 by Winnie the Pooh

Beberapa pelaku ancaman telah menghabiskan dua-tiga tahun terakhir memindai internet secara massal untuk mencari file ENV yang tidak sengaja diunggah dan dibiarkan terbuka di server web.

File ENV, atau file lingkungan, adalah jenis file konfigurasi yang biasanya digunakan oleh alat pengembangan. Kerangka kerja seperti Docker, Node.js, Symfony, dan Django menggunakan file ENV untuk menyimpan variabel lingkungan, seperti token API, kata sandi, dan login database. Karena sifat data yang disimpannya, file ENV harus selalu disimpan di folder yang dilindungi.

“Saya membayangkan botnet sedang memindai file-file ini untuk menemukan kredensial tersimpan yang memungkinkan penyerang berinteraksi dengan database seperti Firebase, atau instance AWS, dll.,” Daniel Bunce, Principal Security Analyst for SecurityJoes, mengatakan kepada ZDNet. “Jika penyerang bisa mendapatkan akses ke kunci API pribadi, mereka dapat menyalahgunakan perangkat lunak,” tambah Bunce.

Pelaku ancaman yang mengidentifikasi file ENV pada akhirnya akan mengunduh file tersebut, mengekstrak kredensial sensitif apa pun, dan kemudian membobol infrastruktur backend perusahaan. Tujuan akhir dari serangan selanjutnya ini bisa apa saja mulai dari pencurian kekayaan intelektual dan rahasia bisnis, hingga serangan ransomware, atau pemasangan malware penambangan kripto yang tersembunyi.

sumber : ZDNET

Situs Drupal rentan terhadap serangan ekstensi ganda

November 22, 2020 by Winnie the Pooh

Tim di balik sistem manajemen konten (CMS) Drupal telah merilis pembaruan keamanan minggu ini untuk menambal kerentanan kritis yang mudah dieksploitasi dan dapat memberi penyerang akses penuh pada situs yang rentan. Drupal, yang saat ini merupakan CMS keempat yang paling banyak digunakan di internet setelah WordPress, Shopify, dan Joomla, memberi peringkat kerentanan “Kritis”, yang menyarankan pemilik situs untuk menambal sesegera mungkin.

Dilacak sebagai CVE-2020-13671, kerentanan ini sangat mudah dieksploitasi dan mengandalkan trik “ekstensi ganda” yang bagus. Penyerang dapat menambahkan ekstensi kedua ke file berbahaya, mengunggahnya di situs Drupal melalui bidang unggahan terbuka, dan mengeksekusi program jahat.

Misalnya, file berbahaya seperti malware.php dapat diubah namanya menjadi malware.php.txt. Ketika diunggah di situs Drupal, file tersebut akan diklasifikasikan sebagai file teks daripada file PHP tetapi Drupal akan mengeksekusi kode PHP berbahaya saat mencoba membaca file teks tersebut.

sumber : ZDNET

Peretasan besar-besaran yang didanai negara China menghantam perusahaan di seluruh dunia, menurut laporan

November 21, 2020 by Winnie the Pooh

Peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia. Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan.

Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.

Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk obfuscation techniques dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama “FuckYouAnti”
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu

sumber : Arstechnica

Layanan gratis Google sekarang menjadi sahabat kampanye phishing

November 20, 2020 by Winnie the Pooh

Pelaku ancaman menyalahgunakan alat dan layanan produktivitas gratis Google untuk membuat kampanye phishing yang meyakinkan yang dapat mencuri kredensial Anda atau mengelabui Anda agar memasang malware.

Dalam laporan baru oleh firma keamanan email Armorblox, peneliti menggambarkan bagaimana pelaku ancaman membuat kampanye phishing yang rumit menggunakan layanan Google yang tidak hanya terlihat meyakinkan tetapi juga menghindari deteksi.

Salah satunya adalah layanan pembuatan formulir gratis yang disebut Google Form yang memungkinkan siapa saja membuat survei online gratis yang kemudian dapat dikirim ke pengguna lain.

Namun, pelaku ancaman menyalahgunakan Google Form untuk membuat formulir yang rumit yang berupaya mencuri kredensial Anda, seperti formulir pemulihan akun American Express palsu pada contoh berikut. Pelaku ancaman kemudian dapat mengumpulkan informasi yang diserahkan di kemudian hari.

Selain itu, layanan Google yang paling umum digunakan dalam penipuan phishing adalah Google Documents. Layanan ini tidak hanya digunakan untuk mengarahkan penerima ke pencurian kredensial dan penipuan akuntansi, tetapi juga untuk mengirimkan malware.

Karena Google Docs sangat banyak digunakan, hampir semua dokumen baru akan melewati gerbang email yang aman sampai mereka diidentifikasi sebagai berbahaya.

Google Docs juga banyak digunakan dalam kampanye malware BazarLoader sebagai halaman perantara untuk mendownload malware yang menyamar sebagai invoice, informasi COVID-19, dan jenis dokumen lainnya.

Baca berita selengkapnya pada tautan di bawah ini;
Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings