Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Compromised Email

Compromised Email

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

by

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Pasar web gelap otomatis menjual akun email perusahaan seharga $2

by

Pasar web gelap menjual alamat email korporat yang dicuri dengan harga serendah $2 untuk memenuhi permintaan yang meningkat dari peretas yang menggunakannya untuk business email compromise dan serangan phishing atau akses awal ke jaringan.

Analis di perusahaan intelijen siber Israel KELA telah mengikuti tren ini dengan cermat, melaporkan setidaknya 225.000 akun email dijual di pasar bawah tanah.

Toko email web terbesar adalah Xleet dan Lufix, mengklaim menawarkan akses ke lebih dari 100 ribu akun email perusahaan yang dilanggar, dengan harga berkisar antara $2 dan $30.

Biasanya, akun ini dicuri melalui peretasan kata sandi (brute-forcing) atau isian kredensial, kredensialnya dicuri melalui phishing, atau dibeli dari penjahat dunia maya lainnya.

Peretas menggunakan akses mereka ke akun email perusahaan dalam serangan yang ditargetkan seperti business email compromise (BEC), rekayasa sosial, spear-phishing, dan infiltrasi jaringan yang lebih dalam.

Penjualan akses email perusahaan tetap stabil di ruang kejahatan dunia maya selama beberapa tahun terakhir, dengan pelaku ancaman di semua forum peretasan utama menjual “daftar kombo” email untuk mengakses berbagai perusahaan.

Daftar kombo dijual di forum ‘Breached’ (KELA)

Dalam kasus profil tinggi baru-baru ini, aktor ransomware ‘Everest’ diduga menawarkan akses ke akun email perusahaan manufaktur kedirgantaraan seharga $15.000.

Baik penawaran massal maupun penawaran yang dikuratori melibatkan proses negosiasi yang membosankan dengan penjual dan mengambil risiko atas validitas klaim. Pada saat yang sama, permintaan email korporat terus meningkat.

Hal tersebut menciptakan kebutuhan akan toko email web otomatis seperti Xleet, Odin, Xmina, dan Lufix, yang memungkinkan penjahat dunia maya dengan mudah membeli akses ke akun email pilihan mereka.

Sistem checker yang tergabung pada keempat toko (KELA)

Penawaran paling menarik adalah akun Office 365, yang merupakan hampir setengah dari semua webmail yang terdaftar, diikuti oleh penyedia hosting seperti cPanel, GoDaddy, dan Ionos.

Penjual di toko-toko ini tidak menggunakan nama samaran tetapi bersembunyi di balik sistem penyamaran dengan memberi mereka nomor. Odin menawarkan detail lebih lanjut tentang penjual, seperti jumlah barang yang terjual, angka penjualan total, dan peringkat pengguna.

Odin dan Xleet juga mengklarifikasi bagaimana webmail itu bersumber, dengan kategori termasuk “diretas”, “diretas”, “log”, atau “dibuat”. Namun, mayoritas (98%) di Xleet “diretas” atau “diretas”.

“Log” adalah kredensial email yang dicuri oleh malware pencuri info, sementara “dibuat” adalah akun email baru yang dibuat oleh penyusup jaringan di perusahaan yang dilanggar menggunakan akun administrator yang disusupi.

Karena sebagian besar email web yang ditawarkan telah diretas atau diretas, menggunakan kata sandi yang kuat (lebih panjang), pengaturan ulang kata sandi secara berkala dan melatih personel untuk mengidentifikasi email phishing akan membantu mengurangi ancaman ini secara signifikan.

Sumber: Bleeping Computer

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

by

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Anatomi perampokan siber senilai $15 juta di perusahaan AS

by

Penipu berpengalaman mendapatkan $15 juta dari perusahaan AS setelah dengan hati-hati menjalankan email yang telah disusupi yang membutuhkan waktu sekitar dua bulan untuk menyelesaikannya.

Penjahat siber melaksanakan rencana mereka dengan sangat teliti setelah mendapatkan akses ke percakapan email tentang transaksi komersial. Mereka memasukkan diri mereka ke dalam pertukaran untuk mengalihkan pembayaran dan mampu menyembunyikan pencurian cukup lama untuk mendapatkan uang.

Meskipun peneliti menyelidiki peristiwa pada satu korban, mereka menemukan petunjuk yang menunjukkan bahwa lusinan bisnis di sektor konstruksi, ritel, keuangan, dan hukum ada dalam daftar target mereka.

Setelah aktor tersebut memutuskan sebuah target, mereka menghabiskan waktu sekitar dua minggu untuk mencoba mengakses akun email. Setelah masuk, mereka menghabiskan waktu seminggu lagi untuk mengumpulkan informasi dari kotak surat korban dan mengidentifikasi peluang.

Selama empat minggu, penyerang dengan hati-hati membuat rencana mereka menggunakan informasi yang dikumpulkan dari kotak masuk eksekutif senior yang disusupi. Mereka mengambil alih percakapan menggunakan domain palsu pada saat yang tepat untuk memberikan detail yang diubah untuk pengiriman uang.

Untuk menyembunyikan pencurian hingga mereka memindahkan uang ke bank asing dan membuatnya hilang selamanya, penyerang menggunakan aturan penyaringan kotak masuk untuk memindahkan pesan dari alamat email tertentu ke folder tersembunyi.

Itu adalah langkah yang membuat pemilik kotak masuk yang sah tidak mengetahui komunikasi mengenai pemindahan uang. Itu berlangsung sekitar dua minggu, cukup bagi aktor untuk membuat $15 juta menghilang.

Organisasi dapat memperkuat pertahanan mereka terhadap jenis serangan ini dengan mengikuti sekumpulan rekomendasi sederhana yang mencakup, antara lain, mengaktifkan otentikasi dua faktor di Office 365 dan mencegah email forwarding ke alamat eksternal.

Baca berita selengkapnya pada tautan dibawah ini;
Source: Bleeping Computer