News 9 - Naga Cyber Defense

Aplikasi Fake Steam Desktop Authenticator mendistribusikan DarkCrystal RAT

May 20, 2023 by Coffee Bean

Baru-baru ini saya menemukan kampanye menarik yang menggunakan situs web palsu untuk mendistribusikan malware. Meski TTP ini bukan barang baru, namun sepertinya sedang naik daun. Secara anekdot, saya telah melihatnya dalam banyak kasus di tahun 2023 lebih dari sebelumnya. Sulit untuk mengukur tanpa melakukan penelitian ekstensif, setidaknya ini adalah sesuatu yang harus diperhatikan oleh analis lain.

Tersangka penjahat dunia maya yang berbasis di Rusia memutuskan untuk mengkloning situs web aplikasi desktop sumber terbuka yang sah (lihat di sini) yang disebut Steam Desktop Authenticator (SDA) yang merupakan versi desktop yang nyaman dari aplikasi autentikator seluler. Namun, untuk kenyamanan itu, ada harga – penipuan peniruan dan pembajakan akun. Repo GitHub dari aplikasi SDA juga memiliki peringatan kepada orang lain tentang versi palsu yang beredar.

Pelaku ancaman yang mendistribusikan SDA versi palsu menggunakan dua teknik yang efektif jika dipasangkan bersama: Kloning Situs dan Typosquatting.

Kloning Situs melibatkan penyalinan semua HTML, CSS, JavaScript, PHP, dll, kode dari satu situs web dan menghostingnya kembali di server web Anda sendiri. Oleh karena itu terlihat sama dan bertindak sama. Semua tombol di situs itu juga berfungsi seperti aslinya dan akan mengarahkan Anda dari situs palsu ke halaman lain di situs asli.

Typosquatting melibatkan pendaftaran domain yang mirip dengan target. Oleh karena itu, ketika pengguna mengunjungi situs atau disajikan dengan URL, mereka kemudian harus secara sadar memperhatikan domain di URL untuk mengetahui bahwa itu bukan yang asli, misalnya, github.com.

selengkapnya : blog.bushidotoken.net

Asus Meminta Maaf Atas Maintenance Error Berdampak pada Konektivitas Router

May 20, 2023 by Coffee Bean

ASUS telah meminta maaf kepada pelanggannya atas kesalahan pemeliharaan keamanan sisi server yang telah menyebabkan berbagai model router yang terkena dampak kehilangan konektivitas jaringan.

Masalahnya telah dilaporkan secara luas di media sosial dan platform diskusi sejak 16 Mei 2023, dengan orang-orang tampak bingung dengan masalah konektivitas simultan pada beberapa router ASUS dan yang lainnya mengeluh tentang kurangnya komunikasi dari sisi vendor.

Seperti yang dijelaskan oleh pembuat perangkat keras Taiwan dalam pernyataan yang diterbitkan hari ini dan melalui buletin keamanan, masalahnya disebabkan oleh kesalahan dalam konfigurasi file pengaturan server.

“Selama pemeliharaan keamanan rutin, tim teknis kami menemukan kesalahan dalam konfigurasi file pengaturan server kami, yang berpotensi menyebabkan gangguan konektivitas jaringan pada sebagian router,” jelas ASUS dalam buletin dukungan.

Pernyataan masalah konektivitas router ASUS

Sementara pernyataan perusahaan tidak secara eksplisit menyatakan jenis kesalahan apa yang terjadi dan bagaimana tepatnya hal itu berdampak pada router jarak jauh, seorang pengguna di Reddit menjelaskan bahwa masalah konektivitas disebabkan oleh file definisi yang rusak untuk ASD (ASUS AiProtection).

Namun, komponen ini diperbarui terlepas dari apakah pengguna mengaktifkan pembaruan keamanan (firmware) otomatis di perangkat mereka atau tidak.

Dilaporkan, file definisi yang rusak untuk ASD secara otomatis didorong ke semua router yang terkena dampak, menyebabkan mereka kehabisan ruang dan memori sistem file dan akhirnya macet.

selengkapnya : bleepingcomputer.com

WebKit Diserang: Apple Mengeluarkan Patch Darurat untuk 3 Kerentanan Zero-Day Baru

May 20, 2023 by Søren

Apple pada hari Kamis meluncurkan pembaruan keamanan untuk iOS, iPadOS, macOS, tvOS, watchOS, dan browser web Safari untuk mengatasi tiga kelemahan zero-day baru yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Tiga kelemahan keamanan tercantum di bawah ini –

CVE-2023-32409 – Cacat WebKit yang dapat dimanfaatkan oleh aktor jahat untuk keluar dari kotak pasir Konten Web. Itu telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-28204 – Masalah baca di luar batas di WebKit yang dapat disalahgunakan untuk mengungkapkan informasi sensitif saat memproses konten web. Itu telah diatasi dengan validasi input yang ditingkatkan.
CVE-2023-32373 – Bug gratis setelah penggunaan di WebKit yang dapat menyebabkan eksekusi kode arbitrer saat memproses konten web perusak yang berbahaya. Itu telah diatasi dengan manajemen memori yang ditingkatkan.

Pembaruan terbaru tersedia untuk perangkat dan sistem operasi berikut –

iOS 16.5 dan iPadOS 16.5 – iPhone 8 dan lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru
iOS 15.7.6 dan iPadOS 15.7.6 – iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), dan iPod touch (generasi ke-7)
macOS Ventura 13.4 – macOS Ventura
tvOS 16.5 – Apple TV 4K (semua model) dan Apple TV HD
watchOS 9.5 – Apple Watch Series 4 dan lebih baru
Safari 16.5 – macOS Big Sur dan macOS Monterey

Selengkapnya: The Hacker News

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

May 20, 2023 by Søren

Pengelola kata sandi KeePass yang populer rentan untuk mengekstraksi kata sandi utama dari memori aplikasi, memungkinkan penyerang yang menyusupi perangkat untuk mengambil kata sandi bahkan dengan basis data terkunci.

Masalah ini ditemukan oleh peneliti keamanan yang dikenal sebagai ‘vdohney,’ yang menerbitkan alat proof-of-concept yang memungkinkan penyerang mengekstrak kata sandi utama KeePass dari memori sebagai proof-of-concept (PoC).

Pengelola kata sandi memungkinkan pengguna membuat kata sandi unik untuk setiap akun online dan menyimpan kredensial dalam database yang mudah dicari, atau gudang kata sandi, sehingga Anda tidak perlu mengingatnya satu per satu. Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Kata sandi utama ini mengenkripsi basis data kata sandi KeePass, mencegahnya dibuka atau dibaca tanpa terlebih dahulu memasukkan kata sandi. Namun, setelah kata sandi utama itu disusupi, pelaku ancaman dapat mengakses semua kredensial yang disimpan dalam database.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan KeePass baru yang dilacak sebagai CVE-2023-3278 memungkinkan untuk memulihkan kata sandi utama KeePass, selain dari satu atau dua karakter pertama, dalam bentuk teks-jelas, terlepas dari apakah ruang kerja KeePass terkunci, atau mungkin, bahkan jika program ditutup.

Selengkapnya: Bleeping Computer

Grup Misterius Memiliki Hubungan dengan 15 Tahun Peretasan Ukraina-Rusia

May 20, 2023 by Søren

PERUSAHAAN KEAMANAN RUSIA Kaspersky hari ini merilis penelitian baru yang menambah bagian lain dari teka-teki kelompok peretas yang operasinya tampak lebih jauh dari yang disadari para peneliti sebelumnya.

Penelitian yang diterbitkan minggu lalu dari firma keamanan Malwarebytes memberi petunjuk baru tentang kelompok peretas, Red Stinger, yang telah melakukan operasi spionase terhadap korban pro-Ukraina di Ukraina tengah dan korban pro-Rusia di Ukraina timur.

Temuan itu menarik karena campuran ideologis dari target dan kurangnya koneksi ke kelompok peretas lain yang diketahui. Beberapa minggu sebelum Malwarebytes merilis laporannya, Kaspersky juga telah menerbitkan penelitian tentang grup tersebut, yang disebutnya Bad Magic, dan juga menyimpulkan bahwa malware yang digunakan dalam serangan tersebut tidak memiliki koneksi ke alat peretasan lain yang dikenal.

Riset yang dirilis Kaspersky hari ini akhirnya mengaitkan grup tersebut dengan aktivitas sebelumnya dan memberikan beberapa konteks awal untuk memahami kemungkinan motivasi penyerang.

Menambahkan penelitian Malwarebytes ke apa yang mereka temukan secara independen, peneliti Kaspersky meninjau data telemetri bersejarah untuk mencari koneksi. Akhirnya, mereka menemukan bahwa beberapa infrastruktur cloud dan malware yang digunakan grup tersebut memiliki kemiripan dengan kampanye spionase di Ukraina yang diidentifikasi oleh perusahaan keamanan ESET pada tahun 2016, serta kampanye yang ditemukan oleh perusahaan CyberX pada tahun 2017.

“Malwarebytes menemukan lebih banyak tentang tahap infeksi awal, dan kemudian mereka menemukan lebih banyak tentang penginstal” yang digunakan dalam beberapa serangan grup sejak 2020, kata Georgy Kucherin, peneliti malware Kaspersky.

Selengkapnya: WIRED

Bagaimana peretas masuk ke ponsel Anda tanpa kata sandi: ahli ‘GhostTouch’

May 19, 2023 by Søren

Bahkan peretas telepon dapat bekerja dari jarak jauh akhir-akhir ini.

Para peneliti dari NordVPN telah memperingatkan pengguna ponsel cerdas untuk berhati-hati terhadap penjahat dunia maya yang licik, dengan mengklaim bahwa mereka menggunakan teknik baru yang memungkinkan mereka membuka kunci ponsel cerdas tertentu dari jarak jauh.

Biasanya, saat ponsel diretas, hal itu dilakukan dengan memasang malware di perangkat melalui kabel pengisi daya.

Para peneliti mengatakan pengguna ponsel pintar harus mengetahui teknik yang disebut GhostTouch – mendesak pengguna ponsel untuk mencari ponsel yang terbuka sendiri.

“GhostTouch adalah serangan peretasan layar terbaru yang memungkinkan penjahat meretas ponsel pengguna dari jarak jauh,” kata seorang peneliti kepada TechRader.
“Secara sederhana, penyerang menggunakan sinyal elektromagnetik untuk mensimulasikan peristiwa sentuhan utama seperti ketukan dan gesekan pada lokasi target layar sentuh.”

Para peneliti mengatakan tujuan para peretas adalah mengambil kendali jarak jauh dari ponsel cerdas untuk “memanipulasinya dengan cara yang berpotensi berbahaya”, seperti mengakses data dan kata sandi perangkat, mengakses layanan yang tidak aman, atau memasang malware.

Skema yang disebut GhostTouch ini ditemukan oleh akademisi dari Zhejiang University (China) dan Technical University of Darmstadt (Jerman).

Untuk menggunakan metode GhostTouch, peretas hanya perlu berada di dekat korban yang dituju. Mereka dapat meletakkan peralatan mereka di tempat umum untuk mengirim sinyal elektromagnetik ke telepon, yang oleh para ahli memperingatkan pengguna “bahkan mungkin tidak menyadarinya”.

“Sayangnya, tempat paling umum untuk peretasan layar sentuh adalah tempat umum seperti perpustakaan, kafe, atau lobi konferensi, tempat orang meletakkan ponsel cerdas mereka menghadap ke bawah di atas meja,” jelas Adrianus Warmenhoven, pakar keamanan siber di NordVPN. “Para penyerang menyiapkan peralatan di bawah meja terlebih dahulu dan melancarkan serangan dari jarak jauh.”

Selengkapnya: New York Post

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

May 19, 2023 by Søren

Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan berdampak pada versi terbaru KeePass, 2.53.1, dan karena program ini bersifat open-source, setiap project fork kemungkinan akan terpengaruh.

Selengkapnya: Bleeping Computer

Ransomware MalasLocker menargetkan server Zimbra, menuntut sumbangan amal

May 19, 2023 by Coffee Bean

Catatan tebusan berisi alamat email untuk menghubungi pelaku ancaman atau URL TOR yang menyertakan alamat email terbaru untuk grup tersebut. Catatan itu juga memiliki bagian teks yang disandikan Base64 di bagian bawah yang diperlukan untuk menerima dekripsi, yang akan kita bahas lebih detail nanti di artikel.

Meskipun catatan tebusan tidak berisi tautan ke situs kebocoran data geng ransomware, analis ancaman Emsisoft Brett Callow menemukan tautan ke situs kebocoran data mereka, dengan judul, “Somos malas… podemos ser peores,” diterjemahkan menjadi, ” Kami buruk… kami bisa lebih buruk.”

Situs kebocoran data MalasLocker saat ini mendistribusikan data yang dicuri untuk tiga perusahaan dan konfigurasi Zimbra untuk 169 korban lainnya.

Halaman utama situs kebocoran data itu juga berisi pesan panjang berisi emoji yang menjelaskan apa yang mereka perjuangkan dan uang tebusan yang mereka butuhkan.

“Kami adalah grup ransomware baru yang telah mengenkripsi komputer perusahaan untuk meminta mereka menyumbangkan uang kepada siapa pun yang mereka inginkan,” demikian bunyi situs kebocoran data MalasLocker.

“Kami meminta mereka memberikan donasi ke organisasi nirlaba pilihan mereka, lalu menyimpan email yang mereka terima untuk mengonfirmasi donasi dan mengirimkannya kepada kami sehingga kami dapat memeriksa tanda tangan DKIM untuk memastikan email tersebut asli.”

Tuntutan tebusan ini sangat tidak biasa dan, jika jujur, menempatkan operasi lebih ke ranah hacktivisme.

Namun, BleepingComputer belum menentukan apakah pelaku ancaman menepati janjinya ketika korban menyumbangkan uang untuk amal bagi dekripsi.

selengkapnya : bleepingcomputer.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings