Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

by

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

Kerentanan Printer HP Berusia 8 Tahun Memengaruhi 150 Model Printer

by

Para peneliti telah menemukan beberapa kerentanan yang mempengaruhi setidaknya 150 printer multi-fungsi (cetak, scan, faks) yang dibuat oleh Hewlett-Packard.

Kekurangan yang ditemukan sejak 2013 oleh peneliti keamanan F-Secure, Alexander Bolshev dan Timo Hirvonen, berupa kemungkinan telah tereksposnya sejumlah besar pengguna ke serangan cyber sejak lama.

HP telah merilis perbaikan untuk kerentanan dalam bentuk pembaruan firmware untuk dua kelemahan paling penting pada 1 November 2021.

Di antaranya adalah kerentanan CVE-2021-39237 dan CVE-2021-39238.

Yang pertama menyangkut dua port fisik terbuka yang memberikan akses penuh ke perangkat. Memanfaatkannya membutuhkan akses fisik dan dapat menyebabkan pengungkapan informasi potensial.

Yang kedua adalah kerentanan buffer overflow pada parser font, yang jauh lebih parah, memiliki skor CVSS 9,3. Mengeksploitasinya memberi aktor ancaman cara untuk eksekusi kode jarak jauh.

CVE-2021-39238 juga “wormable,” yang berarti aktor ancaman dapat dengan cepat menyebar dari satu printer ke seluruh jaringan.

Alur serangan CVE-2021-38238

Dengan demikian, perusahaan-perusahaan harus meng-upgrade firmware printer mereka sesegera mungkin untuk menghindari infeksi skala besar yang dimulai dari titik masuk yang sering diabaikan ini.

Selengkapnya: Bleepingcomputer

Perusahaan Pengujian DNA Mengungkap Pelanggaran Data yang Mempengaruhi 2,1 Juta Orang

by

DNA Diagnostics Center (DDC), sebuah perusahaan pengujian DNA yang berbasis di Ohio, telah mengungkapkan insiden peretasan yang mempengaruhi 2.102.436 orang.

Insiden itu mengakibatkan pelanggaran data yang dikonfirmasi yang terjadi antara 24 Mei 2021 dan 28 Juli 2021, dan perusahaan menyelesaikan penyelidikan internalnya pada 29 Oktober 2021.

Informasi yang diakses peretas mencakup hal-hal berikut:

  • Nama lengkap
  • Nomor kartu kredit + CVV
  • Nomor kartu debit + CVV
  • Nomor rekening keuangan
  • Kata sandi akun platform

Database yang bocor berisi cadangan data terdahulu yang berasal dari tahun 2004 dan 2012, dan itu tidak terkait dengan sistem aktif dan database yang digunakan oleh DDC saat ini.

“Basis data yang terkena dampak dikaitkan dengan organisasi pengujian genetik nasional yang tidak pernah digunakan DDC dalam operasinya dan belum aktif sejak 2012.”

“DDC memperoleh aset tertentu dari organisasi pengujian genetik nasional ini pada tahun 2012 yang mencakup informasi pribadi tertentu, dan oleh karena itu, dampak dari insiden ini tidak terkait dengan DDC.”

DDC bekerja sama dengan pakar keamanan cyber eksternal untuk mendapatkan kembali kepemilikan file yang dicuri dan memastikan bahwa aktor ancaman tidak akan menyebarkannya lebih lanjut. Sejauh ini, belum ada laporan penipuan atau penggunaan yang tidak benar dari rincian yang dicuri.

Selengkapnya: Bleepingcomputer

Panasonic Menyingkap Pelanggaran Data Setelah Peretasan Jaringan

by

Konglomerat multinasional Jepang Panasonic mengungkapkan pelanggaran keamanan setelah aktor ancaman yang tidak diketahui memperoleh akses ke server di jaringannya bulan ini.

“Panasonic Corporation telah mengkonfirmasi bahwa jaringannya diakses secara ilegal oleh pihak ketiga pada 11 November 2021,” kata perusahaan itu dalam siaran pers yang dikeluarkan Jumat.

“Sebagai hasil dari penyelidikan internal, ditentukan bahwa beberapa data pada server file telah diakses selama intrusi.”

Panasonic telah melaporkan insiden tersebut kepada otoritas terkait dan telah mengambil langkah-langkah untuk mencegah akses ke jaringannya dari server eksternal.

Raksasa elektronik Jepang juga telah menyewa jasa pihak ketiga untuk menyelidiki serangan itu — yang ditandai Panasonic sebagai “kebocoran” dalam siaran pers — dan menemukan apakah ada data yang diakses selama intrusi termasuk informasi pribadi pelanggan.

“Selain melakukan penyelidikan sendiri, Panasonic saat ini bekerja dengan organisasi pihak ketiga spesialis untuk menyelidiki kebocoran dan menentukan apakah pelanggaran tersebut melibatkan informasi pribadi pelanggan dan / atau informasi sensitif yang terkait dengan infrastruktur sosial,” tambah perusahaan itu.

Panasonic ingin menyampaikan permintaan maaf yang tulus atas kekhawatiran atau ketidaknyamanan yang diakibatkan oleh insiden ini. -Panasonic

Server Panasonic dilaporkan diretas pada bulan Juni

Sementara siaran pers yang dikeluarkan tidak termasuk banyak rincian mengenai garis waktu serangan, outlet Jepang, termasuk Mainichi dan NHK, mengatakan para penyerang memiliki akses ke server Panasonic antara Juni dan November, seperti yang pertama kali dilaporkan oleh The Record.

Selain itu, mereka mendapatkan akses ke informasi sensitif pelanggan dan karyawan sampai Panasonic melihat aktivitas berbahaya pada 11 November.

Serangan terhadap server Panasonic adalah bagian dari serangkaian panjang insiden lain yang melibatkan perusahaan Jepang dalam beberapa tahun terakhir.

Kawasaki, NEC, Mitsubishi Electric, dan kontraktor pertahanan Kobe Steel dan Pasco juga telah mengungkapkan insiden keamanan dan, dalam beberapa kasus, bahkan kebocoran data.

Sumber: Bleepingcomputer

Akhirnya Zoom Menambahkan Pembaruan Otomatis ke Windows dan macOS

by

Zoom hari ini telah mengumumkan peluncuran fitur pembaruan otomatis yang dirancang untuk merampingkan proses pembaruan untuk klien desktop.

Fitur baru ini saat ini hanya tersedia untuk klien Zoom desktop di Windows dan macOS, platform Linux saat ini tidak didukung.

Zoom mengatakan bahwa pengguna perangkat seluler juga dapat memperbarui aplikasi mereka secara otomatis melalui pemutakhiran otomatis bawaan appstore masing-masing.

“Untuk sebagian besar pengguna individu, pembaruan otomatis akan diaktifkan secara default. Ketika diaktifkan, pengguna akan memiliki kesempatan untuk memilih keluar dari pembaruan otomatis untuk klien desktop mereka setelah menginstal pertama atau pembaruan pertama di mana fitur ini hadir, “kata Jeromie Clark, Manajer Produk Teknis Keamanan &Privasi di Zoom.

Pengguna juga dapat mengubah preferensi ini kapan saja dengan memeriksa atau mencentang ‘Secara otomatis menjaga Zoom saya tetap up to date’ di bawah Pengaturan > Zoom > Umum.”

Pengguna Zoom akan dapat beralih antara frekuensi pembaruan Lambat dan Cepat, dengan pembaruan yang lebih jarang dan fokus pada memaksimalkan stabilitas saat opsi Slow dipilih. Fitur dan pembaruan terbaru akan diinstal segera setelah tersedia saat memilih saluran pembaruan Cepat.

Namun, terlepas dari saluran pembaruan yang dipilih, pembaruan keamanan klien Zoom yang penting akan secara otomatis diluncurkan ke semua pengguna dengan pembaruan otomatis diaktifkan.

Sementara platform juga memberikan pembaruan otomatis sebelum ini kepada pengguna perusahaan, pembaruan ini “memperluas audiens yang dituju untuk menyertakan semua pengguna klien desktop individu yang bukan anggota organisasi perusahaan.”

Pembaruan Otomatis Zoom

Zoom juga telah menambahkan dukungan otentikasi dua faktor (2FA) ke semua akun pada Bulan September 2020, enkripsi end-to-end (E2EE) pada Oktober 2020, dan peningkatan keamanan untuk menghentikan troll zoombombing satu bulan kemudian.

Perangkat lunak konferensi video telah menjadi cara yang sangat populer untuk tetap berhubungan dengan teman dan menyelenggarakan pertemuan online sejak pandemi dimulai.

