Company

Kekurangan Google Drive Memungkinkan Penyerang Mengeksfiltrasi Data Ruang Kerja Tanpa Jejak

June 3, 2023 by Coffee Bean Leave a Comment

Para peneliti di tim dari Mitiga menemukan apa yang mereka sebut sebagai “kekurangan keamanan forensik” kunci dalam aplikasi produktivitas yang dihosting populer, yang muncul karena kurangnya pembuatan log untuk pengguna yang tidak memiliki lisensi perusahaan berbayar untuk Workspace. Dalam posting blog Mitiga yang diterbitkan 30 Mei, tim mencatat bahwa situasi tersebut membuat perusahaan terbuka terhadap ancaman orang dalam dan potensi kebocoran data lainnya.

Bagaimana Penyerang Dapat Mengeksploitasi Kekurangan Google Drive
Ada dua skenario utama di mana kurangnya visibilitas ini menimbulkan masalah, para peneliti menguraikan dalam posting mereka. Yang pertama adalah jika akun pengguna disusupi oleh aktor ancaman, baik dengan menjadi admin atau hanya dengan mendapatkan akses ke akun tersebut, tulis mereka.

“Aktor ancaman yang mendapatkan akses ke pengguna admin dapat mencabut lisensi pengguna, mengunduh semua file pribadi mereka, dan menetapkan ulang lisensi,” jelas mereka dalam postingan tersebut. Dalam hal ini, satu-satunya catatan log yang akan dihasilkan adalah aktivitas pencabutan dan penetapan lisensi, di bawah Admin Log Events, kata para peneliti.

Sementara itu, pelaku ancaman yang mendapatkan akses ke pengguna tanpa lisensi berbayar tetapi masih menggunakan drive pribadi organisasi dapat mengunduh semua file drive tanpa meninggalkan jejak apa pun, kata para peneliti.

Skenario ancaman kedua kemungkinan besar akan terjadi selama pelepasan karyawan, ketika pengguna korporat meninggalkan perusahaan dan dengan demikian lisensinya dicabut sebelum benar-benar menonaktifkan/menghapus karyawan tersebut sebagai pengguna Google, kata para peneliti.

Karyawan (atau pengguna mana pun yang tidak diberi lisensi berbayar) juga berpotensi mendownload file internal dari drive pribadinya atau Google Workspace pribadinya tanpa pemberitahuan apa pun karena kurangnya pencatatan log, menimbulkan ancaman orang dalam, atau berpotensi mengungkap data tersebut ke penyerang luar, mereka menambahkan. Pengguna yang masih menggunakan drive pribadi perusahaan juga dapat mengunduh drive ke Google Workspace pribadi tanpa catatan log apa pun, kata para peneliti.

“Apa pun itu, tanpa lisensi berbayar, pengguna masih dapat mengakses drive bersama sebagai penonton,” jelas mereka dalam postingan tersebut. “Seorang pengguna atau pelaku ancaman dapat menyalin semua file dari drive bersama ke drive pribadi mereka dan mengunduhnya.”

Bagaimana Perusahaan Dapat Menanggapi
Untungnya, ada beberapa langkah yang dapat diambil oleh organisasi yang menggunakan Google Workspace untuk memastikan bahwa masalah yang diuraikan oleh Mitiga tidak dieksploitasi, kata para peneliti. Ini termasuk mengawasi tindakan tertentu dalam fitur Peristiwa Log Admin mereka, seperti peristiwa tentang penugasan dan pencabutan lisensi, kata mereka.

“Jika peristiwa ini terjadi secara berurutan, itu bisa menunjukkan bahwa pelaku ancaman mencabut dan menetapkan kembali lisensi di lingkungan Anda,” tulis mereka dalam postingan tersebut. “Oleh karena itu, kami menyarankan untuk melakukan perburuan ancaman secara rutin di Google Workspace yang mencakup penelusuran aktivitas ini.

Organisasi juga dapat menambahkan peristiwa “salinan sumber” dalam perburuan ancaman untuk menangkap kasus di mana seorang karyawan atau aktor ancaman menyalin file dari drive bersama ke drive pribadi dan mengunduhnya dari sana, kata para peneliti.

Secara keseluruhan, organisasi “perlu memahami bahwa jika ada pengguna dengan lisensi gratis, pengguna tersebut dapat mengunduh atau menyalin data dari Google Drive pribadi organisasi dan tidak akan ada catatan aktivitas,” kata Aspir. “Berhati-hatilah terhadap pengguna di dalam perusahaan yang tidak memiliki lisensi berbayar.”

sumber : darkreading.com

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

May 29, 2023 by Flamango

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Microsoft memperingatkan bahwa peretas China menyerang infrastruktur AS

May 25, 2023 by Coffee Bean

Microsoft memperingatkan pada hari Rabu bahwa peretas yang disponsori negara China telah mengkompromikan infrastruktur dunia maya AS yang “kritis” di berbagai industri dengan fokus pada pengumpulan intelijen.

Grup peretas China, dengan nama sandi “Volt Typhoon,” telah beroperasi sejak pertengahan 2021, kata Microsoft dalam sebuah penasehat. Organisasi tersebut tampaknya bekerja untuk mengganggu “infrastruktur komunikasi penting antara Amerika Serikat dan Asia,” kata Microsoft, untuk menghalangi upaya selama “krisis di masa depan”.

Serangan itu tampaknya sedang berlangsung. Dalam sebuah nasihat, Microsoft mendesak pelanggan yang terkena dampak untuk “menutup atau mengubah kredensial untuk semua akun yang disusupi.”

Badan-badan intelijen AS mengetahui serangan itu pada bulan Februari, sekitar waktu yang sama ketika balon mata-mata China jatuh, lapor New York Times.

Infiltrasi difokuskan pada infrastruktur komunikasi di Guam dan bagian lain AS, Times melaporkan, dan sangat mengkhawatirkan intelijen AS karena Guam berada di jantung respons militer Amerika jika terjadi invasi Taiwan.

kata Microsoft. Sebaliknya, “pelaku ancaman bermaksud untuk melakukan spionase dan mempertahankan akses tanpa terdeteksi selama mungkin.”

Infrastruktur di hampir setiap sektor penting telah terpengaruh, kata Microsoft, termasuk industri komunikasi, transportasi, dan maritim. Organisasi pemerintah juga menjadi sasaran.

Peretas yang didukung pemerintah China telah menargetkan informasi penting dan sensitif dari perusahaan AS sebelumnya. Covington and Burling, sebuah firma hukum terkemuka, diretas oleh tersangka peretas yang disponsori negara Tiongkok pada tahun 2020.

sumber : cnbc.com

Surat Izin Mengemudi, Alamat, Foto: TikTok Membagikan Data Pengguna

May 25, 2023 by Coffee Bean

pada Agustus 2021, TikTok menerima keluhan dari seorang user inggris,yang menandai bahwa seoorang pria telah “mengekspos dirinya sendiri dan bermain dengan dirinya sendiri” di streaming langsung yang dia di selenggarakan di aplikasi video. Dia juga menggambarkan pelecehan masa lalu yang dia alami. Untuk mengatasi keluhan tersebut, karyawan TikTok membagikan insiden tersebut pada alat perpesanan dan kolaborasi internal yang disebut diperoleh The New York Times. Data pribadi wanita Inggris – termasuk fotonya, negara tempat tinggal, alamat protokol internet, perangkat dan ID pengguna – juga diposting di platform, yang mirip dengan Slack dan Microsoft Teams.
Informasinya hanyalah satu bagian dari data pengguna TikTok yang dibagikan di Lark, yang digunakan setiap hari oleh ribuan karyawan pemilik aplikasi di China, ByteDance, termasuk yang ada di China. Menurut dokumen yang diperoleh The Times, SIM pengguna Amerika juga dapat diakses di platform tersebut, begitu pula konten yang berpotensi ilegal dari beberapa pengguna, seperti materi pelecehan seksual terhadap anak. Dalam banyak kasus, informasi tersedia di “grup” Lark — pada dasarnya ruang obrolan karyawan — dengan ribuan anggota.
Banyaknya data pengguna di Lark membuat khawatir beberapa karyawan TikTok, terutama karena pekerja ByteDance di China dan di tempat lain dapat dengan mudah melihat materi tersebut, menurut laporan internal dan empat karyawan saat ini dan mantan karyawan.

selengkapnya : archive.is

Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

May 22, 2023 by Flamango

Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

Selengkapnya: techradar.pro

3 Akun Vektor Serangan Awal Umum untuk Sebagian Besar Kampanye Ransomware

May 21, 2023 by Coffee Bean

Sebagian besar penyerang ransomware menggunakan salah satu dari tiga vektor utama untuk menyusupi jaringan dan mendapatkan akses ke sistem dan data penting organisasi.

Vektor paling signifikan dalam serangan ransomware yang berhasil pada tahun 2022, misalnya, melibatkan eksploitasi aplikasi publik, yang menyumbang 43% dari semua pelanggaran, diikuti oleh penggunaan akun yang dikompromikan (24%) dan email berbahaya (12%). , menurut laporan Kaspersky yang baru dirilis, “The Nature of Cyber Incidents.”

Eksploitasi aplikasi dan email jahat menurun sebagai bagian dari semua serangan dibandingkan tahun sebelumnya, sementara penggunaan akun yang disusupi meningkat dari 18% pada tahun 2021.

Intinya: Menggandakan vektor serangan yang paling umum bisa sangat membantu untuk mencegah serangan ransomware. “Banyak perusahaan bukan target awal penyerang tetapi memiliki keamanan TI yang lemah dan [memungkinkan mereka] diretas dengan mudah, jadi penjahat dunia maya mengambil kesempatan ini,” kata Konstantin Sapronov, kepala tim tanggap darurat global di Kaspersky. “Jika kita melihat tiga vektor awal teratas, yang bersama-sama menyumbang hampir 80% dari semua kasus, kita dapat menerapkan beberapa tindakan defensif untuk menguranginya, dan sangat membantu untuk mengurangi kemungkinan menjadi korban.”

selengkapnya : darkreading.com

Asus Meminta Maaf Atas Maintenance Error Berdampak pada Konektivitas Router

May 20, 2023 by Coffee Bean

ASUS telah meminta maaf kepada pelanggannya atas kesalahan pemeliharaan keamanan sisi server yang telah menyebabkan berbagai model router yang terkena dampak kehilangan konektivitas jaringan.

Masalahnya telah dilaporkan secara luas di media sosial dan platform diskusi sejak 16 Mei 2023, dengan orang-orang tampak bingung dengan masalah konektivitas simultan pada beberapa router ASUS dan yang lainnya mengeluh tentang kurangnya komunikasi dari sisi vendor.

Seperti yang dijelaskan oleh pembuat perangkat keras Taiwan dalam pernyataan yang diterbitkan hari ini dan melalui buletin keamanan, masalahnya disebabkan oleh kesalahan dalam konfigurasi file pengaturan server.

“Selama pemeliharaan keamanan rutin, tim teknis kami menemukan kesalahan dalam konfigurasi file pengaturan server kami, yang berpotensi menyebabkan gangguan konektivitas jaringan pada sebagian router,” jelas ASUS dalam buletin dukungan.

Pernyataan masalah konektivitas router ASUS

Sementara pernyataan perusahaan tidak secara eksplisit menyatakan jenis kesalahan apa yang terjadi dan bagaimana tepatnya hal itu berdampak pada router jarak jauh, seorang pengguna di Reddit menjelaskan bahwa masalah konektivitas disebabkan oleh file definisi yang rusak untuk ASD (ASUS AiProtection).

Namun, komponen ini diperbarui terlepas dari apakah pengguna mengaktifkan pembaruan keamanan (firmware) otomatis di perangkat mereka atau tidak.

Dilaporkan, file definisi yang rusak untuk ASD secara otomatis didorong ke semua router yang terkena dampak, menyebabkan mereka kehabisan ruang dan memori sistem file dan akhirnya macet.

selengkapnya : bleepingcomputer.com

Pertarungan A.I. Selesai, Meta Memutuskan untuk Memberikan Permata Mahkotanya

May 19, 2023 by Coffee Bean Leave a Comment

Pada bulan Februari, Meta membuat langkah yang tidak biasa di dunia kecerdasan buatan yang berkembang pesat: Meta memutuskan untuk memberikan A.I. permata mahkota.

Raksasa Lembah Silikon, yang memiliki Facebook, Instagram, dan WhatsApp, telah menciptakan A.I. teknologi, yang disebut LLaMA, yang dapat mendukung chatbot online. Tapi alih-alih menyimpan teknologi itu sendiri, Meta merilis kode komputer yang mendasari sistem ke alam liar. Akademisi, peneliti pemerintah, dan lainnya yang memberikan alamat email mereka ke Meta dapat mengunduh kode setelah perusahaan memeriksa individu tersebut.

Intinya, Meta memberikan A.I. teknologi sebagai perangkat lunak sumber terbuka — kode komputer yang dapat disalin, dimodifikasi, dan digunakan kembali secara bebas — menyediakan semua yang dibutuhkan pihak luar untuk membuat chatbot mereka sendiri dengan cepat.
“Platform yang akan menang adalah yang terbuka,” Yann LeCun, kepala Meta A.I. ilmuwan, kata dalam sebuah wawancara.

Sebagai perlombaan untuk memimpin A.I. memanas di Silicon Valley, Meta berdiri keluar dari para pesaingnya dengan mengambil pendekatan yang berbeda untuk teknologi. Didorong oleh pendiri dan kepala eksekutifnya, Mark Zuckerberg, Meta percaya bahwa hal paling cerdas untuk dilakukan adalah membagikan A.I. mesin sebagai cara untuk menyebarkan pengaruhnya dan akhirnya bergerak lebih cepat menuju masa depan.

Tindakannya kontras dengan tindakan Google dan OpenAI, dua perusahaan yang memimpin A.I. perlombaan senjata. Khawatir bahwa A.I. alat seperti chatbots akan digunakan untuk menyebarkan disinformasi, ujaran kebencian, dan konten beracun lainnya, perusahaan tersebut menjadi semakin tertutup tentang metode dan perangkat lunak yang mendukung A.I. produk.

Google, OpenAI, dan lainnya mengkritik Meta, mengatakan bahwa pendekatan sumber terbuka yang tidak terkekang itu berbahaya. Peningkatan pesat AI dalam beberapa bulan terakhir telah menimbulkan peringatan tentang risiko teknologi, termasuk bagaimana hal itu dapat menjungkirbalikkan pasar kerja jika tidak digunakan dengan benar. Dan dalam beberapa hari setelah rilis LLaMA, sistem bocor ke 4chan, papan pesan online yang dikenal menyebarkan informasi palsu dan menyesatkan.

selengkapnya : archive.is

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Company

Cookies Settings