Google Drive

Kekurangan Google Drive Memungkinkan Penyerang Mengeksfiltrasi Data Ruang Kerja Tanpa Jejak

June 3, 2023 by Coffee Bean Leave a Comment

Para peneliti di tim dari Mitiga menemukan apa yang mereka sebut sebagai “kekurangan keamanan forensik” kunci dalam aplikasi produktivitas yang dihosting populer, yang muncul karena kurangnya pembuatan log untuk pengguna yang tidak memiliki lisensi perusahaan berbayar untuk Workspace. Dalam posting blog Mitiga yang diterbitkan 30 Mei, tim mencatat bahwa situasi tersebut membuat perusahaan terbuka terhadap ancaman orang dalam dan potensi kebocoran data lainnya.

Bagaimana Penyerang Dapat Mengeksploitasi Kekurangan Google Drive
Ada dua skenario utama di mana kurangnya visibilitas ini menimbulkan masalah, para peneliti menguraikan dalam posting mereka. Yang pertama adalah jika akun pengguna disusupi oleh aktor ancaman, baik dengan menjadi admin atau hanya dengan mendapatkan akses ke akun tersebut, tulis mereka.

“Aktor ancaman yang mendapatkan akses ke pengguna admin dapat mencabut lisensi pengguna, mengunduh semua file pribadi mereka, dan menetapkan ulang lisensi,” jelas mereka dalam postingan tersebut. Dalam hal ini, satu-satunya catatan log yang akan dihasilkan adalah aktivitas pencabutan dan penetapan lisensi, di bawah Admin Log Events, kata para peneliti.

Sementara itu, pelaku ancaman yang mendapatkan akses ke pengguna tanpa lisensi berbayar tetapi masih menggunakan drive pribadi organisasi dapat mengunduh semua file drive tanpa meninggalkan jejak apa pun, kata para peneliti.

Skenario ancaman kedua kemungkinan besar akan terjadi selama pelepasan karyawan, ketika pengguna korporat meninggalkan perusahaan dan dengan demikian lisensinya dicabut sebelum benar-benar menonaktifkan/menghapus karyawan tersebut sebagai pengguna Google, kata para peneliti.

Karyawan (atau pengguna mana pun yang tidak diberi lisensi berbayar) juga berpotensi mendownload file internal dari drive pribadinya atau Google Workspace pribadinya tanpa pemberitahuan apa pun karena kurangnya pencatatan log, menimbulkan ancaman orang dalam, atau berpotensi mengungkap data tersebut ke penyerang luar, mereka menambahkan. Pengguna yang masih menggunakan drive pribadi perusahaan juga dapat mengunduh drive ke Google Workspace pribadi tanpa catatan log apa pun, kata para peneliti.

“Apa pun itu, tanpa lisensi berbayar, pengguna masih dapat mengakses drive bersama sebagai penonton,” jelas mereka dalam postingan tersebut. “Seorang pengguna atau pelaku ancaman dapat menyalin semua file dari drive bersama ke drive pribadi mereka dan mengunduhnya.”

Bagaimana Perusahaan Dapat Menanggapi
Untungnya, ada beberapa langkah yang dapat diambil oleh organisasi yang menggunakan Google Workspace untuk memastikan bahwa masalah yang diuraikan oleh Mitiga tidak dieksploitasi, kata para peneliti. Ini termasuk mengawasi tindakan tertentu dalam fitur Peristiwa Log Admin mereka, seperti peristiwa tentang penugasan dan pencabutan lisensi, kata mereka.

“Jika peristiwa ini terjadi secara berurutan, itu bisa menunjukkan bahwa pelaku ancaman mencabut dan menetapkan kembali lisensi di lingkungan Anda,” tulis mereka dalam postingan tersebut. “Oleh karena itu, kami menyarankan untuk melakukan perburuan ancaman secara rutin di Google Workspace yang mencakup penelusuran aktivitas ini.

Organisasi juga dapat menambahkan peristiwa “salinan sumber” dalam perburuan ancaman untuk menangkap kasus di mana seorang karyawan atau aktor ancaman menyalin file dari drive bersama ke drive pribadi dan mengunduhnya dari sana, kata para peneliti.

Secara keseluruhan, organisasi “perlu memahami bahwa jika ada pengguna dengan lisensi gratis, pengguna tersebut dapat mengunduh atau menyalin data dari Google Drive pribadi organisasi dan tidak akan ada catatan aktivitas,” kata Aspir. “Berhati-hatilah terhadap pengguna di dalam perusahaan yang tidak memiliki lisensi berbayar.”

sumber : darkreading.com

APT37 Menyalahgunakan Google Drive Menggunakan Dynamic Dolphin Malware

December 3, 2022 by Søren

Grup peretasan Korea Utara APT37 (alias ScarCruft atau Reaper) telah memperbarui persenjataan alatnya yang luas dengan pintu belakang canggih baru bernama Dolphin. Backdoor menyalahgunakan layanan penyimpanan cloud, khususnya Google Drive untuk komunikasi C2.

Peneliti ESET menemukan bahwa APT37 menggunakan Dolphin sejak awal 2021 dan pintu belakang terus mengembangkan kemampuan baru dan berevolusi untuk menghindari deteksi.

Penemuan terbaru terkait dengan serangan lubang berair pada tahun 2021 di surat kabar online Korea Selatan yang melaporkan aktivitas dan acara yang berkaitan dengan Korea Utara.
Peretas mengandalkan banyak komponen, termasuk eksploit Internet Explorer dan kode shell yang mengarah ke pintu belakang bernama BLUELIGHT, yang menyebarkan muatan sekunder Dolphin pada target yang dipilih.
BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi dan Dolphin mencari drive dari sistem yang disusupi untuk mencari file menarik dan mengekstraknya ke Google Drive.

Dolphin, ditulis dalam C++, adalah backdoor yang mengumpulkan informasi dan mengeksekusi perintah secara otomatis atau seperti yang dikeluarkan oleh operatornya.

Dolphin memiliki berbagai kemampuan mata-mata, termasuk memantau layanan cloud dan perangkat portabel serta mengekstraksi file yang menarik.
Selain itu, ia mampu melakukan keylogging dan mengambil screenshot, dan mencuri kredensial dari browser seperti Chrome, Edge, dan Internet Explorer. Itu dapat membangun kegigihan pada sistem yang dikompromikan dengan memodifikasi Windows Registry.

Sejauh ini, empat varian pintu belakang Dolphin telah terdeteksi, 1.9 hingga 3.0 (86/64-bit). Dolphin sering menambah, menghapus, atau memperbaiki perintah di setiap varian.

Selengkapnya: Cyware

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

July 20, 2022 by Eevee

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

January 26, 2022 by Eevee

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Google Drive menandai file yang hampir kosong karena ‘pelanggaran hak cipta’

January 26, 2022 by Eevee

Pengguna dibuat terkejut karena sistem deteksi otomatis Google Drive menandai file yang hampir kosong karena pelanggaran hak cipta.

Asisten Profesor di Michigan State University, Dr. Emily Dolson, Ph.D. melaporkan melihat beberapa perilaku aneh saat menggunakan Google Drive.

Salah satu file di Google Drive Dolson, ‘output04.txt’ hampir kosong—tanpa apa pun selain angka ‘1’ di dalamnya.

Tetapi menurut Google, file ini melanggar “kebijakan Pelanggaran Hak Cipta” perusahaan dan karenanya ditandai.

Dan yang lebih parah, peringatan yang dikirimkan kepada profesor tersebut diakhiri dengan “Sebuah tinjauan tidak dapat diminta untuk pembatasan ini.”

File Dolson ‘output04.txt’ disimpan di jalur ‘CSE 830 Spring 2022/Testcases/Homework3/Q3/output’ di Drive yang membuat profesor bertanya-tanya apakah jalur file mungkin berkontribusi pada alarm palsu.

Pengguna pseudonim juga membagikan tangkapan layar akun Google Drive mereka di mana file yang hanya berisi angka “1”—dengan atau tanpa karakter baris baru, ditandai.

File dengan ‘1’ juga ditandai oleh Google Drive karena pelanggaran hak cipta (Imgur)

Dan, ternyata perilaku itu tidak terbatas hanya pada file yang berisi angka “1.”

Dr. Chris Jefferson, Ph.D., seorang peneliti AI dan matematika di University of St Andrews, juga dapat masalah saat mengunggah beberapa file yang dihasilkan komputer ke Drive.

Jefferson menghasilkan lebih dari 2.000 file, masing-masing hanya berisi angka antara -1000 dan 1000.

File yang berisi angka 173, 174, 186, 266, 285, 302, 336, 451, 500, dan 833 segera ditandai oleh Google Drive karena pelanggaran hak cipta.

Beberapa orang menuduh bahwa jika file tersebut hanya berisi angka “0”, Google akan menonaktifkan akun Anda secara permanen, meskipun hasilnya lebih mungkin berlaku untuk pengguna yang dianggap oleh Google sebagai pelanggar berulang.

Mikko Ohtamaa, pendiri perusahaan Defi Capitalgram, menuduh bahwa gaya otomatis Google dalam menandai kandidat yang diduga melanggar hak cipta dapat menimbulkan masalah dengan bagian dari undang-undang GDPR.

Pasal 22 GDPR alias “pengambilan keputusan individu otomatis, termasuk pembuatan profil,” lebih khusus mengacu pada pembuatan keputusan otomatis tentang individu dengan membuat profil perilaku online mereka, seperti sebelum memberikan pinjaman atau saat membuat keputusan perekrutan, seperti yang dijelaskan oleh ICO Inggris.

Pada tahun 2018, Google menerbitkan dokumen terperinci yang menjelaskan bagaimana perusahaan memerangi pembajakan. Tetapi ketika secara khusus berbicara tentang Google Drive, laporan tersebut menyatakan “rekayasa penyalahgunaan waktu penuh team” dibentuk oleh Google untuk menangani streaming ilegal yang disajikan di Google Drive. Karena itu, tidak banyak informasi yang tersedia tentang cara algoritme Google memproses konten non-video yang disimpan di Drive.

Selengkapnya : Bleeping Computer

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

December 14, 2020 by Winnie the Pooh

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

Waspadalah terhadap Scam Landing Google Drive Baru di Inbox

November 2, 2020 by Winnie the Pooh

Penipu menemukan umpan phishing baru untuk digunakan: Google Drive.

Kerentanan di Drive sedang dieksploitasi untuk mengirimkan email yang tampaknya sah dan pemberitahuan push dari Google yang, jika dibuka, dapat mendaratkan orang di situs web berbahaya.

Bagian paling cerdas dari penipuan ini adalah email dan pemberitahuan yang dihasilkannya datang langsung dari Google. Di perangkat seluler, penipu menggunakan fitur kolaborasi di Google Drive untuk menghasilkan pemberitahuan push yang mengundang orang untuk berkolaborasi di dokumen. Jika diketuk, notifikasi akan membawa Anda langsung ke dokumen yang berisi link yang sangat besar dan menggoda.

Pemberitahuan email yang dibuat oleh penipu, yang juga berasal dari Google, juga berisi tautan yang berpotensi berbahaya. Tidak seperti spam biasa, yang difilter oleh Gmail dengan cukup baik, pesan ini tidak hanya masuk ke kotak masuk Anda, tetapi juga mendapat lapisan legitimasi tambahan dengan datang dari Google itu sendiri.

Orang yang menjadi sasaran scam menerima pemberitahuan Google Drive dan email dalam bahasa Rusia atau bahasa Inggris yang meminta mereka untuk berkolaborasi dalam dokumen dengan nama yang tidak masuk akal. Dokumen-dokumen ini selalu berisi tautan ke situs web scam. Salah satu situs web yang digunakan untuk penipuan, yang baru didaftarkan pada 26 Oktober, membombardir orang dengan pemberitahuan dan permintaan untuk mengeklik tautan ke penawaran dan penarikan hadiah. Versi lain dari penipuan mencoba memikat orang agar mengeklik tautan untuk memeriksa rekening bank mereka atau untuk menerima pembayaran.

Seorang juru bicara Google mengatakan perusahaan memiliki langkah-langkah untuk mendeteksi serangan spam baru dan menghentikannya, tetapi tidak ada tindakan keamanan yang 100 persen efektif. Juru bicara tersebut menambahkan bahwa Google sedang mengerjakan langkah-langkah baru untuk mempersulit spam Google Drive menghindari sistemnya.

David Emm, peneliti keamanan utama di perusahaan keamanan siber Kaspersky, mengatakan bahwa, seperti semua penipuan phishing, yang terpenting adalah berpikir sebelum Anda mengeklik. “Hindari mengklik tautan apa pun yang tidak diminta saat dikirim dari sumber yang tidak dikenal”.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Wired

Kerentanan Google Drive Memungkinkan Penyerang Menipu Anda Untuk Memasang Malware

August 24, 2020 by Winnie the Pooh

Google Drive mungkin memiliki cara bagi peretas untuk mengelabui Anda agar memasang kode jahat.

Administrator sistem A. Nikoci telah memberi tahu The Hacker News tentang kerentanan dalam fitur “kelola versi” Drive yang dapat memungkinkan penyerang menukar file yang sah dengan malware.

Layanan penyimpanan cloud dilaporkan tidak memeriksa apakah suatu file memiliki jenis yang sama, atau bahkan menerapkan ekstensi yang sama. Foto kucing yang tidak berbahaya mungkin merupakan program yang menyamar.

Pratinjau online tidak menunjukkan perubahan apa pun atau membunyikan alarm, jadi Anda mungkin tidak tahu ada file yang bermasalah sampai Anda sudah memasangnya. Chrome tampaknya “secara implisit mempercayai” unduhan Drive bahkan saat program antivirus lain mendeteksi sesuatu yang salah.

Pendekatan ini dapat digunakan untuk serangan spear phishing yang mengelabui pengguna agar membahayakan sistem mereka. Anda mungkin mendapatkan pemberitahuan tentang pembaruan dokumen dan mengambil file tanpa menyadari ancamannya.

Nikoci mengatakan dia telah memberi tahu Google tentang masalah ini, tetapi masalah itu masih belum diperbaiki pada 22 Agustus.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Endgadget

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Google Drive

Cookies Settings