Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Pembaruan Google Chrome Mencakup 37 Perbaikan Keamanan

by

Google meluncurkan pembaruan untuk Chrome minggu ini di Windows, Mac dan Linux yang mencakup 37 perbaikan keamanan, salah satunya dinilai penting.

Prudhvikumar Bommana dari Google Chrome berterima kasih kepada puluhan peneliti keamanan karena telah membantu mereka menemukan bug, banyak di antaranya diberi peringkat keparahan yang tinggi.

Chrome 97.0.4692.71 termasuk perbaikan untuk CVE-2022-0096 – kerentanan use-after-free (UAF) kritis – serta UAF lainnya seperti CVE-2022-0098, CVE-2022-0099, CVE-2022-0103, CVE-2022-0105 dan CVE-2022-0106. Ada juga tiga masalah overflow penyangga tumpukan yang dinilai tingkat keparahannya tinggi.

Google tidak mengatakan apakah ada eksploitasi untuk salah satu kerentanan, tetapi CTO BreachQuest Jake Williams mengatakan dia tidak menyadari bahwa salah satu kerentanan ini dieksploitasi secara aktif di alam liar.

Sebagian besar pengguna rumahan akan menerima pembaruan secara otomatis, Williams menekankan. Tetapi dia menjelaskan bahwa pengguna perusahaan yang tidak memiliki izin administratif pada mesin mereka akan bergantung pada administrator sistem untuk mendorong pembaruan.

Pada bulan Oktober, Google memperbaiki dua kelemahan zero-day yang sebelumnya tidak diketahui dan tingkat keparahan tinggi dalam pembaruan Chrome untuk Windows, Mac, dan Linux. Eksploitasi untuk keduanya ditemukan di alam liar, menurut Google.

Google menambal setidaknya 14 zero-day pada tahun 2021.

CEO Viakoo Bud Broomhead mengatakan perlu dicatat bahwa rilis saluran yang stabil sekarang difokuskan untuk memperbaiki kerentanan cyber lebih dari memberikan fungsionalitas baru.

“Stable sekarang menjadi ‘cyber safe to use’ sebagai lawan dari ‘tidak akan merusak mesin Anda,’ perbedaan yang berarti dengan serangan kerentanan cyber,” kata Broomhead.

Sumber: ZDNet

‘Elephant Beetle’ Menghabiskan Waktu Berbulan-bulan di Jaringan Korban untuk Mengalihkan Transaksi

by

Seorang aktor bermotivasi finansial yang dijuluki ‘Elephant Beetle’ mencuri jutaan dolar dari organisasi di seluruh dunia menggunakan gudang lebih dari 80 alat dan skrip unik.

Kelompok ini sangat canggih dan sabar, menghabiskan berbulan-bulan mempelajari lingkungan korban dan proses transaksi keuangan, dan baru kemudian bergerak untuk mengeksploitasi kekurangan dalam operasi.

Para aktor menyuntikkan transaksi penipuan ke dalam jaringan dan mencuri sejumlah kecil dalam waktu lama, yang mengarah ke pencurian keseluruhan jutaan dolar. Jika mereka terlihat, mereka berbaring rendah untuk sementara waktu dan kembali melalui sistem yang berbeda.

Keahlian ‘Elephant Beetle’ tampaknya dalam menargetkan aplikasi Java warisan pada sistem Linux, yang biasanya merupakan titik masuk mereka ke jaringan perusahaan.

TTP aktor tersebut diekspos dalam laporan teknis terperinci yang dibagikan tim Respons Insiden Sygnia dengan Bleeping Computer sebelum dipublikasikan.

Mengeksploitasi kekurangan dan berbaur dengan lalu lintas normal

‘Elephant Beetle’ lebih suka menargetkan kerentanan yang diketahui dan kemungkinan tidak ditampar daripada membeli atau mengembangkan eksploitasi zero-day.

Peneliti Sygnia telah mengamati kelompok tersebut selama dua tahun dan dapat mengkonfirmasi aktor ancaman yang mengeksploitasi kekurangan berikut:

  • Injeksi Bahasa Ekspresi Aplikasi Primefaces (CVE-2017-1000486)
  • WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450)
  • SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
  • Eksekusi Kode Jarak Jauh SAP NetWeaver ConfigServlet (EDB-ID-24963)

Keempat kekurangan di atas memungkinkan para aktor untuk mengeksekusi kode sewenang-wenang dari jarak jauh melalui shell web yang dibuat khusus dan dikaburkan.

Atribusi dan tips pertahanan

‘Elephant Beetle’ menggunakan variabel kode Spanyol dan nama file, dan sebagian besar alamat IP C2 yang mereka gunakan berbasis di Meksiko.

Juga, pemindai jaringan yang ditulis Java diunggah ke Virus Total dari Argentina, mungkin selama fase pengembangan dan pengujian awal.

Dengan demikian, kelompok ini tampaknya terhubung ke Amerika Latin dan mungkin memiliki hubungan atau tumpang tindih dengan aktor FIN13, dilacak oleh Mandiant.

Beberapa saran dasar untuk membela terhadap aktor ini meliputi:

  • Hindari menggunakan prosedur ‘xp_cmdshell’ dan nonaktifkan di server MS-SQL. Pantau perubahan konfigurasi dan penggunaan ‘xp_cmdshell’.
  • Pantau penyebaran WAR dan validasi bahwa fungsi penyebaran paket termasuk dalam kebijakan pencatatan aplikasi yang relevan.
  • Berburu dan memantau keberadaan dan pembuatan file .class yang mencurigakan di folder temp aplikasi WebSphere.
  • Memantau proses yang dijalankan oleh proses layanan induk server web (yaitu, ‘w3wp.exe’, ‘tomcat6.exe’) atau oleh proses terkait database (yaitu, ‘sqlservr.exe’).
  • Menerapkan dan memverifikasi segregasi antara DMZ dan server internal.

Selengkapnya: Bleepingcomputer

Pemeriksaan tanda kode Microsoft dilewati untuk menghapus malware Zloader

by

Kampanye Zloader baru memanfaatkan verifikasi tanda tangan digital Microsoft untuk menyebarkan muatan malware dan mencuri kredensial pengguna dari ribuan korban dari 111 negara.

Zloader (alias Terdot dan DELoader) adalah malware perbankan yang pertama kali ditemukan pada tahun 2015 yang dapat mencuri kredensial akun dan berbagai jenis informasi pribadi sensitif dari sistem yang disusupi.

Baru-baru ini, Zloader telah digunakan untuk menjatuhkan muatan lebih lanjut pada perangkat yang terinfeksi, termasuk muatan ransomware seperti Ryuk dan Egregor,

MalSmoke telah mengeksplorasi berbagai cara untuk mendistribusikan malware pencuri informasi, mulai dari spam mail dan malvertising hingga menggunakan umpan konten dewasa.

Dalam kampanye terbaru, dilacak dan dianalisis oleh para peneliti di Check Point, infeksi dimulai dengan mengirimkan file “Java.msi” yang merupakan penginstal Atera yang dimodifikasi.

Zloader kemudian mengkampanyekan rantai infeksi
Sumber: Titik Periksa

Setelah dieksekusi, Atera membuat agen dan menetapkan titik akhir ke alamat email di bawah kendali aktor ancaman.

Penyerang kemudian mendapatkan akses jarak jauh penuh ke sistem, yang memungkinkan mereka untuk mengeksekusi skrip dan mengunggah atau mengunduh file, terutama muatan malware Zloader.

Menjatuhkan Zloader
Skrip batch yang disertakan dalam penginstal berbahaya melakukan beberapa pemeriksaan tingkat pengguna untuk memastikan mereka memiliki hak admin, menambahkan pengecualian folder ke Windows Defender, dan menonaktifkan alat seperti “cmd.exe” dan pengelola tugas.

Selengkapnya : Bleeping Computer

Pemeriksaan penandatanganan kode Microsoft dilewati
Analis Check Point telah mengkonfirmasi bahwa appContast.dll, yang mengeksekusi muatan Zloader dan skrip pengeditan registri membawa tanda tangan kode yang valid, sehingga OS pada dasarnya mempercayainya.

DLL berbahaya yang membawa tanda tangan kode yang valid
Sumber: Titik Periksa

Perubahan halus ini tidak cukup untuk mencabut validitas tanda tangan elektronik, tetapi pada saat yang sama, memungkinkan seseorang untuk menambahkan data ke bagian tanda tangan dari sebuah file.

Perubahan bagian tanda tangan di DLL
Sumber: Titik Periksa

Microsoft telah mengetahui tentang celah keamanan ini sejak 2012 (CVE-2020-1599, CVE-2013-3900, dan CVE-2012-0151) dan telah berusaha memperbaikinya dengan merilis kebijakan verifikasi file yang semakin ketat. Namun, untuk beberapa alasan, ini tetap dinonaktifkan secara default.

Anda dapat menemukan petunjuk untuk memperbaiki masalah ini sendiri dengan mengaktifkan kebijakan yang lebih ketat seperti yang dirinci dalam penasihat lama ini.

Atau, Anda dapat menempelkan baris di bawah ini ke Notepad, simpan file dengan ekstensi .reg dan jalankan.

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

Korban dari Amerika Utara
Pada 2 Januari 2021, kampanye Zloader terbaru telah menginfeksi 2.170 sistem unik, dengan 864 memiliki alamat IP berbasis di AS dan 305 lainnya dari Kanada.

Meskipun jumlah korbannya tidak terlalu besar, serangan ini sangat bertarget dan dapat menyebabkan kerusakan yang signifikan pada setiap korban.

Karena vektor infeksi tidak diketahui, cara terbaik untuk melindungi dari ancaman ini adalah dengan mengikuti rekomendasi pengetatan kebijakan dan menggunakan IoC (indikator kompromi) yang disediakan oleh peneliti Check Point untuk deteksi ancaman proaktif.

Selengkapnya : Bleeping Computer

Malware iOS Dapat Memalsukan iPhone Saat Dimatikan Dapat Mengintip Kamera dan Mikrofon

by

Para peneliti telah mengembangkan teknik baru yang memalsukan shutdown atau reboot iPhone, mencegah malware dihapus dan memungkinkan peretas untuk diam-diam mengintip mikrofon dan menerima data sensitif melalui koneksi jaringan langsung.

Secara historis, ketika malware menginfeksi perangkat iOS, itu dapat dihapus hanya dengan me-restart perangkat, yang membersihkan malware dari memori.

Namun, teknik ini mengaitkan rutinitas shutdown dan reboot untuk mencegahnya terjadi, memungkinkan malware untuk mencapai kegigihan karena perangkat tidak pernah benar-benar dimatikan.

Karena serangan ini, yang oleh para peneliti disebut “NoReboot,” tidak mengeksploitasi kekurangan apa pun pada iOS dan sebaliknya bergantung pada penipuan tingkat manusia, itu tidak dapat ditambal oleh Apple.

Simulasi reboot yang meyakinkan

Untuk me-restart iPhone, seseorang harus menekan dan menahan tombol daya dan tombol volume sampai slider dengan opsi reboot muncul, dan kemudian menunggu sekitar 30 detik untuk menyelesaikan tindakan.

Ketika iPhone dimatikan, layarnya secara alami menjadi gelap, kamera dimatikan, umpan balik sentuh 3D tidak merespons tekanan panjang, suara dari panggilan dan pemberitahuan diredam, dan semua getaran tidak ada.

Peneliti keamanan dari ZecOps telah mengembangkan alat Trojan PoC (proof of concept) yang dapat menyuntikkan kode yang dibuat khusus ke tiga program iOS untuk memalsukan shut down dengan menonaktifkan semua indikator di atas.

Selengkapnya: Bleepingcomputer

Google mengakuisisi startup keamanan siber Siemplify seharga $500 juta

by

Google mengakuisisi startup cybersecurity Israel Siemplify, Harga akuisisi tersebut diperkirakan mencapai $500 juta. Siemplify mempekerjakan 200 orang di Israel, AS, dan London, yang akan bergabung dengan Google setelah akuisisi.

Google akan menggunakan Siemplify untuk membentuk dasar bagi operasi keamanan sibernya di Israel yang akan menjadi bagian dari aktivitas cloud perusahaan. Pendiri Siemplify akan melanjutkan di perusahaan.

CEO Google Sundar Pichai berjanji kepada Presiden AS Joe Biden bahwa perusahaan akan menginvestasikan $10 miliar dalam keamanan siber selama lima tahun ke depan. Google berencana memperluas program tanpa kepercayaan, membantu mengamankan rantai pasokan perangkat lunak, dan meningkatkan keamanan sumber terbuka.

Perusahaan berjanji untuk melatih 100.000 orang Amerika di bidang-bidang seperti Dukungan TI dan Analisis Data, mempelajari keterampilan sesuai permintaan termasuk privasi dan keamanan data. Janji ini akan mencakup akuisisi dan investasi, dengan Siemplify menjadi pembelian pertama Google yang telah menginvestasikan $50 juta di perusahaan keamanan siber Israel lainnya, Cybereason, tahun lalu.

Siemplify telah mengumpulkan $58 juta selama empat putaran hingga saat ini, dengan VC G20 Ventures Israel sebagai pemegang saham terbesar perusahaan. Investor tambahan termasuk 83North, Jump Capital, dan Georgian, yang baru-baru ini juga berinvestasi di startup keamanan siber Israel Noname Security.

Platform Operasi Keamanan Siemplify dirancang untuk menjadi “sistem operasi” SOC (pusat operasi keamanan). Tidak seperti platform SOAR (orkestrasi keamanan, otomatisasi, dan respons) lainnya yang sebagian besar berfokus pada pembuatan buku pedoman dan otomatisasi, Siemplify dirancang untuk mengelola seluruh fungsi operasi keamanan dari ujung ke ujung. Platform perusahaan akan diintegrasikan ke dalam sistem cloud Google.

Analis dapat memprioritaskan ancaman yang berpotensi diabaikan, memungkinkan mereka untuk menyelidiki, sebagai satu, peringatan yang mungkin telah diterima dari sensor keamanan terpisah tetapi merupakan bagian dari ancaman yang sama.

Akuisisi terbesar Google di Israel hingga saat ini adalah kesepakatan $1,1 miliar untuk Waze pada 2016. Pada 2019, Google Cloud mengakuisisi perusahaan Israel Elastifile seharga $200 juta dan Aluma seharga $100 juta

Sumber : CTECH

Empat dari Lima Organisasi Meningkatkan Anggaran Cybersecurity di 2022

by

Ketika perusahaan merencanakan dan menetapkan anggaran untuk tahun baru ke depan, sebagian besar mengharapkan untuk menyalurkan lebih banyak dolar untuk meningkatkan upaya cybersecurity mereka. Menurut survei terbaru dari Dewan Keamanan Internasional Neustar (NISC), yang dilakukan pada November 2021, 81% organisasi telah berkomitmen untuk memperkuat anggaran cybersecurity mereka untuk 2022. Hampir seperempat (24%) responden meningkatkan alokasi antara 31% hingga 50% selama tahun lalu, sementara lebih dari empat dari sepuluh (41%) menaikkan anggaran 11% hingga 30%.

“Ketika lanskap ancaman cyber terus berkembang, organisasi dengan jelas mengakui kebutuhan mendesak untuk meningkatkan sistem dan proses mereka untuk menjaga setidaknya satu langkah di depan aktor jahat,” kata Carlos Morales, Wakil Presiden Senior, Solusi untuk Layanan Keamanan Neustar. “Data terbaru kami menunjukkan bahwa eksekutif tingkat atas dan anggota dewan sangat menyadari implikasi bisnis dari kesenjangan keamanan, dan itu membangun untuk melihat bahwa organisasi memiliki dukungan sepanjang jalan sampai rantai kepemimpinan untuk membuat investasi yang diperlukan untuk melindungi diri mereka sendiri dan klien mereka.”

Banyak organisasi mencari mitra eksternal untuk membantu menutup kesenjangan ini: 71% responden mengatakan mereka berencana untuk meningkatkan ketergantungan mereka pada vendor pihak ketiga. Membangun tim yang ada juga akan menjadi prioritas, dengan 56% berencana untuk menambah anggota tim baru di tahun mendatang.

Selengkapnya: DarkReading

Samsung dan Micron Memperingatkan lockdown di Xian Dapat Mengganggu Pembuatan Chip Memori

by

Samsung Electronics (005930.KS) dan Micron Technology (MU. O), dua pembuat chip memori terbesar di dunia, memperingatkan bahwa pembatasan COVID-19 yang ketat di kota Xian, China, dapat mengganggu basis manufaktur chip mereka di daerah tersebut.

Penguncian di kota itu memberi tekanan lebih lanjut pada rantai pasokan global dan menambah tahun yang menyiksa bagi eksportir yang menghadapi biaya pengiriman yang jauh lebih tinggi bahkan ketika harga bahan baku termasuk semikonduktor meroket di tengah pandemi selama dua tahun.

Pembatasan dapat menyebabkan keterlambatan dalam pasokan chip memori DRAM, yang banyak digunakan di pusat data, kata Micron pada hari Rabu.

Pembatasan ketat, yang mulai berlaku awal bulan ini, mungkin semakin sulit untuk dikurangi dan telah menghasilkan tingkat kepegawaian yang lebih tipis di lokasi manufaktur, Micron menambahkan.

Samsung Electronics juga mengatakan pada hari Rabu bahwa mereka akan menyesuaikan sementara operasi di fasilitas manufaktur Xian untuk chip memori flash NAND, yang digunakan untuk penyimpanan data di pusat data, smartphone dan gadget teknologi lainnya.

Para pejabat China telah memberlakukan pembatasan keras pada perjalanan di dalam dan meninggalkan Xian mulai 23 Desember, sejalan dengan upaya Beijing untuk segera menahan wabah saat mereka muncul.

Wabah COVID-19 di Xian adalah yang terbesar yang dilihat oleh kota-kota China tahun ini, dengan total lebih dari 1.100 kasus selama flare-up terbaru.

“Kami memanfaatkan rantai pasokan global kami, termasuk mitra subkontraktor kami, untuk membantu melayani pelanggan kami untuk produk DRAM ini,” kata Micron dalam sebuah posting blog.

“Kami memproyeksikan bahwa upaya ini akan memungkinkan kami untuk memenuhi sebagian besar permintaan pelanggan kami, namun mungkin ada beberapa penundaan jangka pendek saat kami mengaktifkan jaringan kami,” kata perusahaan itu.

Micron menambahkan bahwa pihaknya bekerja untuk meminimalkan risiko penularan virus dan telah menggunakan langkah-langkah termasuk physical distancing dan pengujian di tempat dan mendorong vaksinasi.

Operasi chip memori Samsung di Xian adalah salah satu proyek asing terbesar di China. Raksasa teknologi ini memiliki dua jalur produksi di Xian yang membuat produk NAND Flash canggih, yang menyumbang 42,5% dari total kapasitas produksi memori flash NAND dan 15,3% dari kapasitas output global secara keseluruhan, menurut TrendForce.

Samsung diperkirakan akan mengumumkan hasil pendapatan Oktober-Desember pada bulan Januari.

Sumber: Reuters

Pemindai Microsoft Defender Log4j memicu peringatan positif palsu

by

Microsoft Defender for Endpoint saat ini menampilkan peringatan “sensor tampering” yang ditautkan ke pemindai Microsoft 365 Defender yang baru digunakan perusahaan untuk proses Log4j.

Peringatan ditampilkan pada sistem Windows Server 2016 dan memperingatkan “kemungkinan gangguan sensor dalam memori terdeteksi oleh Microsoft Defender for Endpoint” yang dibuat oleh proses OpenHandleCollector.exe.

Sementara perilaku proses Pembela ini ditandai sebagai berbahaya, tidak ada yang perlu dikhawatirkan karena ini adalah positif palsu, seperti yang diungkapkan oleh Tomer Teller, Manajer PM Grup Utama di Microsoft, Enterprise Security Posture.

Microsoft saat ini sedang menyelidiki masalah Microsoft 365 Defender ini dan sedang mengerjakan perbaikan yang harus segera diberikan perusahaan ke sistem yang terpengaruh.

Pembela untuk peringatan positif palsu Titik akhir (Arjen Furster)

“Ini adalah bagian dari pekerjaan yang kami lakukan untuk mendeteksi instance Log4J pada disk. Tim sedang menganalisis mengapa hal itu memicu peringatan (tentu saja tidak),” Teller menjelaskan.

Seperti yang dibagikan Microsoft pada hari Selasa, pemindai Log4j yang baru digunakan ini diluncurkan dengan dasbor portal Log4j Microsoft 365 Defender terkonsolidasi baru untuk manajemen ancaman dan kerentanan.

Dasbor baru dirancang untuk membantu pelanggan mengidentifikasi dan memulihkan file, perangkat lunak, dan perangkat yang terkena serangan yang mengeksploitasi kerentanan Log4j.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya, termasuk yang menandai dokumen Office sebagai muatan malware Emotet, yang menunjukkan perangkat jaringan terinfeksi Cobalt Strike, dan yang lain menandai pembaruan Chrome sebagai backdoor PHP.

Sumber : Bleeping Computer