Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

by

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News

Deepfake dalam serangan siber tidak akan datang. Mereka sudah ada di sini.

by

Pada bulan Maret, FBI merilis sebuah laporan yang menyatakan bahwa aktor jahat hampir pasti akan memanfaatkan “konten sintetis” untuk operasi pengaruh dunia maya dan asing dalam 12-18 bulan ke depan.

Konten sintetis ini mencakup deepfake, audio, atau video yang seluruhnya dibuat atau diubah oleh kecerdasan buatan atau pembelajaran mesin untuk secara meyakinkan salah menggambarkan seseorang melakukan atau mengatakan sesuatu yang sebenarnya tidak dilakukan atau dikatakan.

Kita semua pernah mendengar cerita tentang CEO yang suaranya ditiru dengan cukup meyakinkan untuk melakukan wire transfer sebesar $243.000. Sekarang, rapat Zoom yang konstan di era tenaga kerja di mana pun telah menciptakan banyak data audio dan video yang dapat dimasukkan ke dalam sistem pembelajaran mesin untuk membuat duplikat yang menarik. Dan penyerang telah mencatat. Teknologi Deepfake telah melihat peningkatan drastis di dark web, dan serangan pasti terjadi.

Dark web tutorials

Recorded Future, sebuah perusahaan respons insiden, mencatat bahwa pelaku ancaman telah beralih ke dark web untuk menawarkan layanan dan tutorial khusus yang menggabungkan teknologi deepfake visual dan audio yang dirancang untuk melewati dan mengalahkan langkah-langkah keamanan.

Deepfake phishing

Penjahat dunia maya memanfaatkan perpindahan ke tenaga kerja terdistribusi untuk memanipulasi karyawan dengan pesan suara tepat waktu yang meniru irama bicara yang sama dengan bos mereka, atau pesan Slack yang menyampaikan informasi yang sama.

Kampanye phishing melalui email atau platform komunikasi bisnis adalah mekanisme pengiriman yang sempurna untuk deepfake, karena organisasi dan pengguna secara implisit mempercayai mereka dan mereka beroperasi di seluruh lingkungan tertentu.

Selengkapnya: Venturebeat

FBI membagikan detail teknis untuk ransomware Hive

by

Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.

Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.

Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.

Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).

Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.

FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.

Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.

Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.

FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan ribuan pengguna komputasi cloud tentang database yang terbuka

by

Microsoft pada hari Kamis memperingatkan ribuan pelanggan komputasi cloud nya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah atau bahkan menghapus basis data utama mereka, menurut salinan email dan peneliti keamanan siber.

Kerentanan ada di database Cosmos DB andalan Microsoft Azure. Sebuah tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat mengakses kunci yang mengontrol akses ke database yang dimiliki oleh ribuan perusahaan. Wiz Chief Technology Officer Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.

Karena Microsoft tidak dapat mengubah kunci itu sendiri, ia mengirim email kepada pelanggan pada hari Kamis untuk meminta mereka membuat yang baru. Microsoft setuju untuk membayar Wiz US$40.000 untuk menemukan cacat dan melaporkannya, menurut email yang dikirim ke Wiz. “Kami segera memperbaiki masalah ini untuk menjaga keamanan dan perlindungan pelanggan kami. Kami berterima kasih kepada para peneliti keamanan karena bekerja di bawah pengungkapan kerentanan yang terkoordinasi,” kata Microsoft kepada Reuters.

Tim Luttwak menemukan masalah tersebut, yang disebut ChaosDB, pada 9 Agustus dan memberi tahu Microsoft pada 12 Agustus, kata Luttwak. Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari. Setelah Reuters melaporkan kekurangan tersebut, Wiz merinci masalah tersebut dalam sebuah posting blog.

Microsoft mengatakan kepada Reuters bahwa “pelanggan yang mungkin terkena dampak menerima pemberitahuan dari kami,” tanpa menjelaskan lebih lanjut.

Selengkapnya: Business Today

Peringatan keamanan siber: Kelemahan Realtek membuat lusinan merek terkena serangan rantai pasokan

by

Sebuah cacat baru-baru ini diungkapkan dalam chipset dari perusahaan semikonduktor Taiwan Realtek sedang ditargetkan oleh botnet berdasarkan malware IoT lama, Mirai.

Perusahaan keamanan Jerman IoT Inspector melaporkan bahwa bug Realtek, dilacak sebagai CVE-2021-35395, memengaruhi lebih dari 200 produk Wi-Fi dan router dari 65 vendor, termasuk Asus, Belkin, China Mobile, Compal, D-Link, LG, Logitec, Netgear, ZTE, dan Zyxel.

Cacat ini terletak di perangkat pengembang perangkat lunak Realtek (SDK) dan saat ini sedang diserang dari kelompok yang menggunakan varian malware IoT, Mirai, yang dirancang untuk berfungsi pada perangkat dengan budget prosesor dan sedikit memori.

Jika serangan berhasil, penyerang akan mendapatkan kontrol penuh atas modul Wi-Fi dan akses root ke sistem operasi perangkat.

Serangan tersebut menyoroti kerentanan dalam rantai pasokan perangkat lunak yang diharapkan oleh Presiden AS Joe Biden dapat ditambal dengan miliaran dolar yang dijanjikan minggu ini oleh Microsoft dan Google.

Sementara Mirai menimbulkan beberapa ancaman terhadap informasi yang disimpan di perangkat seperti router, kerusakan yang lebih besar disebabkan oleh serangan penolakan layanan terdistribusi (DDoS) bertenaga tinggi di situs web yang menggunakan perangkat yang disusupi.

Realtek telah merilis tambalan, tetapi merek perangkat (OEM) perlu mendistribusikannya ke pengguna akhir pada perangkat yang, sebagian besar, tidak memiliki antarmuka pengguna, dan oleh karena itu tidak dapat digunakan untuk mengomunikasikan bahwa tambalan tersedia. Vendor perlu menganalisis firmware mereka untuk memeriksa keberadaan kerentanan.

Selengkapnya: ZDNet

Google dan Microsoft menjanjikan miliaran untuk membantu meningkatkan keamanan siber AS

by

Perusahaan teknologi seperti Apple, Google, dan Microsoft berjanji untuk membantu meningkatkan keamanan siber AS setelah pertemuan dengan Presiden Joe Biden di Gedung Putih pada hari Rabu. Janji tersebut bervariasi menurut perusahaan, tetapi berkisar dari pengeluaran miliaran untuk infrastruktur dunia maya hingga menawarkan bantuan dan pendidikan rantai pasokan.

Pertemuan tingkat tinggi hari Rabu dengan para CEO teknologi terjadi setelah serangan siber besar-besaran terhadap lembaga pemerintah AS dan infrastruktur energi seperti Colonial Pipeline.

Apple mengumumkan bahwa mereka akan bekerja dengan pemasoknya untuk “mendorong adopsi massal otentikasi multi-faktor” serta memberikan pelatihan keamanan baru, respons insiden, dan perbaikan kerentanan. Amazon berencana untuk menawarkan perangkat otentikasi multi-faktor kepada semua pemegang akun Amazon Web Services secara gratis dan untuk membuat semua pelatihan kesadaran keamanan karyawan perusahaan tersedia untuk umum tanpa biaya.

Google mengatakan akan menghabiskan lebih dari $10 miliar selama lima tahun ke depan untuk memperkuat keamanan siber AS dan rantai pasokan perangkat lunak. Google juga berjanji untuk melatih lebih dari 100.000 orang Amerika dalam analisis data dan dukungan TI melalui program Sertifikat Karir perusahaan. Microsoft mengatakan bahwa mereka akan menginvestasikan $20 miliar dalam lima tahun, membuat janji yang sama seperti Google.

Pertemuan hari Rabu dihadiri oleh CEO Alphabet Sundar Pichai, CEO Amazon Andy Jassy, CEO Apple TIm Cook, Ketua dan CEO IBM Arvind Krishna, dan CEO Microsoft Satya Nadella, bersama dengan perwakilan dari industri lain seperti energi dan pendidikan.

Selengkapnya: The Verge

Hampir 73.500 data pasien terkena serangan ransomware di klinik mata di Singapura

by

Serangan ransomware awal bulan ini telah memengaruhi data pribadi dan informasi klinis hampir 73.500 pasien di klinik mata swasta, insiden ketiga yang dilaporkan dalam sebulan.

Informasi tersebut meliputi nama, alamat, nomor kartu identitas, detail kontak dan informasi klinis seperti catatan klinis pasien dan pemindaian mata, kata Eye & Retina Surgeons (ERS) pada Rabu (25 Agustus).

Tetapi klinik mengatakan belum membayar uang tebusan, menambahkan bahwa tidak ada informasi kartu kredit atau rekening bank yang diakses atau dikompromikan.

Kementerian Kesehatan (MOH) mengatakan bahwa sistem TI klinik yang disusupi tidak terhubung ke sistem TI kementerian, seperti Catatan Kesehatan Elektronik Nasional, dan tidak ada serangan siber serupa pada sistem TI Kementerian Kesehatan.

Kementerian menambahkan bahwa mereka telah meminta ERS untuk menyelidiki insiden itu, melakukan tinjauan menyeluruh terhadap sistemnya dan bekerja dengan Badan Keamanan Siber (CSA) untuk “mengambil tindakan mitigasi segera untuk memperkuat pertahanan sibernya”.

Klinik tersebut mengatakan dalam sebuah pernyataan bahwa ia menggunakan “penyedia layanan TI eksternal yang bereputasi dan mapan untuk memberi saran dan memelihara sistem TI-nya, dan berlangganan anti-virus yang sesuai dan perangkat lunak pelindung lainnya, yang diperbarui secara berkala”.

Server dan beberapa terminal komputer di klinik cabang Camden terpengaruh, tetapi sistem TI di cabang Novena tidak.

Meskipun tidak ada data yang bocor ke publik untuk saat ini, klinik tersebut mengatakan akan memantau situasi dengan cermat.

Selengkapnya: The Straits Times

Mod WhatsApp berbahaya menginfeksi perangkat Android dengan malware

by

Versi jahat dari mod FMWhatsappWhatsApp memberikan muatan Triadatrojan, kejutan buruk yang menginfeksi perangkat mereka dengan malware tambahan, termasuk trojan xHelper yang sangat sulit dihapus.

FMWhatsApp berjanji untuk meningkatkan pengalaman pengguna WhatsApp dengan fitur tambahan seperti privasi yang lebih baik, tema obrolan khusus, akses ke paket emoji jejaring sosial lain, dan penguncian aplikasi menggunakan PIN, kata sandi, atau touch ID.

Namun, seperti yang ditemukan oleh peneliti Kaspersky, versi FMWhatsapp 16.80.0 juga akan menginstall trojan Triada di perangkat pengguna dengan bantuan SDK iklan.

“Aplikasi ini tersedia di beberapa situs distribusi mod WhatsApp populer. Kami tidak dapat membagikan tautan ke sana,” kata pakar keamanan Kaspersky Igor Golovin kepada BleepingComputer.

“Untuk [kloning FMWhatsApp] di Google Play – aplikasi ini biasanya hanya berisi berbagai iklan dan menginstruksikan pengguna tentang cara mengunduh dan menginstal mod, sementara sebenarnya tidak mengandung mod jahat itu sendiri.”

Setelah diinstal, Triada mulai mengumpulkan informasi perangkat dan mengirimkannya ke server perintah-dan-kontrolnya, yang membalas dengan tautan ke muatan tambahan yang akan diunduh dan diluncurkan trojan pada perangkat Android yang disusupi.

Malware yang dijatuhkan oleh Triada di perangkat Android pengguna FMWhatsApp dapat dengan mudah mendaftarkan mereka ke langganan premium mengingat aplikasi tersebut meminta akses ke pesan teks korban saat diinstal.

Di antara malware yang dikirimkan oleh Triada, xHelper sangat menonjol melalui kemampuannya yang luar biasa untuk menginfeksi ulang perangkat Android beberapa jam setelah dihapus atau setelah perangkat yang terinfeksi direset ke pengaturan pabrik.

Selengkapnya: Bleeping Computer