Cyber Threat

Screentime: Terkadang Rasanya Seperti Seseorang Mengawasi Saya

February 10, 2023 by Søren

Sejak Oktober 2022 dan berlanjut hingga Januari 2023, Proofpoint telah mengamati sekelompok aktivitas yang termotivasi secara finansial yang berkembang yang kami sebut sebagai “Screentime”.

Rantai serangan dimulai dengan email yang berisi lampiran atau URL berbahaya dan mengarah ke malware yang dijuluki Proofpoint WasabiSeed dan Screenshotter. Dalam beberapa kasus, Proofpoint mengamati aktivitas pasca eksploitasi yang melibatkan AHK Bot dan Rhadamanthys Stealer.

Proofpoint sedang melacak aktivitas ini di bawah penunjukan aktor ancaman TA866. Proofpoint menilai bahwa TA866 adalah aktor terorganisir yang mampu melakukan serangan yang dipikirkan dengan baik dalam skala besar berdasarkan ketersediaan alat khusus; kemampuan dan koneksi untuk membeli alat dan layanan dari vendor lain; dan meningkatkan volume aktivitas.

Pada tanggal 23-24 Januari 2023, Proofpoint mengamati puluhan ribu pesan email yang menargetkan lebih dari seribu organisasi. Pesan menargetkan organisasi di AS dan Jerman. Email tersebut tampaknya menggunakan pembajakan utas, iming-iming “periksa presentasi saya”, dan berisi URL jahat yang memulai rantai serangan multi-langkah.

Selengkapnya: proofpoint

Cybercrime adalah ekonomi terbesar ketiga di dunia berkat booming pasar gelap

February 5, 2023 by Søren

Cybercrime telah tumbuh menjadi ekonomi terbesar ketiga di dunia setelah AS dan China, menurut World Economic Forum (WEF). Berdasarkan data dari Cybersecurity Ventures, diproyeksikan akan menelan biaya $8 triliun dunia pada tahun 2023 dan $10,5 triliun pada tahun 2025.

Siapa pun dapat membeli akses ke jaringan dan ransomware secara online, yang merupakan salah satu pendorong utama pertumbuhan ini, kata Gordon kepada Cybernews dalam sebuah wawancara. Pelaku ancaman tidak memerlukan keterampilan teknis untuk meluncurkan serangan siber atau ransomware yang canggih, katanya.

“Ada lebih banyak pemain dalam game karena semua alat ini sudah tersedia, jadi Anda tidak perlu melakukan apa pun,” kata Gordon.

Pembayaran tebusan ransomware rata-rata telah mencapai $800.000, menurut penelitian Sophos tahun lalu. Laporan terbaru dari Nozomi memperingatkan bahwa asuransi siber bisa menjadi salah satu penyebabnya.

Penjahat dunia maya juga siap mengeksploitasi celah keamanan akibat adopsi cepat Internet of Things (IoT) – atau sistem perangkat yang terhubung – di seluruh sektor kesehatan, pendidikan, dan bisnis.

Menurut WEF, 1,5 miliar serangan bertarget IoT tercatat pada paruh pertama tahun 2021, meningkat 15,1% dari tahun sebelumnya. “Jika pelaku ancaman melakukan ini, itu karena mereka berhasil mengeksploitasi perangkat IoT ini,” kata Gordon.

Selain penjahat bermotivasi finansial dan aktor negara-bangsa yang menargetkan infrastruktur kritis untuk keuntungan materi, perang Rusia di Ukraina juga telah menyaksikan munculnya aktivis peretas yang bermotivasi politik, yang selanjutnya berkontribusi pada pertumbuhan ekonomi kejahatan dunia maya.

Fasilitas perawatan kesehatan telah menjadi “target utama” bagi penjahat dunia maya karena sifat sensitif data mereka, menurut laporan Nozomi, yang menimbulkan ancaman unik. “Dalam perawatan kesehatan, serangan bisa berarti hilangnya nyawa,” kata Gordon.

Selengkapnya: Sky Magazine

Peneliti Menemukan Paket PyPI Berbahaya, Menyamar sebagai SDK SentinelOne untuk Mencuri Data

December 20, 2022 by Flamango

Peneliti keamanan siber telah menemukan paket berbahaya baru di repository Python Package Index (PyPI) yang meniru kit pengembangan perangkat lunak (SDK) untuk SentinelOne, sebuah perusahaan keamanan siber besar, sebagai bagian dari kampanye yang dijuluki SentinelSneak.

Paket bernama SentinelOne tersebut, yang diterbitkan antara 8 dan 11 Desember 2022 dengan hampir dua lusin versi didorong secara berurutan selama dua hari itu telah dihapus.

Penawaran metode ini yaitu lebih mudah untuk mengakses perusahaan namun memiliki celah belakang berbahaya untuk mengumpulkan informasi sensitif dari sistem pengembangan, termasuk kredensial akses, kunci SSH, dan data konfigurasi.

Menurut pengamatan, aktor ancaman telah merilis dua paket lagi dengan variasi penamaan serupa yaitu SentinelOne-sdk dan SentinelOneSDK.

Peneliti ancaman ReversingLabs, Karlo Zanki, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News bahwa paket SentinelOne hanyalah ancaman terbaru untuk memanfaatkan repositori PyPI dan menggarisbawahi ancaman yang berkembang terhadap rantai pasokan perangkat lunak, karena aktor jahat menggunakan strategi seperti ‘typosquatting’ untuk mengeksploitasi kebingungan pengembang dan mendorong kode berbahaya ke saluran pengembangan dan aplikasi yang sah.

Beberapa data yang diekstraksi oleh malware ke server jarak jauh termasuk riwayat eksekusi perintah shell, kunci SSH, dan file lain yang menarik, menunjukkan upaya pihak pelaku ancaman untuk menyedot informasi sensitif dari lingkungan pengembangan.

SentinelOne menyatakan tidak terlibat dengan paket Python berbahaya baru-baru ini dan bahwa pelaku ancaman tidak berhasil dalam upaya mereka. Perusahaan tersebut juga memastikan pelanggannya aman.

Temuan ini muncul ketika laporan Keamanan Rantai Pasokan Perangkat Lunak ReversingLabs menemukan bahwa repository PyPI telah menyaksikan penurunan hampir 60% dalam unggahan paket berbahaya pada tahun 2022, turun menjadi 1.493 paket dari 3.685 pada tahun 2021.

Berbanding terbalik dengan repository npm JavaScript yang mengalami peningkatan 40% menjadi hampir 7.000. Secara keseluruhan, tren paket berbahaya sejak 2020 telah menunjukkan peningkatan 100 kali lipat dalam npm dan lebih dari 18.000% dalam PyPI.

Selengkapnya: The Hacker News

Google Mengidentifikasi 34 Versi Crack Alat Peretasan Cobalt Strike Populer di Alam Liar

November 22, 2022 by Coffee Bean

Google Cloud minggu lalu mengungkapkan bahwa mereka mengidentifikasi 34 versi rilis yang diretas dari alat Cobalt Strike di alam liar, yang paling awal dikirim pada November 2012.

Cobalt Strike, dikembangkan oleh Fortra (née HelpSystems), adalah kerangka kerja permusuhan populer yang digunakan oleh tim merah untuk mensimulasikan skenario serangan dan menguji ketahanan pertahanan dunia maya mereka.

“Sementara niat Cobalt Strike adalah untuk meniru ancaman dunia maya yang nyata, aktor jahat telah memanfaatkan kemampuannya, dan menggunakannya sebagai alat yang kuat untuk pergerakan lateral di jaringan korban mereka sebagai bagian dari muatan serangan tahap kedua mereka,” Greg Sinclair, seorang insinyur balik di anak perusahaan Google Chronicle, mengatakan.

Dalam upaya untuk mengatasi penyalahgunaan ini, GCTI telah merilis seperangkat Aturan YARA open source untuk menandai berbagai varian perangkat lunak yang digunakan oleh grup peretas berbahaya.

Idenya adalah untuk “mengecualikan versi buruk sambil membiarkan yang sah tidak tersentuh,” kata Sinclair, menambahkan “niat kami adalah untuk memindahkan alat kembali ke domain tim merah yang sah dan mempersulit orang jahat untuk menyalahgunakan.”

sumber : the hacker news

Server Microsoft Exchange diretas untuk menyebarkan ransomware LockBit

October 12, 2022 by Winnie the Pooh

Microsoft sedang menyelidiki laporan bug zero-day baru yang disalahgunakan untuk meretas server Exchange yang kemudian digunakan untuk meluncurkan serangan ransomware Lockbit.

Setidaknya dalam satu insiden sejak Juli 2022, penyerang menggunakan web shell yang sebelumnya digunakan pada server Exchange yang disusupi untuk meningkatkan hak istimewa ke admin Active Directory, mencuri sekitar 1,3 TB data, dan mengenkripsi sistem jaringan.

Seperti yang dijelaskan oleh perusahaan keamanan siber Korea Selatan AhnLab, yang ahli analisis forensiknya dipekerjakan untuk membantu penyelidikan, pelaku ancaman hanya membutuhkan waktu seminggu untuk membajak akun admin AD sejak web shell diunggah.

AhnLab mengatakan server Exchange kemungkinan diretas menggunakan “kerentanan zero-day yang tidak diungkapkan,” mengingat korban menerima dukungan teknis dari Microsoft untuk menyebarkan patch keamanan triwulanan setelah kompromi sebelumnya dari Desember 2021.

Seperti yang dikatakan juru bicara Microsoft kepada BleepingComputer sebelumnya, perusahaan sedang “menyelidiki klaim dalam laporan ini dan akan mengambil tindakan apa pun yang diperlukan untuk membantu melindungi pelanggan.”

Selengkapnya: Bleeping Computer

Toyota mengungkapkan kebocoran data setelah adanya access key yang tidak dilindungi di GitHub

October 12, 2022 by Winnie the Pooh

Toyota Motor Corporation memperingatkan bahwa informasi pribadi pelanggan mungkin telah terungkap setelah access key tersedia untuk umum di GitHub selama hampir lima tahun.

Toyota T-Connect adalah aplikasi konektivitas resmi pembuat mobil yang memungkinkan pemilik mobil Toyota untuk menghubungkan smartphone mereka dengan sistem infotainment kendaraan untuk panggilan telepon, musik, navigasi, integrasi notifikasi, data mengemudi, status mesin, konsumsi bahan bakar, dan banyak lagi.

Toyota baru-baru ini menemukan bahwa sebagian dari kode sumber situs T-Connect salah dipublikasikan di GitHub dan berisi access key ke server data yang menyimpan alamat email pelanggan dan nomor manajemen.

Ini memungkinkan pihak ketiga yang tidak berwenang untuk mengakses detail 296.019 pelanggan antara Desember 2017 dan 15 September 2022, ketika akses ke repositori GitHub dibatasi.

Pengumuman tersebut menjelaskan bahwa nama pelanggan, data kartu kredit, dan nomor telepon tidak dikompromikan karena tidak disimpan dalam database yang terbuka.

Pembuat mobil Jepang menyimpulkan bahwa meskipun tidak ada tanda-tanda penyalahgunaan data, tidak menutup kemungkinan seseorang telah mengakses dan mencuri data tersebut.

Untuk itu, seluruh pengguna T-Connect yang mendaftar antara Juli 2017 hingga September 2022 dihimbau untuk waspada terhadap penipuan phishing dan menghindari membuka lampiran email dari pengirim tidak dikenal yang mengaku dari Toyota.

Selengkapnya: Bleeping Computer

Layanan kafein memungkinkan siapa saja meluncurkan serangan phishing Microsoft 365

October 12, 2022 by Winnie the Pooh

Platform phishing-as-a-service (PhaaS) bernama ‘Caffeine’ memudahkan pelaku ancaman untuk meluncurkan serangan, menampilkan proses pendaftaran terbuka yang memungkinkan siapa saja untuk masuk dan memulai kampanye phishing mereka sendiri.

Kafein tidak memerlukan undangan atau rujukan, juga tidak memerlukan calon pelaku ancaman untuk mendapatkan persetujuan dari admin di Telegram atau forum peretasan. Karena itu, Caffeine menghilangkan banyak hambatan yang menjadi ciri hampir semua platform semacam ini.

Ciri khas lain dari Caffeine adalah bahwa template phishingnya menargetkan platform Rusia dan Cina, sedangkan sebagian besar platform PhaaS cenderung berfokus pada umpan untuk layanan Barat.

Analis Mandiant menemukan dan menguji Caffeine secara menyeluruh, dan melaporkan bahwa Caffeine adalah PhaaS kaya fitur yang mengkhawatirkan mengingat hambatannya yang rendah untuk masuk.

Dalam hal opsi phishing, beberapa fitur lanjutan yang ditawarkan oleh platform ini meliputi:

Mekanisme untuk menyesuaikan skema URL dinamis untuk membantu menghasilkan halaman yang diisi sebelumnya secara dinamis dengan informasi khusus korban.
Halaman pengalihan kampanye tahap pertama dan halaman iming-iming terakhir.
Opsi pemblokiran IP untuk pemblokiran geografis, pemblokiran berbasis range CIDR, dll.

Selengkapnya: Bleeping Computer

Membentuk Kembali Lanskap Ancaman: Serangan Siber Deepfake Ada di Sini

October 2, 2022 by Søren

Sebuah studi baru tentang penggunaan dan penyalahgunaan deepfake oleh penjahat dunia maya menunjukkan bahwa semua elemen yang diperlukan untuk penggunaan teknologi secara luas telah tersedia dan tersedia di pasar bawah tanah dan forum terbuka.

Studi oleh Trend Micro menunjukkan bahwa banyak phishing yang mendukung deepfake, kompromi email bisnis (BEC), dan penipuan promosi telah terjadi dan dengan cepat membentuk kembali lanskap ancaman.

“Dari ancaman hipotetis dan bukti konsep, [serangan yang diaktifkan dengan pemalsuan palsu] telah pindah ke tahap di mana penjahat non-dewasa mampu menggunakan teknologi semacam itu,” kata Vladimir Kropotov, peneliti keamanan dengan Trend Micro dan penulis utama sebuah melaporkan topik yang dirilis vendor keamanan minggu ini.

‘Kami sudah melihat bagaimana deepfake diintegrasikan ke dalam serangan terhadap lembaga keuangan, penipuan, dan upaya untuk meniru politisi,’ katanya, menambahkan bahwa yang menakutkan adalah banyak dari serangan ini menggunakan identitas orang sungguhan – sering kali diambil dari konten yang mereka posting di media sosial. jaringan media.

Salah satu kesimpulan utama dari studi Trend Micro adalah ketersediaan alat, gambar, dan video untuk menghasilkan deepfake. Vendor keamanan menemukan, misalnya, bahwa beberapa forum, termasuk GitHub, menawarkan kode sumber untuk mengembangkan deepfake kepada siapa saja yang menginginkannya.

Demikian pula, gambar dan video berkualitas tinggi yang cukup dari individu biasa dan tokoh masyarakat tersedia bagi aktor jahat untuk dapat menciptakan jutaan identitas palsu atau untuk menyamar sebagai politisi, pemimpin bisnis, dan tokoh terkenal lainnya.

Selengkapnya: DARKReading

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Threat

Cookies Settings