Cybersecurity

Malware Joker menginfeksi lebih dari 500.000 perangkat Android Huawei

April 12, 2021 by Mally

Lebih dari 500.000 pengguna Huawei telah mengunduh dari aplikasi toko Android resmi perusahaan yang terinfeksi malware Joker yang berlangganan layanan seluler premium.

Peneliti menemukan sepuluh aplikasi yang tampaknya tidak berbahaya di AppGallery yang berisi kode untuk menghubungkan ke server perintah dan kontrol yang berbahaya untuk menerima konfigurasi dan komponen tambahan.

Sebuah laporan dari pembuat antivirus Doctor Web mencatat bahwa aplikasi berbahaya tetap memiliki fungsionalitas yang diiklankan tetapi mengunduh komponen yang membuat pengguna berlangganan layanan seluler premium.

Menurut para peneliti, malware dapat membuat pengguna berlangganan maksimal lima layanan, meskipun pelaku ancaman dapat mengubah batasan ini kapan saja.

Daftar aplikasi berbahaya termasuk keyboard virtual, aplikasi kamera, peluncur, utusan online, koleksi stiker, program mewarnai, dan permainan.

Kebanyakan dari mereka berasal dari satu pengembang (Shanxi Kuailaipai Network Technology Co., Ltd.) dan dua dari pengembang yang berbeda. Sepuluh aplikasi ini diunduh oleh lebih dari 538.000 pengguna Huawei, kata Doctor Web.

Para peneliti mengatakan bahwa modul yang sama yang diunduh oleh aplikasi yang terinfeksi di AppGallery juga ada di aplikasi lain di Google Play, digunakan oleh versi lain dari malware Joker. Daftar lengkap IoC tersedia di sini.

Sumber: Bleeping Computer

Para peneliti mengungkap malware Iran baru yang digunakan dalam serangan siber baru-baru ini

April 9, 2021 by Mally

Aktor ancaman Iran telah meluncurkan kampanye spionase siber baru terhadap kemungkinan target Lebanon dengan backdoor yang mampu mengekstrak informasi sensitif dari sistem yang dikompromikan.

Firma keamanan siber, Check Point, mengaitkan operasi tersebut dengan APT34, mengutip kemiripan dengan teknik sebelumnya yang digunakan oleh pelaku ancaman serta berdasarkan pola viktimologi.

APT34 (alias OilRig) dikenal karena kampanye pengintaiannya yang selaras dengan kepentingan strategis Iran, terutama mengenai industri keuangan, pemerintah, energi, kimia, dan telekomunikasi di Timur Tengah.

Grup tersebut biasanya menggunakan target individu melalui penggunaan dokumen tawaran pekerjaan palsu, dikirim langsung ke para korban melalui pesan LinkedIn, dan kampanye terbaru tidak terkecuali, meskipun cara pengirimannya masih belum jelas.

Dokumen Word yang dianalisis oleh Check Point mengklaim menawarkan informasi tentang posisi yang berbeda di perusahaan konsultan berbasis di AS bernama Ntiva IT, hanya untuk memicu rantai infeksi setelah mengaktifkan makro jahat yang disematkan, akhirnya menghasilkan pemasangan backdoor yang disebut “SideTwist”.

Selain mengumpulkan informasi dasar tentang mesin korban, backdoor tersebut membuat koneksi dengan server jarak jauh untuk menunggu perintah tambahan yang memungkinkannya mengunduh file dari server, mengunggah file sewenang-wenang, dan menjalankan perintah shell, yang hasilnya diposting kembali ke server.

Selengkapnya: The Hacker News

CISA merilis alat untuk meninjau aktivitas pasca-kompromi Microsoft 365

April 9, 2021 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) telah merilis dasbor berbasis Splunk pendamping yang membantu meninjau aktivitas pasca-kompromi di lingkungan Microsoft Azure Active Directory (AD), Office 365 (O365), dan Microsoft 365 (M365).

Alat baru CISA, dijuluki Aviary, membantu tim keamanan memvisualisasikan dan menganalisis keluaran data yang dihasilkan menggunakan Sparrow, alat berbasis PowerShell sumber terbuka untuk mendeteksi aplikasi dan akun yang berpotensi disusupi di Azure dan Microsoft 365.

Sparrow diciptakan untuk membantu defender memburu aktivitas ancaman setelah serangan rantai pasokan SolarWinds.

Aviary dapat membantu meninjau log PowerShell yang diekspor Sparrow, termasuk menganalisis mailbox sign-in PowerShell untuk memeriksa apakah proses masuk adalah tindakan yang sah.

Ini juga dapat membantu menyelidiki penggunaan PowerShell untuk pengguna dengan PowerShell di lingkungan dan memeriksa domain Azure AD penyewa terdaftar Sparrow untuk melihat apakah mereka telah dimodifikasi.

CISA mendorong defender jaringan yang ingin menggunakan Aviary untuk analisis output Sparrow yang lebih lugas untuk meninjau peringatan AA21-008A tentang mendeteksi aktivitas berbahaya pasca-kompromi di lingkungan Microsoft Cloud.

Selengkapnya: Bleeping Computer

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

April 9, 2021 by Mally

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

Peretas Korea Utara menggunakan malware Vyveva baru untuk menyerang kapal barang

April 9, 2021 by Mally

Grup peretasan Lazarus yang didukung Korea Utara menggunakan malware baru dengan kemampuan backdoor yang dijuluki Vyveva dan menargetkan serangan terhadap perusahaan logistik pengiriman Afrika Selatan.

Meskipun ESET hanya menemukan dua mesin yang terinfeksi malware ini, keduanya milik perusahaan pengiriman Afrika Selatan yang sama, backdoor kemungkinan digunakan dalam kampanye spionase yang ditargetkan sejak pertama kali digunakan di alam liar.

Malware ini hadir dengan serangkaian kemampuan spionase dunia maya yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi ke server di bawah kendali mereka menggunakan jaringan anonim Tor sebagai saluran komunikasi yang aman.

Lazarus juga dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode berbahaya sewenang-wenang pada sistem yang dikompromikan di jaringan korban.

Sementara backdoor akan terhubung ke server command-and-control (C2) setiap tiga menit, ia juga menggunakan pengawas yang dirancang untuk melacak drive yang baru terhubung atau sesi pengguna aktif untuk memicu koneksi C2 baru pada sesi baru atau drive event.

Indikator gangguan, termasuk hash sampel Vyveva yang digunakan selama serangan yang menargetkan perusahaan angkutan Afrika Selatan, tersedia di akhir laporan ESET.

Mengambil pendekatan DIY terhadap keamanan siber adalah proposisi yang berbahaya

April 9, 2021 by Mally

Ada suatu masa ketika TI perusahaan hanya mengkhawatirkan komputasi, jaringan, dan penyimpanan data. Tapi kini, daftar tanggung jawab TI mencakup lusinan kategori. Di atau dekat bagian atas adalah keamanan siber. Dan untuk organisasi besar, keamanan siber tidak semata-mata menjadi tanggung jawab TI.

Ancaman yang meningkat dan jaringan cloud dan pengguna jarak jauh yang terus berkembang telah meningkatkan keamanan siber dari daftar tugas menjadi keharusan bisnis teratas. Bagi banyak organisasi, keamanan siber adalah departemen terpisah dengan eksekutif tingkat-C dan visibilitas dewan direksi.

Tapi keamanan siber bukanlah proposisi satu-dan-selesai. Mencegah ancaman keamanan siber dan memulihkan insiden adalah tanggung jawab yang kompleks dan tidak pernah berakhir. Aktor negara jahat, penjahat dunia maya, dan spionase perusahaan hanyalah beberapa sumber serangan dunia maya. Masing-masing menggunakan lusinan teknik yang terus berkembang untuk mengatasi perlindungan keamanan.

Banyak organisasi beralih ke deteksi dan respons terkelola (MDR) untuk meningkatkan postur keamanan siber mereka. MDR disediakan sebagian atau seluruhnya oleh penyedia layanan.

Layanan MDR profesional mencakup hampir semua proses, teknologi, dan teknik yang digunakan untuk mencegah, mendeteksi, menahan, dan memulihkan ancaman dan serangan keamanan siber. Ini termasuk pengguna jarak jauh, aplikasi cloud, komputasi cloud, jaringan area luas, dan situs jarak jauh.

Penyedia MDR terkemuka dapat mengganti atau menambah pusat operasi keamanan tradisional (SOC) dengan SOC-as-a-Service.

Anda dapat mengoperasikan SOC Anda sendiri dan melakukan pendekatan do-it-yourself (DIY). Tetapi membuat, memelihara, dan mengembangkan SOC adalah salah satu tantangan tersulit dari strategi DIY.

Memiliki SOC 24x7x365 itu rumit. Anda perlu membuat SOC yang diperkuat keamanan dengan semua alat, monitor, perangkat lunak, sistem, peralatan jaringan, dan sensor yang diperlukan. Selain itu, Anda perlu memperoleh, mengintegrasikan, dan mengelola semua layanan dan lisensi pihak ketiga.

SOC harus memiliki sumber daya tambahan yang diperlukan untuk mengevaluasi dan mengintegrasikan teknologi baru. Itu juga harus terus berkembang untuk mengimbangi volume yang terus meningkat dan kompleksitas ancaman dunia maya.

Aspek terberat dalam mengembangkan dan memelihara SOC adalah mempekerjakan tim insinyur tingkat 3. Orang-orang ini harus ahli dalam keamanan siber dengan pengalaman yang cukup untuk mengidentifikasi, menahan, dan memulihkan serangan siber kritis sebelum mereka merusak organisasi secara parah.

Selengkapnya: Security Magazine

Saatnya Menghentikan Klise Keamanan Siber

April 9, 2021 by Mally

Di pihak pembela, dengan mengatakan bahwa Anda harus selalu benar setiap saat sama saja dengan mengadvokasi keamanan yang sempurna. Keamanan yang sempurna adalah tugas orang bodoh – itu tidak akan terjadi. Seperti yang tersirat oleh Franz Kafka dalam cerpennya, “A Hunger Artist,” pencarian kesempurnaan, pada akhirnya, adalah ketidakmampuan untuk menerima kenyataan apa adanya. Keamanan mutlak gagal karena hal itu menciptakan keengganan untuk berkompromi serta ketakutan yang melumpuhkan akan kegagalan.

Menggagalkan penyerang membutuhkan keterampilan, tekad, dan fleksibilitas. Anda harus cermat dan menggunakan kemampuan yang tersedia untuk Anda. Anda juga tidak boleh puas dengan beberapa tingkat kesuksesan, tetapi harus selalu waspada.

Penyerang bekerja keras untuk membuat pelanggaran terjadi. Mereka meneliti permukaan serangan untuk mencari kerentanan. Mereka memiliki bagian kegagalan, tetapi mereka bertahan. Penjahat dunia maya tampaknya tidak memperhatikan dugaan serangan sukses yang tak terhindarkan. Namun, para pembela menganggap sebagai Injil bahwa mereka akan kehilangan, meskipun banyak alat tersedia yang dapat menemukan dan menangkal gangguan permusuhan.

Langkah pertama untuk mengubur klise adalah membuat program manajemen risiko yang sejalan dengan proses yang sudah ada, seperti NIST Cybersecurity Framework (CSF). CSF penting, karena memberikan pedoman, standar, dan praktik terbaik yang memungkinkan organisasi membuat infrastruktur keamanan yang dapat mengidentifikasi dan mengurangi risiko keamanan siber. Penting juga untuk mengintegrasikan pemodelan ancaman, mengukur keseriusan ancaman dan kerentanan, serta memprioritaskan sumber daya mitigasi serangan, ke dalam kerangka kerja. Peta serangan MITRE ATT & CK sangat berguna saat membuat skenario risiko.

Selain membuat program manajemen risiko yang kuat menggunakan kerangka kerja dan pemodelan ancaman, organisasi dapat menggunakan banyak teknologi yang mengurangi permukaan serangan yang tersedia (misalnya, kebersihan keamanan), membuat penghalang (misalnya anti-malware dan firewall), kontrol identitas (misalnya manajemen identitas yang diistimewakan) ), visibilitas (mis. IDS / IPS), segmentasi (mis. kepercayaan nol), penipuan (mis. honeypot) dan analitik (mis. SIEM). Akhirnya, dilema bromida bagi pembela HAM pada akhirnya dikalahkan oleh kesadaran dan praktik keamanan. Jalankan latihan tabletop kesadaran keamanan, lakukan pengujian penetrasi dan operasi tim merah dan biru, serta pantau terus operasi penyerang dan ancaman yang ada.

selengkapnya : securityboulevard.com

Konten dewasa dari ratusan pembuat konten OnlyFans bocor secara online

April 8, 2021 by Mally

Setelah Google Drive yang dibagikan diposting secara online yang berisi video dan gambar pribadi dari ratusan akun OnlyFans, seorang peneliti telah membuat alat yang memungkinkan pembuat konten untuk memeriksa apakah mereka adalah salah satu dari korban kebocoran.

Bulan lalu, para peneliti di perusahaan keamanan siber BackChannel menemukan postingan di forum peretasan tempat seorang anggota membagikan Google Drive yang berisi konten bertema dewasa OnlyFans dengan anggota lain di forum tersebut.

Tidak mungkin untuk melihat seberapa besar folder itu tanpa mengunduhnya. Namun, pendiri BackChannel Aaron DeVera mengatakan kepada BleepingComputer bahwa folder Google Drive awalnya berisi folder untuk 279 creator OnlyFans, dengan salah satu folder tersebut memiliki lebih dari 10GB video dan foto.

Dari tanggal file di share folder, sebagian besar konten tampaknya telah diupload pada Oktober 2020.

Karena banyaknya creator yang bocor di share folder ini, BackChannel yakin itu telah dikompilasi oleh banyak orang.

Untuk membantu pembuat konten OnlyFans menentukan apakah konten mereka adalah bagian dari kebocoran ini, BackChannel telah membuat halaman web ‘Alat Pencarian OnlyFans‘. Alat ini memungkinkan pembuat OnlyFans untuk memasukkan nama membernya dan menentukan apakah konten mereka telah dibagikan tanpa izin.

Jika creator memasukkan member mereka dan konten mereka ditemukan dalam kebocoran, situs akan merekomendasikan agar pengguna mengunjungi https://labac.dev/content, yang berisi template pemberitahuan pelanggaran DMCA yang dapat digunakan untuk menghapus konten.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings