Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug XSS yang tersimpan di domain Apple iCloud diungkapkan oleh bug bounty hunter

by

Kerentanan cross-site scripting (XSS) yang disimpan di domain iCloud dilaporkan telah ditambal oleh Apple.

Bug bounty hunter dan penetration tester Vishal Bharad mengklaim telah menemukan kelemahan keamanan, yang merupakan masalah XSS yang tersimpan di icloud.com.

Kerentanan stored XSS, juga dikenal sebagai persistent XSS, dapat digunakan untuk menyimpan muatan di server target, menyuntikkan skrip berbahaya ke situs web, dan berpotensi digunakan untuk mencuri cookie, token sesi, dan data browser.

Menurut Bharad, cacat XSS di icloud.com ditemukan di fitur Halaman/Catatan Utama domain iCloud Apple.

Untuk memicu bug, penyerang perlu membuat Halaman baru atau konten Keynote dengan muatan XSS yang dikirimkan ke bidang nama.

Bharad juga menyediakan video Proof-of-Concept (PoC) untuk mendemonstrasikan kerentanan.

Sumber: ZDNet

FireEye menghubungkan serangan zero day di server FTA & kampanye pemerasan ke grup FIN11

by

Serangan menggunakan zero-day di server Accellion FTA yang telah melanda sekitar 100 perusahaan di seluruh dunia pada Desember 2020 dan Januari 2021 telah dilakukan oleh kelompok kejahatan siber yang dikenal sebagai FIN11, kata firma keamanan siber FireEye hari ini.

Selama serangan, peretas mengeksploitasi empat kelemahan keamanan untuk menyerang server FTA, memasang kerangka web bernama DEWMODE, yang kemudian digunakan penyerang untuk mengunduh file yang disimpan pada peralatan FTA korban.

“Dari sekitar 300 total klien FTA, kurang dari 100 menjadi korban serangan itu,” kata Accellion dalam siaran pers hari ini. “Dalam grup ini, kurang dari 25 tampaknya mengalami pencurian data yang signifikan”.

Tetapi FireEye mengatakan bahwa beberapa dari 25 pelanggan ini sekarang telah menerima permintaan tebusan menyusul serangan terhadap server berbagi file FTA mereka.

Para penyerang menghubungi melalui email dan meminta pembayaran Bitcoin, atau mereka akan mempublikasikan data korban di “situs kebocoran” yang dioperasikan oleh geng ransomware Clop.

Sumber: FireEye

FireEye, yang telah membantu Accellion menyelidiki serangan-serangan ini, mengatakan serangan tersebut telah dikaitkan dengan dua kelompok aktivitas yang dilacak perusahaan sebagai UNC2546 (eksploitasi zero-day pada perangkat FTA) dan UNC2582 (email yang dikirim ke korban yang mengancam untuk mempublikasikan data tentang Tutup situs kebocoran ransomware).

Kedua grup memiliki infrastruktur yang tumpang tindih dengan FIN11, geng kejahatan siber besar yang ditemukan dan didokumentasikan FireEye tahun lalu, yang memiliki berbagai bentuk operasi kejahatan siber.

Selengkapnya: ZDNet

Penipu dunia maya membuang penipuan uang besar-besaran demi ‘mencuri secara diam-diam’ selama pandemi

by

Sebuah makalah lembaga Royal United Services Institute (RUSI) mengatakan sebuah fenomena yang dijuluki “pencurian diam-diam” telah dimulai ketika para penjahat “turun pasar” dari penipuan uang besar-besaran.

Korban individu cenderung tidak melaporkan kehilangan sejumlah kecil uang, sementara sulit bagi polisi dan bank untuk mengetahui apakah mereka berurusan dengan satu penipuan atau operasi kriminal besar senilai jutaan pound, menurut penelitian tersebut.

“Ya, mencoba mencuri £10 juta dari bank adalah sebuah pilihan, tetapi mencuri £10 seratus ribu kali akan memberi Anda keuntungan yang bagus dan mungkin tidak terdeteksi.

“Apakah Anda akan menelepon Action Fraud atau bank Anda jika Anda kehilangan £10?”

Sneha Dawda, salah satu penulis, mengatakan pencurian diam-diam telah menjadi sangat populer karena tingkat tinggi data yang dibobol yang tersedia secara online memudahkan penjahat untuk membeli data pribadi seseorang dan menggunakannya untuk penipuan.

Dia memperingatkan orang-orang untuk berhati-hati dengan apa yang mereka bagikan secara online, dengan penipu menggunakan teknik manipulasi psikologis, yang menggunakan informasi tersebut untuk membuat email phishing pribadi untuk mengelabui penerima agar memberikan detail mereka.

RUSI bulan lalu memperingatkan penipuan telah mencapai “tingkat epidemi” dan menyerukan agar kejahatan itu diprioritaskan sebagai masalah keamanan nasional dengan peran yang lebih besar bagi badan intelijen.

Sumber: News Sky

Peringatan: Google Alerts disalahgunakan untuk mendorong pembaruan Adobe Flash palsu

by

Pelaku ancaman menggunakan Google Alerts untuk mempromosikan pembaruan Adobe Flash Player palsu yang memasang program tak diinginkan lainnya di komputer pengguna yang tidak menaruh curiga.

Pelaku ancaman membuat cerita palsu dengan judul yang berisi kata kunci populer yang kemudian diindeks oleh Google Penelusuran. Setelah diindeks, Google Alerts akan memberi tahu orang-orang yang mengikuti kata kunci tersebut.

Saat mengunjungi cerita palsu menggunakan tautan Google redirect, seperti yang ditunjukkan di bawah ini, pengunjung akan diarahkan ke situs jahat pelaku ancaman.

Sumber: BleepingComputer

Namun, jika Anda mengunjungi URL cerita palsu secara langsung, situs web akan menyatakan bahwa halaman tersebut tidak ada.

Akhir pekan ini, BleepingComputer mengamati berita palsu yang dialihkan ke kampanye baru yang menyatakan Flash Player Anda sudah usang dan kemudian meminta Anda untuk menginstal updater.

Sumber: BleepingCompuer

Jika pengguna mengklik tombol Update, mereka akan mendownload file setup.msi [VirusTotal] yang menginstal program yang mungkin tidak diinginkan bernama ‘One Updater’.

Sumber: BleepingComputer

Seiring waktu, One Updater akan menampilkan pembaruan yang harus diinstal dan menawarkan program yang mungkin tidak diinginkan.

Jika Anda dialihkan ke situs web, baik melalui Google Alerts, Google Search, atau cara lain dan diminta untuk memasang ekstensi atau pembaruan program, cukup tutup browser Anda.

Selengkapnya: Bleeping Computer

Sebagian Besar Eksekutif Berharap Membelanjakan Lebih Banyak Untuk Manajemen Risiko Keamanan Siber

by

Sebagian besar eksekutif TI cukup puas dengan cara organisasi mereka mengelola risiko keamanan siber, namun tetap mengharapkan investasi baru tahun ini.

Hal ini menurut laporan baru dari firma manajemen akses OneLogin, berdasarkan pengambilan suara dari 100 eksekutif TI, yang menemukan bahwa meskipun 83% puas dengan upaya manajemen risiko perusahaan mereka, hampir dua pertiga (61%) mengantisipasi kenaikan anggaran sebelum akhir Semester 1 2021. Untuk sebagian besar, mereka mengharapkan kenaikan antara 11 dan 15%.

Tingkat kepuasan dengan manajemen risiko tampaknya terkait dengan ukuran perusahaan, OneLogin menegaskan.

Sementara hampir seperempat (22%) eksekutif dari perusahaan kecil (kurang dari seribu karyawan) tidak senang dengan keadaan manajemen risiko saat ini, hanya 9% rekan kerja mereka di organisasi dengan 10.000+ karyawan merasakan hal yang sama.

Menganalisis cara perusahaan yang berbeda mendekati manajemen risiko, OneLogin menemukan bahwa campuran aturan dan dialog terbuka tampaknya menjadi pilihan yang disukai sebagian besar, karena hampir setengah (56%) menggunakan pendekatan ini. Kurang dari seperlima (18%) memilih hanya peraturan.

Strategi manajemen risiko, meskipun penting, tidak banyak artinya jika tidak diterapkan, menurut laporan terbaru dari MetricStream. Hampir setengah dari bisnis saat ini masih menggunakan spreadsheet sederhana untuk manajemen risiko TI, meskipun tata kelola TI, solusi risiko dan kepatuhan tersedia secara luas.

Sumber: IT Pro Portal

Zero-day Windows yang baru diperbaiki, dieksploitasi secara aktif sejak pertengahan 2020

by

Microsoft mengatakan bahwa kerentanan Windows zero-day dengan tingkat keparahan tinggi yang ditambal selama Patch Tuesday Februari 2021 dieksploitasi di alam liar setidaknya sejak musim panas 2020 menurut data telemetri.

Bug zero-day yang dieksploitasi secara aktif dilacak sebagai ‘CVE-2021-1732 – Peningkatan Kerentanan Hak Istimewa Windows Win32k’.

Ini memungkinkan penyerang lokal untuk meningkatkan hak istimewanya ke tingkat admin dengan memicu kondisi use-after-free di komponen kernel inti win32k.sys.

CVE-2021-1732 dapat dieksploitasi oleh penyerang dengan hak istimewa pengguna dasar dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Untungnya, pelaku ancaman diharuskan memiliki hak untuk mengeksekusi kode agar eksploitasi berhasil. Namun, ini dapat dengan mudah dicapai dengan mengelabui target agar membuka lampiran berbahaya yang dikirim melalui email phishing.

Kerentanan tersebut ditemukan dan dilaporkan ke Pusat Respons Keamanan Microsoft pada tanggal 29 Desember oleh para peneliti di DBAPPSecurity.

Menurut laporan mereka, zero-day secara aktif digunakan dalam serangan yang ditargetkan oleh kelompok ancaman persisten tingkat lanjut (APT) yang dilacak sebagai Bitter (Forcepoint) dan T-APT-17 (Tencent).

Eksploitasi yang digunakan dalam serangan bertarget Bitter dibagikan pada 11 Desember di platform penelitian malware publik VirusTotal, tetapi pelaku ancaman mulai mengeksploitasi zero-day pada pertengahan 2020 yang diamati Microsoft setelah menganalisis data telemetri.

Selengkapnya: Bleeping Computer

Zero Trust bukanlah solusi keamanan. Tetapi strategi

by

Salah satu tantangan dan kesalahpahaman utama yang terus saya lihat adalah apa sebenarnya definisi Zero Trust. Zero Trust bukanlah satu produk atau platform; ini adalah kerangka keamanan yang dibangun di sekitar konsep “jangan pernah percaya, selalu verifikasi” dan “asumsi pelanggaran.” Mencoba membeli Zero Trust sebagai produk akan membuat organisasi gagal.

Vendor ingin Anda percaya bahwa solusi keamanan, platform, atau widget yang mereka jual adalah Zero Trust dan Anda bisa membeli solusi mereka untuk memenuhi kebutuhan Anda. Ini salah. Vendor mengaktifkan Zero Trust; mereka sendiri bukanlah Zero Trust.

Organisasi perlu membangun strategi untuk mencapai arsitektur Zero Trust yang mencakup lebih dari sekadar teknologi dan kata kunci. Salah satu contohnya adalah ekosistem Zero Trust eXtended (ZTX) yang, paling tidak, membutuhkan:

  1. Menilai kedewasaan Zero Trust program keamanan Anda yang ada (orang, keterampilan, teknologi, kemampuan, dll.). Ini termasuk memahami bagaimana orang melakukan pekerjaan mereka dan bagaimana proses bisnis yang ada dilakukan saat ini, memetakan kapabilitas teknologi yang ada, dan memahami kesenjangan.
  2. Memetakan output dari penilaian kedewasaan ini ke kerangka ZTX untuk memahami pilar apa yang Anda kuasai dan yang kurang, khususnya kemampuan yang perlu Anda tingkatkan.
  3. Mempertimbangkan alat dan teknologi untuk mengatasi area di mana Anda kekurangan dan mengintegrasikan implementasi Zero Trust ke dalam proyek bisnis, TI, dan keamanan yang ada.

selengkapnya : ZDNET

Penjahat siber telah menemukan cara baru yang licik untuk mengelabui Anda dengan penipuan phishing

by

Penjahat siber terus-menerus mengubah taktik mereka agar serangan mereka terhindar dari deteksi dan peneliti keamanan dari GreatHorn telah menemukan kampanye phishing baru yang mampu melewati pertahanan URL tradisional.

Meskipun banyak penipuan phishing melibatkan pengubahan huruf dari URL situs populer untuk mengelabui pengguna agar menavigasi ke halaman arahan palsu, kampanye baru ini mengubah simbol yang digunakan di awalan sebelum URL.

URL yang digunakan dalam kampanye baru ini memiliki format yang salah dan tidak menggunakan protokol URL biasa seperti http:// atau https://. Sebaliknya, mereka menggunakan http:/\ di awalan URL mereka. Karena titik dua dan dua garis miring selalu digunakan dalam format URL standar, sebagian besar browser secara otomatis mengabaikan faktor ini.

Menurut tulisan blog baru dari Tim Intelijen Ancaman GreatHorn, serangan awalan yang salah format ini pertama kali muncul pada Oktober tahun lalu dan mendapatkan momentum hingga akhir tahun.

Untuk mencegah menjadi korban serangan awalan yang salah format, GreatHorn merekomendasikan agar organisasi memberikan pelatihan kepada karyawannya tentang cara mengenali awalan URL yang mencurigakan. Namun pada saat yang sama, tim keamanan harus mencari email organisasi mereka untuk setiap pesan yang berisi URL yang cocok dengan pola ancaman ini dan menghapusnya.

Selengkapnya: Tech Radar