Cyber Attack

Pertukaran crypto terbesar di dunia diretas dengan kemungkinan kerugian $500 juta

October 9, 2022 by Søren

Binance, pertukaran mata uang kripto terbesar di dunia, mungkin telah kehilangan setengah miliar dolar setelah meretas jaringannya.

Perusahaan untuk sementara menangguhkan transaksi dan transfer dana setelah mendeteksi eksploitasi antara dua blockchain, sebuah metode pencurian digital yang telah digunakan baru-baru ini di setidaknya satu peretasan besar lainnya.

“Masalahnya sudah tertangani sekarang. Dana Anda aman. Kami mohon maaf atas ketidaknyamanan ini dan akan memberikan pembaruan lebih lanjut,” kata CEO Binance, Changpeng Zhao, dalam sebuah tweet.

Binance awalnya mengatakan bahwa dana $100 juta hingga $110 juta telah diambil. Sejak itu, CNBC melaporkan bahwa perusahaan crypto telah kehilangan $570 juta.

Dalam sebuah posting blog pada hari Jumat, Binance mengatakan sedang bekerja untuk mengunci semua area kerentanan. “Pertama, kami ingin meminta maaf kepada masyarakat atas eksploitasi yang terjadi. Kami memiliki ini,” tulis perusahaan itu. “Berkat bantuan semua pakar keamanan, proyek, dan validator, sebagian besar dana tetap terkendali.”

Tahun lalu Binance mengatakan bahwa sudah waktunya bagi regulator global untuk menetapkan aturan untuk pasar kripto. Perusahaan mengakui pada saat itu bahwa platform crypto memiliki kewajiban untuk melindungi pengguna dan menerapkan proses untuk mencegah kejahatan keuangan, bersama dengan tanggung jawab untuk bekerja dengan regulator dan pembuat kebijakan untuk menetapkan standar agar pengguna tetap aman.

Selengkapnya: The Guardian

Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

October 1, 2022 by Søren

Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

“Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

Selengkapnya: The Hacker News

Sophos memperingatkan bug RCE firewall baru yang dieksploitasi dalam serangan

September 24, 2022 by Søren

Sophos hari ini memperingatkan bahwa kerentanan keamanan injeksi kode kritis dalam produk Firewall perusahaan sedang dieksploitasi secara liar.

Dilacak sebagai CVE-2022-3236, cacat ditemukan di Portal Pengguna dan Webadmin dari Sophos Firewall, memungkinkan penyerang untuk mengeksekusi kode (RCE).

Perusahaan mengatakan telah merilis perbaikan terbaru untuk versi Sophos Firewall yang terpengaruh oleh bug keamanan ini (v19.0 MR1 (19.0.1) dan yang lebih lama) yang akan diluncurkan secara otomatis ke semua instance karena pembaruan otomatis diaktifkan secara default.

“Tidak ada tindakan yang diperlukan untuk pelanggan Sophos Firewall dengan fitur ‘Izinkan pemasangan otomatis perbaikan terbaru’ yang diaktifkan pada versi yang diperbaiki (lihat bagian Remediasi di bawah). Diaktifkan adalah pengaturan default,” jelas Sophos.

Namun, perusahaan menambahkan bahwa pengguna Sophos Firewall versi lama harus meningkatkan ke versi yang didukung untuk menerima patch CVE-2022-3236.

Ini juga memberikan info terperinci tentang mengaktifkan fitur penginstalan hotfix otomatis dan memeriksa apakah hotfix berhasil diinstal.

Sophos juga memberikan solusi bagi pelanggan yang tidak dapat segera menambal perangkat lunak rentan yang akan mengharuskan mereka untuk memastikan bahwa Portal Pengguna dan Webadmin firewall tidak terkena akses WAN.

“Nonaktifkan akses WAN ke Portal Pengguna dan Webadmin dengan mengikuti praktik terbaik akses perangkat dan sebagai gantinya gunakan VPN dan/atau Sophos Central (lebih disukai) untuk akses dan manajemen jarak jauh,” tambah perusahaan.

Selengkapnya: Bleeping Computer

Serangan Trojan Linux “XorDdos” Melonjak, Menargetkan Cloud & IoT

May 28, 2022 by Søren

Penggunaan kejahatan dunia maya dari Trojan Linux yang dikenal sebagai XorDdos sedang meningkat, menurut sebuah laporan baru, yang menemukan peningkatan 254% dalam aktivitas jahat terhadap titik akhir Linux menggunakan malware selama enam bulan terakhir.

Ini pertama kali ditemukan pada tahun 2014, dan Tim Riset Pertahanan Microsoft 365 menjelaskan dalam posting blog baru-baru ini bahwa Trojan XorDdos menargetkan titik akhir cloud Linux dan Internet of Things (IoT), dan menyebarkan botnet untuk melakukan penolakan layanan terdistribusi (DDoS). ) serangan.

“Dengan mengkompromikan IoT dan perangkat lain yang terhubung ke internet, XorDdos mengumpulkan botnet yang dapat digunakan untuk melakukan serangan DDoS,” tulis tim tersebut dalam menggambarkan munculnya Trojan XorDdos.

“Serangan DDoS itu sendiri bisa sangat bermasalah karena berbagai alasan, tetapi serangan semacam itu juga dapat digunakan sebagai perlindungan untuk menyembunyikan aktivitas jahat lebih lanjut, seperti menyebarkan malware dan menyusup ke sistem target.”

Dark Reading

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

May 7, 2022 by Søren

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Anonim meretas Bank Komersial PSCB Rusia dan perusahaan di sektor energi

May 1, 2022 by Søren

Dilansir dari unggahan akun twitter @YourAnonTV pada 26 April 2022, Grup tertaut Anonymous ‘NB 65’ (@xxNB65) meretas 229.000 email dan 630.000 file dari Petersburg Social Commercial Bank (JSC Bank “PSCB”), salah satu dari 100 bank Rusia teratas dalam hal aset bersih. Dokumen hasil peretasan terebut kemudian diunggah dan tersedia di situs DDoSecrets.

“JSC Bank PSCB, Anda sekarang dikendalikan oleh Network Battalion 65. Kami sangat bersyukur bahwa Anda menyimpan begitu banyak kredensial di Chrome. Sudah selesai dilakukan dengan baik. Jelas bahwa respon insiden telah dimulai. Semoga berhasil mendapatkan data Anda kembali tanpa kami. Beritahu pemerintah Anda untuk meninggalkan Ukraina” tulis kelompok Network Battalion 65 atau NB 65. dalam unggahan asli di halaman twitter mereka pada 18 April 2022.

Kemudian, kelompok NB 65 membuat utas terkait aktivitas mereka di dalam jaringan bank yang terkompromi dengan nada seolah-olah mempermainkan.

Selain peretasan pada bank PSCB, pada 27 April 2022, kelompok Anonymous mengklaim bahwa mereka telah meretas 1,23 juta email (1.7TB data) dari Elektrocentromontazh (ECM), organisasi kekuatan utama Rusia. ECM merancang, membangun, memasang, dan memelihara peralatan listrik di fasilitas pembangkit listrik dan transmisi.

Mereka juga memberikan informasi klien domestik ECM terdiri dari pembangkit listrik tenaga nuklir Novovoronezh, Kursk dan Smolensk, Russian Railways JSC, perusahaan negara Direktorat Tenaga Moskow, departemen Energi Pemerintah Moskow, cabang JSC jaringan listrik Moskow bersatu, dan Baltic Oil Pipelines LLC.

Selengkapnya: Security Affairs

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

May 1, 2022 by Søren

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Entitas dan situs di atas telah mengambil sikap yang kuat untuk mendukung Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia, sehingga mereka tidak dipilih secara acak. Namun, tidak banyak yang diketahui tentang asal-usul serangan ini.

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

Selengkapnya: Bleeping Computer

Serangan Siber Menghantam Situs Web Pemerintah Rumania

May 1, 2022 by Søren

Pemerintah Rumania mengumumkan serangkaian serangan siber di situs web lembaga publik utama, termasuk pemerintah dan Kementerian Pertahanan, pada hari Jumat.

“Pagi ini, mengakses situs gov.ro, mapn.ro dan politiadefrontiera.ro [Polisi Perbatasan], cfrcalatori.ro [National RailRoads] dan situs lembaga keuangan dipengaruhi oleh serangkaian serangan cyber DDOS,” kata siaran pers.

Pemerintah mengatakan spesialis TI bekerja dengan para ahli dari lembaga khusus untuk memulihkan akses dan mengidentifikasi penyebabnya.

Kementerian Pertahanan mengkonfirmasi serangan siber, bersikeras bahwa serangan itu tidak membahayakan fungsi situs web, hanya memblokir akses pengguna ke sana.

Situs web Kementerian Pertahanan tidak berisi database sensitif atau rahasia, dan serangan itu tidak memengaruhi layanan dan jaringan komputer kementerian lainnya.

Menteri Pertahanan, Vasile Dincu, menyatakan bahwa serangan siber adalah “serangan simbolis”, tidak mempengaruhi database atau sistem komando dan kontrol.

“Serangan seperti itu ada di situs pemerintah bahkan tanpa perang yang berkelanjutan. Divisi keamanan siber kami sudah siap. Episode seperti ini juga dari amatir. Beberapa diatur secara kelembagaan,” kata Dincu.

Selengkapnya: Balkan Insight

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings