Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

by

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co

Peneliti Mengungkap 22 Masalah Keamanan di Sekitar Google One VPN

by

Tinjauan kode sumber Google VPN sudah keluar, dan ditemukan beberapa lusin potensi masalah privasi. Inilah yang perlu diketahui.

Para peneliti telah membongkar 22 potensi masalah keamanan siber di sekitar dan berdekatan dengan VPN baru Google, VPN Google One.

Google telah memperbaiki salah satu masalah terbesar dan beberapa lainnya, tetapi laporan baru mencatat bahwa banyak masalah yang ditandai belum terselesaikan.

Apa Masalah Keamanan Google One VPN?
Google meminta laporan itu sendiri, menggunakan perusahaan pihak ketiga NCC GroupIni adalah analisis komponen teknis dan tinjauan kode sumber, dan 24 temuan dapat dipecah menjadi tiga kategori berbeda mulai dari tingkat keparahan sedang, rendah, dan sebagai pengamatan informasional

Temuan terbesar sudah diperbaiki dan dua temuan risiko menengah lainnya masih ada. Keduanya terkait dengan proses login untuk VPN versi Windows dan MacOS, dan membiarkan layanan terbuka untuk ditolak ketersediaannya oleh aplikasi berbahaya lokal atau dapat membocorkan token OAuth melalui port lokal sementara.

Haruskah Anda Menggunakan Google One VPN?
Banyak alasan mengapa masalah keamanan ini tampaknya tidak menimbulkan masalah besar. Google sangat menyadari semuanya, setelah melibatkan NCC Group untuk menyelidiki mereka sejak awal. Bahkan masalah keamanan yang lebih serius yang dijelaskan di atas tidak naik ke tingkat keparahan yang tinggi atau kritis.

VPN Google One sama tepercayanya dengan VPN lain mana pun di pasaran dalam hal keamanan. Pengguna VPN Google akan menyalurkan semua aktivitas internet mereka melalui Google, raksasa teknologi internet dengan sejarah panjang dalam mengumpulkan data melalui pihak ketiga. perangkat lunak pelacakan. Karena hal tersebut, mungkin menjadi satu alasan untuk tidak memilihnya.

Selengkapnya: tech.co

Jaringan Berbagi Info Terverifikasi FBI ‘InfraGard’ Diretas

by

InfraGard, sebuah program yang dijalankan oleh Biro Investigasi Federal AS (FBI) untuk membangun kemitraan berbagi informasi ancaman dunia maya dan fisik dengan sektor swasta, minggu ini melihat basis data informasi kontaknya di lebih dari 80.000 anggota dijual di Inggris- forum kejahatan dunia maya bahasa. Sementara itu, para peretas yang bertanggung jawab berkomunikasi langsung dengan anggota melalui portal InfraGard online — menggunakan akun baru dengan identitas samaran CEO industri keuangan yang diperiksa oleh FBI sendiri.

Program InfraGard FBI seharusnya memeriksa Siapa Siapa dari orang-orang kunci dalam peran sektor swasta yang melibatkan keamanan dunia maya dan fisik di perusahaan yang mengelola sebagian besar infrastruktur penting negara

FBI mengatakan mengetahui potensi akun palsu yang terkait dengan Portal InfraGard dan secara aktif menyelidiki masalah ini.

Anggota forum Pelanggaran yang menggunakan pegangan “USDoD” dan yang avatarnya adalah stempel Departemen Pertahanan AS.

Utas penjualan InfraGard USDoD di Pelanggaran.

USDoD mengatakan mereka memperoleh akses ke sistem InfraGard FBI dengan mengajukan akun baru menggunakan nama, Nomor Jaminan Sosial, tanggal lahir, dan detail pribadi lainnya dari seorang CEO di sebuah perusahaan yang kemungkinan besar akan diberikan keanggotaan InfraGard.

Saat ini kepala perusahaan keuangan besar AS yang memiliki dampak langsung pada kelayakan kredit sebagian besar orang Amerika.

USDoD mengatakan alamat email mereka atas nama CEO menerima balasan yang mengatakan bahwa aplikasi telah disetujui.

USDoD mengatakan data pengguna InfraGard tersedia dengan mudah melalui Application Programming Interface (API)

USDoD mengakui bahwa harga yang mereka minta sebesar $50.000 untuk database InfraGard mungkin sedikit tinggi, mengingat ini adalah daftar orang yang cukup mendasar yang sudah sangat sadar akan keamanan. Selain itu, hanya sekitar setengah dari akun pengguna yang berisi alamat email, dan sebagian besar bidang basis data lainnya

USDoD mengatakan mereka berharap akun palsu itu akan bertahan cukup lama bagi mereka untuk menyelesaikan pengiriman pesan langsung sebagai CEO ke eksekutif lain menggunakan portal perpesanan InfraGuard.

Pada November 2021, KrebsOnSecurity merinci bagaimana Pompompurin menyalahgunakan kerentanan di portal online FBI yang dirancang untuk berbagi informasi dengan otoritas penegak hukum negara bagian dan lokal.

Update, 11:15 malam. ET: FBI baru saja mengonfirmasi bahwa mereka mengetahui potensi akun palsu yang terkait dengan portal InfraGard. Ceritanya sekarang termasuk pernyataan lengkap mereka.

sumber : KERBSonSECURITY

TPG Telecom mengungkapkan Pelanggaran Exchange yang dihosting di iiNet, Westnet

by

TPG Telecom telah mengungkapkan pelanggaran layanan Exchange yang dihosting yang menjalankan akun email hingga 15.000 pelanggan bisnis iiNet dan Westnet.

Telco mengatakan bahwa mandiant telah “menemukan bukti akses tidak sah” pada 13 Desember.

Insiden tersebut diidentifikasi sebagai bagian dari pemindaian rutin pada aset jaringan.

“Sebagai bagian dari keterlibatan Mandiant yang berkelanjutan untuk membantu perlindungan dunia maya, mereka melakukan tinjauan sejarah forensik dan menemukan akses tidak sah ke layanan hosted exchange service” TPG Telecom said.

“Sebagai bagian ari keterlubatan Mandiant yang berkelajutan untuk membantu perlindungan dunia maya, mereka melakukan tinjauan sejarah forensik dan menemukan akases tidak sah ke layanan hosted exchange service,” kata TGP Telecom.

“Kami telah menerapkan langkah-langkah untuk menghentikan akses tidak sah, langkah-langkah keamanan lebih lanjut telah dilakukan, dan kami sedang dalam proses menghubungi semua pelanggan yang terpengaruh pada layanan Exchange yang dihosting.

TPG Telecom mengatakan telah memberi tahu “otoritas pemerintah terkait”.

Itu meminta maaf kepada pelanggan bisnis atas insiden tersebut. Disebutkan pula bahwa pelanggan residensial kedua merek tersebut tidak terpengaruh.

sumber : itnews

Twitter Telah Merusak Autentikasi Dua Faktor untuk Nomor Ukraina

by

Pengguna Ukraina tidak dapat masuk ke Twitter menggunakan nomor ponsel mereka, karena perusahaan telah berhenti mengirimkan kode autentikasi dua faktor. Tampaknya ini adalah hasil dari masalah yang lebih luas yang disebut Elon Musk sebagai “perang bot”.

Elon Musk, pemilik baru Twitter

Setelah tweet peringatan oleh miliarder itu muncul, pada jam-jam berikutnya Twitter memblokir lalu lintas sekitar 30 operator seluler di seluruh dunia, secara efektif memutus akses ke ratusan ribu akun, terutama di kawasan Asia-Pasifik.

Dalam proyek untuk membersihkan Twitter dari spam ini, teridentifikasi operator seluler yang digunakan oleh jaringan spam utama di negara tertentu dan memblokir pengguna mereka untuk menerima pesan SMS dari Twitter, mempengaruhi orang-orang dengan otentikasi dua faktor. Kemudian sepenuhnya memblokir lalu lintas dari operator ini.

Hal yang sama terjadi sekarang dengan pengguna Ukraina, setelah menerima ratusan ribu tanggapan atas rencana perdamaiannya, di mana dia meminta Ukraina untuk menyerah pada perang dengan Rusia.

Kemudian twitter segera membuka blokir operator dan memberitahu mereka bahwa pemadaman disebabkan oleh perubahan konfigurasi perutean. Orang-orang hanya berharap bahwa ini memang masalah teknis dan bukan balas dendam kecil Musk.

Selengkapnya: Mezha

Microsoft Menemukan Ransomware didalam Driver Windows

by

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Cacat Keamanan pada Produk Atlassian (Jira, Confluence, Trello, BitBucket) yang Mempengaruhi Banyak Perusahaan

by

Pada 6 Desember 2022, CloudSEK mengungkapkan serangan dunia maya yang diarahkan ke perusahaan. Selama investigasi terhadap akar penyebab insiden tersebut, tim investigasi internal mengidentifikasi bahwa aktor ancaman memperoleh akses ke akun Jira karyawan CloudSEK, menggunakan cookie sesi Jira yang ada di log pencuri yang dijual di dark web.

Produk Atlassian, cookie tidak dibatalkan, meskipun kata sandi diubah, dengan 2FA (Otentikasi Dua Faktor) diaktifkan, karena validitas cookie adalah 30 hari. Atlassia telah mengkonfirmasi dan sedang bekerja untuk Menyelesaikan masalah tersebut.

CloudSEK merilis alat gratis yang memungkinkan perusahaan memeriksa apakah komputer mereka yang disusupi dan akun Jira diiklankan di pasar web gelap. Dengan lebih dari 10 juta pengguna di 180.000 perusahaan, termasuk 83% perusahaan Fortune 500, produk Atlassian banyak digunakan di seluruh dunia.

Cookie Atlassian yang Dicuri Dapat Menyebabkan Akses Akun Tidak Sah bahkan jika 2FA diaktifkan
Investigasi CloudSEK menunjukkan bahwa cookie produk Atlassian tetap berlaku selama 30 hari, meskipun kata sandi diubah dan 2FA diaktifkan. Oleh karena itu, pelaku ancaman dapat memulihkan sesi Jira, Confluence, Trello, atau BitBucket, menggunakan cookie yang dicuri, meskipun tidak memiliki akses ke OTP/PIN MFA.

Bukti Konsep
Peneliti CloudSEK memperoleh beberapa dump file log dan menemukan beberapa cookie Atlassian yang masih aktif untuk berbagai perusahaan.

Halaman pengaturan pengguna Bitbucket korban

Kredensial Atlassian/ Cookie Dijual di Darkweb Marketplaces
Dalam 30 hari terakhir, lebih dari 200 contoh unik kredensial/cookie terkait atlassian.net telah disiapkan untuk dijual di pasar darkweb. Mengingat kredensial tersebut disiapkan untuk dijual dalam 30 hari terakhir, kemungkinan besar banyak dari kredensial tersebut masih aktif.

Gambar 2 Contoh kredensial atlassian.net untuk dijual

Anatomi File Stealer-Log
Log pencuri yang dijual di pasar web gelap. Saat menguraikan file yang ada, data ditampilkan dalam sebuah format. Beberapa informasi korban yang dimasukkan ke dalam log pencuri yaitu IP, Tangkapan layar, Lokasi, Cookie dari semua browser yang digunakan oleh korban, Informasi dompet Cryptocurrency, dan lainnya.

Data Perusahaan Lain Tersedia di Web Gelap
Dalam 90 hari terakhir, lebih dari 70% data perusahaan Fortune 1000 tersedia untuk dijual di pasar web gelap. Dari jumlah tersebut, untuk 50% perusahaan, kredensial dari berbagai endpoint internal disiapkan untuk dijual.

Beberapa endpoint tersedia untuk dijual

Selengkapnya: cloudSEK

WAF Populer Ditumbangkan oleh JSON Bypass

by

Firewall aplikasi web (WAF) dari lima vendor utama rentan terhadap permintaan berbahaya yang menggunakan Notasi Objek JavaScript (JSON) populer untuk mengaburkan perintah basis data dan lolos dari deteksi.

Penelitinya menemukan bahwa WAF yang diproduksi oleh Amazon Web Services, Cloudflare, F5, Imperva, dan Palo Alto gagal mengidentifikasi perintah SQL berbahaya yang dikodekan dalam format JSON, memungkinkan penerusan permintaan berbahaya ke database back-end.

Teknik ini memungkinkan penyerang untuk mengakses dan, dalam beberapa kasus, mengubah data serta mengkompromikan aplikasi, kata Noam Moshe, peneliti keamanan di tim riset Team82 Claroty.

WAF Jangan “Dapatkan” JSON
Firasat pertama para peneliti tentang potensi serangan datang dari eksperimen yang tidak terkait yang menyelidiki platform manajemen perangkat nirkabel Cambium Networks. Pengembang platform tersebut menambahkan data yang disediakan pengguna langsung ke akhir kueri, sebuah teknik yang meyakinkan Claroty untuk menyelidiki aplikasi yang lebih umum.

Teknik ini bekerja terhadap sebagian besar database relasional, termasuk PostgreSQL, Microsoft MSSQL, MySQL, dan SQLite. Sementara perusahaan harus mengatasi tiga batasan teknis — seperti awalnya hanya dapat mengambil angka dan bukan rangkaian karakter — para peneliti akhirnya membuat pintasan tujuan umum untuk firewall aplikasi Web utama.

Mengaburkan untuk Melarikan Diri

Mengaburkan kode berbahaya untuk mem-bypass langkah-langkah keamanan anti-injeksi memiliki sejarah yang panjang. Pada 2013, misalnya, penyerang mulai mengeksploitasi kerentanan dalam kerangka kerja Ruby on Rails yang memungkinkan kode JSON digunakan untuk melewati autentikasi dan menyuntikkan perintah SQL ke dalam aplikasi web.

Para peneliti memberi tahu kelima vendor tentang WAF yang rentan, yang masing-masing mengonfirmasi masalah tersebut dan sejak itu menambahkan dukungan sintaks JSON ke produk mereka, kata Claroty dalam penasehatnya.

sumber : dark reading