Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data Theft

Data Theft

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

by

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

  • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
  • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
  • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Volvo terkena serangan siber; beberapa data R&D dicuri

by

Pencurian beberapa data R&D yang dapat berdampak pada operasi perusahaan.

“Penyelidikan sejauh ini mengkonfirmasi bahwa sejumlah kecil properti R&D perusahaan telah dicuri selama penyusupan itu,” kata pembuat mobil Swedia itu dalam sebuah pernyataan.

Ia menambahkan bahwa “mungkin ada dampak pada operasi perusahaan”, tetapi tidak merinci apa yang mungkin terjadi.

Volvo mengatakan tidak melihat dampak pada keamanan mobil pelanggan atau data pribadi mereka.

“Volvo Cars sedang melakukan penyelidikannya sendiri dan bekerja sama dengan spesialis pihak ketiga untuk menyelidiki pencurian properti tersebut,” kata perusahaan itu.

Pembuat mobil mengatakan telah menerapkan tindakan pengamanan untuk mencegah akses lebih lanjut ke propertinya, sambil memberi tahu pihak berwenang terkait.

Selengkapnya: Auto News

Bagaimana Peretas Membajak Ribuan Akun YouTube Terkenal

by

Setidaknya sejak 2019, peretas telah membajak saluran YouTube profil tinggi. Terkadang mereka menyiarkan penipuan cryptocurrency, terkadang mereka hanya melelang akses ke akun. Sekarang, Google telah merinci teknik yang digunakan peretas untuk mengkompromikan ribuan pembuat konten YouTube hanya dalam beberapa tahun terakhir.

Semuanya dimulai dengan phishing. Penyerang mengirim email kepada pembuat YouTube yang tampaknya berasal dari layanan nyata—seperti VPN, aplikasi pengeditan foto, atau penawaran antivirus—dan menawarkan untuk berkolaborasi.

Mengeklik tautan untuk mengunduh produk akan membawa pembuatnya ke situs pendaratan malware alih-alih yang sebenarnya. Dalam beberapa kasus, peretas meniru jumlah yang diketahui seperti Cisco VPN dan game Steam, atau berpura-pura menjadi media yang berfokus pada COVID-19.

Setelah YouTuber secara tidak sengaja mengunduh perangkat lunak berbahaya, ia mengambil cookie tertentu dari browser mereka. “Cookie sesi” ini mengonfirmasi bahwa pengguna telah berhasil masuk ke akun mereka.

Seorang peretas dapat mengunggah cookie yang dicuri itu ke server jahat, membiarkan mereka berpura-pura sebagai korban yang sudah diautentikasi. Cookie sesi sangat berharga bagi penyerang karena menghilangkan kebutuhan untuk melalui bagian mana pun dari proses login.

Meskipun otentikasi dua faktor tidak dapat menghentikan pencurian cookie berbasis malware ini, ini merupakan perlindungan penting untuk jenis penipuan dan phishing lainnya. Mulai 1 November, Google akan mewajibkan pembuat konten YouTube yang memonetisasi salurannya untuk mengaktifkan dua faktor untuk akun Google yang terkait dengan Pengelola Konten YouTube Studio atau YouTube Studio mereka.

Penting juga untuk memperhatikan peringatan “Penjelajahan Aman” Google tentang halaman yang berpotensi berbahaya. Dan seperti biasa, berhati-hatilah dengan apa yang Anda klik dan lampiran mana yang Anda unduh dari email Anda.

Selengkapnya: ARS Technica

Personel Militer Cina Dituntut atas Peretasan Equifax

by

Amerika telah mendakwa personel militer Cina atas tuduhan meretas sistem komputer Equifax dan mencuri rahasia dagang yang berharga dan data pribadi hampir 150 juta orang Amerika.

Dewan juri federal di Atlanta, Georgia, mengembalikan dakwaan minggu lalu terhadap empat anggota Tentara Pembebasan Rakyat China (PLA). Wu Zhiyong (吴志勇), Wang Qian (王 乾), Xu Ke (许可), dan Liu Lei (刘磊) dituduh berkonspirasi untuk melakukan pencurian data selama tiga bulan.

Menurut dakwaan nine-count, para terdakwa mengeksploitasi kerentanan dalam perangkat lunak Apache Struts Web Framework yang digunakan oleh portal sengketa online Equifax untuk mendapatkan akses tidak sah ke sistem komputer lembaga pelaporan kredit.

Begitu masuk, grup tersebut diduga menjalankan sekitar 9.000 kueri di sistem Equifax dari Mei hingga Juli 2017, mendapatkan nama, tanggal lahir, dan nomor Jaminan Sosial untuk hampir setengah dari warga Amerika.

Terdakwa didakwa dengan tiga dakwaan yaitu persekongkolan melakukan penipuan komputer, persekongkolan untuk melakukan spionase ekonomi, dan persekongkolan untuk melakukan wire fraud. Mereka selanjutnya didakwa dengan dua tuduhan akses tidak sah dan kerusakan yang disengaja pada komputer yang dilindungi, satu tuduhan spionase ekonomi, dan tiga tuduhan wire fraud.

Semua terdakwa adalah anggota Institut Penelitian ke-54 PLA, sebuah komponen dari militer China.

Selengkapnya: Info Security

Kerentanan Chip Snapdragon Menempatkan Lebih Dari 1 Miliar Ponsel Android Pada Risiko Pencurian Data

by

Satu miliar lebih perangkat Android rentan terhadap peretasan yang dapat mengubahnya menjadi alat mata-mata dengan mengeksploitasi lebih dari 400 kerentanan dalam chip Qualcomm Snapdragon, para peneliti melaporkan minggu ini.

Kerentanan dapat dieksploitasi saat target mengunduh video atau konten lain yang dirender oleh chip tersebut. Target juga dapat diserang dengan memasang aplikasi berbahaya tanpa memerlukan izin sama sekali.

Dari sana, penyerang dapat memantau lokasi dan mendengarkan audio terdekat secara real time dan mengekstrak foto dan video. Eksploitasi juga memungkinkan untuk membuat ponsel benar-benar tidak responsif. Infeksi dapat disembunyikan dari sistem operasi dengan cara yang menyulitkan proses disinfeksi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Ars Technica