Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Peneliti Menemukan Paket PyPI Berbahaya, Menyamar sebagai SDK SentinelOne untuk Mencuri Data

by

Peneliti keamanan siber telah menemukan paket berbahaya baru di repository Python Package Index (PyPI) yang meniru kit pengembangan perangkat lunak (SDK) untuk SentinelOne, sebuah perusahaan keamanan siber besar, sebagai bagian dari kampanye yang dijuluki SentinelSneak.

Paket bernama SentinelOne tersebut, yang diterbitkan antara 8 dan 11 Desember 2022 dengan hampir dua lusin versi didorong secara berurutan selama dua hari itu telah dihapus.

Penawaran metode ini yaitu lebih mudah untuk mengakses perusahaan namun memiliki celah belakang berbahaya untuk mengumpulkan informasi sensitif dari sistem pengembangan, termasuk kredensial akses, kunci SSH, dan data konfigurasi.

Menurut pengamatan, aktor ancaman telah merilis dua paket lagi dengan variasi penamaan serupa yaitu SentinelOne-sdk dan SentinelOneSDK.

Peneliti ancaman ReversingLabs, Karlo Zanki, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News bahwa paket SentinelOne hanyalah ancaman terbaru untuk memanfaatkan repositori PyPI dan menggarisbawahi ancaman yang berkembang terhadap rantai pasokan perangkat lunak, karena aktor jahat menggunakan strategi seperti ‘typosquatting’ untuk mengeksploitasi kebingungan pengembang dan mendorong kode berbahaya ke saluran pengembangan dan aplikasi yang sah.

Beberapa data yang diekstraksi oleh malware ke server jarak jauh termasuk riwayat eksekusi perintah shell, kunci SSH, dan file lain yang menarik, menunjukkan upaya pihak pelaku ancaman untuk menyedot informasi sensitif dari lingkungan pengembangan.

SentinelOne menyatakan tidak terlibat dengan paket Python berbahaya baru-baru ini dan bahwa pelaku ancaman tidak berhasil dalam upaya mereka. Perusahaan tersebut juga memastikan pelanggannya aman.

Temuan ini muncul ketika laporan Keamanan Rantai Pasokan Perangkat Lunak ReversingLabs menemukan bahwa repository PyPI telah menyaksikan penurunan hampir 60% dalam unggahan paket berbahaya pada tahun 2022, turun menjadi 1.493 paket dari 3.685 pada tahun 2021.

Berbanding terbalik dengan repository npm JavaScript yang mengalami peningkatan 40% menjadi hampir 7.000. Secara keseluruhan, tren paket berbahaya sejak 2020 telah menunjukkan peningkatan 100 kali lipat dalam npm dan lebih dari 18.000% dalam PyPI.

Selengkapnya: The Hacker News

Microsoft Menemukan Bug MacOS yang Memungkinkan Malware Melewati Pemeriksaan Keamanan

by

Apple telah memperbaiki kerentanan yang dapat dimanfaatkan penyerang untuk menyebarkan malware pada perangkat MacOS yang rentan melalui aplikasi tidak terpercaya yang mampu melewati batasan eksekusi aplikasi Gatekeeper.

Dilaporkan oleh Jonathan Bar Or, seorang peneliti keamanan utama Microsoft. Bahwa ditemukan kelemahan keamanan yang dijuluki sebagai Achilles, dilacak sebagai CVE-2022-42821.

Bypass Gatekeeper Melalui ACL yang Membatasi
Gatekeeper adalah fitur keamanan MacOS yang memeriksa semua aplikasi yang diunduh dari Internet secara otomatis. Gatekeeper meminta pengguna untuk mengonfirmasi aplikasi tersebut sebelum diluncurkan dan akan mengeluarkan peringatan jika aplikasi tidak dapat dipercaya.

Cacat Achilles memungkinkan muatan yang dibuat khusus menyalahgunakan masalah logika untuk mengkonfigurasi izin Access Control List (ACL) yang membatasi yang memblokir browser web dan pengunduh Internet dari setelan atribut com.apple.quarantine untuk mengunduh muatan yang diarsipkan sebagai file ZIP.

Aplikasi berbahaya yang terkandung dalam muatan berbahaya yang diarsipkan akan diluncurkan di sistem target, memungkinkan penyerang mengunduh dan menyebarkan malware, sehingga pengguna tetap disarankan untuk menerapkan perbaikan meski dalam mode Lockdown.


