Hacker

Peretas Cina Menggunakan Taktik ‘Never-Before-Seen’ untuk Serangan Infrastruktur Kritis

June 27, 2023 by Flamango

Aktor negara-bangsa Tiongkok yang baru ditemukan, Volt Typhoon, berasal dari CrowdStrike, yang melacak musuh dengan nama Vanguard Panda .

Volt Typhoon yang juga dikenal sebagai Bronze Silhouette, kelompok spionase siber dari Tiongkok yang dikaitkan dengan operasi intrusi jaringan terhadap pemerintah AS, pertahanan, dan organisasi infrastruktur penting lainnya.

Diamati telah aktif di alam liar sejak pertengahan 2020, dengan kru peretas yang terkait dengan metode yang belum pernah terlihat untuk mempertahankan akses jarak jauh ke target.

CrowdStrike menyebutkan bahwa musuh secara konsisten menggunakan eksploitasi ManageEngine Self-service Plus untuk mendapatkan akses awal, diikuti oleh web shell kustom untuk akses yang persisten, dan teknik living-off-the-land (LotL) untuk pergerakan lateral.

Perusahaan keamanan cyber tersebut melakukan analisis, menyediakan wawasan tentang tindakan dan teknik yang digunakan oleh Vanguard Panda dalam operasinya.

Vanguard Panda fokus pada keamanan operasional dan menggunakan seperangkat alat open-source yang ekstensif untuk melakukan tindakan jahat jangka panjang terhadap sejumlah korban.

Dalam satu insiden yang diungkapkan, Vanguard Panda menargetkan layanan Zoho ManageEngine ADSelfService Plus yang berjalan di server Apache Tomcat. Mereka menggunakan eksploitasi terhadap kerentanan kritis CVE-2021-40539 yang memungkinkan mereka untuk melakukan eksekusi kode jarak jauh.

Grup ini juga menggunakan shell web yang disamarkan sebagai solusi keamanan identitas untuk menghindari deteksi. Diyakini bahwa Shell web tersebut telah digunakan selama hampir enam bulan sebelum aktivitas ‘hands-on-keyboard’ terdeteksi, menunjukkan adanya pengintaian sebelumnya terhadap jaringan target.

Pelaku ancaman diduga menghapus artefak dan merusak log akses untuk menyembunyikan jejak. Namun, mereka melakukan kesalahan dengan tidak memperhitungkan sumber Java dan mengkompilasi file kelas yang dihasilkan selama serangan yang mengakibatkan penemuan lebih banyak shell web dan backdoor.

Backdoor yang dimodifikasi, ‘tomcat-websocket.jar’ ditemukan berisi tiga kelas Java baru. Shell web ini mampu menerima dan menjalankan perintah yang disandikan Base64 dan dienkripsi AES.

Penggunaan backdoor Apache Tomcat merupakan TTP persistensi yang sebelumnya tidak diketahui yang digunakan oleh Vanguard Panda. Grup ini menggunakan backdoor ini untuk mempertahankan akses persisten ke target bernilai tinggi setelah berhasil melakukan serangan menggunakan kerentanan zero-day.

Selengkapnya: The Hacker News

Kaspersky mengatakan penyerang meretas iPhone staf dengan malware yang tidak dikenal

June 2, 2023 by Coffee Bean

Perusahaan keamanan siber Rusia Kaspersky mengatakan bahwa peretas yang bekerja untuk pemerintah menargetkan beberapa lusin iPhone karyawan dengan malware yang tidak diketahui.

Juru bicara Kaspersky Sawyer Van Horn mengatakan dalam email ke TechCrunch bahwa perusahaan menetapkan bahwa salah satu kerentanan yang digunakan dalam operasi diketahui dan diperbaiki oleh Apple pada Desember 2022, tetapi mungkin telah dieksploitasi sebelum ditambal, bersama dengan kerentanan lainnya. “Meskipun tidak ada indikasi yang jelas, kerentanan yang sama telah dieksploitasi sebelumnya, tetapi sangat mungkin terjadi,” kata juru bicara itu.

Peneliti Kaspersky mengatakan bahwa mereka menemukan serangan tersebut ketika mereka melihat “aktivitas mencurigakan yang berasal dari beberapa ponsel berbasis iOS,” saat memantau jaringan Wi-Fi perusahaan mereka sendiri. Van Horn mengatakan serangan siber ditemukan “pada awal tahun ini.”

Sementara malware dirancang untuk membersihkan perangkat yang terinfeksi dan menghapus jejaknya sendiri, “adalah mungkin untuk mengidentifikasi dengan andal jika perangkat itu disusupi,” tulis para peneliti.

Dalam laporan tersebut, para peneliti menjelaskan langkah demi langkah bagaimana mereka menganalisis perangkat yang disusupi, menguraikan bagaimana orang lain dapat melakukan hal yang sama. Namun, mereka tidak memasukkan banyak detail dari apa yang mereka temukan menggunakan proses ini.

Para peneliti mengatakan bahwa kehadiran “garis penggunaan data yang menyebutkan proses bernama ‘BackupAgent’,” adalah tanda yang paling dapat diandalkan bahwa iPhone diretas, dan salah satu tanda lainnya adalah bahwa iPhone yang dikompromikan tidak dapat menginstal update iOS.

Perusahaan mengatakan bahwa para peretas, yang pada saat ini tidak diketahui, mengirimkan malware dengan eksploitasi tanpa klik melalui lampiran iMessage, dan bahwa semua peristiwa terjadi dalam jangka waktu satu hingga tiga menit.

sumber : techcrunch

Kelompok Peretas DeltaBoys Bangkit Kembali

May 29, 2023 by Søren

DeltaBoys, sekelompok peretas yang beroperasi sejak Desember 2021, awalnya bergerak sebagai pialang basis data dan pelaku carding. Namun, pada Agustus 2022, operasi mereka berkembang menjadi defacement massal dan pasar “akses awal”, yang menyediakan webshell untuk situs web sensitif.

Untuk mendanai operasi mereka yang memiliki motif geopolitik, mereka membangun katalog beragam basis data yang baru saja diretas, “zero-day”, “exploit untuk kerentanan yang diketahui”, webshell, dan kartu kredit yang bocor untuk dijual.

DeltaBoys membuat saluran Telegram mereka pada 1 Desember 2021 untuk memonetisasi upaya peretasan mereka. Tidak lama kemudian terbukti bahwa pasar untuk basis data tertentu lebih kecil daripada pasar yang mencari akses domain awal. Para pelaku ancaman ini memposting set pertama webshell mereka untuk dijual pada Agustus 2022.

Akses webshell biasanya terjual sangat cepat di dark web: hal ini tergantung pada siapa yang menemukan kerentanan/konfigurasi yang salah terlebih dahulu, karena secara alami, pelaku ancaman tidak ingin membagikan korban mereka. Dalam kasus ini, 170 webshell terjual dalam waktu satu menit, yang menunjukkan permintaan akan data semacam itu.

DeltaBoys muntul dengan hanya melakukan 2 defacement pada tahun 2021, sedangkan pada bulan April 2023 saja, DeltaBoys telah melakukan defacement terhadap 59 situs web, dengan sebagian besar korban berasal dari Israel, Taiwan, Tiongkok, dan Spanyol.

Kelompok DeltaBoys dikenal menggunakan utilitas “bashupload”, yang memungkinkan pengguna mengunggah file untuk diakses nanti, dan juga memfasilitasi penggalian data. Selain itu, hanya 3 dari 88 vendor antivirus yang mengindikasikan domain ini sebagai berbahaya.

Selengkapnya: CYFIRMA

Aspen Dental, Korban Terbaru Dalam Rangkaian Serangan Siber Terhadap Penyedia Layanan Kesehatan

April 28, 2023 by Flamango

Aspen Dental mengkonfirmasi sebagai korban serangan siber pada hari Rabu.

Juru bicara Aspen Dental mengatakan bahwa Grup Aspen sementara mengalami dampak buruk yang mempengaruhi kemampuan untuk mengakses sistem penjadwalan dan aplikasi bisnis lainnya untuk Aspen Dental.

Beruntungnya, tim TI mereka dapat menemukan masalah ini lebih awal dan telah bekerja dengan rajin untuk membuat sistem kembali online secepat dan seaman mungkin.

Ron Sanders, mantan direktur Florida Center for Cybersecurity, mengatakan bahwa bagi peretas, perusahaan di industri medis adalah sasaran empuk bagi penjahat dunia maya karna industri tersebut seringkali memiliki nama pasien, alamat, nomor telepon, nomor jaminan sosial, dan informasi kartu kredit.

Hal ini tampaknya dibuktikan dengan adanya data pelanggaran perawatan kesehatan yang telah mengungkap 385 juta catatan pasien dari tahun 2010 hingga 2022 berdasarkan laporan bulan lalu dari healthcaredive.com.

Juru bicara Aspen Dental mengatakan bahwa perusahaan tidak memiliki alasan untuk percaya bahwa data pasien telah dikompromikan, tetapi penyelidikan masih dalam tahap awal, dan beberapa kantor di seluruh negeri telah melihat pasien sementara pihaknya menangani masalah ini.

Selengkapnya: FOX13

Hacker Mencuri Mobil dengan Menyuntikkan Kode ke Kabel Lampu Depan

April 9, 2023 by Coffee Bean

pencuri yang paham teknologi—telah menemukan cara baru untuk mencuri mobil. Tidak, ini bukan serangan relay, exploit Bluetooth, key fob replay, atau bahkan kabel USB. Sebaliknya, pencuri ini melakukan pendekatan modern pada hot-wiring tanpa pernah merobek kolom kemudi.

Penjahat licik terpaksa menggunakan perangkat yang dibuat khusus yang cukup dicolokkan ke rangkaian kabel di belakang lampu depan mobil korban. Setelah dicolokkan, mereka dapat membuka kunci, memulai, dan pergi bahkan sebelum pemiliknya mengetahui apa yang terjadi.

mobilnya akhirnya hilang ketika pencuri berhasil membawanya pergi. Dan setelah mobil Tabor dicuri, Toyota Land Cruiser tetangganya juga dicuri. Tapi, teman-teman, ini tahun 2023. Ini tidak seperti Anda bisa menyalakan mobil dan pergi seperti yang disarankan film. Ini membuat Tabor penasaran—lagipula, meretas mobil adalah sesuatu yang dia lakukan untuk bersenang-senang. Bagaimana tepatnya pencuri kabur dengan mobilnya?

Tabor mulai bekerja dengan aplikasi “MyT” Toyota. Ini adalah sistem telematika Toyota yang memompa Kode Masalah Diagnostik ke server pembuat mobil daripada memaksa Anda memasang pembaca kode ke port OBD2 mobil. Setelah diselidiki, Tabor memperhatikan bahwa Rav4-nya memulai satu ton DTC sesaat sebelum dicuri

sumber : youtube.com
selengkapnya : thedrive.com

Pengguna yang Dilindungi: Anda pikir Anda aman?

April 2, 2023 by Coffee Bean

Pada tanggal 31 Oktober 2022, PR di CrackMapExec dari Thomas Seigneuret (@Zblurx) digabungkan. PR ini memperbaiki otentikasi Kerberos dalam kerangka kerja CrackMapExec. Melihat itu, saya langsung ingin mencobanya dan bermain-main dengannya. Saat melakukannya, saya menemukan perilaku aneh dengan grup Pengguna Terlindungi. Dalam posting blog ini saya akan menjelaskan apa itu grup Pengguna Terlindungi, mengapa itu adalah fitur keamanan yang bagus dan mengapa itu tidak lengkap untuk pengguna Administrator (RID500).

berikut adalah scenario yang sering terjadi di internal assessments.kami mengkompromikan satu server, membuang database SAM dan memori LSASS-nya untuk mengambil kredensial teks-jelas atau hash NT. Kami juga dapat membuang tiket Kerberos dan umumnya materi lain yang dapat kami gunakan untuk terhubung ke tempat lain:

Baik itu di database SAM atau di memori proses LSASS, Anda mungkin akan menemukan hash NT:

Di Windows, memiliki hash NT sama dengan memiliki kata sandi teks-jelas. Jika kita melihat protokol autentikasi NTLM, kita dapat melihat bahwa tantangan tersebut dikodekan menggunakan hash NT pengguna:

Karena kami memliki hash NT, kami dapat menyalin tantangan tanpa mengetahui kata sandi teks-jelas yang sesuai.

untuk selengkapnya : sensepost.com

Hacker mengeksploitasi kelemahan plugin WordPress yang memberikan kontrol penuh atas jutaan situs

April 2, 2023 by Coffee Bean

Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.

Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.

Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:

Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.

selengkapnya : arstechnica.com

Ribuan perusahaan rentan dalam serangan supply chain cyberattack

April 1, 2023 by Coffee Bean

Ribuan perusahaan yang menggunakan aplikasi panggilan suara dan video yang sama kini menghadapi risiko, karena peretas Korea Utara melakukan serangan rantai pasokan yang sedang berlangsung, beberapa perusahaan keamanan dunia maya memperingatkan awal pekan ini.

Mengapa penting: Malware mulai menginfeksi perangkat pengguna pada awal Februari, menurut SentinelOne, dan masih belum jelas berapa banyak pelanggan 3CX yang terpengaruh.

Serangan rantai pasokan adalah beberapa serangan dunia maya yang paling sulit untuk dicegah dengan visibilitas terbatas bisnis tertentu ke dalam praktik keamanan dunia maya vendor mereka.

Ini akan memakan waktu berminggu-minggu sampai publik memiliki pemahaman yang lebih baik tentang berapa lama serangan itu berlangsung, siapa yang terkena dampak dan akses apa yang bisa didapat Korea Utara.

selengkapnya : axios.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hacker

Cookies Settings