Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

by

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

  • Pemerintah
  • Militer
  • Energi
  • Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

  • CVE ID: CVE-2023-23397
  • Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
  • Dampak: Peningkatan Hak Istimewa
  • Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
  • Keparahan: Kritis
  • Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

  • Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
  • Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
  • Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
  • Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
  • Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

Varian malware baru memiliki mode “keheningan radio” untuk menghindari deteksi

by

Grup peretas spionase siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka malware ‘Soul’.

Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.

Check Point mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.

Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.

Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.

DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.

infection chain

selengkapnya : bleepingcomputer

Acer Mengonfirmasi Pembobolsn di Salah Satu Servernya

by

Acer telah mengkonfirmasi seseorang membobol salah satu servernya setelah penjahat menjual database 160GB dari apa yang diklaim sebagai informasi rahasia pembuat PC Taiwan itu.

Kernelware mengklaim barang yang dicuri termasuk slide dan presentasi rahasia, manual teknis staf, file Format Pencitraan Windows, biner, data infrastruktur backend, dokumen produk rahasia, Kunci Produk Digital Pengganti, file ISO, file Gambar Penyebaran Sistem Windows, komponen BIOS, dan file ROM .

Pencuri mengatakan bahwa mereka hanya akan menerima cryptocurrency Monero sebagai pembayaran untuk tangkapan tersebut, dan hanya akan menjual melalui perantara. Tidak ada harga yang diminta – meskipun ada catatan yang memberi tahu calon pembeli untuk mengirim pesan pribadi dengan penawaran.

Acer tidak menanggapi pertanyaan Daftar tentang sifat data yang dicuri, atau apakah telah memverifikasi informasi yang bocor.

Bahkan jika penjahat tidak mencuri informasi pelanggan, data dump masih bisa menyebabkan kerusakan pembuat komputer, menurut Erich Kron, advokat kesadaran keamanan di KnowBe4.

“Tidak semua pelanggaran data harus mengandung informasi pribadi tentang pelanggan atau karyawan, atau informasi keuangan seperti kartu kredit, untuk menjadi perhatian,” kata Kron kepada The Register. “Dalam hal ini Acer berpotensi merilis beberapa kekayaan intelektualnya dan dokumen perusahaan yang berpotensi sensitif.”

Jenis informasi kepemilikan dan teknis tentang prosedur dan produk perusahaan ini dapat menjadi keuntungan bagi pesaing dan penjahat, tambahnya. “Dalam dunia elektronik dan teknologi yang sangat kompetitif, informasi ini bisa sangat berharga bagi pesaing, dan informasi teknis mungkin sangat berharga bagi pelaku kejahatan yang ingin melakukan eksploitasi yang menargetkan produk korban.”

Pelanggaran terbaru mengikuti beberapa snafus keamanan pada tahun 2021. Pada bulan Maret, raksasa PC itu adalah salah satu korban REvil dan geng ransomware terkenal menuntut $50 juta.

selengkapnya : theregister

Cabang ‘Commonwealth Bank of Australia’ di Indonesia terkena Serangan Siber

by

Unit Commonwealth Bank of Australia (CBA.AX) di Indonesia pada hari Rabu, PT Bank Commonwealth (PTBC), terkena insiden siber.

Insiden melibatkan akses tidak sah dari aplikasi perangkat lunak berbasis web yang digunakan untuk manajemen proyek, dan sistem bank Australia dipisahkan dari sistem PTBC. CBA mengkonfirmasikan bahwa layanan unit tersebut akan beroperasi seperti biasa.

Baru-baru ini serangan siber terhadap Australia dari penjahat dan kelompok yang disponsori negara mengalami lonjakan, dengan satu serangan setiap tujuh menit.

Sejumlah delapan perusahaan telah melaporkan serangan siber beberapa bulan terakhir. Akibat ini, saham CBA mengalami penurunan sekitar 0,9% menjadi A$98,04, sejalan dengan pasar yang lebih luas (.AXJO) turun hampir 1% pada hari Rabu.

Selengkapnya: Reuters

Acer mengatakan server untuk teknisi perbaikan diakses oleh peretas

by

Pembuat komputer Taiwan Acer telah mengkonfirmasi bahwa mereka mengalami pelanggaran yang melibatkan kebocoran dokumen teknisi terkait dengan manual staf, dokumentasi model produk, dan lainnya.

Dalam sebuah pernyataan Selasa kepada The Record, perusahaan mengatakan “tidak ada indikasi bahwa data konsumen disimpan di server itu.”

“Kami baru-baru ini mendeteksi insiden akses tidak sah ke salah satu server dokumen kami untuk teknisi perbaikan,” kata perusahaan itu, mencatat bahwa penyelidikan sedang berlangsung.

Pernyataan tersebut muncul setelah seseorang menawarkan data 160GB untuk dijual di forum peretas yang mereka klaim berasal dari Acer.

Orang yang menjual database mengatakan memiliki “presentasi rahasia”, manual dan binari serta informasi tentang ponsel, tablet, dan laptop. Posting tersebut juga mengatakan kunci produk digital pengganti dan lainnya disertakan dalam database.

Acer telah menghadapi beberapa pelanggaran data dalam beberapa tahun terakhir, termasuk serangan ransomware yang menarik perhatian pada tahun 2021 yang melibatkan permintaan uang tebusan sebesar $50 juta dari grup kejahatan dunia maya REvil. Serangan itu menghantam jaringan back-office perusahaan.

Raksasa perangkat keras itu juga mengalami pelanggaran pada 2021 dan 2012 yang melibatkan detail pelanggan dan informasi masuk untuk pengecer dan distributor India serta 20.000 kredensial pengguna.

Acer adalah pembuat komputer pribadi terbesar keenam di dunia, dengan pangsa pasar sekitar 6% dari seluruh penjualan global. Perusahaan melaporkan total pendapatan sekitar $9 miliar pada tahun 2022.

sumber : therecord.media

Peretas yang didukung Beijing menargetkan Perhimpunan Bangsa Bangsa Asia Tenggara

by

Joe Biden melakukan serangan pesona. Presiden AS mengundang para pemimpin 10 negara Asia Tenggara ke Gedung Putih untuk pertama kalinya untuk membicarakan kawasan itu, yang merupakan rumah bagi lebih dari 600 juta orang. Agenda utama adalah China—mitra dagang utama bagi semua negara, tetapi juga potensi ancaman terhadap stabilitas mereka. Biden menjanjikan $150 juta sebagai dukungan ekstra bagi negara-negara tersebut untuk membantu meningkatkan keamanan, infrastruktur, dan respons pandemi yang sedang berlangsung.

Namun, dalam minggu-minggu menjelang pertemuan tersebut, menurut peringatan keamanan siber yang dilihat oleh WIRED, peretas yang bekerja atas nama China mencuri ribuan email dan detail sensitif dari negara-negara Asia Tenggara. Spionase dunia maya, yang belum pernah dilaporkan sebelumnya, adalah yang terbaru dari serangkaian insiden di mana peretas yang memiliki hubungan dengan China secara diam-diam menyusup ke negara tetangga, untuk mendapatkan informasi politik dan ekonomi.

Menurut peringatan keamanan siber, peretas yang terkait dengan China dapat membobol server surat yang dioperasikan oleh Perhimpunan Bangsa Bangsa Asia Tenggara (ASEAN) pada Februari 2022 dan mencuri banyak data. Organisasi ASEAN adalah badan antar pemerintah yang terdiri dari 10 negara Asia Tenggara, termasuk Singapura, Malaysia, dan Thailand. Ini adalah ketiga kalinya organisasi itu dikompromikan sejak 2019, kata dokumen itu.

Para peretas mampu mencuri “gigabyte” email yang dikirim oleh negara-negara ASEAN, dan datanya dicuri “setiap hari”, menurut peringatan keamanan siber. Diyakini bahwa penyerang mencuri lebih dari 10.000 email, menghasilkan lebih dari 30 GB data. Insiden itu “memengaruhi semua anggota ASEAN karena korespondensi yang dikompromikan,” kata peringatan itu. Pemberitahuan tersebut dikirim ke badan keamanan siber, kementerian luar negeri, dan organisasi pemerintah lainnya di 10 negara anggota ASEAN.

Haji Amirudin Abdul Wahab, CEO CyberSecurity Malaysia, sebuah agensi di bawah Kementerian Sains, Teknologi, dan Inovasi negara tersebut, mengatakan telah menerima peringatan tersebut pada tahun 2022, memberi tahu pejabat di negara tersebut, dan secara umum mengutuk peretasan. Negara-negara lain yang terkena dampak menolak untuk berkomentar atau tidak menanggapi permintaan komentar dari WIRED. Kelompok ASEAN sendiri tidak menanggapi permintaan komentar berulang kali.

Kedutaan Besar China di AS tidak segera menanggapi permintaan komentar.

selengkapnya : wired.com

Pemerintah AS memperingatkan ransomware Royal menargetkan infrastruktur penting

by

The U.S. government is sounding the alarm about the Royal ransomware operation, which it says has targeted numerous critical infrastructure sectors across the United States.

Peringatan tersebut muncul setelah Departemen Kesehatan dan Layanan Kemanusiaan AS memperingatkan pada bulan Desember bahwa ransomware Royal “secara agresif” menargetkan sektor kesehatan AS. Situs kebocoran web gelap Royal saat ini mencantumkan Layanan Kesehatan Michigan Barat Laut dan Konsultan Ortopedi Midwest di antara para korbannya.

