Cybersecurity

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

December 22, 2021 by Winnie the Pooh

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

December 21, 2021 by Winnie the Pooh

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

Pemerintah Inggris membagikan 585 juta kata sandi dengan Have I Been Pwned

December 21, 2021 by Winnie the Pooh

Badan Kejahatan Nasional Inggris telah menyumbangkan lebih dari 585 juta kata sandi ke layanan Have I Been Pwned yang memungkinkan pengguna memeriksa apakah informasi login mereka telah bocor secara online.

Sama seperti kata sandi yang berasal dari FBI, kumpulan besar password ini telah ditambahkan ke data Kata Sandi Pwned yang dapat dicari jika kata sandi telah disusupi.

Pengumpulan kata sandi NCA berasal dari Unit Kejahatan Siber Nasional (NCCU), yang dikumpulkan selama investigasi insiden keamanan siber.

Troy Hunt, pencipta layanan Have I Been Pwned (HIBP), hari ini mengumumkan bahwa setelah mengimpor dan menguraikan data dari NCA, satu set 225.665.425 kata sandi ditemukan benar-benar baru.

Proyek Kata Sandi Pwned HIBP memungkinkan lembaga penegak hukum di banyak negara menambahkan kata sandi yang ditemukan selama penyelidikan. Dengan demikian, layanan lain yang menggunakan Pwned Passwords API dapat melindungi penggunanya dari serangan pengambilalihan akun.

NCA memberi tahu Hunt bahwa sumber kata sandi adalah lokasi penyimpanan cloud milik perusahaan Inggris yang digunakan aktor tak dikenal untuk menyimpan data login yang disusupi.

Para penyelidik menyadari bahwa kredensial berasal dari beberapa pelanggaran data dan bahwa pihak ketiga dapat mengaksesnya “untuk melakukan penipuan lebih lanjut atau pelanggaran dunia maya.”

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan untuk menginstal malware perbankan Dridex

December 21, 2021 by Winnie the Pooh

Pelaku ancaman sekarang mengeksploitasi kerentanan penting Apache Log4j bernama Log4Shell untuk menginfeksi perangkat yang rentan dengan trojan perbankan Dridex atau Meterpreter yang terkenal jahat.

Malware Dridex adalah trojan perbankan yang awalnya dikembangkan untuk mencuri kredensial perbankan online dari para korban. Namun, seiring waktu, malware telah berkembang menjadi pemuat yang mengunduh berbagai modul yang dapat digunakan untuk melakukan berbagai perilaku jahat, seperti memasang muatan tambahan, menyebar ke perangkat lain, mengambil tangkapan layar, dan banyak lagi.

Kemarin, kelompok riset keamanan siber Cryptolaemus memperingatkan bahwa kerentanan Log4j sekarang dieksploitasi untuk menginfeksi perangkat Windows dengan Trojan Dridex dan perangkat Linux dengan Meterpreter.

Anggota Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa pelaku ancaman menggunakan varian eksploitasi Log4j RMI (Remote Method Invocation) untuk memaksa perangkat yang rentan memuat dan mengeksekusi Java class dari server jarak jauh yang dikendalikan penyerang.

Saat dijalankan, Java class pertama-tama akan mencoba mengunduh dan meluncurkan file HTA dari berbagai URL, yang akan menginstal trojan Dridex.

Jika tidak dapat menjalankan perintah Windows, itu akan menganggap perangkat menjalankan Linux/Unix dan mengunduh dan menjalankan skrip Python untuk menginstal Meterpreter.

Menjalankan Meterpreter pada Linux akan memberi pelaku ancaman shell jarak jauh yang dapat mereka gunakan untuk menyebarkan muatan lebih lanjut atau menjalankan perintah.

Dengan Log4j dieksploitasi oleh pelaku ancaman untuk menginstal berbagai malware, tidak mengherankan bahwa operasi malware yang lebih aktif akan mulai menargetkan kerentanan.

Oleh karena itu, sangat disarankan agar semua organisasi memindai aplikasi rentan yang menggunakan Log4j dan memperbaruinya ke versi terbaru.

Ini termasuk memperbarui Log4j ke versi terbaru, versi 2.17, dirilis Sabtu ini untuk memperbaiki kerentanan penolakan layanan baru.

Selengkapnya: Bleeping Computer

Serangan phishing menyamar sebagai Pfizer dalam permintaan penawaran palsu

December 21, 2021 by Winnie the Pooh

Pelaku ancaman sedang melakukan kampanye phishing yang sangat bertarget yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan keuangan dari korban.

Pfizer adalah perusahaan farmasi terkenal yang memproduksi salah satu vaksin mRNA yang saat ini tersedia untuk melawan COVID-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek Pfizer, karena peluang keberhasilan mereka meningkat secara dramatis dibandingkan dengan meniru entitas fiksi.

Dalam laporan baru INKY, para peneliti menjelaskan bahwa pelaku ancaman meniru Pfizer dalam kampanye email phishing yang dimulai sekitar 15 Agustus 2021.

Pelaku di balik kampanye ini rajin dalam operasi phishing mereka, menggabungkan lampiran PDF “bersih” dengan domain baru terdaftar yang muncul sebagai online space resmi Pfizer.

Kemudian, mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati solusi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor untuk tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah:

pfizer-nl[.]com
pfizer-bv[.]org
pfizerhtlinc[.]xyz
pfizertenders[.]xyz

Baris subjek biasanya melibatkan kutipan mendesak, undangan untuk menawar, dan topik terkait pasokan peralatan industri.

Sementara tujuan yang sebenernya dari kampanye ini kurang jelas, fakta bahwa persyaratan pembayaran termasuk dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta penerima untuk membagikan rincian perbankan mereka.

Jika informasi pembayaran diberikan, itu dapat digunakan oleh penyerang dalam kampanye BEC di masa mendatang yang dapat digunakan terhadap pelanggan perusahaan yang ditargetkan.

Selengkapnya: Bleeping Computer

CISA meminta Admin untuk menambal kerentanan VMware Workspace ONE UEM

December 19, 2021 by Søren

CISA telah meminta pengguna VMware untuk menambal kerentanan kritis di Workspace ONE UEM yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses data sensitif.

Bagi mereka yang tidak mengetahui tentang Workspace ONE, ini adalah Solusi Manajemen Titik Akhir Terpadu dari VMware untuk manajemen perangkat over-the-air.

Kerentanan dilacak sebagai CVE-2021-22054 dan ditandai pada peringkat keparahan 9.1/10.

Peretas dapat memanfaatkan kerentanan ini dari jarak jauh dan mendapatkan akses ke informasi sensitif menggunakan konsol UEM. VMware juga telah merilis penasihat keamanan yang menangani kasus ini.

VMware mengatakan bahwa reset IIS akan membuat admin yang login ke instance server dengan patch untuk logout. Setelah beberapa saat, admin akan dapat masuk ke konsol.

Meskipun solusinya bagus, merupakan langkah yang terbaik untuk menambalnya karena kerentanan VMware Workspace ONE UEM adalah eksploitasi keamanan yang kritis dan karenanya yang terbaik adalah jika pengguna dapat memperbaruinya ke versi terbaru dengan menerapkan tambalan sebelum terlambat.

Selengkapnya: The Cybersecurity Times

Perusahaan keamanan Blumira menemukan vektor serangan Log4j baru yang besar

December 18, 2021 by Søren

Dalam serangan proof-of-concept mereka, Blumira menemukan bahwa dengan menggunakan salah satu dari banyak eksploitasi Java Naming and Directory Interface (JNDI) yang dapat mereka picu melalui URL jalur file menggunakan koneksi WebSocket ke mesin dengan pustaka Log4j2 yang rentan terinstal.

Semua yang diperlukan untuk memicu keberhasilan adalah permintaan jalur yang dimulai pada pemuatan halaman web. Sederhana, tapi mematikan.

Lebih buruk lagi, itu tidak perlu menjadi localhost. WebSockets memungkinkan koneksi ke IP apa pun. Biarkan saya ulangi, “Any IP” dan itu termasuk ruang IP pribadi.

Selanjutnya, saat halaman dimuat, itu akan memulai koneksi WebSocket lokal, menekan server pendengar yang rentan, dan terhubung melalui jenis koneksi yang diidentifikasi berdasarkan string koneksi JNDI.

Para peneliti melihat yang paling sukses memanfaatkan Java Remote Method Invocation (RMI). port default 1099., meskipun kita sering melihat port kustom digunakan.

Pemindaian port sederhana, teknik yang sudah ada di buku pegangan peretas, WebSocket, adalah jalan termudah menuju serangan yang berhasil.

Kemudian, port terbuka ke layanan lokal atau layanan yang dapat diakses oleh host ditemukan, kemudian dapat menjatuhkan string eksploit JNDI di jalur atau parameter.

“Ketika ini terjadi, host yang rentan memanggil server exploit, memuat kelas penyerang, dan mengeksekusinya dengan java.exe sebagai proses induk.” Kemudian penyerang dapat menjalankan apa pun yang dia inginkan.

Selengkapnya: ZDNet

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

December 18, 2021 by Søren

Pelaku ancaman telah menghidupkan kembali keluarga ransomware lama dan relatif tidak aktif yang dikenal sebagai TellYouThePass, menyebarkannya dalam serangan terhadap perangkat Windows dan Linux yang menargetkan bug eksekusi kode jarak jauh yang kritis di perpustakaan Apache Log4j.

Heige dari Tim KnownSec 404 pertama kali melaporkan serangan ini di Twitter pada hari Senin setelah mengamati bahwa ransomware dijatuhkan pada sistem Windows lama menggunakan eksploitasi yang menyalahgunakan kelemahan yang dilacak sebagai CVE-2021-44228 dan dikenal sebagai Log4Shell.

Laporan Heige dikonfirmasi oleh Tim Intelijen Ancaman Sangfor, yang berhasil menangkap salah satu sampel ransomware TellYouThePass yang digunakan dalam serangan menggunakan eksploitasi Log4Shell yang sebagian besar berdampak pada target China, menurut Curated Intelligence.

Ketika mereka menemukan lebih lanjut (temuan yang juga dikonfirmasi oleh CronUP’s Germán Fernández), ransomware memiliki versi Linux yang memanen kunci SSH dan bergerak secara lateral di seluruh jaringan korban.

“Perlu dicatat bahwa ini bukan pertama kalinya Tellyouthepass ransomware menggunakan kerentanan berisiko tinggi untuk meluncurkan serangan,” kata peneliti Sangfor. “Pada awal tahun lalu, ia telah menggunakan kerentanan Eternal Blue untuk menyerang beberapa unit organisasi.”

Peneliti keamanan lainnya [1, 2] juga telah menganalisis salah satu sampel ransomware yang digunakan dalam serangan ini dan menandainya sebagai “kemungkinan milik” keluarga TellYouThePass.

Menurut statistik pengiriman ke layanan ID Ransomware, ransomware TellYouThePass telah melihat lonjakan aktivitas yang besar dan tiba-tiba setelah eksploitasi proof-of-concept Log4Shell dirilis secara online.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings