Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

HP memperbaiki bug yang memungkinkan penyerang menimpa firmware di lebih dari 200 model

by

HP telah merilis pembaruan BIOS hari ini untuk memperbaiki dua kerentanan tingkat tinggi yang memengaruhi berbagai produk PC dan notebook, yang memungkinkan kode dijalankan dengan hak istimewa Kernel.

Hak istimewa tingkat kernel adalah hak tertinggi di Windows, memungkinkan pelaku ancaman untuk menjalankan perintah apa pun di tingkat Kernel, termasuk memanipulasi driver dan mengakses BIOS.

Cacat dilacak sebagai CVE-2021-3808 dan CVE-2021-3809, dan keduanya memiliki skor dasar CVSS 3.1 sebesar 8,8, memberi mereka peringkat keparahan yang tinggi. Saat ini, HP tidak memberikan rincian teknis tentang kekurangan ini.

Daftar produk yang terpengaruh termasuk notebook bisnis seperti Zbook Studio, ZHAN Pro, EliteBook, ProBook, dan Elite Dragonfly, PC desktop bisnis seperti EliteDesk dan ProDesk, komputer PoS ritel seperti Engage, workstation seperti Z1 dan Z2, dan PC thin client .

Untuk daftar lengkap semua model yang terpengaruh dan SoftPaq yang sesuai untuk digunakan dalam setiap kasus, periksa halaman saran keamanan dan cari perangkat Anda. Perhatikan bahwa tidak semua produk yang terdaftar telah menerima tambalan perbaikan.

Nicholas Starke, peneliti yang menemukan kekurangan ini pada November 2021, dan melaporkannya ke HP, menjelaskan masalahnya secara lebih rinci dalam posting blog terpisah.

Masalahnya tampaknya penangan SMI dapat dipicu dari lingkungan OS, misalnya, melalui driver kernel Windows.

Pengendali SMI yang rentan (StarkeBlog)

Penyerang perlu menemukan alamat memori dari fungsi “LocateProtocol” dan menimpanya dengan kode berbahaya. Terakhir, penyerang dapat memicu eksekusi kode dengan menginstruksikan pengendali SMI untuk mengeksekusi.

Penting untuk digarisbawahi bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki hak akses root/tingkat SISTEM pada sistem target, dan mengeksekusi kode dalam Mode Manajemen Sistem (SMM).

Tujuan akhir dari serangan semacam itu adalah untuk menimpa Implementasi UEFI (BIOS) dari mesin dengan gambar BIOS yang dikendalikan penyerang. Ini berarti penyerang dapat menanam malware persisten yang tidak dapat dihapus oleh alat antivirus, dan bahkan dengan penginstalan ulang OS.

Terakhir, penting juga untuk menyoroti bahwa beberapa model komputer HP memiliki mitigasi yang harus dilewati penyerang agar eksploitasi berfungsi, seperti sistem HP Sure Start misalnya.

Peneliti menjelaskan bahwa HP Sure Start dapat mendeteksi gangguan semacam ini dan mematikan host pada tindakan korupsi memori. Kemudian, pada startup pertama, peringatan akan ditampilkan kepada pengguna bersama dengan prompt untuk menyetujui boot sistem.

Perbaikan terbaru HP datang hanya dua bulan setelah pembuat komputer memasang 16 bug firmware UEFI dan tiga bulan setelah mengatasi serangkaian kelemahan BIOS yang berbeda.

Sumber: Bleeping Computer

Malware Nerbian RAT siluman baru terlihat dalam serangan yang sedang berlangsung

by

Sebuah trojan akses jarak jauh baru yang disebut Nerbian RAT telah ditemukan yang mencakup serangkaian fitur yang kaya, termasuk kemampuan untuk menghindari deteksi dan analisis oleh para peneliti.

Varian malware baru ditulis dalam Go, menjadikannya ancaman 64-bit lintas platform, dan saat ini didistribusikan melalui kampanye distribusi email skala kecil yang menggunakan lampiran dokumen yang dicampur dengan makro.

Kampanye malware yang mendistribusikan Nerbian RAT meniru Organisasi Kesehatan Dunia (WHO), yang diduga mengirimkan informasi COVID-19 ke target.

Lampiran RAR berisi dokumen Word yang dicampur dengan kode makro berbahaya, jadi jika dibuka di Microsoft Office dengan konten yang disetel ke “diaktifkan”, file bat melakukan langkah eksekusi PowerShell untuk mengunduh penetes 64-bit.

Dropper, bernama “UpdateUAV.exe,” juga ditulis dalam bahasa Golang dan dikemas dalam UPX agar ukurannya tetap dapat diatur.

UpdateUAV menggunakan kembali kode dari berbagai proyek GitHub untuk menggabungkan serangkaian mekanisme anti-analisis dan penghindaran deteksi yang kaya sebelum Nerbian RAT disebarkan.

Selain itu, penetes juga menetapkan ketekunan dengan membuat tugas terjadwal yang meluncurkan RAT itu setiap jam.

Proofpoint merangkum daftar alat anti-analisis sebagai berikut:

  • Periksa keberadaan program rekayasa balik atau debugging dalam daftar proses
  • Periksa alamat MAC yang mencurigakan
  • Periksa string WMI untuk melihat apakah nama disk sah
  • Periksa apakah ukuran hard disk di bawah 100GB, yang merupakan tipikal untuk mesin virtual
  • Periksa apakah ada analisis memori atau program deteksi gangguan yang ada dalam daftar proses
  • Periksa jumlah waktu yang telah berlalu sejak eksekusi dan bandingkan dengan ambang batas yang ditetapkan
  • Gunakan IsDebuggerPresent API untuk menentukan apakah executable sedang di-debug

Semua pemeriksaan ini secara praktis membuat RAT tidak mungkin berjalan di lingkungan tervirtualisasi kotak pasir, memastikan siluman jangka panjang untuk operator malware.

Trojan diunduh sebagai “MoUsoCore.exe” dan disimpan ke “C:\ProgramData\USOShared\”. Ini mendukung beberapa fungsi, sementara operatornya memiliki opsi untuk mengonfigurasinya dengan beberapa di antaranya.

Dua dari fungsi utamanya adalah keylogger yang menyimpan penekanan tombol dalam bentuk terenkripsi dan alat penangkap layar yang berfungsi di semua platform OS.

Komunikasi dengan server C2 ditangani melalui SSL (Secure Sockets Layer), sehingga semua pertukaran data dienkripsi dan dilindungi dari pemeriksaan dalam perjalanan dari alat pemindaian jaringan.

Proses infeksi lengkap (Proofpoint)

Tanpa ragu, Proofpoint telah menemukan malware baru yang menarik dan kompleks yang berfokus pada siluman melalui berbagai pemeriksaan, komunikasi terenkripsi, dan pengaburan kode.

Untuk saat ini, Nerbian RAT didistribusikan melalui kampanye email bervolume rendah, jadi ini belum menjadi ancaman besar, tetapi ini bisa berubah jika pembuatnya memutuskan untuk membuka bisnis mereka ke komunitas kejahatan dunia maya yang lebih luas.

Sumber: Bleeping Computer

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

by

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

AMD, Mitra Google dalam Upaya Keamanan Siber EPYC yang Belum Pernah Ada Sebelumnya

by

AMD dan Google telah mengumumkan kolaborasi tingkat dalam yang rumit pada penelitian keamanan siber untuk CPU EPYC kelas server AMD — yang sekarang telah berjalan selama lima tahun. Menurut Wired, kemitraan ini memanfaatkan dua tim peneliti Google Cloud Security bersama dengan Project Zero Google (bagian penelitian keamanan siber di dalam perusahaan), dan grup firmware AMD.

Tujuannya adalah untuk menempatkan perangkat keras AMD dan prosesor yang aman melalui langkah mereka melalui akses yang tampaknya belum pernah terjadi sebelumnya ke kode sumber dan mekanisme keamanan AMD. Dalam laporan post-mortem tentang kolaborasi (yang sedang berlangsung), kemitraan tersebut mengumumkan penemuan dan penyebaran mitigasi untuk 19 kerentanan keamanan secara total. Itu berarti 19 vektor serangan lebih sedikit di salah satu arsitektur server paling sukses di dunia.

Para peneliti terutama memfokuskan upaya mereka pada AMD’s Secure Processor (ASP) seperti yang diterapkan di EPYC generasi ketiga AMD, Milan. Insinyur Google diberi akses ke kode sumber untuk ASP, di samping sampel produksi untuk menguji serangan perangkat keras. Yang menarik bagi Google adalah implementasi generasi berikutnya dari Secure Nested Paging (SEV-SNP), sebuah kemampuan yang memungkinkan Mesin Virtual (VM) tetap rahasia terhadap hypervisor itu sendiri. Tim teknik meninjau desain dan implementasi kode sumber SEV, menulis kode pengujian khusus, dan menjalankan pengujian keamanan perangkat keras, mencoba mengidentifikasi potensi kerentanan yang muncul.

Brent Hollingsworth, direktur AMD dari ekosistem perangkat lunak EPYC, menunjukkan bahwa kemitraan tersebut menyatukan AMD dan Google yang terbaik dan tercerdas, membuka ruang untuk vektor serangan yang sebelumnya tidak diketahui, dan mendorong kreativitas pada lapisan serangan – baik berbasis perangkat lunak atau perangkat keras.

Sebagai “chip-in-the-chip” yang bertanggung jawab untuk enkripsi data kriptografi, ASP AMD adalah “inti” prosesor generik yang fitur-fiturnya dapat dibangun oleh AMD dan tim desain perangkat keras dan firmware. Tetapi dengan setiap lapisan keamanan tambahan, ada peluang untuk menambahkan vektor serangan terhadap mekanisme keamanan terpusat ini – titik kegagalan yang berpotensi parah yang dapat membuat keamanan seluruh sistem keluar dari jendela pepatah (dengan akses root yang tidak terlihat) jika itu dikompromikan.

Pada tingkat dampak inilah kemitraan AMD-Google dibentuk; menurut Nelly Porter, manajer produk grup dengan Google Cloud, tujuannya bukan untuk menunjuk jari atau menyebut kerentanan AMD — ini adalah upaya gabungan dan kolaboratif bagi perusahaan untuk menopang pertahanan mereka terhadap penyerang yang semakin kreatif dan terampil secara teknis. Keamanan siber selalu dianggap berada di belakang mereka yang akan memecahkannya; baik AMD maupun Google ingin menjadi yang terdepan dalam upaya membalikkan permainan.

Kemitraan ini sebagian besar dimotivasi oleh penawaran Google atas layanan Komputasi Rahasia, yang bertujuan untuk menjaga agar data pelanggan tetap terenkripsi setiap saat – baik saat istirahat, dalam perjalanan, atau selama pemrosesan. Mengikuti meningkatnya ketergantungan pada layanan komputasi awan (mulai dari beban kerja klasik yang diturunkan ke cloud, cloud gaming, atau bahkan sistem operasi berbasis cloud seperti Microsoft Windows 365 Cloud), risiko yang ditimbulkan oleh potensi kerentanan dalam infrastruktur keamanan dapat berasal dari miliaran dolar kerugian. Mempertimbangkan peran AMD dalam upaya penelitian, perusahaan sangat menyadari manfaat yang dapat diperoleh dari keahlian kedua perusahaan dalam meningkatkan produknya.

Keamanan siber adalah salah satu upaya terpenting di dunia, mengikuti digitalisasi layanan yang hampir lengkap, uang (baik dalam rekening bank tradisional berbasis FIAT atau yang sedang berdarah, jalan merah crypto dan DeFi), dan infrastruktur global. Membalik satu biner menuju nol berpotensi menjungkirbalikkan globalisasi dan ekonomi di seluruh dunia. Dan itu adalah sesuatu yang tidak diinginkan oleh perusahaan atau individu mana pun.

Sumber: Tom’s Hardware

Peretas Menghapus Alternatif Rusia Selain YouTube, Rutube

by

Peretas mengklaim bahwa kode sumber layanan streaming video Rusia telah dihapus, dan video yang diunggah tidak dapat dipulihkan.

Kelompok peretas anonim PuckArks mengklaim bahwa peretas telah melanggar Rutube, layanan streaming video Rusia yang populer. Peretas mengklaim bahwa kode Rutube telah dihapus, layanan video tidak dapat diperbaiki, dan kode akses bocor atau dilanggar.

Pada saat penulisan artikel ini, situs web Rutube menampilkan pesan dalam bahasa Rusia, yang mengatakan bahwa situs tersebut telah diserang, namun tim Rutube berhasil menyimpan data pengguna.

Rutube merilis pernyataan di saluran Telegram resminya, mengklaim bahwa informasi tentang hilangnya kode sumber tidak benar. Namun, layanan streaming mengakui menghadapi ‘serangan cyber paling kuat dalam sejarah Rutube’.

“Pemulihan akan memakan waktu lebih lama dari yang diantisipasi para insinyur. Namun, perkiraan suram tidak ada hubungannya dengan keadaan saat ini: kode sumber tersedia, perpustakaannya utuh,” bunyi pernyataan perusahaan.

Rutube dimiliki oleh konglomerat media milik negara Gazprom-Media. Perusahaan juga memiliki VKontakte, jejaring sosial utama Rusia, serta puluhan saluran televisi dan stasiun radio.

Sejak Rusia menginvasi Ukraina pada 24 Februari, otoritas negara itu mulai membatasi akses ke layanan streaming Barat, yang memicu pertumbuhan Rutube.

Menurut similarweb.com, pemirsa Rutube tumbuh dari 8,5 juta pada Februari menjadi 63,6 juta pada April.

Serangan terhadap Rutube tampaknya menjadi bagian dari upaya yang lebih besar untuk menggagalkan jangkauan media Rusia selama perayaan 9 Mei, ketika negara itu memperingati kemenangan Uni Soviet dalam Perang Dunia Kedua.

Sumber: Cybernews

Google Cloud Ternyata Memiliki Masalah Keamanan Bahkan Firewall Tidak Bisa Berhenti

by

Kesalahan konfigurasi di Google Cloud Platform telah ditemukan yang dapat memberi pelaku ancaman kontrol penuh atas titik akhir mesin virtual (VM) target, kata para peneliti.

Dalam posting blog yang diterbitkan oleh pakar respons insiden cloud Mitiga, perusahaan mencatat bahwa dengan menggunakan fitur sistem yang sah, penyerang potensial dapat membaca dan menulis data dari VM yang secara teori dapat mengakibatkan pengambilalihan sistem secara lengkap.

Mitiga menekankan bahwa ini bukan kerentanan, atau kesalahan sistem – ini digambarkan sebagai “fungsi yang berbahaya”.

Mitiga mencatat bahwa pelaku ancaman dapat menggunakan API metadata yang terbuka, bernama “getSerialPortOutput”, yang biasanya melacak dan membaca kunci pada port serial.

Para peneliti menggambarkan panggilan API sebagai “metode lama dari sistem debugging”, karena port serial bukanlah port dalam pengertian TCP/UP, melainkan file dalam bentuk /dev/ttySX, mengingat ini adalah Linux.

Setelah mengungkapkan temuan ke Google, perusahaan setuju bahwa kesalahan konfigurasi dapat digunakan untuk melewati pengaturan firewall. Mitiga menyarankan Google mengubah dua hal dalam fungsi getSerialPortOutput – membatasi penggunaannya hanya untuk akun dengan izin tinggi, dan mengizinkan perusahaan untuk menonaktifkan penambahan atau perubahan metadata Compute VM saat runtime.

Selain itu, perusahaan merekomendasikan Google untuk merevisi dokumentasi GCP-nya, untuk lebih memperjelas bahwa firewall dan kontrol akses jaringan lainnya tidak sepenuhnya membatasi akses ke VM.

Sumber: TechRadar

APT34 Menargetkan Pemerintah Yordania Menggunakan Backdoor Baru Saitama

by

Pada tanggal 26 April, kami mengidentifikasi email mencurigakan yang menargetkan pejabat pemerintah dari kementerian luar negeri Yordania. Email tersebut berisi dokumen Excel berbahaya yang menjatuhkan pintu belakang baru bernama Saitama. Setelah penyelidikan kami, kami dapat menghubungkan serangan ini dengan Aktor Iran yang dikenal APT34.

Juga dikenal sebagai OilRig/COBALT GYPSY/IRN2/HELIX KITTEN, APT34 adalah kelompok ancaman Iran yang menargetkan negara-negara Timur Tengah dan korban di seluruh dunia setidaknya sejak 2014. Kelompok ini diketahui fokus pada keuangan, pemerintahan, energi, kimia, dan sektor telekomunikasi.

Dalam posting blog ini, kami menjelaskan alur serangan dan membagikan detail tentang pintu belakang Saitama.

File email berbahaya

Email jahat tersebut dikirim ke korban melalui akun Microsoft Outlook dengan subjek “Confirmation Receive Document” dengan file Excel bernama “Confirmation Receive Document.xls”. Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan lambangnya sebagai tanda tangan.

Selengkapnya: MalwareBytes

AS Mempertimbangkan Sanksi yang Belum Pernah Terjadi Sebelumnya pada Raksasa Teknologi China Hikvision

by

Saham Hangzhou Hikvision Digital Technology Co. anjlok 10% karena AS mempertimbangkan untuk menjatuhkan sanksi baru pada raksasa teknologi pengawasan, yang berpotensi sebagai tindakan paling keras sejauh ini terhadap perusahaan besar China.

Pemerintahan Biden sedang mempertimbangkan apakah akan menambahkan pembuat kamera dan sistem pengawasan ke dalam Daftar Warga Negara yang Ditunjuk dan Orang yang Diblokir, menurut orang-orang yang mengetahui situasi tersebut. Sanksi tersebut akan terkait dengan dugaan pelanggaran hak asasi manusia oleh China terhadap minoritas Muslim di wilayah barat jauh Xinjiang. Keputusan akhir tidak mungkin bulan ini, kata salah satu orang, yang menolak disebutkan namanya karena keputusan belum final.

Hikvision sudah masuk daftar hitam oleh AS pada tahun 2019 bersama dengan tujuh raksasa teknologi China lainnya, membuatnya lebih sulit untuk melakukan bisnis dengan perusahaan-perusahaan Amerika. Tetapi sanksi yang lebih berat yang sedang dipertimbangkan tidak hanya akan menghalangi orang Amerika melakukan bisnis dengan perusahaan itu, tetapi juga membuat pelanggan globalnya menjadi sasaran potensial tindakan AS.

“Tampaknya terbatas pada Hikvision untuk saat ini, tetapi ini menciptakan ketidakpastian baru karena di masa depan, perusahaan China yang sukses dapat ditargetkan dengan cara ini,” kata Wai Ho Leong, ahli strategi di Modular Asset Management SP Pte.

Sanksi baru yang lebih keras akan membawa perang ekonomi pemerintahan Biden melawan China ke arah yang baru: ini akan menjadi pertama kalinya sebuah perusahaan teknologi China ditambahkan dalam daftar SDN. Ini merupakan pukulan jangka panjang yang berpotensi berat terhadap Hikvision, karena perusahaan dan pemerintah di seluruh dunia akan dipaksa untuk mempertimbangkan kembali hubungan mereka dengan penyedia kamera.

Sumber: Bloomberg