• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Dropbox

Dropbox

Peretas Worok Menyembunyikan Malware Baru di PNG Menggunakan Steganografi

November 11, 2022 by Coffee Bean

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Rantai infeksi lengkap Worok

Menyembunyikan muatan dalam PNG

LSB pada piksel gambar

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

  • Jalankan “cmd /c” dengan parameter yang diberikan
  • Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
  • Unduh data dari DropBox ke perangkat
  • Unggah data dari perangkat ke DropBox
  • Hapus data di sistem korban
  • Ganti nama data pada sistem korbaN
  • Exfiltrate info file dari direktori yang ditentukan
  • Tetapkan direktori baru untuk pintu belakang
  • Exfiltrat informasi sistem
  • Perbarui konfigurasi pintu belakang
  • Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

    sumber : bleeping computer

Tagged With: Cyber Espionage, Dropbox, Infostealer, Malware, Steganografi

130 Github Repositori Dicuri dari Dropbox oleh Hacker

November 2, 2022 by Coffee Bean

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”


Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Tagged With: Data Breach, Dropbox, GitHub, Hacker, Phishing, Repository

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

July 20, 2022 by Eevee

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Tagged With: APT29, Dropbox, GoldMax, Google Cloud, Google Drive, Rusia Hacker Group, SVR, TrailBlazer

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

January 28, 2022 by Winnie the Pooh

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

Tagged With: Apple, Cloud, Data, Dropbox, MacOS, OneDrive

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

December 14, 2020 by Winnie the Pooh

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Sumber: Cybereason

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

Tagged With: Backdoor, Cybersecurity, DropBook, Dropbox, Facebook, Google Drive, Malware, Molerats, SharpStage

Grup peretas Rusia menggunakan Dropbox untuk menyimpan data yang dicuri malware

December 3, 2020 by Winnie the Pooh

Grup peretas yang didukung Rusia, Turla, telah menggunakan malware toolset untuk menyebarkan backdoor dan mencuri dokumen sensitif dalam kampanye spionase siber yang menargetkan profil tinggi seperti Kementerian Luar Negeri sebuah negara Uni Eropa.

Malware framework yang sebelumnya tidak diketahui, dinamai Crutch oleh penulisnya, digunakan dalam kampanye mulai dari 2015 hingga setidaknya awal 2020.

Malware Crutch Turla ini dirancang untuk membantu memanen dan mengekstrak dokumen sensitif dan berbagai file menarik lainnya ke akun Dropbox yang dikendalikan oleh grup tersebut.

“Kecanggihan serangan dan detail teknis dari penemuan ini semakin memperkuat persepsi bahwa kelompok Turla memiliki sumber daya yang cukup besar untuk mengoperasikan persenjataan yang begitu besar dan beragam,” kata peneliti ESET Matthieu Faou dalam sebuah laporan yang dibagikan sebelumnya dengan BleepingComputer.

“Selanjutnya, Crutch mampu melewati beberapa lapisan keamanan dengan menyalahgunakan infrastruktur resmi – yaitu, Dropbox – untuk berbaur dengan lalu lintas jaringan normal sambil mengeksfiltrasi dokumen yang dicuri dan menerima perintah dari operatornya.”

Versi awal Crutch (antara 2015 hingga pertengahan 2019) menggunakan saluran backdoor untuk berkomunikasi dengan akun Dropbox yang di-hardcode melalui API HTTP resmi dan alat pemantauan drive tanpa kemampuan jaringan yang mencari dan mengarsipkan dokumen menarik sebagai arsip terenkripsi.

Versi yang diperbarui (dilacak sebagai ‘versi 4’ oleh ESET) menambahkan removable-drive monitor dengan kemampuan jaringan dan menghapus kemampuan backdoor.

Crutch malware architecture (ESET)

Sumber: Bleeping Computer

Tagged With: Backdoor, Crutch, Cybersecurity, Dropbox, Security, Turla

Email Phishing Bertema Faktur Menyebar dari Tautan Yang Tepercaya

July 23, 2020 by Winnie the Pooh

Sebuah kampanye phishing yang memanen kredensial pengguna melalui situs web file sharing legit telah ditemukan oleh Cofense Phishing Defense Center (PDC).

Kampanye phishing tersebut ditemukan di lingkungan yang dilindungi oleh Proofpoint’s Secure Email Gateway (SEG).

Serangan spear phishing mengirimkan tautan yang meminta pengguna untuk mengakses formulir pesanan pembelian dengan ekstensi (.pdf). Setelah diklik, serangan itu secara otomatis mengarahkan pengguna ke browser web default mereka, meminta untuk mengklik tombol “Unduh”.

Setelah unduhan selesai, pengguna diminta untuk membuka tautan (.html) dengan asumsi formulir “pesanan pembelian” akan muncul, namun setelah diklik, pengguna diarahkan ke halaman login “Microsoft” palsu yang dibuat dengan free website builder legit “Weebly.com”.

Setelah kredensial diberikan, pengguna diarahkan ke halaman web ‘office[.]com’, yang bahkan bisa cukup untuk meyakinkan pengguna bahwa itu adalah prosedur asli.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Cofense

Tagged With: Cybersecurity, Dropbox, Email Phishing, InfoSec, Phishing, Security, Weebly

Zero-day Vulnerabilities Have Been Found in Dropbox for Windows

December 25, 2019 by Winnie the Pooh

Peneliti keamanan telah mengungkapkan kerentanan zero-day di Dropbox pada Windows yang dapat memungkinkan penyerang mendapatkan hak istimewa SYSTEM Windows dari titik awal pengguna Windows yang sederhana.

 

Masalahnya adalah dengan layanan DropboxUpdater dan, meskipun para peneliti tidak merilis kode eksploit, tampaknya akan memungkinkan pengguna lokal untuk mengganti file executable

yang kemudian dapat dieksekusi oleh SYSTEM.

 

Baca berita selengkapnya pada link dibawah ini

Source: Forbes

Tagged With: Dropbox, Remote Attack, Vulnerabilities, Windows, Zero Day

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo