Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Log4j 2.17.1 memperbaiki bug eksekusi kode jarak jauh baru

by

Apache telah merilis versi Log4j lainnya, 2.17.1 memperbaiki kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan di 2.17.0, dilacak sebagai CVE-2021-44832.

Eksploitasi massal kerentanan Log4Shell asli (CVE-2021-44228) oleh aktor ancaman dimulai sekitar 9 Desember, ketika eksploitasi PoC untuknya muncul di GitHub. Mengingat penggunaan Log4j yang luas di sebagian besar aplikasi Java, Log4Shell segera berubah menjadi mimpi buruk bagi perusahaan dan pemerintah di seluruh dunia.

Sementara risiko kritis yang ditimbulkan oleh eksploitasi Log4Shell asli adalah yang terpenting, varian kerentanan yang lebih ringan muncul di versi Log4j, termasuk 2.15 dan 2.16—yang sebelumnya diyakini telah sepenuhnya ditambal.

Tapi sekarang kerentanan kelima—cacat RCE, dilacak sebagai CVE-2021-44832 telah ditemukan di 2.17.0, dengan patch yang diterapkan pada rilis terbaru 2.17.1 yang sudah keluar. Dinilai ‘Sedang’ dalam tingkat keparahan dan diberi skor 6,6 pada skala CVSS, kerentanan berasal dari kurangnya kontrol tambahan pada akses JDNI di log4j.

“Terkait dengan CVE-2021-44832 di mana penyerang dengan izin untuk mengubah file konfigurasi logging dapat membuat konfigurasi berbahaya menggunakan JDBC Appender dengan sumber data yang mereferensikan URI JNDI yang dapat mengeksekusi kode jarak jauh.”

Pakar keamanan Kevin Beaumont menyebut contoh itu sebagai “pengungkapan Log4j yang gagal” selama liburan. kerentanan keamanan memikat pelaku ancaman untuk melakukan pemindaian berbahaya dan aktivitas eksploitasi, seperti yang terlihat dari kebocoran eksploitasi Log4Shell pada 9 Desember.

Marc Rogers, VP cybersecurity di Okta pertama kali mengungkapkan pengenal kerentanan (CVE-2021-44832) dan bahwa eksploitasi bug bergantung pada pengaturan log4j non-default di mana konfigurasi sedang dimuat dari server jauh.

Hingga saat ini, kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman mulai dari peretas yang didukung negara hingga geng ransomware dan lainnya untuk menyuntikkan penambang Monero ke sistem yang rentan.

Geng ransomware Conti terlihat mengincar server VMWare vCenter yang rentan. Sedangkan, penyerang yang melanggar platform kripto Vietnam ONUS melalui log4shell menuntut uang tebusan $5 juta.

Pengguna Log4j harus segera meningkatkan ke rilis terbaru 2.17.1 (untuk Java 8). Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan juga diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Industri perekrutan peretas sekarang terlalu besar untuk gagal

by

NSO Group, perusahaan Israel bernilai miliaran dolar yang telah menjual alat peretasan kepada pemerintah di seluruh dunia selama lebih dari satu dekade telah menarik pengawasan ketat setelah serangkaian skandal publik. Perusahaan tersebut sedang dalam krisis. Masa depannya diragukan.

Namun, pemerintah lebih mungkin membeli kemampuan dunia maya dari industri yang telah ditentukan oleh NSO. Bisnis sedang booming untuk perusahaan “peretas yang disewa”. Dalam dekade terakhir, industri telah berkembang dari sesuatu yang baru menjadi instrumen kekuatan utama bagi negara-negara di seluruh dunia. Bahkan potensi kegagalan perusahaan besar seperti NSO Group tidak akan memperlambat pertumbuhan.

Facebook melaporkan bahwa tujuh perusahaan peretas dari seluruh dunia telah menargetkan sekitar 50.000 orang di platform perusahaan. Laporan tersebut menyoroti empat perusahaan Israel lagi di samping operasi dari China, India, dan Makedonia Utara.

NSO Group telah dikepung oleh kritik dan tuduhan pelecehan selama bertahun-tahun. Pada tahun 2016, Uni Emirat Arab ketahuan menargetkan aktivis hak asasi manusia Ahmed Mansoor menggunakan Pegasus NSO Group, alat yang memanfaatkan kelemahan perangkat lunak untuk meretas iPhone dan menyerahkan kendali kepada pelanggan NSO Group. Dalam kasus itu, pemerintah UEA dipandang sebagai pelakunya, dan NSO pergi tanpa cedera (Mansoor masih di penjara dengan tuduhan mengkritik rezim negara).

Pola ini berulang selama bertahun-tahun. pemerintah akan dituduh menggunakan alat peretasan NSO terhadap para pembangkang, tetapi perusahaan tersebut membantah melakukan kesalahan dan lolos dari hukuman. Kemudian, pada pertengahan 2021, muncul laporan baru tentang dugaan pelecehan terhadap pemerintah Barat. Perusahaan tersebut mendapat sanksi dari AS pada bulan November, dan pada bulan Desember Reuters melaporkan bahwa pejabat Departemen Luar Negeri AS telah diretas menggunakan Pegasus.

Sekarang NSO Group menghadapi tuntutan hukum publik yang mahal dari Facebook dan Apple. Ia harus berurusan dengan utang, moral yang rendah, dan ancaman mendasar bagi masa depannya.

Industri hacker-for-hire rahasia pertama kali muncul di berita utama surat kabar internasional pada tahun 2014, ketika tim Hacking perusahaan Italia dituduh menjual spyware “tidak dapat dilacak” ke puluhan negara tanpa memperhatikan pelanggaran hak asasi manusia atau privasi.

Pelanggan awal industri ini adalah sekelompok kecil negara yang ingin memproyeksikan kekuatan di seluruh dunia melalui internet. Situasinya jauh lebih kompleks hari ini. Lebih banyak negara membayar untuk meretas musuh baik secara internasional maupun di dalam perbatasan mereka sendiri.

Sementara pengawasan publik terhadap perusahaan yang menyediakan peretas untuk disewa telah meningkat, permintaan global untuk kemampuan siber ofensif juga meningkat. Pada abad ke-21, target pemerintah dengan nilai tertinggi lebih dari sebelumnya—dan peretasan biasanya merupakan cara paling efektif untuk mencapainya.

Banyak dnegara-negara yang mencari bantuan dari luar. Misalnya, negara-negara kaya minyak di Teluk Persia secara historis tidak memiliki kemampuan teknis yang cukup besar yang diperlukan untuk mengembangkan kekuatan peretasan domestik.

Permintaan untuk apa yang dijual oleh perusahaan peretasan swasta tidak akan hilang. “Industri ini lebih besar dan lebih terlihat hari ini daripada satu dekade lalu,” kata Winnona DeSombre, seorang peneliti keamanan dan rekan di Dewan Atlantik. “Permintaan meningkat karena dunia menjadi lebih terhubung secara teknologi.”

DeSombre baru-baru ini memetakan industri yang terkenal buram dengan memetakan ratusan perusahaan yang menjual alat pengawasan digital di seluruh dunia. Dia berpendapat bahwa sebagian besar pertumbuhan industri disembunyikan dari pandangan publik, termasuk penjualan senjata siber dan teknologi pengawasan perusahaan Barat kepada musuh geopolitik.

Diperingatkan akan dampak industri yang meningkat, pihak berwenang di seluruh dunia sekarang bertujuan untuk membentuk masa depannya dengan sanksi, dakwaan, dan peraturan baru tentang ekspor. Meski begitu, permintaan akan alat tersebut terus meningkat.

Selengkapnya : Technology Review

META LARANGAN ISRAEL ‘CYBER MERCENARY’ YANG MENARGETKAN JURNALIS, PALESTINA, DAN AKTIVIS

by

Meta telah melarang empat perusahaan ‘tentara bayaran cyber’ yang berkantor pusat di Israel. Menurut perusahaan, mereka melakukan pengawasan terhadap aktivis hak asasi manusia, jurnalis, dan “pengkritik rezim otoriter.”

“Perusahaan-perusahaan ini adalah bagian dari industri yang luas yang menyediakan perangkat lunak yang mengganggu dan layanan pengawasan tanpa pandang bulu kepada pelanggan mana pun terlepas dari siapa yang mereka targetkan atau pelanggaran hak asasi manusia yang mungkin mereka aktifkan,” tulis kepala penyelidikan spionase dunia maya Meta, Mike Dvilyanski. “Industri ini ‘mendemokratisasi’ ancaman ini, membuatnya tersedia untuk kelompok pemerintah dan non-pemerintah yang tidak akan memiliki kemampuan ini.”

Empat dari tujuh perusahaan tersebut adalah perusahaan Israel— Cobwebs Technologies, Cognyte, Black Cube, dan Bluehawk CI—sementara tiga lainnya berbasis di Cina, India, dan Makedonia Utara.

Meta menghapus 200 akun media sosial yang dioperasikan oleh Cobwebs Technologies yang berbasis di Israel yang terlibat dalam Pengintaian, yang melibatkan “pembuatan profil diam” target melalui informasi publik seperti profil media sosial.

Black Cube, firma pengawasan yang disewa oleh Harvey Weinstein untuk menyelidiki jurnalis, dimasukkan dalam daftar pantauan dan dituduh melakukan Pengintaian, Keterlibatan, dan Eksploitasi, tiga tahap yang membentuk totalitas rantai pengawasan seperti yang didefinisikan oleh Meta. Tahap Keterlibatan dan Eksploitasi melampaui pembuatan profil diam dengan membuat titik referensi untuk target dan memanipulasi keterlibatan tersebut untuk mengekstrak data pribadi dan pribadi. Black Cube terutama menargetkan aktivis dan LSM, termasuk aktivis Palestina.

Pemimpin intelijen global yang berbasis di Israel, Cognyte, memiliki lebih dari 100 akun Facebook dan Instagram yang offline, dan, menurut Meta, menargetkan “wartawan dan politisi di seluruh dunia.”

Kelompok Israel terakhir yang terdaftar adalah Bluehawk, sebuah perusahaan pengawasan yang menyamar sebagai jurnalis Fox News untuk operasi mata-mata. Meta mengatakan mereka menghapus lebih dari 100 akun Facebook yang ditautkan ke Bluehawk, setelah itu grup tersebut terus-menerus mencoba untuk terlibat kembali dengan platform dan membuat akun baru. Akun-akun tersebut menyamar sebagai jurnalis palsu dari Fox News dan berusaha mengelabui pengguna agar melakukan wawancara di depan kamera. Serangan terbaru dari Bluehawk dilaporkan menargetkan Argentina.

Pengawasan dunia maya Israel telah mendapat sorotan yang lebih besar setelah dilaporkan bahwa NSO Group, sebuah perusahaan Israel, membantu Arab Saudi dan kemungkinan penyerang tak dikenal lainnya dalam operasi rahasia. Spyware Pegasus grup NSO telah dikaitkan dengan serangkaian serangan dunia maya yang ditargetkan pada aktivis hak asasi manusia dan pengacara. NSO Group dan pemerintah Israel telah membantah terkait dengan serangan tersebut.

Sumber : Paradox Politics

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer

File Download ‘Spider-Man: No Way Home’ Menginstal Cryptominer

by

Kehebohan global seputar rilis Spider-Man: No Way Home membuat banyak keributan online – lingkungan yang ideal bagi penjahat dunia maya untuk menyebarkan cryptominer Monero yang menyamar sebagai unduhan film yang baru dirilis tersebut.

Unduhan torrent Spider-Man: No Way Home beredar, terinfeksi dengan cryptominer Monero yang gigih, menurut peringatan baru dari ReasonLabs.

File tersebut ditandai oleh pengguna dan tidak cocok dengan file mencurigakan lainnya yang diketahui di database mereka, kata laporan itu.

Meskipun para peneliti belum menentukan berapa kali penambang telah diunduh, firasat mereka penambang crypto sudah ada untuk sementara waktu, mereka menjelaskan dalam sebuah pernyataan.

“Malware Spiderman sebenarnya adalah ‘edisi’ baru dari malware yang sebelumnya dikenal yang menyamar sebagai berbagai aplikasi populer di masa lalu seperti ‘windows updater’, ‘discord app’, dan sekarang film Spiderman,” tim ReasonLabs menjelaskan dalam laporan. “Ini menunjukkan bahwa itu sudah banyak diunduh.”

Mereka menambahkan bahwa sampai saat ini, belum ada yang mengidentifikasi edisi malware ini.

ReasonLabs melaporkan bahwa nama file penambang diterjemahkan dari bahasa Rusia asli, “spiderman_net_putidomoi.torrent.exe,” menjadi “spiderman_no_wayhome.torrent.exe” dalam bahasa Inggris dan mampu menambahkan pengecualian ke Windows Defender.

Setelah cryptominer diunduh, korban mungkin tidak segera menyadarinya, berjalan di latar belakang, menguras daya dan kapasitas CPU, tambah laporan ReasonLabs.

Selengkapnya: Threat Post

Serangan siber di Mitsubishi Electric merupakan ancaman keamanan

by

Serangan siber Juni 2019 pada Mitsubishi Electric Corp. mengkompromikan data yang merupakan kebocoran informasi keamanan nasional sensitif yang pertama kali diakui secara publik di Jepang, Kementerian Pertahanan mengakui.

Kementerian, yang merilis temuannya pada 24 Desember dalam penyelidikannya terhadap 59 kasus, mengatakan hampir 20.000 file diakses. Ia menambahkan bahwa sejak itu telah mengambil langkah-langkah untuk mengatasi sabotase seperti ini dan mengeluarkan peringatan lisan pada 22 Desember kepada Mitsubishi Electric, pembuat peralatan elektronik terkemuka yang sangat terlibat dalam proyek-proyek pertahanan, infrastruktur dan transportasi.

Asahi Shimbun memecahkan laporan serangan siber yang menakjubkan pada Januari 2020 dan pejabat Mitsubishi Electric mencurigai kelompok peretasan China. Bulan berikutnya, Kementerian Pertahanan mengakui bahwa insiden itu melibatkan tiga kasus yang bersifat sensitif terkait dengan peralatan pertahanan.

Namun dalam pengungkapan terbarunya, kementerian mengungkapkan bahwa hampir 20.000 file data yang bocor berisi informasi terkait pertahanan.

Diakui bahwa kebocoran 59 file data tersebut berdampak serius pada keamanan nasional. Namun, menolak untuk membocorkan isi spesifik dari file data dengan alasan mereka berisi informasi sensitif.

Selengkapnya: Asahi

Ransomware Rook adalah bibit lain dari kode Babuk yang bocor

by

Operasi ransomware baru bernama Rook baru-baru ini muncul di ruang kejahatan dunia maya, menyatakan kebutuhan mendesak untuk menghasilkan “banyak uang” dengan menerobos jaringan perusahaan dan mengenkripsi perangkat.

Meskipun pernyataan pengantar di portal kebocoran data mereka sedikit lucu, pengumuman korban pertama di situs tersebut telah memperjelas bahwa Rook tidak sedang bermain-main.

Sumber: BleepingComputer

Para peneliti di SentinelLabs telah mendalami jenis baru ini, mengungkapkan detail teknisnya, rantai infeksi, dan bagaimana ini tumpang tindih dengan ransomware Babuk.

Muatan ransomware Rook biasanya dikirimkan melalui Cobalt Strike, dengan email phishing dan unduhan torrent yang tidak jelas dilaporkan sebagai vektor infeksi awal.

Payload dikemas dengan UPX atau crypter lain untuk membantu menghindari deteksi. Saat dieksekusi, ransomware mencoba menghentikan proses apa pun yang dapat mengganggu proses enkripsi.

Rook juga menggunakan vssadmin.exe untuk menghapus volume shadow copy, taktik standar yang digunakan oleh operasi ransomware untuk mencegah volume shadow digunakan untuk memulihkan file.

SentinelLabs telah menemukan banyak kesamaan kode antara Rook dan Babuk, RaaS yang sudah tidak berfungsi yang kode sumber lengkapnya bocor di forum berbahasa Rusia pada September 2021.

Misalnya, Rook menggunakan panggilan API yang sama untuk mengambil nama dan status setiap layanan yang berjalan dan fungsi yang sama untuk menghentikannya.

Juga, daftar proses dan layanan Windows yang dihentikan sama untuk kedua ransomware. Ini termasuk platform game Steam, klien email Microsoft Office dan Outlook, serta Mozilla Firefox dan Thunderbird.

Selengkapnya: Bleeping Computer