Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

by

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

by

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Microsoft mengganggu malware Zloader dalam operasi global

by

Operasi global selama berbulan-bulan yang dipimpin oleh Unit Kejahatan Digital (DCU) Microsoft telah menghapus lusinan domain yang digunakan sebagai server perintah-dan-kontrol (C2) oleh botnet ZLoader yang terkenal kejam.

Perintah pengadilan yang diperoleh Microsoft mengizinkannya untuk menenggelamkan 65 domain hardcode yang digunakan oleh geng kejahatan dunia maya ZLoader untuk mengontrol botnet dan 319 domain lainnya yang terdaftar menggunakan algoritme pembuatan domain yang digunakan untuk membuat saluran komunikasi cadangan dan cadangan.

“Selama penyelidikan kami, kami mengidentifikasi salah satu pelaku di balik pembuatan komponen yang digunakan dalam botnet ZLoader untuk mendistribusikan ransomware sebagai Denis Malikov, yang tinggal di kota Simferopol di Semenanjung Krimea,” jelas Amy Hogan-Burney, DCU Manajer umum.

Beberapa penyedia telekomunikasi dan perusahaan keamanan siber di seluruh dunia bermitra dengan intel ancaman dan peneliti keamanan Microsoft selama upaya investigasi, termasuk ESET, Black Lotus Labs (lengan intelijen ancaman Lumen), Unit 42 Jaringan Palo Alto, dan Avast.

Pusat Berbagi dan Analisis Informasi Layanan Keuangan (FS-ISAC) dan Pusat Berbagi dan Analisis Informasi Kesehatan (H-ISAC) juga menyumbangkan data dan wawasan untuk membantu memperkuat kasus hukum.

ZLoader menyerang peta panas (Microsoft)

Zloader (alias Terdot dan DELoader) adalah trojan perbankan terkenal yang pertama kali terlihat pada Agustus 2015 ketika digunakan dalam serangan terhadap beberapa pelanggan perusahaan keuangan Inggris.

“Kemampuannya termasuk menangkap tangkapan layar, mengumpulkan cookie, mencuri kredensial dan data perbankan, melakukan pengintaian, meluncurkan mekanisme persistensi, menyalahgunakan alat keamanan yang sah, dan menyediakan akses jarak jauh ke penyerang,” kata Tim Intelijen Ancaman Pembela Microsoft 365 hari ini.

Seperti Zeus Panda dan Floki Bot, malware ini hampir seluruhnya didasarkan pada kode sumber trojan Zeus v2 yang bocor secara online lebih dari satu dekade lalu.

Malware telah digunakan untuk menargetkan bank di seluruh dunia, dari Australia dan Brasil hingga Amerika Utara, dengan tujuan akhir mengumpulkan data keuangan melalui injeksi web yang menggunakan rekayasa sosial untuk mengelabui pelanggan bank yang terinfeksi agar membagikan kode otentikasi dan kredensial.

Zloader juga memiliki fitur pintu belakang dan kemampuan akses jarak jauh, dan dapat digunakan sebagai pemuat malware untuk menjatuhkan muatan tambahan pada perangkat yang terinfeksi.

Baru-baru ini, operator dari beberapa geng ransomware juga telah menggunakannya untuk menyebarkan muatan berbahaya seperti Ryuk dan Egregor, serta DarkSide dan BlackMatter per Microsoft.

Sumber : Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

by

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Microsoft April 2022 Patch Tuesday memperbaiki 119 kelemahan, 2 zero days

by

Microsoft telah memperbaiki 119 kerentanan (tidak termasuk 26 kerentanan Microsoft Edge) dengan pembaruan hari ini, dengan sepuluh diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Jumlah bug di setiap kategori kerentanan tercantum di bawah ini:

  • 47 Peningkatan Kerentanan Hak Istimewa
  • 0 Kerentanan Bypass Fitur Keamanan
  • 47 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 9 Kerentanan Denial of Service
  • 3 Kerentanan Spoofing
  • 26 Edge – Kerentanan Chromium

Patch Tuesday bulan ini juga mencakup perbaikan untuk dua kerentanan zero-day, satu diungkapkan secara publik dan yang lainnya dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan zero-day yang yang diperbaiki hari ini adalah bug yang ditemukan oleh peneliti keamanan Abdelhamid Naceri yang sebelumnya berusaha diperbaiki oleh Microsoft dua kali setelah bypass patch baru ditemukan.

CVE-2022-26904 – Layanan Profil Pengguna Windows Peningkatan Kerentanan Hak Istimewa
Zero-day yang diekspos secara publik adalah bug elevasi hak istimewa yang ditemukan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA).

CVE-2022-24521 – Driver Sistem File Log Umum Windows Peningkatan Kerentanan Hak Istimewa
Sekarang Microsoft telah mengeluarkan tambalan untuk kerentanan ini, aktor ancaman diharapkan menganalisis kerentanan untuk mempelajari cara mengeksploitasinya.

Oleh karena itu, sangat disarankan untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Di bawah ini adalah daftar lengkap kerentanan yang diselesaikan dan saran yang dirilis dalam pembaruan Patch Tuesday April 2022. Anda dapat melihat laporan lengkapnya di sini.

Sumber : Bleeping Computer

Microsoft tidak akan memberikan pembaruan keamanan lagi jika Anda tidak memutakhirkan Windows 10 versi 20H2 di bulan berikutnya

by

Microsoft menekan siapa saja yang bergantung dengan Windows versi lama.

Perusahaan ini mengakhiri dukungan untuk Windows 10 versi 20H2 hanya dalam beberapa minggu, yang berarti bahwa siapa pun yang gagal memutakhirkan tidak akan lagi menerima pembaruan keamanan. Microsoft, tentu saja, ingin pengguna meningkatkan ke Windows 11, tetapi ini bukan satu-satunya pilihan.

Secara keseluruhan, ada empat edisi Windows 10 yang mencapai akhir dukungan secara bersamaan. Rilis Home, Pro, Education, dan Pro for Workstation Windows 10 versi 20H2 semuanya mencapai akhir layanan pada 10 Mei 2022, hanya satu bulan dari sekarang.

Dalam artikel dukungan, Microsoft menyarankan pengguna:

Windows 10, versi 20H2 akan mencapai akhir layanan pada 10 Mei 2022. Ini berlaku untuk edisi* Windows 10 berikut yang dirilis pada Oktober 2020:

– Windows 10 Home, versi 20H2

– Windows 10 Pro, versi 20H2

– Windows 10 Pro Education, versi 20H2

– Windows 10 Pro untuk Workstation, versi 20H2

Edisi ini tidak akan lagi menerima pembaruan keamanan setelah 10 Mei 2022.

Perusahaan menunjukkan bahwa: “Pelanggan yang menghubungi Dukungan Microsoft setelah tanggal ini akan diarahkan untuk memperbarui perangkat mereka ke versi terbaru Windows 10 agar tetap didukung”.

Dengan Microsoft yang secara paksa menginstal Windows 10 versi 21H2 di komputer sejak awal tahun, dan sistem ini akan didukung untuk beberapa waktu ke depan. Namun, untuk waktu dukungan terlama, peningkatan ke Windows 11 diperlukan, meskipun persyaratan perangkat keras berarti bahwa ini tidak akan menjadi pilihan untuk semua orang.

Sumber : Beta News

Google mengatakan telah menggagalkan serangan siber Korea Utara pada awal 2022

by

Grup Analisis Ancaman Google mengumumkan pada hari Kamis bahwa mereka telah menemukan sepasang kader peretasan Korea Utara dengan nama Operation Dream Job dan Operation AppleJeus pada bulan Februari yang memanfaatkan eksploitasi eksekusi kode jarak jauh di browser web Chrome.

Para blackhatter dilaporkan menargetkan media berita AS, TI, kripto dan industri fintech, dengan bukti serangan mereka kembali sejauh 4 Januari 2022, meskipun Grup Analisis Ancaman mencatat bahwa organisasi di luar AS bisa menjadi target juga.

“Kami menduga bahwa kelompok-kelompok ini bekerja untuk entitas yang sama dengan rantai pasokan bersama, oleh karena itu menggunakan kit eksploit yang sama, tetapi masing-masing beroperasi dengan rangkaian misi yang berbeda dan menerapkan teknik yang berbeda,” tulis tim Google pada hari Kamis. “Ada kemungkinan penyerang lain yang didukung pemerintah Korea Utara memiliki akses ke perangkat eksploitasi yang sama.”

Operation Dream Job menargetkan 250 orang di 10 perusahaan dengan tawaran pekerjaan palsu seperti Disney dan Oracle yang dikirim dari akun palsu agar terlihat seperti berasal dari Memang atau ZipRecruiter. Mengklik tautan akan meluncurkan iframe tersembunyi yang akan memicu eksploitasi.

Operasi AppleJeus, di sisi lain, menargetkan lebih dari 85 pengguna di industri cryptocurrency dan fintech menggunakan kit eksploit yang sama.

Upaya itu melibatkan “mengkompromikan setidaknya dua situs web perusahaan fintech yang sah dan menghosting iframe tersembunyi untuk menyajikan kit eksploit kepada pengunjung,”

“Dalam kasus lain, kami mengamati situs web palsu sudah disiapkan untuk mendistribusikan aplikasi cryptocurrency yang di-trojan menghosting iframe dan mengarahkan pengunjung mereka ke kit eksploit.”

“Kit awalnya melayani beberapa javascript yang sangat dikaburkan yang digunakan untuk sidik jari sistem target,” kata tim. “Skrip ini mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, resolusi, dll., lalu mengirimkannya kembali ke server eksploitasi.

Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan disajikan eksploitasi Chrome RCE dan beberapa tambahan javascript. Jika RCE berhasil, javascript akan meminta tahap berikutnya yang dirujuk dalam skrip sebagai ‘SBX,’ akronim umum untuk Sandbox Escape.”

Grup keamanan Google menemukan aktivitas tersebut pada 10 Februari dan telah menambalnya pada 14 Februari. Perusahaan telah menambahkan semua situs web dan domain yang teridentifikasi ke database Penjelajahan Aman serta memberi tahu semua pengguna Gmail dan Workspace yang ditargetkan tentang upaya tersebut.

Sumber : Engadget