Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Phishing Kredensial Cloud | Login AWS Target Google Ads Berbahaya

by

Periklanan adalah bagian integral dari ekonomi digital modern, memberikan bisnis peluang untuk menjangkau audiens yang besar dan beragam. Namun, pelaku jahat memanfaatkan keberadaan iklan online di mana-mana untuk menyebarkan malware, penipuan phishing, dan bentuk konten berbahaya lainnya. Dalam beberapa minggu terakhir, Google Ads, salah satu platform periklanan online terbesar, telah menjadi sasaran populer untuk jenis serangan ini.

Dalam analisis ini, kami memeriksa Google Ads berbahaya baru-baru ini yang menargetkan login Amazon Web Services (AWS) melalui situs web phishing kredensial palsu.

Iklan jahat yang kami amati terjadi pada tanggal 30 dan 31 Januari 2023. Iklan ini paling mudah diidentifikasi dengan mencari “aws” di Google. Awalnya, domain phishing adalah iklan itu sendiri; namun, penyerang kemudian beralih ke iklan proxy melalui situs web blogspot.com. Seperti yang ditunjukkan gambar di bawah, penyerang memanfaatkan us1-eat-a-w-s.blogspot[.]com sebagai tujuan untuk iklan jahat. Ini mungkin merupakan upaya untuk menghindari deteksi otomatis oleh Google terhadap konten tujuan iklan yang mencurigakan.

Google Malvertising AWS Phishing Ad

Konten situs web us1-eat-a-w-s.blogspot[.]com adalah salinan dari blog makanan vegan yang sah. Namun, halaman memuat domain kedua, aws1-console-login[.]us/login, melalui tindakan HTML window.location.replace. Perhatikan, halaman blogger ditutup kurang dari sehari setelah pembuatannya.

AWS Login Page Palsu – Email
AWS Login Page Palsu – Password

Setelah pengguna memasukkan kredensial mereka, halaman terakhir zconfig01.php dimuat. Ini berisi satu baris kode untuk mengarahkan korban ke halaman login AWS yang sah.

Proliferasi Google Ads berbahaya yang mengarah ke situs web phishing AWS merupakan ancaman serius tidak hanya bagi pengguna biasa, tetapi juga administrator jaringan dan cloud. Kemudahan peluncuran serangan ini, dikombinasikan dengan audiens yang besar dan beragam yang dapat dijangkau Google Ads, menjadikannya ancaman yang sangat kuat.

selengkapnya : SentinelOne

Hacker Mengembangkan Malware ‘Screenshotter’ Baru untuk Menemukan Target Bernilai Tinggi

by

Pelaku ancaman baru dilacak saat TA886 menargetkan organisasi di Amerika Serikat dan Jerman dengan malware khusus baru untuk melakukan pengawasan dan pencurian data pada sistem yang terinfeksi.

Kelompok aktivitas yang sebelumnya tidak diketahui pertama kali ditemukan oleh Proofpoint pada Oktober 2022, dengan perusahaan keamanan melaporkan bahwa hal itu berlanjut hingga 2023.

Pelaku ancaman tampaknya memiliki motivasi finansial, melakukan evaluasi awal terhadap sistem yang dilanggar untuk menentukan apakah target cukup berharga untuk disusupi lebih lanjut.

Pelaku ancaman menargetkan korban menggunakan email phishing yang menyertakan lampiran Microsoft Publisher (.pub) dengan makro berbahaya, URL yang tertaut ke file .pub dengan makro, atau PDF berisi URL yang mengunduh file JavaScript berbahaya.

Proofpoint mengatakan jumlah email yang dikirim di TA886 meningkat secara eksponensial pada Desember 2022 dan terus meningkat pada Januari 2023, dengan email yang ditulis dalam bahasa Inggris atau Jerman, tergantung targetnya.

Penyerang kemudian secara manual memeriksa tangkapan layar ini dan memutuskan apakah korban berharga. Evaluasi ini mungkin termasuk membuat malware Screenshotter mengambil lebih banyak tangkapan layar atau menjatuhkan muatan khusus tambahan seperti:

  • Skrip profiler domain yang mengirimkan detail domain AD (Active Directory) ke C2
  • Skrip pemuat malware (AHK Bot loader) yang memuat pencuri info ke dalam memori

Pencuri yang dimuat dalam memori bernama Rhadamanthys, keluarga malware terlihat dipromosikan di forum bawah tanah sejak musim panas lalu dan menjadi lebih umum digunakan dalam serangan.

Kemampuannya termasuk mencuri dompet cryptocurrency, kredensial, dan cookie yang disimpan di browser web, klien FTP, akun Steam, akun Telegram dan Discord, konfigurasi VPN, dan klien email.

Proofpoint telah berusaha untuk menemukan tumpang tindih dan kesamaan dengan laporan sebelumnya yang menggambarkan TTP serupa (teknik, taktik, dan prosedur), tetapi tidak dapat membuat hubungan yang pasti.

Namun, ada tanda-tanda alat Bot AHK digunakan dalam kampanye spionase sebelumnya.

Selengkapnya : bleepingcomputer

Biden Menambahkan Mandia dan Eksekutif Keamanan Siber Lainnya ke Komite Penasihat

by

Presiden Joe Biden menambahkan beberapa eksekutif keamanan siber ke Komite Penasihat Telekomunikasi Keamanan Nasional (NSTAC), yang memberi nasihat kepada Gedung Putih tentang masalah keamanan nasional dan kesiapsiagaan darurat.

CEO Mandiant Kevin Mandia, CEO Rapid7 Corey Thomas, dan CEO Trellix Bryan Palma ditambahkan ke komite bersama beberapa eksekutif keamanan siber lainnya, termasuk Wakil Presiden Kebijakan Keamanan Microsoft Scott Charney, Comcast CISO Noopur Davis dan Cox Communications CISO Kimberly Keever.

Menunjuk Charney sebagai ketua komite dengan Jeffrey Storey sebagai wakil ketua.

NSTAC terdiri dari hingga 30 eksekutif senior yang ditunjuk oleh presiden secara tradisional dari industri telekomunikasi. Dalam beberapa tahun terakhir, panitia telah memainkan peran kunci dalam meningkatkan keamanan internet.

Pihak Gedung Putih menyatakan bahwa orang-orang yang ditunjuk akan bergabung dengan anggota NSTAC yang ditunjuk sebelumnya untuk memberikan solusi keamanan nasional dan kesiapsiagaan darurat dengan memberikan rekomendasi kebijakan inovatif yang didukung oleh perspektif industri yang unik.

Komite biasanya mengirimkan laporan terperinci ke Gedung Putih tentang berbagai masalah yang terkait dengan teknologi. Laporan tersebut ditugaskan setelah serangan ransomware di Colonial Pipeline.

Mereka sebelumnya telah membahas topik seperti rantai pasokan perangkat lunak, kerangka kerja tanpa kepercayaan, dan keamanan jaringan 5G.

Gedung Putih juga bersiap untuk menerbitkan “Strategi Keamanan Siber Nasional” yang diduga akan membuat perubahan signifikan terhadap pendekatan pemerintah terhadap keamanan siber.

Selengkapnya: The Record

Graphiron: Malware Pencuri Informasi Rusia Baru yang Dikerahkan Melawan Ukraina

by

Nodaria yang terkait dengan Rusia telah menyebarkan ancaman baru yang dirancang untuk mencuri berbagai informasi dari komputer yang terinfeksi.

Grup spionase Nodaria (UAC-0056) menggunakan informasi baru untuk mencuri malware terhadap target di Ukraina. Malware (Infostealer.Graphiron) ditulis dalam Go dan dirancang untuk mengumpulkan berbagai informasi dari komputer yang terinfeksi, termasuk informasi sistem, kredensial, tangkapan layar, dan file.

Bukti paling awal dari Graphiron berasal dari Oktober 2022. Itu terus digunakan hingga pertengahan Januari 2023 dan masuk akal untuk mengasumsikan bahwa itu tetap menjadi bagian dari perangkat Nodaria.

Grafiron
Graphiron adalah ancaman dua tahap yang terdiri dari pengunduh (Downloader.Graphiron) dan muatan (Infostealer.Graphiron).

Graphiron menggunakan enkripsi AES dengan kunci hardcoded, membuat file sementara dengan ekstensi “.lock” dan “.trash”. Itu menggunakan nama file hardcode yang dirancang untuk menyamar sebagai executable Microsoft office: OfficeTemplate.exe dan MicrosoftOfficeDashboard.exe

Payload mampu melakukan tugas-tugas seperti membaca MachineGuid, memperoleh alamat IP dari https://checkip.amazonaws.com, mengambil nama host, info sistem, dan info pengguna, dan lain sebagainya.

Kesamaan dengan Alat Lama
GraphSteel dirancang untuk mengekstraksi file bersama dengan informasi sistem dan kredensial yang dicuri dari brankas kata sandi menggunakan PowerShell. Sementara Graphiron memiliki fungsi serupa tetapi dapat mengekstraksi lebih banyak lagi, seperti tangkapan layar dan kunci SSH.

Tabel perbandingan antara Graphiron dan alat Nodaria yang lebih tua (GraphSteel dan GrimPlant)
Tabel perbandingan antara Graphiron dan alat Nodaria yang lebih tua (GraphSteel dan GrimPlant)

Nodaria
Nodaria telah aktif setidaknya sejak Maret 2021 dan tampaknya terutama terlibat dalam organisasi penargetan di Ukraina. Ada juga bukti terbatas yang menunjukkan bahwa kelompok tersebut telah terlibat dalam serangan terhadap sasaran di Kyrgyzstan.

Selengkapnya: Symantec

Ransomware ESXiArgs Mencapai Lebih Dari 3.800 Server Saat Hacker Terus Meningkatkan Malware

by

Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.

Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.

Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.

Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.

Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.

Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.

Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.

Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.

VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.

Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.

Selengkapnya: Security Week

Australia Akan Menghapus Kamera Pengintai Buatan China, Mengikuti AS

by

Departemen Pertahanan Australia akan mencopot kamera pengintai yang dibuat oleh perusahaan yang terkait dengan Partai Komunis China dari gedung-gedungnya, setelah AS dan Inggris melakukan langkah serupa.

Berdasarkan laporan Surat kabar Australia pada hari Kamis, setidaknya 913 kamera, interkom, sistem entri elektronik, dan perekam video yang dikembangkan dan diproduksi oleh perusahaan China, Hikvision dan Dahua, berada di kantor pemerintah dan lembaga Australia, termasuk Departemen Pertahanan dan Departemen Luar Negeri dan Perdagangan.

Sebagian dari Hikvision dan Dahua dimiliki oleh pemerintah yang dikuasai Partai Komunis China.

Kedutaan Besar China untuk Australia tidak segera menanggapi permintaan komentar. China kemudian memberikan tanggapan umum untuk mempertahankan perusahaan teknologi tinggi mereka sebagai warga korporat yang baik yang mengikuti semua undang-undang setempat dan tidak berperan dalam pengumpulan intelijen pemerintah atau partai.

Pada November, Pemerintah AS dan Inggris serentak melarang peralatan telekomunikasi dan pengawasan video dari beberapa merek China terkemuka termasuk Hikvision dan Dahua dalam upaya melindungi jaringan komunikasi negara.

Sebuah audit menemukan bahwa kamera dan peralatan keamanan Hikvision dan Dahua ditemukan di hampir setiap departemen kecuali Departemen Pertanian dan Departemen Perdana Menteri dan Kabinet.

Juru bicara keamanan dunia maya oposisi, James Paterson, telah mendorong audit dengan mengajukan pertanyaan selama enam bulan dari setiap agen federal, setelah Departemen Dalam Negeri tidak dapat mengatakan berapa banyak kamera, sistem kontrol akses, dan interkom dipasang di gedung-gedung pemerintah.

Selengkapnya: npr

Temui kru spionase Rusia yang produktif yang meretas spymaster dan anggota parlemen

by

Kelompok peretas terkenal yang diduga memiliki hubungan dengan dinas intelijen Rusia telah mengklaim korban terbarunya: anggota parlemen Inggris Stewart McDonald.

McDonald, anggota Parlemen untuk daerah pemilihannya di Glasgow South, mengatakan kepada BBC News bahwa dia khawatir telah menjadi korban kampanye “disinformasi” setelah akun email pribadinya “diretas oleh Rusia”.

McDonald mengatakan para peretas mengirim dokumen yang mengaku menyertakan pembaruan militer di Ukraina, tetapi ketika dibuka berisi halaman phishing yang menipunya untuk memasukkan alamat email dan kata sandinya.

Intrusi tersebut diyakini terkait dengan kelompok peretasan “Seaborgium” yang produktif, juga disebut sebagai “Cold River” dan “Calisto.”

Seaborgium mungkin tidak setenar peretas Fancy Bear atau Sandworm Rusia, tetapi ia dengan cepat membuat nama untuk dirinya sendiri.

Pemerintah Inggris telah memperingatkan upaya “kejam” kelompok itu untuk mengejar korbannya, dan peneliti keamanan mengatakan daftar target geng yang terus bertambah – termasuk politisi, organisasi pertahanan dan pemerintah – menunjukkan bahwa Seaborgium terkait erat dengan negara Rusia.

Kelompok peretasan Seaborgium telah aktif setidaknya sejak 2017 dan dikenal melakukan kampanye spionase dunia maya jangka panjang terhadap negara-negara NATO, khususnya AS dan Inggris, tetapi juga lebih jauh seperti Baltik, Nordik, dan Eropa Timur.

Pusat Intelijen Ancaman Microsoft, atau MSTIC, yang telah melacak grup tersebut sejak awal, menilai bahwa Seaborgium adalah grup yang berbasis di Rusia dengan “tujuan dan viktimologi” yang sejalan erat dengan kepentingan negara Rusia.

Selengkapnya: TechCrunch

Sekarang Setelah Hydra Hilang, Perdagangan Narkoba Jaring Gelap Berbasis Kripto Masih Mencoba untuk Kembali

by

Sebuah laporan Kamis baru oleh perusahaan analisis blockchain Chainalysis mengatakan bahwa pendapatan tahun-ke-tahun dari pasar jaringan gelap dipotong setengahnya.

Pada tahun 2021, aktor jahat dan pengedar narkoba internasional ini menghasilkan $3,1 miliar dalam crypto melalui sumber web gelap ini, tetapi pada tahun 2022, mereka hanya menghasilkan sekitar $1,5 miliar. Dari jumlah itu, $1,3 miliar berasal dari perdagangan narkoba.

Pada bulan April tahun lalu, polisi Jerman mengumumkan bahwa mereka telah bekerja sama dengan badan-badan Departemen Kehakiman AS, termasuk FBI dan Badan Penegakan Narkoba, untuk menjatuhkan jaringan gelap pasar obat-obatan Hydra.

Toko serba berbahasa Rusia untuk obat-obatan terlarang dan alat peretasan sejauh ini merupakan sumber obat-obatan terlarang online terbesar.

Itu sudah ada sejak 2015, dan sejak itu telah terhubung ke proyek crypto lain yang diduga ilegal. Dengan ketinggiannya, ia memiliki 93% cengkeraman pada semua nilai dari ekosistem jaring gelap.

Polisi mengatakan bahwa layanan dark net bertanggung jawab atas penjualan narkoba senilai $1,3 miliar pada tahun 2020 saja.

Laporan Chainalysis mencatat bahwa Hydra Marketplace masih menjadi pasar dengan pendapatan kotor tertinggi pada tahun 2022, meskipun sudah mati lebih awal.

Terlepas dari anggukan situs mati untuk binatang mitos Yunani, bahwa jika Anda memotong satu kepala, dua tumbuh di tempatnya, tidak ada pasar obat lain yang mengalahkan pendapatan empat bulan Hydra yang memimpin sepanjang tahun.

Selengkapnya: GIZMODO