Peluncuran pembaruan otomatis untuk klien desktop hadir pada waktu yang pas, melihat bahwa Zoom telah menambal lebih dari selusin kelemahan keamanan tingkat menengah dan tinggi dalam dua bulan terakhir saja.

Pada bulan April, Zoom Messenger juga diretas di kompetisi Pwn2Own 2021 oleh Computest Daan Keuper dan Thijs Alkemade. Mereka mendapatkan eksekusi kode pada perangkat yang ditargetkan menggunakan rantai eksploitasi nol klik yang menggabungkan tiga bug zero-day Zoom.

Sumber: Bleepingcomputer

Microsoft Defender untuk Endpoint gagal berjalan di Windows Server

by

Microsoft telah mengkonfirmasi masalah baru yang memengaruhi perangkat Windows Server yang mencegah solusi keamanan Microsoft Defender for Endpoint berjalan di beberapa sistem.

Platform keamanan endpoint Microsoft (sebelumnya dikenal sebagai Microsoft Defender Advanced Threat Protection atau Defender ATP) gagal untuk berjalan di perangkat dengan penginstalan Windows Server Core.

Masalah yang diketahui hanya memengaruhi perangkat di mana pelanggan telah menginstal pembaruan KB5007206 atau yang lebih baru di Windows Server 2019 dan KB5007205 atau pembaruan yang lebih baru di Windows Server 2022.

Seperti yang diungkapkan Microsoft lebih lanjut, masalah yang baru dikonfirmasi ini tidak memengaruhi Microsoft Defender untuk Endpoint yang berjalan di perangkat Windows 10. Mereka saat ini sedang mengerjakan solusi untuk mengatasi bug ini dan akan memberikan perbaikan dalam pembaruan yang akan datang.

BleepingComputer juga mengetahui laporan bahwa Microsoft Defender Antivirus lumpuh dengan pemberitahuan EventID 3002 (MALWAREPROTECTION_RTP_FEATURE_FAILURE) dan kode kesalahan “Real-time protection encountered an error and failed”.

Masalah ini terjadi hanya setelah menginstal pembaruan intelijen keamanan antara versi 1.353.1477.0 dan 1.353.1486.0.

Microsoft tampaknya telah memperbaiki bug ini dengan versi 1.353.1502.0 tetapi, menurut pakar keamanan Belanda SecGuru_OTX, perangkat Anda mungkin memerlukan hard reboot untuk mengaktifkan kembali fitur-fitur seperti behavior monitoring.

Selengkapnya:
Bleeping Computer

Trik rahasia Apple memungkinkan teman Anda membuka iPhone Anda yang terkunci dalam hitungan detik

by

Jika Anda terkunci dari Apple ID dan iPhone, seorang teman dapat membantu Anda masuk kembali.

Ada fitur khusus yang disebut Kontak Pemulihan yang memungkinkan Anda menominasikan orang untuk memulihkan akun Anda.

Jika Anda telah diretas atau Anda tidak dapat masuk ke akun Anda, ini adalah solusi yang tepat.

Ini adalah fitur baru yang ada di iOS 15 – pembaruan perangkat lunak terbaru untuk iPhone Anda.

Anda harus memilih orang tepercaya: pasangan, anggota keluarga dekat, atau sahabat. Orang ini dapat membantu Anda mendapatkan kembali kendali atas akun dan perangkat Anda dalam hitungan detik. Tapi hati-hati: hanya pilih Kontak Pemulihan yang benar-benar Anda percayai.

Bagaimana memilih Kontak Pemulihan

Pertama, pastikan Anda menggunakan iOS 15.

Buka Settings > General > Software Update dan pastikan versinya versi 15 atau lebih tinggi. Jika Anda memiliki pembaruan yang tertunda, instal segera.

Anda juga harus memastikan bahwa Kontak Pemulihan Anda juga memiliki perangkat iOS atau iPadOS di iOS 15 atau iPadOS 15 atau lebih baru.

Orang ini juga perlu menggunakan otentikasi dua faktor, dan berusia minimal 13 tahun.

Lalu buka Settings di perangkat Anda, dan pilih Apple ID di bagian atas di bawah nama Anda.

Masuk ke Password & Security lalu pilih Account Recovery.

Dari sana Anda dapat memilih Add Recovery Contact untuk memilih seseorang. Anda kemudian dapat mengirim pesan kepada orang itu (yang dapat diedit), memberi tahu mereka bahwa mereka adalah Kontak Pemulihan Anda.

Kirim dan selesai.

Sumber: New York Post