Cyber Threat

Peneliti Menemukan Paket PyPI Berbahaya, Menyamar sebagai SDK SentinelOne untuk Mencuri Data

December 20, 2022 by Mally

Peneliti keamanan siber telah menemukan paket berbahaya baru di repository Python Package Index (PyPI) yang meniru kit pengembangan perangkat lunak (SDK) untuk SentinelOne, sebuah perusahaan keamanan siber besar, sebagai bagian dari kampanye yang dijuluki SentinelSneak.

Paket bernama SentinelOne tersebut, yang diterbitkan antara 8 dan 11 Desember 2022 dengan hampir dua lusin versi didorong secara berurutan selama dua hari itu telah dihapus.

Penawaran metode ini yaitu lebih mudah untuk mengakses perusahaan namun memiliki celah belakang berbahaya untuk mengumpulkan informasi sensitif dari sistem pengembangan, termasuk kredensial akses, kunci SSH, dan data konfigurasi.

Menurut pengamatan, aktor ancaman telah merilis dua paket lagi dengan variasi penamaan serupa yaitu SentinelOne-sdk dan SentinelOneSDK.

Peneliti ancaman ReversingLabs, Karlo Zanki, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News bahwa paket SentinelOne hanyalah ancaman terbaru untuk memanfaatkan repositori PyPI dan menggarisbawahi ancaman yang berkembang terhadap rantai pasokan perangkat lunak, karena aktor jahat menggunakan strategi seperti ‘typosquatting’ untuk mengeksploitasi kebingungan pengembang dan mendorong kode berbahaya ke saluran pengembangan dan aplikasi yang sah.

Beberapa data yang diekstraksi oleh malware ke server jarak jauh termasuk riwayat eksekusi perintah shell, kunci SSH, dan file lain yang menarik, menunjukkan upaya pihak pelaku ancaman untuk menyedot informasi sensitif dari lingkungan pengembangan.

SentinelOne menyatakan tidak terlibat dengan paket Python berbahaya baru-baru ini dan bahwa pelaku ancaman tidak berhasil dalam upaya mereka. Perusahaan tersebut juga memastikan pelanggannya aman.

Temuan ini muncul ketika laporan Keamanan Rantai Pasokan Perangkat Lunak ReversingLabs menemukan bahwa repository PyPI telah menyaksikan penurunan hampir 60% dalam unggahan paket berbahaya pada tahun 2022, turun menjadi 1.493 paket dari 3.685 pada tahun 2021.

Berbanding terbalik dengan repository npm JavaScript yang mengalami peningkatan 40% menjadi hampir 7.000. Secara keseluruhan, tren paket berbahaya sejak 2020 telah menunjukkan peningkatan 100 kali lipat dalam npm dan lebih dari 18.000% dalam PyPI.

Selengkapnya: The Hacker News

Google Mengidentifikasi 34 Versi Crack Alat Peretasan Cobalt Strike Populer di Alam Liar

November 22, 2022 by Mally

Google Cloud minggu lalu mengungkapkan bahwa mereka mengidentifikasi 34 versi rilis yang diretas dari alat Cobalt Strike di alam liar, yang paling awal dikirim pada November 2012.

Cobalt Strike, dikembangkan oleh Fortra (née HelpSystems), adalah kerangka kerja permusuhan populer yang digunakan oleh tim merah untuk mensimulasikan skenario serangan dan menguji ketahanan pertahanan dunia maya mereka.

“Sementara niat Cobalt Strike adalah untuk meniru ancaman dunia maya yang nyata, aktor jahat telah memanfaatkan kemampuannya, dan menggunakannya sebagai alat yang kuat untuk pergerakan lateral di jaringan korban mereka sebagai bagian dari muatan serangan tahap kedua mereka,” Greg Sinclair, seorang insinyur balik di anak perusahaan Google Chronicle, mengatakan.

Dalam upaya untuk mengatasi penyalahgunaan ini, GCTI telah merilis seperangkat Aturan YARA open source untuk menandai berbagai varian perangkat lunak yang digunakan oleh grup peretas berbahaya.

Idenya adalah untuk “mengecualikan versi buruk sambil membiarkan yang sah tidak tersentuh,” kata Sinclair, menambahkan “niat kami adalah untuk memindahkan alat kembali ke domain tim merah yang sah dan mempersulit orang jahat untuk menyalahgunakan.”

sumber : the hacker news

Server Microsoft Exchange diretas untuk menyebarkan ransomware LockBit

October 12, 2022 by Mally

Microsoft sedang menyelidiki laporan bug zero-day baru yang disalahgunakan untuk meretas server Exchange yang kemudian digunakan untuk meluncurkan serangan ransomware Lockbit.

Setidaknya dalam satu insiden sejak Juli 2022, penyerang menggunakan web shell yang sebelumnya digunakan pada server Exchange yang disusupi untuk meningkatkan hak istimewa ke admin Active Directory, mencuri sekitar 1,3 TB data, dan mengenkripsi sistem jaringan.

Seperti yang dijelaskan oleh perusahaan keamanan siber Korea Selatan AhnLab, yang ahli analisis forensiknya dipekerjakan untuk membantu penyelidikan, pelaku ancaman hanya membutuhkan waktu seminggu untuk membajak akun admin AD sejak web shell diunggah.

AhnLab mengatakan server Exchange kemungkinan diretas menggunakan “kerentanan zero-day yang tidak diungkapkan,” mengingat korban menerima dukungan teknis dari Microsoft untuk menyebarkan patch keamanan triwulanan setelah kompromi sebelumnya dari Desember 2021.

Seperti yang dikatakan juru bicara Microsoft kepada BleepingComputer sebelumnya, perusahaan sedang “menyelidiki klaim dalam laporan ini dan akan mengambil tindakan apa pun yang diperlukan untuk membantu melindungi pelanggan.”

Selengkapnya: Bleeping Computer

Toyota mengungkapkan kebocoran data setelah adanya access key yang tidak dilindungi di GitHub

October 12, 2022 by Mally

Toyota Motor Corporation memperingatkan bahwa informasi pribadi pelanggan mungkin telah terungkap setelah access key tersedia untuk umum di GitHub selama hampir lima tahun.

Toyota T-Connect adalah aplikasi konektivitas resmi pembuat mobil yang memungkinkan pemilik mobil Toyota untuk menghubungkan smartphone mereka dengan sistem infotainment kendaraan untuk panggilan telepon, musik, navigasi, integrasi notifikasi, data mengemudi, status mesin, konsumsi bahan bakar, dan banyak lagi.

Toyota baru-baru ini menemukan bahwa sebagian dari kode sumber situs T-Connect salah dipublikasikan di GitHub dan berisi access key ke server data yang menyimpan alamat email pelanggan dan nomor manajemen.

Ini memungkinkan pihak ketiga yang tidak berwenang untuk mengakses detail 296.019 pelanggan antara Desember 2017 dan 15 September 2022, ketika akses ke repositori GitHub dibatasi.

Pengumuman tersebut menjelaskan bahwa nama pelanggan, data kartu kredit, dan nomor telepon tidak dikompromikan karena tidak disimpan dalam database yang terbuka.

Pembuat mobil Jepang menyimpulkan bahwa meskipun tidak ada tanda-tanda penyalahgunaan data, tidak menutup kemungkinan seseorang telah mengakses dan mencuri data tersebut.

Untuk itu, seluruh pengguna T-Connect yang mendaftar antara Juli 2017 hingga September 2022 dihimbau untuk waspada terhadap penipuan phishing dan menghindari membuka lampiran email dari pengirim tidak dikenal yang mengaku dari Toyota.

Selengkapnya: Bleeping Computer

Layanan kafein memungkinkan siapa saja meluncurkan serangan phishing Microsoft 365

October 12, 2022 by Mally

Platform phishing-as-a-service (PhaaS) bernama ‘Caffeine’ memudahkan pelaku ancaman untuk meluncurkan serangan, menampilkan proses pendaftaran terbuka yang memungkinkan siapa saja untuk masuk dan memulai kampanye phishing mereka sendiri.

Kafein tidak memerlukan undangan atau rujukan, juga tidak memerlukan calon pelaku ancaman untuk mendapatkan persetujuan dari admin di Telegram atau forum peretasan. Karena itu, Caffeine menghilangkan banyak hambatan yang menjadi ciri hampir semua platform semacam ini.

Ciri khas lain dari Caffeine adalah bahwa template phishingnya menargetkan platform Rusia dan Cina, sedangkan sebagian besar platform PhaaS cenderung berfokus pada umpan untuk layanan Barat.

Analis Mandiant menemukan dan menguji Caffeine secara menyeluruh, dan melaporkan bahwa Caffeine adalah PhaaS kaya fitur yang mengkhawatirkan mengingat hambatannya yang rendah untuk masuk.

Dalam hal opsi phishing, beberapa fitur lanjutan yang ditawarkan oleh platform ini meliputi:

Mekanisme untuk menyesuaikan skema URL dinamis untuk membantu menghasilkan halaman yang diisi sebelumnya secara dinamis dengan informasi khusus korban.
Halaman pengalihan kampanye tahap pertama dan halaman iming-iming terakhir.
Opsi pemblokiran IP untuk pemblokiran geografis, pemblokiran berbasis range CIDR, dll.

Selengkapnya: Bleeping Computer

Hampir 30% bug plugin WordPress kritis tidak mendapatkan tambalan

March 11, 2022 by Mally

Patchstack, pemimpin dalam keamanan WordPress dan intelijen ancaman, telah merilis whitepaper untuk menyajikan keadaan keamanan WordPress pada tahun 2021, dan laporan tersebut memberikan gambaran yang mengerikan.

Lebih detailnya, 2021 telah melihat pertumbuhan 150% dalam kerentanan yang dilaporkan dibandingkan dengan tahun sebelumnya, sementara 29% dari kelemahan kritis dalam plugin WordPress tidak pernah menerima pembaruan keamanan.

Ini mengkhawatirkan mengingat WordPress adalah sistem manajemen konten paling populer di dunia, digunakan di 43,2% dari semua situs web di luar sana.

Dari semua kerentanan yang dilaporkan pada tahun 2021, hanya 0,58% yang ada di inti WordPress, dengan sisanya berada di tema dan plugin untuk platform, yang berasal dari berbagai sumber dan pengembang yang berbeda.

Khususnya, 91,38% dari kekurangan ini ditemukan di plugin gratis, sedangkan add-on WordPress berbayar/premium hanya menyumbang 8,62% dari total, mencerminkan prosedur pemeriksaan dan pengujian kode yang lebih baik.

PatchStack juga melaporkan bahwa cross-site scripting (XSS) menduduki puncak daftar dengan jenis kelemahan WordPress yang paling banyak dilaporkan pada tahun 2021, diikuti oleh “campuran”, cross-site request forgery, SQL injection, dan unggahan file yang sewenang-wenang.

Sekitar 42% situs WordPress memiliki setidaknya satu komponen rentan pada tahun 2021, dari rata-rata 18 yang diinstal. Meskipun jumlah ini lebih rendah dari 23 plugin yang dipasang di situs pada tahun 2020, masalahnya tetap ada karena enam dari 18 plugin sudah usang.

Selengkapnya: Bleeping Computer

Eksperimen Honeypot mengungkapkan apa yang diinginkan peretas dari perangkat IoT

December 24, 2021 by Mally

Eksperimen honeypot selama tiga tahun yang menampilkan interaksi rendah perangkat IoT yang disimulasikan dari berbagai jenis dan lokasi memberikan gambaran yang jelas tentang mengapa aktor menargetkan perangkat tertentu.

Perangkat IoT (Internet of Things) adalah pasar yang sedang booming yang mencakup perangkat kecil yang terhubung ke internet seperti kamera, lampu, bel pintu, TV pintar, sensor gerak, speaker, termostat, dan banyak lagi.

Diperkirakan bahwa pada tahun 2025, lebih dari 40 miliar perangkat ini akan terhubung ke Internet, menyediakan titik masuk jaringan atau sumber daya komputasi yang dapat digunakan dalam penambangan kripto yang tidak sah atau sebagai bagian dari kawanan DDoS.

Tiga komponen ekosistem honeypot yang dibuat oleh para peneliti di NIST dan University of Florida termasuk server farm, vetting system, dan infrastruktur pengambilan dan analisis data.

Tiga jenis utama honeypots adalah sebagai berikut:

HoneyShell – Meniru Busybox
HoneyWindowsBox – Meniru perangkat IoT yang menjalankan OS Windows
HoneyCamera – Meniru berbagai kamera IP dari Hikvision, D-Link, dan perangkat lainnya.

Eksperimen ini menghasilkan data dari 22,6 juta hit besar, dengan sebagian besar menargetkan honeypot HoneyShell.

Para peneliti menemukan bahwa honeypots HoneyShell dan HoneyCamera ditargetkan terutama untuk perekrutan DDoS dan sering juga terinfeksi varian Mirai atau penambang koin.

Infeksi penambang koin adalah pengamatan paling umum di honeypot Windows, diikuti oleh virus, dropper, dan trojan.

Selengkapnya: Bleeping Computer

Operator telekomunikasi yang ditargetkan dalam kampanye peretasan spionase baru-baru ini

December 15, 2021 by Mally

Para peneliti telah melihat kampanye peretasan spionase baru yang menargetkan penyedia layanan telekomunikasi dan TI di Timur Tengah dan Asia.

Kampanye telah dilakukan selama enam bulan terakhir, dan ada hubungan tentatif dengan aktor yang didukung Iran, MERCURY (alias MuddyWater, SeedWorm, atau TEMP.Zagros).

Laporan tersebut berasal dari Tim Pemburu Ancaman di Symantec, yang telah mengumpulkan bukti dan sampel perangkat dari serangan baru-baru ini di Israel, Yordania, Kuwait, Arab Saudi, Uni Emirat Arab, Pakistan, Thailand, dan Laos.

Penyerang tampaknya paling tertarik pada Server Exchange yang rentan, yang mereka gunakan untuk penyebaran shell web.

Setelah pelanggaran awal, mereka mencuri kredensial akun dan bergerak secara lateral di jaringan perusahaan. Dalam beberapa kasus, mereka menggunakan pijakan mereka untuk berporos ke organisasi lain yang terhubung.

Meskipun vektor infeksi tidak diketahui, Symantec dapat menemukan kasus file ZIP bernama “Special discount program.zip,” yang berisi installer untuk aplikasi perangkat lunak desktop jarak jauh. Pelaku ancaman mungkin mendistribusikan email spear-phishing ke target tertentu.

Meskipun atribusinya tidak pasti, Symantec mencatat dua alamat IP yang tumpang tindih dengan infrastruktur yang digunakan dalam serangan MuddyWater yang lebih lama.

Selain itu, perangkat yang digunakan memiliki beberapa kesamaan dengan serangan Maret 2021 yang dilaporkan oleh peneliti Trend Micro.

Namun, banyak aktor yang didukung negara Iran menggunakan alat yang tersedia dan secara teratur beralih infrastruktur, dan dengan demikian, tidak ada atribusi konklusif yang dapat dibuat saat ini.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Threat

Cookies Settings