Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Bersekongkol Dengan Rusia Untuk Meretas Sistem Taksi JFK, Dua Pria New York Ditangkap

by

Dua pria New York ditangkap karena bersekongkol dengan warga negara Rusia untuk meretas sistem pengiriman taksi di Bandara Internasional John F. Kennedy sehingga mereka dapat memanipulasi antrean dan mengenakan biaya kepada pengemudi untuk akses ke depan antrian, kata jaksa federal Selasa.

Menurut jaksa di Distrik Selatan New York, Daniel Abayev dan Peter Leyman, keduanya berusia 48 tahun, ditangkap di Queens dan didakwa dengan dua tuduhan konspirasi untuk melakukan intrusi komputer.

Keduanya diduga bekerja dengan peretas dari Rusia sejak tahun 2019 untuk menyusup ke sistem pengiriman taksi JFK dengan menyuap seseorang untuk memasang malware di komputer sistem, mencuri tablet komputer, dan menggunakan Wi-Fi untuk masuk.

Jaksa penuntut mengatakan bahwa peretas berusaha untuk mendapatkan akses ke sistem pengiriman, kemudian Abayev dan Leyman memindahkan taksi tertentu ke garis depan dan menarik biaya $10 bagi pengemudi untuk melewati antrian.

Pengemudi taksi yang ingin menjemput penumpang di JFK menunggu di tempat penampungan terlebih dahulu sebelum dikirim ke terminal tertentu sesuai urutan kedatangan mereka. Proses ini memakan waktu berjam-jam, dan waktu tunggu bisa berdampak signifikan pada berapa banyak uang yang bisa diperoleh seorang sopir taksi dalam sehari.

Jaksa memperkirakan Abayev dan Leyman dapat memanipulasi sebanyak 1.000 perjalanan taksi sehari selama skema tersebut, yang berlangsung dari sekitar November 2019 hingga November 2020.

Menurut Williams, peretasan ini membuat pengemudi taksi yang jujur tidak dapat mengambil tarif di JFK sesuai urutan kedatangan mereka. Tersangka akan dijatuhi hukuman 10 tahun penjara apabila terbukti bersalah.

Selengkapnya: CNBC

Bug keyboard Corsair Membuatnya Mengetik Sendiri, Tidak Ada Malware yang Terlibat

by

Corsair telah mengonfirmasi bahwa bug pada firmware keyboard K100, dan bukan malware, berada di belakang teks yang dimasukkan sebelumnya diketik secara otomatis ke dalam aplikasi beberapa hari kemudian.

Pernyataan perusahaan muncul setelah beberapa pengguna K100 melaporkan bahwa keyboard mereka mengetik teks sendiri secara acak.

Beberapa mengatakan mereka telah menguji keyboard K100 mereka dalam mode aman untuk mengecualikan kemungkinan malware berjalan di Windows dan masih menyaksikan pengetikan kata secara acak, sehingga sumber masalahnya ditentukan berada di perangkat keras itu sendiri.

“Keyboard Corsair benar-benar tidak mencatat input pengguna dengan cara apa pun dan tidak memiliki kemampuan untuk mencatat setiap penekanan tombol,” kata Corsair kepada Ars Technica.

Penyebab pasti dari bug ini belum ditentukan, dan juru bicara Corsair mengatakan perusahaan tersebut bekerja dengan pengguna yang terkena dampak untuk menyelidiki sifat sebenarnya dari masalah tersebut.

Solusi belum pasti
Sayangnya, pembaruan firmware terbaru yang tersedia untuk perangkat K100 (versi 1.11.39) beberapa minggu yang lalu tidak memperbaiki masalah tersebut.

Lebih buruk lagi, pembaruan firmware terbaru ini telah menyebabkan pembekuan acak pada keyboard, yang dilaporkan beberapa pengguna mungkin terkait dengan pengaturan tingkat polling tinggi.

Namun, beberapa pengguna melaporkan bahwa pengaturan ulang pabrik dan menghapus memori keyboard masih tidak mencegah masalah terjadi lagi setelah beberapa saat. Oleh karena itu, pengguna mungkin harus menunggu hingga Corsair menyediakan pembaruan firmware yang memperbaiki bug ini.

Mengulangi masukan yang ditangkap secara acak dapat memaparkan informasi sensitif dalam berbagi layar dan presentasi. Itu juga dapat mengganggu pengalaman bermain pengguna, jadi jika Anda menggunakan keyboard dalam situasi ini, Anda mungkin ingin menggantinya dengan yang lain sampai bug diperbaiki.

sumber : bleeping computer

Raspberry Robin Worm Menyerang Lagi, Menargetkan Sistem Telekomunikasi dan Pemerintahan

by

Worm Raspberry Robin telah digunakan dalam serangan terhadap telekomunikasi dan sistem kantor pemerintah di seluruh Amerika Latin, Australia, dan Eropa setidaknya sejak September 2022.

Microsoft melacak Raspberry Robin terkait dengan kluster aktivitas sebagai DEV-0856 yang banyak dimanfaatkan oleh penyerang sebagai mekanisme akses awal untuk mengirimkan muatan seperti LockBit dan Clop ransomware.

Malware tersebut mengandalkan drive USB yang terinfeksi sebagai sarana untuk mengunduh file pemasang MSI jahat yang menyebarkan muatan utama, yang bertanggung jawab untuk memfasilitasi pasca-eksploitasi.

Analisis Raspberry Robbin lebih lanjut mengungkapkan bahwa penggunaan teknik obfuscation untuk mencegah analisis dengan malware terdiri dari dua muatan yang disemuatkan pada sebuah pemuat muatan yang dikemas enam kali.

Tanpa sandboxing dan analisis yang diamati, muatan yang sah akan dipasang dan terhubung ke alamat .onion yang dikodekan menggunakan klien TOR khusus yang disematkan di dalamnya untuk menunggu perintah lebih lanjut.

Klien TOR menyamar sebagai proses Windows yang sah seperti dllhost.exe, regsvr32.exe, dan rundll32.exe,. Hal ini sebagai upaya besar yang dilakukan oleh aktor ancaman untuk terbang di bawah radar.

Trend Micro menemukan persamaan dalam eskalasi hak istimewa dan teknik anti-debugging yang digunakan oleh ransomware Raspberry Robin dan LockBit, yang mengisyaratkan adanya hubungan potensial antara dua aktor kriminal tersebut.

Teori perusahaan mengatakan bahwa grup di belakang Raspberry Robin adalah pembuat beberapa alat yang juga digunakan Lockbit sebagai alternatif memanfaatkan layanan afiliasi yang bertanggung jawab atas teknik yang digunakan oleh LockBit.

Selengkapnya: The Hacker News

Malware Zerobot Sekarang Menyebar dengan Mengeksploitasi Kerentanan Apache

by

Botnet Zerobot telah ditingkatkan untuk menginfeksi perangkat baru dengan mengeksploitasi kerentanan keamanan yang memengaruhi server Apache yang terbuka dan tidak terhubung ke Internet.

Tim peneliti Pertahanan Microsoft untuk IoT juga mengamati bahwa versi terbaru ini menambahkan kemampuan penolakan layanan terdistribusi (DDoS) baru.

Pembaruan yang terlihat oleh Microsoft menambahkan eksploit yang lebih baru ke toolkit malware, memungkinkannya untuk menargetkan tujuh jenis perangkat dan perangkat lunak baru, termasuk server Apache dan Apache Spark yang belum ditambal.

Daftar lengkap modul yang ditambahkan ke Zerobot 1.1 meliputi:

  • CVE-2017-17105: Zivif PR115-204-P-RS
  • CVE-2019-10655: Grandstream
  • CVE-2020-25223: WebAdmin of Sophos SG UTM
  • CVE-2021-42013: Apache
  • CVE-2022-31137: Roxy-WI
  • CVE-2022-33891: Apache Spark
  • ZSL-2022-5717: MiniDVBLinux

Terakhir tapi tidak kalah penting, malware yang diperbarui kini hadir dengan tujuh kemampuan DDoS baru, termasuk metode serangan TCP_XMAS.

Zerobot menyebar melalui serangan brute force terhadap perangkat yang tidak aman dengan kredensial default atau lemah dan mengekploitasi kerantanan di perangkat Internet of Things (IoT) dan aplikasi web.

Setelah menginfeksi sistem, ia mengunduh skrip bernama “nol” yang memungkinkannya menyebar sendiri ke perangkat yang lebih rentan yang terpapar secara online.

Botnet mendapatkan kegigihan dari perangkat yang dikompromikan, dan digunakan untuk meluncurkan serangan DDoS melalui berbagai protokol, tetapi juga dapat memberi operatornya akses awal ke jaringan korban.

sumber : bleeping computer

FBI Memperingatkan Iklan Mesin Pencari yang Mendorong Malware, Phishing

by Leave a Comment


FBI memperingatikan bahwa pelaku ancaman menggunakan iklan mesin pencari untuk mempromosikan situs web yang mendistribusikan ransomware atau mencuri keredensial masuk untuk lembaga keuangan dan pertukaran crypto.

Dalam pengumuman layanan publik hari ini, badan penegak hukum federal mengatakan pelaku ancaman membeli iklan yang menyamar sebagai bisnis atau layanan ang sah. iklan ini muncul di bagian atas halaman hasil pencarian dan tertaut ke situ yang mirip dengan situs web perusahaan yang ditiru

Saat mencari perangkat lunak, FBI mengatakan iklan akan ditautkan ke situs web dengan tautan unduhan ke perangkat lunak yang dinamai sesuai dengan aplikasi yang ditiru.

Penasihat FBI juga memperingatkan tentang iklan yang mempromosikan situs phishing yang meniru platform keuangan dan, lebih khusus lagi, platform pertukaran cryptocurrency yang mengundang pengunjung untuk memasukkan kredensial akun mereka.

Iklan ini sepertinya mempromosikan situs web gimp.org yang sebenarnya, seperti yang ditunjukkan di bawah ini, mereka mengarahkan pengguna ke situs lain yang mendorong malware.

Contoh betapa rumitnya iklan jahat (Morphisec)

Cara Melindungi Diri Sendiri
Tindakan pencegahan yang paling penting saat mencari sesuatu secara online adalah tidak mengklik hal pertama yang muncul di hasil pencarian tanpa memeriksa URL-nya.

Karena beberapa hasil pertama pada istilah pencarian tertentu biasanya adalah iklan promosi, lebih aman untuk melewatkannya dan menggulir ke bawah sampai Anda melihat hasil pencarian situs web resmi proyek dan menggunakannya.

Selebihnya, bahkan memeriksa tautan terkadang hanya dapat membantu, karena pelakuk ancaman dapat membuat iklan untuk menampilkan URL yang sah tetapi mengarahkan pengguna ke situs kloning di bawah kendali penyerang.

Rekomendasi lainnya adalah menggunakan pemblokir iklan, yang memfilter hasil yang dipromosikan di Google.

Jika anda sering mengunjungi situs web, akan lebih baik untuk membookmark URL-nya dan menggunakannya untuk mengaksesnya daripada mencari setiap saat.

sumber : bleeping computer

Botnet KmsdBot Diduga Digunakan sebagai Layanan DDoS-untuk-Disewa

by

Analisis berkelanjutan dari botnet KmsdBot telah meningkatkan kemungkinan bahwa ini adalah layanan DDoS-untuk-disewa yang ditawarkan kepada pelaku ancaman lainnya.

KmsdBot adalah malware berbasis Go yang memanfaatkan SSH untuk menginfeksi sistem dan melakukan aktivitas seperti penambangan cryptocurrency dan meluncurkan perintah menggunakan TCP dan UDP untuk memasang serangan denial-of-service (DDoS) terdistribusi.

Menurut perusahaan infrastruktur web Akamai, analisis botnet KmsdBot ini didasarkan pada berbagai industri dan geografi yang diserang.

Mayoritas korban berada di Asia, Amerika Utara, dan Eropa. Beberapa target penting termasuk FiveM dan RedM, merupakan modifikasi game untuk Grand Theft Auto V dan Red Dead Redemption 2, serta merek-merek mewah dan perusahaan keamanan.

Analisis berkelanjutan menunjukkan kemungkinan bahwa ini adalah layanan DDoS-untuk-menyewa yang ditawarkan kepada pelaku ancaman lainnya.

Akamai mengidentifikasi 18 perintah berbeda yang diterima KmsdBot dari server jarak jauh, salah satunya, dijuluki “bigdata”, melayani pengiriman paket sampah yang berisi data dalam jumlah besar ke target dalam upaya menghabiskan bandwidthnya.

Pemetaan upaya infeksi botnet menandakan aktivitas minimal di wilayah Rusia dan wilayah tetangga, berpotensi menawarkan petunjuk tentang asal-usulnya.

Menurut Cashdollar, terdapat temuan upaya infeksi sekitar 24-48 jam setelah bot mati dan kemudian perintah serangan mulai masuk lagi sekitar 24 jam setelah itu. Namun, C2 terakhir yang diketahui tampaknya null dialihkan dan botnya diam.

Temuan ini muncul seminggu setelah Microsoft merinci botnet lintas platform yang dikenal sebagai MCCrash yang hadir dengan kemampuan untuk melakukan serangan DDoS terhadap server pribadi Minecraft.

Selengkapnya: The Hacker News

Tagged With: DDoS, Malware,

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

by

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Microsoft Akan Menonaktifkan Autentikasi Dasar Exchange Online pada Bulan Januari

by

Microsoft memperingatkan hari ini bahwa itu akan secara permanen mematikan otentikasi dasar Exchange Online mulai awal Januari 2023 untuk meningkatkan keamanan.

Pengumuman ini muncul setelah beberapa pengingat dan peringatan yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019 dan dua lagi pada September 2021 dan Mei 2022 setelah banyak pelanggan menunda peralihan ke autentikasi modern.

CISA juga mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Microsoft Exchange pada bulan Juni untuk mempercepat perpindahan dari metode autentikasi lama tanpa dukungan autentikasi multifaktor (MFA) ke alternatif autentikasi modern.

Protokol SMTP AUTH yang digunakan untuk pengiriman email klien juga akan dinonaktifkan di semua penyewa yang tidak menggunakannya.

Protokol ini akan dinonaktifkan untuk penggunaan autentikasi dasar secara permanen selama minggu pertama bulan Januari 2023, tanpa dapat mengaktifkannya kembali.

Setelah autentikasi dasar tidak digunakan lagi, pelanggan mungkin mengalami berbagai masalah, termasuk tidak dapat masuk ke Exchange Online mulai Januari 2023.

Tim Exchange juga telah membagikan informasi mendetail tentang cara berhenti menggunakan autentikasi dasar untuk menghindari aplikasi email Exchange Online tidak lagi masuk atau terus meminta kata sandi Anda.

selengkapnya : bleeping computer