Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kekurangan Google Drive Memungkinkan Penyerang Mengeksfiltrasi Data Ruang Kerja Tanpa Jejak

by Leave a Comment

Para peneliti di tim dari Mitiga menemukan apa yang mereka sebut sebagai “kekurangan keamanan forensik” kunci dalam aplikasi produktivitas yang dihosting populer, yang muncul karena kurangnya pembuatan log untuk pengguna yang tidak memiliki lisensi perusahaan berbayar untuk Workspace. Dalam posting blog Mitiga yang diterbitkan 30 Mei, tim mencatat bahwa situasi tersebut membuat perusahaan terbuka terhadap ancaman orang dalam dan potensi kebocoran data lainnya.

Bagaimana Penyerang Dapat Mengeksploitasi Kekurangan Google Drive
Ada dua skenario utama di mana kurangnya visibilitas ini menimbulkan masalah, para peneliti menguraikan dalam posting mereka. Yang pertama adalah jika akun pengguna disusupi oleh aktor ancaman, baik dengan menjadi admin atau hanya dengan mendapatkan akses ke akun tersebut, tulis mereka.

“Aktor ancaman yang mendapatkan akses ke pengguna admin dapat mencabut lisensi pengguna, mengunduh semua file pribadi mereka, dan menetapkan ulang lisensi,” jelas mereka dalam postingan tersebut. Dalam hal ini, satu-satunya catatan log yang akan dihasilkan adalah aktivitas pencabutan dan penetapan lisensi, di bawah Admin Log Events, kata para peneliti.

Sementara itu, pelaku ancaman yang mendapatkan akses ke pengguna tanpa lisensi berbayar tetapi masih menggunakan drive pribadi organisasi dapat mengunduh semua file drive tanpa meninggalkan jejak apa pun, kata para peneliti.

Skenario ancaman kedua kemungkinan besar akan terjadi selama pelepasan karyawan, ketika pengguna korporat meninggalkan perusahaan dan dengan demikian lisensinya dicabut sebelum benar-benar menonaktifkan/menghapus karyawan tersebut sebagai pengguna Google, kata para peneliti.

Karyawan (atau pengguna mana pun yang tidak diberi lisensi berbayar) juga berpotensi mendownload file internal dari drive pribadinya atau Google Workspace pribadinya tanpa pemberitahuan apa pun karena kurangnya pencatatan log, menimbulkan ancaman orang dalam, atau berpotensi mengungkap data tersebut ke penyerang luar, mereka menambahkan. Pengguna yang masih menggunakan drive pribadi perusahaan juga dapat mengunduh drive ke Google Workspace pribadi tanpa catatan log apa pun, kata para peneliti.

“Apa pun itu, tanpa lisensi berbayar, pengguna masih dapat mengakses drive bersama sebagai penonton,” jelas mereka dalam postingan tersebut. “Seorang pengguna atau pelaku ancaman dapat menyalin semua file dari drive bersama ke drive pribadi mereka dan mengunduhnya.”

Bagaimana Perusahaan Dapat Menanggapi
Untungnya, ada beberapa langkah yang dapat diambil oleh organisasi yang menggunakan Google Workspace untuk memastikan bahwa masalah yang diuraikan oleh Mitiga tidak dieksploitasi, kata para peneliti. Ini termasuk mengawasi tindakan tertentu dalam fitur Peristiwa Log Admin mereka, seperti peristiwa tentang penugasan dan pencabutan lisensi, kata mereka.

“Jika peristiwa ini terjadi secara berurutan, itu bisa menunjukkan bahwa pelaku ancaman mencabut dan menetapkan kembali lisensi di lingkungan Anda,” tulis mereka dalam postingan tersebut. “Oleh karena itu, kami menyarankan untuk melakukan perburuan ancaman secara rutin di Google Workspace yang mencakup penelusuran aktivitas ini.

Organisasi juga dapat menambahkan peristiwa “salinan sumber” dalam perburuan ancaman untuk menangkap kasus di mana seorang karyawan atau aktor ancaman menyalin file dari drive bersama ke drive pribadi dan mengunduhnya dari sana, kata para peneliti.

Secara keseluruhan, organisasi “perlu memahami bahwa jika ada pengguna dengan lisensi gratis, pengguna tersebut dapat mengunduh atau menyalin data dari Google Drive pribadi organisasi dan tidak akan ada catatan aktivitas,” kata Aspir. “Berhati-hatilah terhadap pengguna di dalam perusahaan yang tidak memiliki lisensi berbayar.”

sumber : darkreading.com

Supply Chain Risk Dari Backdoor App Center Gigabyte

by

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

  • Penyalahgunaan backdoor OEM oleh threat actor
  • Kompromi infrastruktur pembaruan OEM dan rantai pasokan
  • Persistensi menggunakan UEFI Rootkit dan Implan
  • Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

  1. Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
  2. Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
  3. Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Serangan Wi-Fi MITM Baru yang Dapat Menembus Mekanisme Keamanan WPA3

by

Sebuah kerentanan kritis dalam chipset NPU yang baru ditemukan oleh peneliti dari Universitas Tsinghua dan George Mason University memungkinkan penyerang untuk menguping data yang ditransmisikan melalui 89% jaringan Wi-Fi dunia nyata dengan memanfaatkannya.

Serangan ini mampu melewati mekanisme keamanan link-layer seperti WPA3 dan mencegat lalu lintas teks biasa, telah dijelaskan dalam makalah penelitian yang diterima oleh Simposium Keamanan dan Privasi IEEE 2023.

Penggunaan akselerasi perangkat keras, seperti chipset NPU dalam jaringan Wi-Fi, meningkatkan kecepatan transmisi data dan mengurangi latensi, tetapi juga memperkenalkan masalah keamanan karena transmisi langsung frame nirkabel oleh router Access Point (AP).

Untuk memprioritaskan kinerja, NPU pada router AP seperti Qualcomm IPQ5018 dan HiSilicon Gigahome Quad-core akan langsung mengirimkan pesan pengalihan ICMP palsu yang diterima ke pencari korban.

Ketika korban menerima pesan tersebut, ia ditipu untuk memperbarui cache routing-nya dan menggantikan langkah selanjutnya dengan alamat IP penyerang, sehingga paket IP berikutnya yang seharusnya ditujukan ke server dialihkan ke penyerang di lapisan IP, memungkinkan pengiriman paket oleh penyerang.

Dengan diam-diam dan tanpa menggunakan AP palsu, penyerang secara efektif melakukan serangan MITM, memungkinkan penyadapan dan modifikasi lalu lintas korban.

Kerentanan yang mencegah perangkat AP untuk memblokir pesan pengalihan ICMP palsu ini telah dikonfirmasi oleh Qualcomm dan Hisilicon, dengan Qualcomm memberikan CVE-2022-25667 untuk masalah khusus ini.

Analisis keamanan yang melakukan studi empiris besar-besaran terhadap router AP utama dan jaringan Wi-Fi dunia nyata menemukan bahwa kerentanan dalam NPU tersemat mempengaruhi hampir semua router AP utama.

Dari 55 router AP yang rentan yang diuji dari 10 vendor AP terkenal, para ahli menemukan bahwa lebih dari 89% dari 122 jaringan Wi-Fi dunia nyata yang diuji terpapar serangan yang sudah diketahui.

Sebagai rekomendasi mitigasi, para ahli telah mengonfirmasi bahwa untuk meningkatkan keamanan, AP harus membatasi pengalihan ICMP yang dibuat, dan harus memverifikasi pesan ICMP yang diterima.

Selengkapnya: Cybersecurity News

Security.txt sekarang wajib untuk situs web pemerintah Belanda

by

Standar keamanan wajib berlaku untuk semua pemerintah, seperti pemerintah nasional, provinsi, kotamadya, dan dewan air. Organisasi lain di sektor publik sangat disarankan untuk menerapkan standar tersebut, menurut Digital Trust Center organisasi siber pemerintah.

Kewajiban tersebut berasal dari Forum Standardisasi Pemerintah Pusat dan sejalan dengan Government Information Security Baseline (BIO). Pedoman ini menetapkan bahwa organisasi pemerintah harus memiliki prosedur untuk menerima dan menangani laporan kerentanan.

File security.txt di server web berisi informasi kontak untuk melakukan kontak jika ada kerentanan yang ditemukan di server tersebut. Tujuannya agar, misalnya, para hacker etis dapat segera menghubungi orang atau departemen yang tepat untuk mengatasi kerentanan tersebut.

Akibatnya, kerentanan harus diselesaikan lebih cepat dan penjahat dunia maya memiliki lebih sedikit peluang.

Digital Trust Center hopes that the standard will also be adopted by the business community. The standard is already being used to warn businesses more quickly in the event of serious cyber threats. The more companies embrace the standard, the faster communication can go.

The number of Dutch domain names with a security.txt file now stands at more than 88,000.

pengningkatan kewajiban untuk mengadaptasi Security.txt dikarenakan peningkatan serangan siber yang terjadi di dunia ini, dari berbagai jenis bentuk seperti malware, vulnerability, phishing, dan berbagai macam lainnya.

sumber : netherlands

Spyware Ditemukan dalam Aplikasi Google Play dengan Lebih dari 420 Juta Unduhan

by

Perusahaan antivirus Doctor Web telah mengidentifikasi adanya spyware dalam lebih dari 100 aplikasi Android yang telah diunduh lebih dari 421 juta kali di Google Play.

Modul berbahaya ini, yang diberi nama ‘SpinOk’ oleh Doctor Web, didistribusikan sebagai SDK pemasaran. Pada perangkat korban, spyware ini dapat mengumpulkan informasi tentang file, mengirim file ke para penyerang, dan mencuri konten clipboard.

Modul SpinOk menawarkan mini game, tugas, dan hadiah yang diduga untuk menjaga minat pengguna terhadap aplikasi tersebut.

Setelah dieksekusi, SDK ini terhubung ke server komando dan kontrol (C&C) dan mengirimkan sejumlah besar informasi perangkat, termasuk data dari sensor yang memungkinkannya mendeteksi lingkungan emulator. Respons dari server berisi banyak URL yang digunakan untuk menampilkan spanduk iklan melalui WebView.

Selain itu, modul ini dapat mengumpulkan daftar file dalam direktori yang ditentukan, memeriksa keberadaan file dan direktori tertentu, mengunggah file dari perangkat, serta menyalin atau mengganti konten clipboard.

“Ini memungkinkan operator modul trojan untuk memperoleh informasi dan file rahasia dari perangkat pengguna—misalnya, file yang dapat diakses oleh aplikasi yang memiliki Android.Spy.SpinOk di dalamnya. Untuk itu, para penyerang perlu menambahkan kode yang sesuai ke dalam halaman HTML spanduk iklan,” jelas Doctor Web.

Modul berbahaya dan modifikasinya telah diidentifikasi dalam total 101 aplikasi di Google Play. Google telah diberi tahu dan telah menghapus beberapa aplikasi tersebut. Dalam beberapa kasus, hanya versi tertentu yang mengandung SDK berbahaya tersebut.

Beberapa aplikasi paling populer yang mengandung modul berbahaya ini termasuk Noizz (lebih dari 100 juta instalasi), Zapya (lebih dari 100 juta instalasi—kode tersebut ada dalam versi 6.3.3 hingga 6.4), VFly (lebih dari 50 juta unduhan), MVBit (lebih dari 50 juta instalasi), dan Biugo (lebih dari 50 juta unduhan). Doctor Web telah mempublikasikan daftar lengkap aplikasi yang terinfeksi.

Selengkapnya: Security Week

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

by

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

RARBG, salah satu pelacak torrent bajakan terbesar di dunia, telah ditutup.

by

RARBG, salah satu pelacak torrent bajakan terbesar di dunia, telah ditutup. Pelacak torrent ini mengkhususkan diri dalam rilisan bajakan film dan serial TV. Diluncurkan pada tahun 2008 sebagai pelacak BitTorrent Bulgaria, RARBG cepat mengubah profilnya untuk menjangkau audiens internasional dengan fokus pada rilisan berbahasa Inggris.

Menariknya, RARBG ditutup dengan sukarela, menjadi salah satu kasus jarang di mana pelacak torrent menutup sendiri. Alasan penutupan termasuk konsekuensi dari pandemi, kenaikan harga listrik, inflasi, dan serangan Rusia terhadap Ukraina. Tim RARBG mengklaim bahwa beberapa anggota tim terlibat dalam perang, baik di pihak Pasukan Bersenjata Ukraina maupun pendudukan Rusia.

Dalam pernyataan resmi mereka, tim RARBG menyebutkan bahwa dua tahun terakhir telah sulit bagi mereka. Beberapa anggota tim meninggal akibat komplikasi COVID-19, sementara yang lain masih menderita efek sampingnya dan tidak dapat bekerja. Selain itu, kenaikan harga listrik di pusat data di Eropa dan inflasi membuat biaya operasional tidak lagi dapat ditanggung.

Sebagai hasilnya, RARBG mengambil keputusan untuk menutup situs tersebut. Mereka menyampaikan permintaan maaf kepada pengguna mereka dan mengucapkan selamat tinggal. Sebelum penutupannya, pada Januari 2023, RARBG merupakan pelacak torrent terpopuler keempat di dunia.

Penutupan RARBG menandai akhir dari salah satu pelacak torrent terbesar di dunia, yang telah menjadi tujuan bagi banyak pengguna untuk mengunduh konten bajakan. Meskipun kontroversial, keberadaan platform seperti RARBG mencerminkan tantangan dalam menangani pelanggaran hak cipta dan perlindungan konten digital di era internet.

Sumber: Mezha Media

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

by

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek