Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

by

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sumber: Group IB

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Malware Android Iran “RANA” juga Memata-matai Pesan Instan

by

Sebuah tim peneliti mengungkap kemampuan implan spyware Android yang sebelumnya dirahasiakan — yang dikembangkan oleh aktor ancaman Iran yang dikenai sanksi — yang memungkinkan penyerang memata-matai obrolan pribadi dari aplikasi pesan instan populer, memaksa koneksi Wi-Fi, dan menjawab panggilan otomatis dari nomor tertentu untuk tujuan menguping percakapan.

Pada bulan September, Departemen Keuangan AS menjatuhkan sanksi pada APT39 (alias Chafer, ITG07, atau Remix Kitten) – aktor ancaman Iran yang didukung oleh Kementerian Intelijen dan Keamanan (MOIS) negara itu – karena melakukan kampanye malware yang menargetkan para pembangkang Iran, wartawan, dan perusahaan internasional di sektor telekomunikasi dan perjalanan.

Bertepatan dengan sanksi tersebut, Federal Bureau of Investigation (FBI) merilis laporan analisis ancaman publik yang menjelaskan beberapa alat yang digunakan oleh Rana Intelligence Computing Company, yang beroperasi sebagai front untuk aktivitas cyber berbahaya yang dilakukan oleh grup APT39.

Secara resmi menghubungkan operasi APT39 ke Rana, FBI merinci delapan set malware terpisah dan berbeda yang sebelumnya tidak diungkapkan yang digunakan oleh grup untuk melakukan gangguan komputer dan aktivitas pengintaian, termasuk aplikasi spyware Android yang disebut “optimizer.apk” dengan kemampuan mencuri informasi dan akses jarak jauh.

Menurut peneliti Karlo Zanki, implan tidak hanya memiliki izin untuk merekam audio dan mengambil foto untuk keperluan pengawasan pemerintah, tetapi juga berisi fitur untuk menambahkan titik akses Wi-Fi khusus dan memaksa perangkat yang dikompromikan untuk terhubung dengannya.

Yang juga perlu diperhatikan adalah kemampuan untuk menjawab panggilan secara otomatis dari nomor telepon tertentu, sehingga memungkinkan pelaku ancaman untuk memanfaatkan percakapan sesuai permintaan.

Selain menampilkan dukungan untuk menerima perintah yang dikirim melalui pesan SMS, varian terbaru malware “optimizer” yang direferensikan oleh FBI menyalahgunakan layanan aksesibilitas untuk mengakses konten aplikasi pesan instan seperti WhatsApp, Instagram, Telegram, Viber, Skype, dan klien Telegram tidak resmi yang berbasis di Iran bernama Talaeii.

Sumber: The Hacker News

NSA: Peretas negara Rusia mengeksploitasi kerentanan VMware baru untuk mencuri data

by

Badan Keamanan Nasional (NSA) AS memperingatkan bahwa pelaku ancaman yang disponsori negara Rusia mengeksploitasi kerentanan VMware yang baru-baru ini ditambal untuk mencuri informasi sensitif setelah menyebarkan web shell pada server yang rentan.

“NSA mendorong administrator jaringan Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB) untuk memprioritaskan mitigasi kerentanan pada server yang terkena dampak,” kata badan intelijen Departemen Pertahanan AS.

VMware merilis pembaruan keamanan untuk mengatasi bug keamanan pada 3 Desember setelah mengungkapkan kerentanan secara publik dua minggu lalu dan menyediakan solusi sementara yang sepenuhnya menghapus vektor serangan dan mencegah eksploitasi.

CVE-2020-4006 awalnya dinilai sebagai kerentanan keparahan kritis tetapi VMware telah menurunkan peringkat keparahan maksimumnya ke ‘Important’ setelah merilis tambalan dan membagikan bahwa eksploitasi memerlukan “kata sandi yang valid untuk akun admin konfigurator.”

Dalam serangan yang mengeksploitasi CVE-2020-4006, NSA mengamati pelaku ancaman yang terhubung ke antarmuka manajemen berbasis web yang terekspos dari perangkat yang menjalankan produk VMware yang rentan dan menyusup ke jaringan organisasi untuk memasang web shell menggunakan perintah injeksi.

Setelah memasang web shell, penyerang mencuri data sensitif menggunakan kredensial SAML untuk mendapatkan akses ke server Microsoft Active Directory Federation Services (ADFS).

Eksploitasi kerentanan yang berhasil juga memungkinkan penyerang untuk menjalankan perintah Linux pada perangkat yang disusupi yang dapat membantu mereka mendapatkan persistence.

Mendeteksi serangan ini menggunakan indikator berbasis jaringan tidak dapat dilakukan karena aktivitas berbahaya dilakukan setelah tersambung ke antarmuka manajemen web melalui jalur terenkripsi TLS.

Namun, pernyataan ‘exit’ yang diikuti dengan angka 3-digit seperti ‘exit 123’ yang ditemukan di /opt/vmware/horizon/workspace/logs/configurator.log di server merupakan indikasi bahwa aktivitas eksploitasi mungkin telah terjadi di perangkat.

Sumber: Bleeping Computer

Bug PlayStation Now memungkinkan situs menjalankan kode berbahaya di PC Windows

by

Bug keamanan yang ditemukan di aplikasi cloud gaming PlayStation Now (PS Now) Windows memungkinkan penyerang untuk mengeksekusi kode arbitrary pada perangkat Windows yang menjalankan versi aplikasi yang rentan.

Kerentanan yang ditemukan oleh bug bounty hunter Parsia Hakimian memengaruhi PS Now versi 11.0.2 dan sebelumnya di komputer yang menjalankan Windows 7 SP1 atau yang lebih baru.

Hakimian melaporkan bug PS Now pada 13 Mei 2020, melalui program bug bounty resmi PlayStation di HackerOne. PlayStation mengatasi bug tersebut dan menandai laporan bug tersebut sebagai ‘Terselesaikan’ satu bulan kemudian, pada 25 Juni 2020.

Hakimian menemukan bahwa, masalah keamanan kritis memungkinkan penyerang yang tidak berkepentingan meluncurkan serangan eksekusi kode jarak jauh (RCE) dengan menyalahgunakan kelemahan injeksi kode.

Untuk berhasil mengeksploitasi bug RCE, penyerang harus membujuk pengguna PS NOW yang perangkatnya ingin mereka targetkan untuk membuka situs yang dibuat khusus menggunakan tautan jahat yang disediakan melalui email phishing, forum, saluran Discord, dll.

Sumber: Bleeping Computer

Lebih dari 20 juta ponsel Gionee diam-diam ditanami Trojan Horse untuk menghasilkan uang

by

Baru-baru ini, Jaringan Dokumen Penghakiman China menerbitkan putusan tentang kontrol ilegal sistem informasi komputer yang ditemukan telah dieksekusi pada telepon Gionee.

Menurut rincian pengadilan, lebih dari 20 juta ponsel Gionee sengaja ditanami malware Trojan Horse melalui aplikasi antara Desember 2018 dan Oktober 2019. Aplikasi tersebut menjadi alat untuk mendapatkan keuntungan dari pengguna melalui iklan yang tidak diminta dan cara tidak sah lainnya.

Pengadilan memutuskan bahwa Beijing Baice Technology Co., Ltd. bersekongkol dengan tergugat Shenzhen Zhipu Technology Co., Ltd. (anak perusahaan Gionee) untuk menanamkan program Trojan Horse ke dalam ponsel Gionee melalui pembaruan aplikasi “Story Lock Screen”. Perangkat lunak ini secara otomatis diperbarui pada ponsel Gionee yang terpengaruh tanpa sepengetahuan pengguna menggunakan metode “Pull”.

Rincian pengadilan mengungkapkan bahwa dari Desember 2018 hingga Oktober 2019, Beijing Baice Company dan Shenzhen Zhipu Company berhasil melaksanakan “aktivitas pull” sebanyak 2,88 miliar kali.

Dalam hal pendapatan, perusahaan diperkirakan telah memperoleh RMB 27,85 juta dari bisnis “pull” Beijing Baice Company, sementara perkiraan biaya mereka berada pada 8,425 juta yuan.

Praktik ini umum terjadi di ponsel Cina murah menurut laporan yang diterbitkan pada bulan Agustus tahun ini yang mendeteksi malware di ponsel Infinix dan Tecno yang dapat mencuri uang pengguna.

Sumber: Gizmo China

Ransomware Menjadi Bisnis Serius dan Menguntungkan – Semua yang Perlu Kamu Ketahui

by

Apa itu Ransomware?

Penjahat siber menggunakan encrypted ransomware yang menjadi jenis paling umum karena sulit untuk memecahkan enkripsi dan menghapus malware.

Ransomware mengenkripsi file seolah-olah mereka secara aktif dienkripsi, tetapi sebenarnya, mereka disembunyikan dalam file terpisah, yang menunggu serangkaian kondisi yang ditentukan untuk dibuka sebelum mereka didekripsi.

Dalam kasus ransomware, virus dapat mengenkripsi file tanpa sepengetahuan atau persetujuan pengguna.

Kunci enkripsi dibuat secara offline dan disematkan di malware sebelum dikirim untuk menyerang Anda, atau tertanam di malware yang dikirim selama serangan.

Setelah file Anda dienkripsi, virus akan membuat tutorial tentang cara mendapatkan kunci dekripsi yang tersedia untuk Anda jika Anda membayar uang tebusan. Anda akan diperlihatkan tautan untuk mengunduh decoder yang diperlukan.

Jenis-jenis Ransomware

  • Encryption Ransomware
  • Screen-locking Ransomware
  • Master Boot Record (MBR) Ransomware
  • Web Servers Encrypting Ransomware
  • Mobile Ransomware

Timeline Ransomware

Vektor Serangan Ransomware

Ketika perusahaan yang telah diserang oleh ransomware selama bertahun-tahun diperiksa, serangan phishing email, remote desktop protocol (RDP), dan kerentanan keamanan adalah 3 alasan utama.

Aktor ancaman seperti REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP, dan Nefilim telah menggunakan sistem Citrix yang rentan terhadap CVE-2019–19781 sebagai titik masuk untuk serangan ransomware.

Vektor Serangan Lainnya;

  • Penggunaan perangkat media berbahaya
  • Situs web yang disusupi
  • Download file yang terinfeksi
  • Aplikasi seluler berbahaya
  • Aplikasi pesan berbahaya
  • Penggunaan kata sandi yang lemah
  • Kebijakan keamanan yang buruk

Bagaimana Melindungi Diri Anda?

  • Tentukan inventaris aset digital kamu.
  • Sesuaikan pengaturan anti-spam kamu dengan benar dan gunakan filter spam yang kuat.
  • Jangan membuka email yang mencurigakan dan lampirannya.
  • Hindari memberikan informasi pribadi.
  • Gunakan fitur Show File Extensions.
  • Tambal perangkat lunak kamu dan perbarui terus

Dan ingat, jangan pernah membayar tebusan yang diminta oleh pelaku. Perusahaan penegak hukum dan Keamanan TI telah bergabung untuk mengganggu bisnis penjahat siber dengan koneksi ransomware. Dengan tidak membayar tebusan, kamu telah membantu mereka untuk menghentikan adanya serangan ransomware lainnya. Karena sebagian besar pelaku termotivasi secara finansial untuk menyebarkan ransomware dan mendapatkan uang secara mudah dari sana.

Sumber: Medium The Startup

Pengecer nasional Kmart mengalami serangan ransomware

by

Diberitakan oleh BleepingComputer, department store AS Kmart telah mengalami serangan ransomware yang berdampak pada layanan back-end di perusahaan tersebut.

Kmart mengalami serangan siber oleh operasi ransomware Egregor minggu ini yang mengakibatkan perangkat dan server di jaringan mereka terinkripsi.

Catatan tebusan yang dibagikan dengan BleepingComputer menunjukkan bahwa domain Windows ‘KMART’ disusupi dalam serangan itu.

Sementara toko online terus beroperasi, ‘Situs Sumber Daya Manusia Transformco,’ 88sears.com, saat ini sedang offline. Karyawan mengatakan bahwa pemadaman ini disebabkan oleh serangan ransomware baru-baru ini.

Egregor dikenal karena mencuri file yang tidak dienkripsi sebelum menyebarkan ransomware mereka. Operasi ransomware kemudian mengancam untuk memposting data di situs kebocoran data ransomware jika uang tebusan tidak dibayarkan.

Tidak diketahui apakah penyerang mencuri data, berapa banyak perangkat yang dienkripsi, atau jumlah tebusan yang diminta oleh kelompok kejahatan siber Egregor.

Sumber: Bleeping Computer

Malware pencuri kartu kredit bersembunyi di ikon berbagi media sosial

by

Malware web skimming yang baru ditemukan mampu bersembunyi di depan mata untuk menyuntikkan skrip skimmer kartu pembayaran ke toko online yang disusupi.

Pembuat malware menggunakan muatan berbahaya yang disembunyikan sebagai tombol media sosial yang meniru platform profil tinggi seperti Facebook, Twitter, dan Instagram.

Skimmer kartu kredit adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan siber Magecart di halaman pembayaran situs e-commerce yang disusupi.

Setelah dimuat di toko yang ditargetkan, skrip secara otomatis memanen pembayaran dan informasi pribadi yang dikirimkan oleh pelanggan dan mengekstraknya ke server di bawah kendali aktor Magecart.

Malware baru ini ditemukan oleh para peneliti di perusahaan keamanan siber Belanda Sansec yang berfokus pada pertahanan situs web e-commerce dari serangan skimming digital (juga dikenal sebagai Magecart).

Syntax untuk menyembunyikan kode sumber skimmer sebagai tombol media sosial dengan sempurna meniru elemen ‘svg’ yang diberi nama menggunakan nama platform media sosial (misalnya, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full, dan google_full).

Meskipun ini bukan pertama kalinya pelaku ancaman menggunakan skimmer yang disembunyikan dalam gambar yang tampak dengan bantuan steganografi, malware ini adalah yang pertama yang menggunakan “gambar yang benar-benar valid”.

Sumber: Bleeping Computer