Lebih Banyak Bypass Keamanan MacOS dan Malware
Ini hanya salah satu dari beberapa bypass Gatekeeper yang ditemukan dalam beberapa tahun terakhir, dengan banyak di antaranya disalahgunakan oleh penyerang untuk menghindari mekanisme keamanan MacOS seperti Gatekeeper, Karantina File, dan Perlindungan Integritas Sistem (SIP) pada Mac yang telah ditambal sepenuhnya.

Selain menemukan powerdir, bug yang memungkinkan penyerang melewati teknologi Transparency, Consent, and Control (TCC) untuk mengakses data pengguna yang dilindungi, peneliti juga merilis kode eksploit untuk kerentanan MacOS (CVE-2022-26706) yang dapat membantu penyerang melewati batasan kotak pasir untuk menjalankan kode pada sistem.

Apple telah memperbaiki kerentanan MacOS zero-day pada April 2021 yang memungkinkan aktor ancaman di balik malware Shlayer. Malware ini terkenal untuk menghindari pemeriksaan keamanan Karantina File, Gatekeeper, dan Notarisasi Apple dan mengunduh lebih banyak malware di Mac yang terinfeksi.

Selengkapnya: BLEEPINGCOMPUTER

Malware Glupteba Kembali Beraksi Setelah Gangguan Google

by

Botnet malware Glupteba telah beraksi kembali, menginfeksi perangkat di seluruh dunia setelah operasinya diganggu oleh Google hampir setahun yang lalu.

Pada Desember 2021, Google berhasil menyebabkan gangguan secara besar-besaran pada botnet yang mengaktifkan blockchain, mengamankan perintah pengadilan untuk mengambil kendali atas infrastruktur botnet dan mengajukan keluhan terhadap dua operator Rusia.

Nozomi melaporkan transaksi blockchain, pendaftaran sertifikat TLS, dan sampel rekayasa balik Glupteba menunjukkan kampanye Glupteba skala besar baru yang dimulai pada Juni 2022 dan masih berlangsung.

Menemukan fungsi yang digunakan untuk mengambil domain C2 (Nozomi)

Bersembunyi di Blockchain
Glupteba adalah malware modular berkemampuan blockchain yang menginfeksi perangkat Windows untuk menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT.

Malware ini sebagian besar didistribusikan melalui malvertising pada jaringan bayar-per-instal (PPI) dan sistem distribusi lalu lintas (TDS) yang mendorong penginstal yang menyamar sebagai perangkat lunak, video, dan film gratis.

Glupteba menggunakan blockchain Bitcoin untuk menghindari gangguan dengan menerima daftar terbaru dari server perintah dan kontrol yang harus dihubungi untuk menjalankan perintah.

Klien botnet mengambil alamat server C2 menggunakan fungsi temukan yang menyebutkan server dompet Bitcoin, mengambil transaksi mereka, dan mem-parsingnya untuk menemukan alamat terenkripsi AES.

Diagram transaksi blockchain. Dari kiri ke kanan, kampanye 2022 (paling kompleks), 2021, 2020, dan 2019 (Nozomi)

Kembalinya Glupteba
Menurut Nozomi, penggunaan blockchain dengan cara yang sama membuat analis Glupteba memindai seluruh blockchain untuk menemukan domain C2 yang tersembunyi.

Dalam investigasi oleh Nozomi, ditemukan sejumlah 15 alamat Bitcoin yang digunakan dalam empat kampanye Glupteba.

Berdasarkan hasil penuturan Nozomi diatas, mulai dari jumlah layanan tersembunyi TOR yang digunakan sebagai server C2 yang meningkat sepuluh kali lipat sejak kampanye 2021, banyak pendaftaran domain Glupteba melalui data DNS pasif dan lainnya, menandakan bahwa botnet Glupteba telah kembali, dan terdapat tanda-tanda yang menunjukkan botnet ini lebih masif dari sebelumnya, bahkan berpotensi lebih tangguh.