Pakar keamanan percaya bahwa Royal terdiri dari aktor ransomware berpengalaman dari operasi sebelumnya, mencatat kesamaan antara Royal dan Conti, grup peretasan terkait Rusia yang produktif yang dibubarkan pada Juni 2022.

Pada November 2022, ransomware Royal dilaporkan sebagai operasi ransomware paling produktif, menyalip Lockbit. Data terbaru menunjukkan bahwa Royal bertanggung jawab atas setidaknya 19 serangan ransomware pada bulan Februari, di balik 51 serangan yang dikaitkan dengan LockBit, dan 22 serangan terkait dengan Vice Society.

Meskipun sebagian besar korban Royal berbasis di Amerika Serikat, salah satu korbannya yang terkenal adalah Sirkuit Silverstone, salah satu sirkuit balap motor terbesar di Inggris Raya. Korban lain yang diklaim oleh geng tersebut termasuk ICS, sebuah organisasi yang menyediakan layanan keamanan siber ke Departemen Pertahanan AS, Distrik Sekolah Dallas, dan lainnya.

Menurut penasehat pemerintah AS, permintaan tebusan yang dibuat oleh Royal bervariasi dari $1 juta sampai $11 juta, tetapi belum jelas berapa banyak operasi yang telah dilakukan dari para korbannya. Penasihat mencatat bahwa aktor Kerajaan juga terlibat dalam taktik pemerasan ganda, di mana mereka mengancam untuk merilis data terenkripsi secara publik jika korban tidak membayar uang tebusan.

selengkapnya : techcrunch

Aruba Networks Memperbaiki Enam Vulnerability Kritis di ArubaOS

by

Aruba Networks menerbitkan penasehat keamanan untuk memberi tahu pelanggan tentang enam kerentanan kritis-keparahan yang berdampak pada beberapa versi ArubaOS, sistem operasi jaringan miliknya.

Cacat tersebut memengaruhi Konduktor Mobilitas Aruba, Pengontrol Mobilitas Aruba, dan Gateway WLAN yang dikelola Aruba serta Gateway SD-WAN.

Aruba Networks adalah anak perusahaan Hewlett Packard Enterprise yang berbasis di California, yang berspesialisasi dalam jaringan komputer dan solusi konektivitas nirkabel.

Cacat kritis yang ditangani oleh Aruba kali ini dapat dipisahkan menjadi dua kategori: cacat injeksi perintah dan masalah buffer overflow berbasis stack di protokol PAPI (protokol manajemen titik akses Aruba Networks).

Semua kelemahan ditemukan oleh analis keamanan Erik de Jong, yang melaporkannya ke vendor melalui program bug bounty resmi.

Kerentanan injeksi perintah dilacak sebagai CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, dan CVE-2023-22750, dengan peringkat CVSS v3 9,8 dari 10,0.

Penyerang jarak jauh yang tidak diautentikasi dapat memanfaatkannya dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, menghasilkan eksekusi kode arbitrer sebagai pengguna istimewa di ArubaOS.

Bug buffer overflow berbasis tumpukan dilacak sebagai CVE-2023-22751 dan CVE-2023-22752, dan juga memiliki peringkat CVSS v3 9,8.

Cacat ini dapat dieksploitasi dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan kode arbitrer sebagai pengguna istimewa di ArubaOS.

versi yang terdampak :

  • ArubaOS 8.6.0.19 dan dibawahnya
  • ArubaOS 8.10.0.4 dan dibawahnya
  • ArubaOS 10.3.1.0 dan dibawahnya
  • SD-WAN 8.7.0.0-2.3.0.8 dan dibawahnya

Versi peningkatan target, menurut Aruba, harus:

  • ArubaOS 8.10.0.5 dan yang lebih baru
  • ArubaOS 8.11.0.0 dan yang lebih baru
  • ArubaOS 10.3.1.1 dan yang lebih baru
  • SD-WAN 8.7.0.0-2.3.0.9 dan yang lebih baru

Sayangnya, beberapa versi produk yang telah mencapai End of Life (EoL) juga terpengaruh oleh kerentanan ini dan tidak akan menerima pembaruan perbaikan. Ini adalah:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Solusi untuk administrator sistem yang tidak dapat menerapkan pembaruan keamanan atau menggunakan perangkat EoL adalah dengan mengaktifkan mode “Enhanced PAPI Security” menggunakan kunci non-default.

Namun, penerapan mitigasi tidak mengatasi 15 kerentanan tingkat tinggi dan delapan kerentanan tingkat menengah lainnya yang tercantum dalam penasehat keamanan Aruba, yang diperbaiki oleh versi baru.

Aruba menyatakan tidak mengetahui adanya diskusi publik, mengeksploitasi kode, atau mengeksploitasi secara aktif kerentanan ini pada tanggal rilis penasehat, 28 Februari 2022.

sumber : bleepingcomputer