Cybersecurity

Beberapa agensi dibobol oleh peretas menggunakan kerentanan Pulse Secure

April 21, 2021 by Winnie the Pooh

Otoritas federal hari Selasa mengumumkan bahwa peretas melanggar beberapa lembaga pemerintah dan organisasi penting lainnya dengan mengeksploitasi kerentanan dalam produk dari perusahaan perangkat lunak yang berbasis di Utah.

Badan tersebut, yang merupakan badan keamanan siber Departemen Keamanan Dalam Negeri, mencatat bahwa mereka telah membantu organisasi yang dikompromikan sejak 31 Maret, dan bahwa peretas menggunakan kerentanan untuk menempatkan webshell di produk Pulse Connect Secure, yang memungkinkan mereka untuk melewati kata sandi, otentikasi multi-faktor, dan fitur keamanan lainnya.

Agensi tersebut menulis bahwa Ivanti (Perusahaan yang memiliki Pulse Secure) sedang mengembangkan tambalan untuk kerentanan ini, dan “sangat mendorong” semua organisasi yang menggunakan produk ini untuk memperbarui ke versi terbaru dan menyelidiki tanda-tanda penyusupan.

Selain itu, CISA mengeluarkan arahan darurat pada Selasa malam yang mewajibkan semua agen federal untuk menilai berapa banyak produk Pulse Connect Secure yang mereka dan organisasi pihak ketiga gunakan, dan untuk memperbarui produk ini sebelum 23 April.

Seorang juru bicara Ivanti mengatakan kepada The Hill pada hari Selasa bahwa patch untuk kerentanan akan dirilis pada bulan Mei, dan hanya “sejumlah kecil” pelanggan yang telah disusupi.

Selengkapnya: The Hill

Geng Ransomware Terkenal Mengklaim Telah Mencuri Desain Produk Apple

April 21, 2021 by Winnie the Pooh

Penjahat dunia maya mengklaim telah mencuri blueprints dari beberapa produk terbaru Apple dan sekarang mencoba memeras raksasa teknologi tersebut dengan mengancam akan menerbitkan dokumen tersebut secara online.

Pada hari Selasa, geng ransomware REvil secara terbuka mengklaim bahwa mereka telah meretas Quanta Computer, pemasok pihak ketiga di Taiwan yang memiliki kemitraan dengan lebih dari selusin perusahaan teknologi besar AS, termasuk Apple, Dell, Hewlett-Packard, Blackberry, dan beberapa lainnya.

Quanta, yang merupakan salah satu produsen laptop terbesar di dunia, bekerja untuk merakit produk Apple berdasarkan desain yang dipasok oleh perusahaan Cupertino, yang berarti ada dasar logis untuk klaim pencurian tersebut.

Di “situs kebocoran” REvil (di mana geng memposting sampel data yang dicuri untuk mengancam perusahaan yang ditargetkan agar memenuhi tuntutan pemerasan), peretas memposting sejumlah blueprints produk, waktu rilisnya bertepatan dengan peluncuran produk Spring Loaded yang sangat dinantikan pada hari Selasa.

Geng tersebut menuntut Apple “membeli kembali” dokumen yang dicuri “sebelum 1 Mei”, atau “semakin banyak file akan ditambahkan [ke situs kebocoran] setiap hari”. BleepingComputer melaporkan bahwa geng tersebut memeras Quanta sebesar $ 50 juta — memberi perusahaan batas waktu 27 April untuk membayar dugaan data yang dicuri.

Selengkapnya: Gizmodo

Lazarus Group Menggunakan Taktik Baru untuk Menghindari Deteksi

April 20, 2021 by Winnie the Pooh

Peneliti keamanan dengan Malwarebytes telah mengamati aktor ancaman persisten tingkat lanjut yang berafiliasi dengan Korea Utara, Lazarus Group, menggunakan teknik baru untuk mengirimkan malware sambil menghindari alat keamanan.

Lazarus dikenal karena mengembangkan keluarga malware khusus dan menggunakan taktik baru. Salah satu metode terbarunya melibatkan penyematan file Aplikasi HTML (HTA) berbahaya dalam file zlib terkompresi, dalam file PNG.

Selama waktu proses, file PNG diubah menjadi format file BMP. Karena file BMP tidak dikompresi, mengubah dari PNG ke BMP secara otomatis mendekompresi objek zlib berbahaya. Peneliti menyebut ini cara cerdas untuk menghindari deteksi. Karena objek berbahaya dikompresi di dalam gambar PNG, ini melewati deteksi statis.

Serangan ini kemungkinan besar dimulai dengan kampanye phishing yang mengirimkan email dengan file berbahaya yang dilampirkan. Saat dibuka, file meminta penampilnya untuk mengaktifkan makro.

Melakukan ini akan menghasilkan kotak pesan; mengeklik ini akan memuat umpan phishing terakhir – formulir partisipasi untuk pameran di kota di Korea Selatan. Dokumen dipersenjatai dengan makro yang dijalankan saat dibuka.