Selengkapnya: BLEEPINGCOMPUTER

Tagged With: Blockchain, Botnet, Glupteba, Google, Malware

Peretas T-Mobile Terhukum 10 Tahun Atas Skema Buka Kunci Telepon $25 Juta

by

Argishti Khudaverdyan, mantan pemilik toko ritel T-Mobile, dijatuhi hukuman 10 tahun penjara atas skema $25 juta di mana dia membuka kunci dan membuka blokir ponsel dengan meretas sistem internal T-Mobile.

Antara Agustus 2014 dan Juni 2019, pria berusia 44 tahun dibalik skema tersebut, yang juga diperintahkan untuk membayar $28.473.535 sebagai ganti rugi, “membersihkan” ratusan ribu ponsel untuk “pelanggan” -nya.

Kontrak Khudaverdyan sebagai pemilik toko ritel T-Mobile Solusi Tingkat Atas di California diakhiri oleh operator nirkabel pada Juni 2017 karena perilaku komputernya yang mencurigakan dan hubungannya dengan pembukaan kunci ponsel yang tidak sah.

Khudaverdyan memperoleh akses ke sistem komputer internal T-Mobile menggunakan kredensial yang dicuri dalam serangan phishing dari lebih dari 50 karyawan T-Mobile yang berbeda dengan rekannya, Alen Gharehbagloo, mantan mitra bisnisnya dan salah satu pemilik toko seluler.

Gharehbagloo, juga mengaku bersalah pada 5 Juli atas persekongkolan untuk melakukan penipuan kawat, mengakses komputer yang dilindungi dengan maksud untuk menipu, dan persekongkolan untuk melakukan pencucian uang.

Terdakwa melancarkan aksinya dengan berkedok sebagai layanan membuka kunci premium langsung untuk semua operator telepon kepada pelanggan potensial melalui berbagai cara, termasuk email dan situs web khusus seperti unlocks247.com dan unlockedlocked.com.

Pada sebuah kesempatan, terdakwa menggunakan kredensial T-Mobile miliknya sendiri untuk masuk ke titik akses Wi-Fi T-Mobile dari Texas dan mengakses situs web unlockitall.com, langsung menghubungkan dirinya ke skema buka kunci ponsel ilegal.

Menggunakan kredensial yang dicuri dan nomor IMEI yang dikirim oleh pelanggan melalui situs web yang mereka kendalikan, kedua pria itu membuka kunci ratusan ribu perangkat Android dan iOS menggunakan alat Mobile Device Unlock (MDU) dan MCare Unlock (MCare) khusus T-Mobile.

Selengkapnya: BLEEPINGCOMPUTER

Google memperkenalkan enkripsi end-to-end untuk Gmail di web

by

Google mengumumkan pada hari Jumat bahwa mereka menambahkan enkripsi end-to-end (E2EE) ke Gmail di web, memungkinkan pengguna Google Workspace yang terdaftar untuk mengirim dan menerima email terenkripsi di dalam dan di luar domain mereka.

Enkripsi sisi klien (sebagaimana Google menyebutnya E2EE) sudah tersedia untuk pengguna Google Drive, Google Dokumen, Spreadsheet, Slide, Google Meet, dan Google Kalender (beta).

Setelah diaktifkan, enkripsi sisi klien Gmail akan memastikan bahwa setiap data sensitif yang dikirimkan sebagai bagian dari badan email dan lampiran tidak dapat didekripsi oleh server Google.

“Dengan enkripsi sisi klien (CSE) Google Workspace, enkripsi konten ditangani di browser klien sebelum data apa pun dikirim atau disimpan di penyimpanan berbasis cloud Drive,” jelas Google di situs web dukungannya.

“Dengan begitu, server Google tidak dapat mengakses kunci enkripsi dan mendekripsi data Anda. Setelah menyiapkan CSE, Anda dapat memilih pengguna mana yang dapat membuat konten terenkripsi sisi klien dan membagikannya secara internal atau eksternal.”

Mereka dapat mengajukan permohonan untuk versi beta hingga 20 Januari 2023, dengan mengirimkan Aplikasi Uji Coba CSE Beta Gmail yang harus menyertakan alamat email, ID Proyek, dan domain grup uji.

Gmail E2EE beta saat ini tersedia untuk pelanggan Google Workspace Enterprise Plus, Education Plus, dan Education Standard.

Perusahaan mengatakan fitur tersebut belum tersedia untuk pengguna dengan Akun Google pribadi atau Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, dan Nonprofits, serta pelanggan lama G Suite Basic dan Business .

Selengkapnya: Bleeping Computer

NIST Menghentikan Algoritma Kriptografi SHA-1

by

Fungsi hash kriptografi yang terhormat memiliki kerentanan yang membuat penggunaannya lebih lanjut tidak disarankan.
Algoritma Hash Aman telah digunakan sejak 1995 sebagai bagian dari Standar Pemrosesan Informasi Federal (FIPS) 180-1. Pakar keamanan di National Institute of Standards and Technology (NIST) mengumumkan bahwa SHA-1 harus dihapus pada 31 Desember 2030, mendukung grup algoritma SHA-2 dan SHA-3 yang lebih aman.
Didukung dengan pernyataan oleh Chris Celi, ilmuwan komputer NIST, disarankan agar segera mungkin bermigrasi ke SHA-2 atau SHA-3. Salah satu penyebabnya adalah keparahan serangan collision untuk merusak SHA-1 di aplikasi lain.
SHA-1 berfungsi sebagai blok penyusun untuk banyak aplikasi keamanan, seperti memvalidasi situs web dengan tujuan mengamankan informasi dengan melakukan operasi matematika yang kompleks pada karakter pesan, menghasilkan string karakter pendek yang disebut hash.
Rencana NISAT pada tanggal 31 Desember 2030 antara lain mempublikasikan FIPS 180-5 (revisi FIPS 180) untuk menghapus spesifikasi SHA-1, merevisi SP 800-131A dan publikasi NIST lain yang terpengaruh untuk mencerminkan penarikan SHA-1 yang direncanakan, dan membuat & menerbitkan strategi transisi untuk memvalidasi modul dan algoritma kriptografi.

Selengkapnya: NIST

Kecacatan Parah AMI MegaRAC Memengaruhi Server dari AMD, ARM, HPE, Dell, dan lainnya

by

Tiga kerentanan dalam perangkat lunak American Megatrends MegaRAC Baseboard Management Controller (BMC) berdampak pada peralatan server yang digunakan di banyak penyedia layanan cloud dan pusat data.

Kecacatan yang ditemukan oleh Eclypsium pada Agustus 2022 ini memungkinkan penyerang, dalam kondisi tertentu untuk mengeksekusi kode, melewati autentikasi, dan melakukan pencacahan pengguna.

Peneliti menemukan kekurangan tersebut setelah memeriksa kode hak milik American Megatrends yang bocor, khususnya firmware MegaRAC BMC. Firmware tersebut digunakan oleh setidaknya 15 produsen server, termasuk AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta, dan Tyan.

MegaRAC BMC adalah solusi untuk manajemen sistem jarak jauh “out-of-band” dan “lights-out”, yang memungkinkan admin memecahkan masalah server dari jarak jauh.

Detail Kerentanan
Tiga kerentanan yang ditemukan oleh Eclypsium dan dilaporkan ke American Megatrends dan vendor yang terpengaruh yaitu CVE-2022-40259, CVE-2022-40242, dan CVE-2022-2827.

Satu diantaranya memiliki skor dengan tingkat kritis, dan dua lainnya memiliki skor dengan tingkat tinggi. Tingkat kritis adalah kerentanan yang terparah yang mana memerlukan akses sebelumnya ke setidaknya akun dengan hak istimewa rendah untuk melakukan callback API.

Dampak
Kerentanan yang parah memberikan penyerang akses ke shell administratif tanpa memerlukan eskalasi lebih lanjut.

Hal ini dapat menyebabkan manipulasi data, pelanggaran data, pemadaman layanan, gangguan bisnis, dan lainnya.

Sementara kerentanan dengan skor tingkat tinggi awal tidak memiliki dampak keamanan langsung yang signifikan, namun dapat membuka jalan untuk memeriksa kata sandi baru karena mengetahui akun apa yang ada di target.

Tindakan antisipasi yang dapat dilakukan adalah admin sistem disarankan untuk menonaktifkan opsi administrasi jarak jauh, menambahkan langkah autentikasi jarak jauh jika memungkinkan, meminimalkan paparan eksternal antarmuka manajemen server, dan memastikan pembaruan firmware terbaru yang tersedia diinstal di semua sistem.

Selengkapnya: BLEEPINGCOMPUTER

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

by

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co