Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Hacker

Hacker

Peretas APT BlueNoroff Menggunakan Cara Baru Untuk Memotong Perlindungan MotW Windows

by

BlueNoroff, subcluster dari Grup Lazarus yang terkenal kejam, telah diamati mengadopsi teknik baru ke dalam buku pedomannya yang memungkinkannya melewati perlindungan Windows Mark of the Web (MotW).

Kapersky mengungkapkan bahwa ini termasuk penggunaan format file image disk optik (ekstensi .ISO) dan hard disk virtual (ekstensi .VHD) sebagai bagian dari rantai infeksi baru.

Penemuan domain palsu meniru ABF Capital, Angel Bridge, ANOBAKA, Bank of America, dan Mitsubishi UFJ Financial Group, menandakan adanya minat di wilayah tersebut.

Sejak 2018, BlueNoroff tampaknya telah mengalami perubahan taktis. Dari bank yang mencolok beralih fokus pada entitas mata uang kripto untuk menghasilkan pendapatan ilegal.

Kaspersky awal tahun ini mengungkapkan detail kampanye SnatchCrypto yang diatur oleh kolektif musuh untuk menguras dana digital dari dompet cryptocurrency korban.

Aktivitas utama lainnya adalah AppleJeus.Perusahaan cryptocurrency palsu dibentuk untuk memikat korban tanpa disadari agar memasang aplikasi yang tampak jinak yang pada akhirnya menerima pembaruan dari belakang.

Aktivitas terbaru diidentifikasi oleh perusahaan cybersecurity Rusia, memperkenalkan sedikit modifikasi untuk menyampaikan muatan terakhirnya, menukar lampiran dokumen Microsoft Word dengan file ISO di email spear-phishing untuk memicu infeksi.

Penggunaan nama file Jepang untuk salah satu dokumen dan pembuatan domain tipuan yang disamarkan sebagai perusahaan modal ventura Jepang yang sah menunjukkan bahwa perusahaan keuangan di negara kepulauan tersebut kemungkinan besar menjadi target BlueNoroff.

Perang dunia maya telah menjadi fokus utama Korea Utara dalam menanggapi sanksi ekonomi. Menurut National Intelligence Service (NIS) Korea Selatan, peretas Korea Utara yang disponsori negara diperkirakan telah mencuri $1,2 miliar dalam cryptocurrency dan aset digital lainnya dari target di seluruh dunia selama lima tahun terakhir.

Selengkapnya: The Hacker News

Kilang Minyak Besar di Negara NATO, Target Peretas yang Didukung Kremlin

by

Saat invasi Rusia ke Ukraina berlanjut, peretas negara itu memperluas target mereka.

Salah satu kelompok peretas paling aktif di Kremlin yang menargetkan Ukraina, baru-baru ini mencoba meretas perusahaan penyulingan minyak besar yang berlokasi di negara NATO.

Meskipun gagal, serangan pada 30 Agustus ini menandakan bahwa kelompok tersebut berusaha memperluas pengumpulan intelijennya seiring dengan berlanjutnya invasi Rusia ke negara tetangganya. Grup peretasan telah dikaitkan oleh Dinas Keamanan Ukraina dengan Dinas Keamanan Federal Rusia.


Menatap Industri Energi
Dalam 10 bulan terakhir, Unit 42 memetakan lebih dari 500 domain baru dan 200 sampel serta remah roti lain yang ditinggalkan Trident Ursa dalam kampanye phishing tombak yang mencoba menginfeksi target dengan malware pencuri informasi.
Peneliti perusahaan menilai bahwa sampel menunjukkan Trident Ursa sedang berusaha meningkatkan pengumpulan intelijen dan akses jaringan mereka terhadap sekutu Ukraina dan NATO.

Beberapa nama file yang digunakan dalam serangan yang gagal adalah MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar, dan daftar hal-hal yang diperlukan untuk penyediaan bantuan kemanusiaan militer ke Ukraina.lnk.

Direktur Siber Badan Keamanan Nasional, Rob Joyce, mengatakan prihatin dengan serangan siber yang signifikan dari Rusia, khususnya pada sektor energi global, menurut CyberScoop.

Tinjauan tahunan NSA mencatat bahwa Rusia telah mengeluarkan setidaknya tujuh malware penghapus berbeda yang dirancang untuk menghancurkan data secara permanen.

Perdana Menteri Norwegia, Jonas Gahr Støre, memperingatkan bahwa Rusia merupakan ancaman yang nyata dan serius terhadap industri minyak dan gas di Eropa Barat karena negara tersebut berusaha untuk mematahkan keinginan sekutu Ukraina.

Meski sederhana, teknik peretasan yang Trident Ursa cukup efektif. Berbagai cara digunakan untuk menyembunyikan alamat IP dan tanda tangan lain dari infrastrukturnya, dokumen phishing dengan tingkat deteksi rendah di antara layanan anti-phishing, dan dokumen HTML dan Word yang berbahaya.

Salah satu pernyataan peneliti Unit 42 yaitu untuk semua alasan yang ada, Rusia tetap menjadi ancaman signifikan bagi Ukraina, yang harus dilawan secara aktif oleh Ukraina dan sekutunya.

Selengkapnya: arsTECHNICA

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

iOS 15 dan iOS 16 Terancam Jailbreak Baru

by

Apple telah meningkatkan keamanan sistem operasi dan perangkatnya, dan ini telah terbukti mengingat para peretas kesulitan membuat alat jailbreak untuk iOS 15. Tetapi mereka yang antusias memodifikasi iOS sekarang dapat merayakannya, karena tim palera1n telah merilis alat jailbreak yang kompatibel tidak hanya dengan iOS 15 tetapi juga dengan iOS 16.

Bagi mereka yang tidak terbiasa, proses jailbreak menghilangkan batasan perangkat lunak pada perangkat iOS sehingga pengguna dapat mengakses dan memodifikasi file sistem, yang memungkinkan semua jenis modifikasi seperti tweak, tema, dan sideloading aplikasi di luar App Store.

Jailbreak untuk iOS 15 dan iOS 16
Jailbreak palera1n didasarkan pada checkm8, sebuah eksploit yang ditemukan pada tahun 2019. Eksploitasi dianggap “tidak dapat ditambal” karena ditemukan di bootrom chip Apple dari A5 ke A11 Bionic.

Menurut pengembang di balik alat jailbreak baru, ini berfungsi dengan versi sistem operasi apa pun dari iOS 15.0 hingga iOS 16.2,Tidak jelas apakah alat ini juga berfungsi dengan iOS 16.3 beta yang baru dirilis.

Perlu dicatat bahwa daftar perangkat yang terpengaruh oleh eksploit checkm8 yang juga dapat menjalankan iOS 16 tidaklah panjang. Berikut model iPhone dan iPad yang bisa di-jailbreak dengan palera1n di iOS 16:

  • iPhone 8 dan 8 Plus
  • iPhone X
  • iPad 5
  • iPad 6
  • iPad 7
  • iPad Pro (1st and 2nd gen)

Tim memperingatkan bahwa alat jailbreak masih bersifat eksperimental dan berfokus pada pengembang. Prosesnya masih cukup rumit dan membutuhkan komputer dengan Linux atau Mac.

sumber : 9to5mac

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

Microsoft Mengatakan Penyerang Dapat Meretas Jaringan Energi dengan Mengeksploitasi Perangkat Lunak Berusia Puluhan Tahun

by

Peneliti di Microsoft mengatakan mereka telah menemukan komponen sumber terbuka yang rentan di server web Boa, yang masih banyak digunakan di berbagai router dan kamera keamanan, serta kit pengembangan perangkat lunak (SDK) yang populer, meskipun perangkat lunak tersebut sudah pensiun pada tahun 2005. Raksasa teknologi mengidentifikasi komponen tersebut saat menyelidiki dugaan gangguan jaringan listrik India yang pertama kali dirinci oleh Recorded Future pada bulan April, di mana penyerang yang disponsori negara China menggunakan perangkat IoT untuk mendapatkan pijakan pada jaringan operational technology (OT), yang digunakan untuk memantau dan mengendalikan industri fisik

Perusahaan menambahkan bahwa penyerang terus berupaya mengeksploitasi kelemahan Boa, yang mencakup bug pengungkapan informasi dengan tingkat keparahan tinggi (CVE-2021-33558) dan kelemahan akses file arbitrer lainnya (CVE-2017-9833).

“[Vulnerabilities/Kerentanan] yang diketahui memengaruhi komponen tersebut dapat memungkinkan penyerang mengumpulkan informasi tentang aset jaringan sebelum memulai serangan, dan untuk mendapatkan akses ke jaringan tanpa terdeteksi dengan memperoleh kredensial yang valid,” kata Microsoft,

Microsoft mengatakan serangan terbaru yang diamati adalah kompromi Tata Power pada bulan Oktober. Pelanggaran ini mengakibatkan grup ransomware Hive menerbitkan data yang dicuri dari raksasa energi India, yang mencakup informasi sensitif karyawan, gambar teknik, catatan keuangan dan perbankan, catatan klien, dan beberapa kunci pribadi.

Perusahaan telah memperingatkan bahwa mengurangi kelemahan Boa ini sulit karena popularitas yang terus berlanjut dari server web yang sekarang sudah tidak berfungsi dan sifat rumit dari bagaimana itu dibangun ke dalam rantai pasokan perangkat IoT.Peringatan Microsoft sekali lagi menyoroti risiko rantai pasokan yang ditimbulkan oleh kelemahan dalam komponen jaringan yang digunakan secara luas. Log4Shell, kerentanan zero-day yang tahun lalu diidentifikasi di Log4j, pustaka logging Apache open-source, diperkirakan berpotensi memengaruhi lebih dari tiga miliar perangkat.

sumber : tech crunch

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

by

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news