Baca postingan blog lengkap untuk informasi lebih lanjut.

Selengkapnya: Dark Reading

Google Alerts terus menjadi sarang penipuan dan malware

April 20, 2021 by Winnie the Pooh

Google Alerts terus menjadi sarang penipuan dan malware yang semakin disalahgunakan pelaku ancaman untuk mempromosikan situs web berbahaya.

Meskipun Google Alerts telah lama disalahgunakan, BleepingComputer melihat peningkatan aktivitas yang signifikan selama beberapa minggu terakhir.

Misalnya, saya menggunakan Google Alerts untuk memantau berbagai istilah yang terkait dengan serangan cyber, insiden keamanan, malware, dll. Dalam satu Google Alert tertentu, hampir setiap artikel baru yang dibagikan dengan saya hari ini oleh layanan menyebabkan situs web scam atau berbahaya, dengan dua dari mereka ditunjukkan di bawah ini.

Saat Anda membuka peringatan ini, alih-alih dibawa ke halaman web yang sah, Anda dialihkan melalui serangkaian situs sampai Anda mendarat di satu situs yang mempromosikan malware, situs dewasa palsu, aplikasi kencan palsu, game dewasa, giveaway dan penipuan undian, dan unwanted browser extensions.

Untuk menipu Google agar berpikir bahwa mereka adalah situs yang sah dan bukan penipuan, pelaku ancaman menggunakan teknik black hat search engine optimization (SEO) yang disebut ‘cloaking’.

Cloaking adalah ketika sebuah situs web menampilkan konten yang berbeda kepada pengunjung.

Penyelubungan ini memungkinkan situs web terlihat seperti teks biasa atau posting blog biasa saat spider mesin pencari Google mengunjungi halaman tersebut tetapi melakukan pengalihan berbahaya saat pengguna mengunjungi situs dari pengalihan Google.

Selengkapnya: Bleeping Computer

Jutaan penjelajah web menjadi sasaran satu grup malvertising

April 20, 2021 by Winnie the Pooh

Peretas telah menyusupi lebih dari 120 server iklan selama setahun terakhir dalam kampanye yang sedang berlangsung yang menampilkan iklan berbahaya di puluhan juta, mungkin ratusan juta, perangkat saat mereka mengunjungi situs yang, menurut penampilan luar, tidak berbahaya.

Malvertising adalah praktik menayangkan iklan kepada orang-orang saat mereka mengunjungi situs web tepercaya. Iklan tersebut menyematkan JavaScript yang secara diam-diam mengeksploitasi kekurangan perangkat lunak atau mencoba mengelabui pengunjung agar memasang aplikasi yang tidak aman, membayar biaya dukungan komputer yang curang, atau melakukan tindakan berbahaya lainnya.

Menyusupi ekosistem iklan dengan menyamar sebagai pembeli yang sah membutuhkan sumber daya. Pertama, scammer harus menginvestasikan waktu untuk mempelajari cara kerja pasar dan kemudian menciptakan entitas yang memiliki reputasi yang dapat dipercaya.

Pendekatan ini juga membutuhkan pembayaran uang untuk membeli ruang untuk menjalankan iklan berbahaya. Itu bukan teknik yang digunakan oleh grup periklanan berbahaya yang oleh perusahaan keamanan Confiant disebut sebagai Tag Barnakle.

“Tag Barnakle, di sisi lain, mampu melewati rintangan awal ini sepenuhnya dengan langsung menuju jugular — kompromi massal infrastruktur penayangan iklan,” tulis peneliti Confiant Eliya Stein dalam posting blog yang diterbitkan Senin.

Selama setahun terakhir, Tag Barnakle telah menginfeksi lebih dari 120 server yang menjalankan Revive, aplikasi sumber terbuka untuk organisasi yang ingin menjalankan server iklannya sendiri daripada mengandalkan layanan pihak ketiga. Jumlah 120 itu dua kali lipat dari jumlah server yang terinfeksi Revive Confiant yang ditemukan tahun lalu.

Setelah meretas server iklan, Tag Barnakle memuat muatan berbahaya di dalamnya. Untuk menghindari deteksi, grup tersebut menggunakan sidik jari sisi klien untuk memastikan hanya sejumlah kecil target paling menarik yang menerima iklan berbahaya. Server yang mengirimkan muatan sekunder ke target tersebut juga menggunakan teknik penyelubungan untuk memastikan bahwa mereka juga terbang di bawah radar.

Selengkapnya: Ars Technica

Manusia kalah dalam perlombaan bot di internet, demikian laporan Imperva Research

April 20, 2021 by Winnie the Pooh

Lalu lintas bot yang buruk berada pada persentase tertinggi (25,6%) dalam delapan tahun Imperva Inc melakukan studi tahunannya tentang topik tersebut.

Dalam Laporan Imperva Bad Bot tahun 2021, tahun kedelapan berturut-turut perusahaan keamanan siber telah mengumpulkan dan menganalisis data, ditemukan bahwa lalu lintas dari manusia turun 5,7% sementara lebih dari 40% dari semua permintaan lalu lintas web berasal dari bot, menunjukkan skala yang berkembang dan dampak yang meluas dalam kehidupan sehari-hari.

Advanced Persistent Bots tetap menjadi mayoritas lalu lintas bot yang buruk tahun lalu, sebesar 57,1%. Bot ini bertanggung jawab atas penyalahgunaan dan serangan berkecepatan tinggi di situs web, aplikasi seluler, dan API.

Imperva Research Lab juga melaporkan bagaimana bot mencoba memanfaatkan pandemi COVID-19. Ada peningkatan 372% dalam lalu lintas bot yang buruk di situs web perawatan kesehatan dari periode September 2020 hingga Februari 2021.

Pada tahun 2020, penyedia layanan telekomunikasi dan internet (ISP) mengalami proporsi tertinggi dari keseluruhan lalu lintas bot (45,7%), seringkali disebabkan oleh bot yang terlibat dalam pengambilalihan akun atau penurunan harga yang kompetitif.

Industri perjalanan mendapatkan persentase terbesar dari lalu lintas bot canggih yang buruk (59,7%) sementara situs pemerintah juga mengalami peningkatan, dengan bot terlibat dalam pengumpulan data daftar pendaftaran bisnis dan pendaftaran pemilih.

Selengkapnya: ITP

Larangan Huawei Australia ‘dibenarkan’ oleh laporan mata-mata di Belanda: Anggota parlemen

April 20, 2021 by Winnie the Pooh

Anggota parlemen Australia dan Inggris yang menekan pemerintah Boris Johnson untuk melarang Huawei dari jaringan 5G Inggris mengatakan bahwa mereka telah sepenuhnya dibenarkan menyusul laporan bahwa vendor China dapat menguping percakapan yang terjadi di jaringan telepon Belanda.

Staf Huawei dapat menguping semua nomor ponsel di jaringan KPN, menurut catatan internal perusahaan tahun 2010 yang diperoleh oleh surat kabar Belanda de Volkskrant, termasuk perdana menteri saat itu Jan Peter Balkenende dan pembangkang China yang tinggal di Belanda.

Pemerintah Australia telah lama melarang Huawei dari jaringan broadband dan 5G karena masalah mata-mata dan keamanan.

Tetapi Perdana Menteri Boris Johnson menolak tekanan dari anggota parlemennya sendiri dan pemerintahan Trump untuk memblokir perusahaan tersebut, menyebabkan ketegangan di antara klub berbagi intelijen Five Eyes, yang terdiri dari Australia, Amerika Serikat, Inggris, Selandia Baru, dan Kanada.

Berbicara kepada The Sydney Morning Herald dan The Age, Byrne mengatakan laporan Belanda memvalidasi kekhawatiran yang dia dan badan keamanan pegang tentang Huawei serta keputusannya untuk menyampaikannya kepada Inggris.

Selengkapnya: Sydney Morning Herald

Admin Tingkat Tinggi Kelompok Kejahatan Siber, FIN7, Dihukum 10 Tahun Penjara

April 20, 2021 by Winnie the Pooh

Seorang manajer tingkat tinggi dari kelompok kejahatan siber FIN7, juga dikenal sebagai Kelompok Carbanak dan Kelompok Navigator, telah dijatuhi hukuman sepuluh tahun penjara, lapor Departemen Kehakiman.

FIN7 telah beroperasi setidaknya sejak 2015 dan memiliki lebih dari 70 orang yang diatur ke dalam unit bisnis dan tim. Meskipun aktivitasnya bersifat global, di Amerika Serikat, FIN7 telah menerobos jaringan komputer perusahaan di seluruh 50 negara bagian dan District of Columbia. Penyerang telah mencuri lebih dari 20 juta catatan kartu pembayaran dari setidaknya 6.500 terminal titik penjualan di lebih dari 3.600 bisnis.

Fedir Hladyr warga negara Ukraina adalah administrator sistem untuk FIN7. Dia ditangkap di Dresden, Jerman pada 2018 atas permintaan penegak hukum AS. Pada 2019 ia mengaku bersalah atas persekongkolan untuk melakukan wire fraud dan satu tuduhan persekongkolan untuk melakukan peretasan komputer.

Sebagai administrator sistem untuk FIN7, Hladyr memainkan peran inti dalam mengumpulkan data yang dicuri, mengawasi penjahat lain dalam grup, dan memelihara jaringan server yang digunakan FIN7 untuk menargetkan dan mengontrol mesin korban. Dia juga menangani saluran komunikasi terenkripsi FIN7.

Selengkapnya: Dark Reading

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings