Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Pelaku Ancaman Menyalahgunakan Bot Telegram untuk Membahayakan Akun PayPal

by

Penjahat dunia maya menggunakan bot Telegram untuk mencuri token kata sandi satu kali (OTP) dan menipu orang melalui bank dan sistem pembayaran online, termasuk PayPal, Apple Pay, dan Google Pay, menurut penelitian baru.

Para peneliti dari Intel 471 menemukan kampanye tersebut telah beroperasi sejak Juni, dalam sebuah laporan yang diterbitkan Rabu.

“Otentikasi dua faktor adalah salah satu cara termudah bagi orang untuk melindungi akun online apa pun,” catat para peneliti dalam posting tersebut. “Jadi, tentu saja para penjahat berusaha menghindari perlindungan itu.”

Pelaku ancaman menggunakan bot dan channel Telegram dan berbagai taktik untuk mendapatkan informasi akun, termasuk menelepon korban, dan menyamar sebagai bank dan layanan yang sah, kata para peneliti.

Melalui rekayasa sosial, pelaku ancaman juga menipu orang untuk memberi mereka OTP atau kode verifikasi lainnya melalui perangkat seluler, yang kemudian digunakan penjahat untuk melakukan penipuan uang, kata mereka.

Memang, bot Telegram telah menjadi alat populer bagi penjahat dunia maya, yang telah menggunakannya dengan berbagai cara sebagai bagian dari penipuan pengguna. Kampanye serupa ditemukan pada bulan Januari, dijuluki Classiscam, di mana bot dijual sebagai layanan oleh penjahat dunia maya berbahasa Rusia dengan tujuan mencuri uang dan data pembayaran dari korban Eropa. Pelaku ancaman lain telah ditemukan menggunakan bot Telegram dengan cara yang agak unik sebagai perintah-dan-kontrol untuk spyware.

Dalam hal ini, peneliti Intel 471 mengamati dan menganalisis aktivitas kampanye terkait tiga bot—dijuluki SMSRanger, BloodOTPbot, dan SMS Buster.

Selengkapnya: The Threat Post

Conti Ransomware Memperluas Kemampuan untuk Meledakkan Cadangan

by

Pandai mengidentifikasi dan menghapus cadangan? Berbicara bahasa Rusia? Grup ransomware Conti yang terkenal mungkin menemukan Anda prospek perekrutan yang bagus.

Itu menurut sebuah laporan yang diterbitkan pada hari Rabu oleh perusahaan pencegahan risiko cyber Advanced Intelligence, yang merinci bagaimana Conti telah mengasah penghancuran cadangannya menjadi seni yang bagus – semakin baik untuk menemukan, menghancurkan, dan membunuh data yang dicadangkan. Bagaimanapun, cadangan adalah hambatan utama untuk mendorong pembayaran ransomware.

Palo Alto Networks telah menggambarkan geng itu sebagai geng yang menonjol, dan tidak dalam cara yang baik: “Ini adalah salah satu dari lusinan geng ransomware yang paling kejam yang kami ikuti,” kata perusahaan itu. Pada Juni, Conti telah menghabiskan lebih dari satu tahun menyerang organisasi di mana pemadaman TI dapat mengancam kehidupan: Rumah Sakit, operator pengiriman nomor darurat, layanan medis darurat, dan lembaga penegak hukum.

AdvIntel telah menemukan bahwa Conti membangun keahlian penghapusan cadangannya dari bawah ke atas, mulai dari “tingkat pengembangan tim”. Yaitu, ketika geng ransomware-as-a-service (RaaS) merekrut pekerja untuk menyerang jaringan, mereka jelas bahwa kandidat penguji penetrasi mereka membutuhkan keterampilan terbaik dalam menemukan dan menghapus cadangan.

Conti terutama berfokus pada pengembangan cara baru untuk mengkompromikan perangkat lunak cadangan dari perusahaan pemulihan bencana Veeam.

Selengkapnya: The Threat Post

Alat Spyware Terkenal Ditemukan Bersembunyi Di Bawah Empat Lapisan Obfuscation

by

FinFisher/FinSpy, spyware komersial yang terkenal dan sangat kontroversial yang dijual oleh perusahaan Jerman FinFisher ke negara-bangsa dan penegak hukum untuk tujuan pengawasan, sekarang membungkus dirinya dalam empat lapisan obfuscation dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Para peneliti di perusahaan keamanan Kaspersky yang berbasis di Moskow membutuhkan waktu delapan bulan untuk melakukan reverse engineering dan analisis penuh untuk mengungkap versi baru spyware yang sangat tersembunyi ini untuk Windows, Mac OS, dan Linux.

Selain metode obfuscation empat lapis, spyware juga sekarang menggunakan bootkit UEFI (Unified Extensible Firmware Interface) untuk menginfeksi targetnya, dan juga mengenkripsi malware dalam memori, menurut para peneliti. Penelitian tim Kaspersky dimulai pada 2019, dan mereka akhirnya membagikan temuan mereka di KTT Analis Keamanan online Kaspersky.

Para peneliti sebelumnya telah menemukan installer berbahaya untuk TeamViewer, VLC Media Player, dan WinRAR yang tidak memiliki tautan ke malware yang diketahui. Tetapi ketika mereka menemukan situs web berbahasa Burma dengan installer yang sama, serta sampel FinFisher untuk Android, mereka berputar kembali ke installer sebelumnya dan menghubungkan titik-titik ke FinFisher/FinSpy.

Bagaimana FinSpy masuk ke mesin korban yang diteliti oleh para peneliti tidak diketahui, tetapi mungkin saja penyerang memiliki akses fisik atau mencuri kredensial administratif.

Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global (GReAT) Kaspersky mengatakan para korban entah bagaimana mengunduh dan secara tidak sengaja menginstal malware tahap pertama.

Selengkapnya: Dark Reading

Penyerang SolarWinds Menyerang Server Active Directory dengan FoggyWeb Backdoor

by

Pelaku ancaman di balik serangan rantai pasokan SolarWinds yang terkenal telah mengirimkan malware baru untuk mencuri data dan mempertahankan kegigihan di jaringan korban, menurut temuan para peneliti.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) telah mengamati APT yang disebut Nobelium menggunakan pintu belakang pasca-eksploitasi yang dijuluki FoggyWeb, untuk menyerang server Active Directory Federation Services (AD FS). AD FS memungkinkan sistem masuk tunggal (SSO) di seluruh aplikasi berbasis cloud di lingkungan Microsoft, dengan berbagi identitas digital dan hak kepemilikan.

Serangan dimulai sejak April, tulis Ramin Nafisi dari MSTIC dalam sebuah posting blog yang diterbitkan hari Senin.

Nobelium menggunakan “beberapa taktik untuk mengejar pencurian kredensial” untuk mendapatkan hak admin ke server AD FS, tulis Nafisi. Kemudian, setelah server disusupi, kelompok ancaman menyebarkan FoggyWeb “untuk mengekstrak dari jarak jauh database konfigurasi server AD FS yang disusupi, sertifikat penandatanganan token yang didekripsi, dan sertifikat token-dekripsi,” katanya, yang dapat digunakan untuk menembus akun cloud pengguna.

Selain mengekstrak data sensitif dari jarak jauh, FoggyWeb juga mencapai persistence dan berkomunikasi dengan server perintah-dan-kontrol (C2) untuk menerima komponen berbahaya tambahan dan menjalankannya, tambah Nafisi.

Microsoft telah memberi tahu semua pelanggan yang diamati menjadi sasaran atau disusupi oleh FoggyWeb, serta menyertakan daftar lengkap indikator kompromi pada posting blog nya. Perusahaan juga telah merekomendasikan beberapa tindakan mitigasi untuk organisasi, termasuk: Audit infrastruktur lokal dan cloud untuk mengidentifikasi perubahan apa pun yang mungkin telah dilakukan aktor untuk mempertahankan akses; menghapus akses pengguna dan aplikasi, meninjau masing-masing konfigurasi, dan menerbitkan kembali kredensial baru yang kuat; dan menggunakan modul keamanan perangkat keras untuk mencegah eksfiltrasi data sensitif.

Microsoft juga menyarankan agar semua pelanggan meninjau konfigurasi Server AD FS mereka dan menerapkan perubahan apa pun yang diperlukan untuk mengamankan sistem dari serangan.

Selengkapnya: The Threat Post

Sebuah perusahaan cloud meminta peneliti keamanan untuk memeriksa sistemnya. Inilah yang mereka temukan

by

Peneliti keamanan siber menemukan kerentanan dalam infrastruktur penyedia perangkat lunak sebagai layanan besar yang, jika dieksploitasi oleh penyerang, dapat digunakan oleh penjahat dunia maya sebagai bagian dari serangan rantai pasokan berbasis cloud.

Penyedia SaaS yang tidak disebutkan namanya mengundang peneliti keamanan siber di Palo Alto Networks untuk melakukan latihan red team pada jalur pengembangan perangkat lunak mereka untuk mengidentifikasi kerentanan dalam rantai pasokan.

“Hanya dalam tiga hari, seorang peneliti Unit 42 menemukan kelemahan pengembangan perangkat lunak kritis yang membuat pelanggan rentan terhadap serangan yang serupa dengan yang terjadi pada SolarWinds dan Kaseya VSA,” kata perusahaan keamanan itu.

Awalnya diberikan akses pengembang terbatas yang dimiliki kontraktor, para peneliti berhasil meningkatkan hak istimewa sejauh mereka dapat memperoleh hak administrator ke lingkungan cloud integrasi berkelanjutan (CI) yang lebih luas.

Dengan menggunakan akses ini, peneliti memeriksa sebanyak mungkin lingkungan dan mampu menemukan dan mendapatkan akses ke 26 kunci manajemen akses dan identitas (IAM). Beberapa di antaranya berisi kredensial hard-code yang memberikan akses tidak sah ke area tambahan lingkungan cloud, yang dapat dieksploitasi untuk mendapatkan akses administrator – memungkinkan akun dengan akses terbatas untuk mendapatkan hak istimewa yang membuka seluruh lingkungan.

Setelah latihan, para peneliti bekerja dengan pusat operasi keamanan organisasi, DevOps, dan red & blue team untuk mengembangkan rencana tindakan untuk memperketat keamanan dengan fokus pada identifikasi awal operasi yang mencurigakan atau berbahaya dalam jalur pengembangan perangkat lunak mereka.

Selengkapnya: ZDNet

Cloudflare berusaha menyederhanakan keamanan email

by

Perusahaan infrastruktur internet Cloudflare mengumumkan inisiatif untuk membangun keamanan email dan teknologi verifikasi ke dalam infrastruktur layanannya, dimulai dengan dua fitur.

Pertama, perusahaan telah menyederhanakan proses penambahan lapisan keamanan email ke domain, termasuk membuat catatan untuk Sender Policy Framework (SPF) dan DomainKeys Identified Mail (DKIM). Kedua, perusahaan telah meluncurkan fitur untuk membuat perutean alamat email dari corporate-branded inboxe ke infrastruktur email apa pun yang digunakan bisnis saat ini.

Penyederhanaan perutean email dan fitur keamanan berbasis domain hanyalah dasar dari apa yang ingin dibangun Cloudflare di masa depan, kata Matthew Prince, CEO perusahaan.

“Untuk membangun fungsionalitas ini, kami perlu memiliki email yang mengalir melalui sistem kami, dan kami harus tahu bahwa kami dapat mengirimkan email ke semua penyedia di luar sana, jadi kami perlu membangun fungsionalitas perutean email terlebih dahulu,” katanya. “Tujuan kami adalah untuk mengambil fitur yang mahal atau tersedia untuk bisnis besar dan membuatnya mudah digunakan serta tersedia untuk audiens yang jauh lebih besar.”

Kepercayaan dan keamanan pesan email terus menjadi masalah, meskipun ada tiga teknologi yang dirancang untuk menggagalkan penipu. Sender Policy Framework (SPF) memberi tahu klien email dan layanan dari server mana mereka harus mengharapkan email domain tertentu datang, sementara DKIM memungkinkan pesan email ditandatangani, membuat perubahan apa pun pada pesan menjadi jelas. Terakhir, Domain-based Message Authentication, Reporting and Conformance (DMARC) memverifikasi domain pengirim email — seperti yang didefinisikan oleh nama domain “Dari:” — cocok dengan yang ada di catatan SPF, sementara juga menangani kebijakan untuk kegagalan otentikasi dan melaporkan masalah kembali kepada pengirim.

Selengkapnya: Dark Reading

Add On Firefox ‘Safepal Wallet’ berbahaya mencuri cryptocurrency

by

Add-on Firefox berbahaya bernama “Safepal Wallet” menipu pengguna dengan mengosongkan dompet mereka dan tinggal di situs add-on Mozilla selama tujuh bulan.

Safepal adalah aplikasi dompet cryptocurrency yang mampu menyimpan lebih dari 10.000 jenis aset dengan aman, termasuk Bitcoin, Ethereum, dan Litecoin.

Meskipun add-on browser berbahaya telah dihapus, BleepingComputer telah melihat situs web phishing yang dibuat oleh pelaku ancaman masih aktif.

“Hari ini saya menelusuri [melalui] daftar add-on Mozilla Firefox, saya mencari extension Safepal wallet untuk menggunakan dompet cryptocurrency saya juga di browser web,” jelas pengguna add-on Mozilla yang menggunakan nama, Cali.

Cali tidak tahu apa yang akan terjadi padanya. Beberapa jam setelah menginstal dan masuk ke add-on dengan kredensial Safepal nya yang sebenarnya, ia melihat saldo dompet nya turun menjadi $0.

Halaman add-on untuk ‘Safepal Wallet’, dilihat oleh BleepingComputer, menyatakan add-on itu disiarkan setidaknya sejak 16 Februari 2021.

Dalam lima hari setelah laporan publik Cali tentang insiden tersebut, juru bicara Mozilla menjawab bahwa mereka sedang menyelidiki hal ini. Halaman tersebut telah dihapus oleh Mozilla.

Saat menyelidiki add-on Firefox yang berbahaya, BleepingComputer menemukan domain phishing yang digunakan oleh add-on tersebut. Halaman web ini, yang ditunjukkan di bawah, juga terdaftar sebagai tautan “situs dukungan” di halaman beranda Add on palsu: https://safeuslife.com/tool/

Catatan WHOIS menunjukkan situs phishing terdaftar pada Januari tahun ini melalui Namecheap. Pada saat penulisan berita, halaman web masih aktif dan menginstruksikan korban untuk memasukkan “Frase Cadangan 12 kata dalam urutan yang benar untuk memasangkan Dompet SafePal Anda.”

Tetapi begitu frase pemulihan dimasukkan dan formulir dikirimkan, halaman hanya disegarkan tanpa respons yang nyata. Frase pemulihan diam-diam dikirim ke penyerang.

Frase pemulihan yang dicuri dapat memberi penyerang kendali atas dompet Anda bersama dengan kemampuan untuk mengakses dan mentransfer dana.

Selengkapnya: Bleeping Computer

Peneliti merilis tiga iOS zero-day yang ditolak Apple untuk diperbaiki

by

Kode eksploitasi bukti konsep untuk tiga kerentanan zero-day iOS (dan yang keempat ditambal pada bulan Juli) diterbitkan di GitHub setelah Apple menunda penambalan dan gagal memberi kredit kepada orang yang melaporkannya.

Denis Tokarev (yang menggunakan pegangan Twitter Illusion Of Chaos), pengembang perangkat lunak yang menemukan empat zero day, melaporkannya ke Apple antara 10 Maret dan 4 Mei. Namun, perusahaan diam-diam menambal salah satunya pada bulan Juli dengan rilis 14,7 tanpa memberikan kredit dalam penasihat keamanan.

“Ketika saya bertemu mereka, mereka meminta maaf, meyakinkan saya bahwa itu terjadi karena masalah pemrosesan dan berjanji untuk mencantumkannya di halaman konten keamanan pembaruan berikutnya,” kata Tokarev. “Ada tiga rilis sejak itu dan mereka selalu melanggar janji mereka.”

Sejak itu, semua upaya yang dilakukan untuk mendapatkan penjelasan atas kegagalan Apple untuk memperbaiki kerentanan yang belum ditambal ini dan penolakan mereka untuk memberi kredit diabaikan meskipun lebih banyak nasihat keamanan, untuk iOS 14.7.1, iOS 14.8, dan iOS 15.0, telah diterbitkan sejak saat itu.

Setelah Apple menolak untuk menanggapi permintaan penjelasan, tanggal 24 September peneliti menerbitkan kode eksploit proof-of-concept untuk keempat iOS zero-days yang dia laporkan di GitHub, bersama dengan aplikasi yang mengumpulkan informasi sensitif dan menampilkannya di antarmuka pengguna:

  • Gamed 0-day (iOS 15.0): Bug dapat dieksploitasi melalui aplikasi yang diinstal pengguna dari App Store dan memberikan akses tidak sah ke data sensitif yang biasanya dilindungi oleh perintah TCC atau sandbox platform ($100.000 di halaman Program Bounty Keamanan Apple)
  • Nehelper Enumerate Installed Apps 0-day (iOS 15.0): Mengizinkan aplikasi yang dipasang pengguna untuk menentukan apakah ada aplikasi yang diinstal pada perangkat yang diberikan ID bundelnya.
  • Nehelper Wifi Info 0-day (iOS 15.0): Memungkinkan aplikasi apa pun yang memenuhi syarat (misalnya, memiliki otorisasi akses lokasi) untuk mendapatkan akses ke informasi Wifi tanpa hak yang diperlukan.
  • Analyticsd (diperbaiki di iOS 14.7): Mengizinkan aplikasi yang dipasang pengguna untuk mengakses log analitik:

Selengkapnya: Bleeping Computer