Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

APT34 Menargetkan Pemerintah Yordania Menggunakan Backdoor Baru Saitama

by

Pada tanggal 26 April, kami mengidentifikasi email mencurigakan yang menargetkan pejabat pemerintah dari kementerian luar negeri Yordania. Email tersebut berisi dokumen Excel berbahaya yang menjatuhkan pintu belakang baru bernama Saitama. Setelah penyelidikan kami, kami dapat menghubungkan serangan ini dengan Aktor Iran yang dikenal APT34.

Juga dikenal sebagai OilRig/COBALT GYPSY/IRN2/HELIX KITTEN, APT34 adalah kelompok ancaman Iran yang menargetkan negara-negara Timur Tengah dan korban di seluruh dunia setidaknya sejak 2014. Kelompok ini diketahui fokus pada keuangan, pemerintahan, energi, kimia, dan sektor telekomunikasi.

Dalam posting blog ini, kami menjelaskan alur serangan dan membagikan detail tentang pintu belakang Saitama.

File email berbahaya

Email jahat tersebut dikirim ke korban melalui akun Microsoft Outlook dengan subjek “Confirmation Receive Document” dengan file Excel bernama “Confirmation Receive Document.xls”. Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan lambangnya sebagai tanda tangan.

Selengkapnya: MalwareBytes

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Google Merilis Pembaruan Keamanan untuk Chrome

by

Google mengumumkan pembaruan keamanan pada situs resminya dihari rabu, 11 mei. Versi baru Chrome ini adalah 101.0.4951.64 dan tersedia untuk Windows, Mac dan Linux yang akan diluncurkan dalam beberapa hari/minggu mendatang.

Pembaruan ini mencakup 13 perbaikan keamanan, 8 diantaranya dinilai sebagai tingkat “tinggi” yang merupakan kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh.

[$5000][1316990] CVE-2022-1633 Tinggi: Gunakan setelah gratis di Sharesheet. Dilaporkan oleh Khalil Zhani pada 2022-04-18

[$3000][1314908] CVE-2022-1634 Tinggi: Gunakan setelah gratis di UI Browser. Dilaporkan oleh Khalil Zhani pada 2022-04-09

[$3000][1319797] CVE-2022-1635 Tinggi: Gunakan setelah gratis di Permintaan Izin. Dilaporkan oleh Anonymous pada 2022-04-26

[$NA][1297283] CVE-2022-1636 Tinggi: Gunakan setelah gratis di Performance API. Dilaporkan oleh Seth Brenith, Microsoft pada 2022-02-15

[$TBD][1311820] CVE-2022-1637 Tinggi: Implementasi yang tidak tepat dalam Konten Web. Dilaporkan oleh Alesandro Ortiz pada 2022-03-31

[$TBD][1316946] CVE-2022-1638 Tinggi: Heap buffer overflow di Internasionalisasi V8. Dilaporkan oleh DoHyun Lee (@l33d0hyun) dari DNSLab, Universitas Korea pada 2022-04-17

[$TBD][1317650] CVE-2022-1639 Tinggi: Gunakan setelah gratis di ANGLE. Dilaporkan oleh SeongHwan Park (SeHwa) pada 2022-04-19

[$TBD][1320592] CVE-2022-1640 Tinggi: Gunakan setelah gratis di Berbagi. Dilaporkan oleh Weipeng Jiang (@Krace) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-28

[$5000][1305068] Medium CVE-2022-1641: Gunakan setelah gratis di Diagnostik UI Web. Dilaporkan oleh Rong Jian dari VRI pada 2022-03-10

[1323855] Berbagai perbaikan dari audit internal, fuzzing, dan inisiatif lainnya

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Google Chrome releases

Antivirus Trend Micro Memodifikasi Registri Windows Secara Tidak Sengaja — Bagaimana Memperbaikinya?

by

Antivirus Trend Micro telah memperbaiki kesalahan positif yang memengaruhi solusi keamanan sistem Apex One-nya yang menyebabkan pembaruan Microsoft Edge ditandai sebagai malware dan registri Windows dimodifikasi secara tidak benar.

Menurut ratusan laporan pelanggan yang mulai streaming pada awal minggu ini di forum perusahaan dan di jejaring sosial, paket pembaruan yang terpengaruh positif palsu disimpan di folder instalasi Microsoft Edge.

Seperti yang diungkapkan lebih lanjut oleh pengguna, Trend Micro Apex One menandai pembaruan browser sebagai Virus/Malware: TROJ_FRS.VSNTE222 dan Virus/Malware: TSC_GENCLEAN.

Perbaikan yang disediakan oleh Trend Micro untuk kesalahan positif dapat dengan mudah diterapkan dengan memperbarui Apex One. Sementara itu beberapa pelanggan juga melaporkan bahwa masalah ini juga menyebabkan entri registri Windows diubah setelah agent Damage Cleanup dijalankan.

“Dilaporkan bahwa beberapa pelanggan mengamati beberapa perubahan registri sebagai hasil dari deteksi tergantung pada pengaturan konfigurasi pembersihan titik akhir mereka,” tambah Trend Micro.

Ini mengharuskan pengguna yang terpengaruh untuk memulihkan backup yang dibuat oleh agen Apex One melalui prosedur yang akan membantu mengembalikan perubahan yang dibuat oleh Damage Cleanup.

Perusahaan juga membagikan skrip yang akan membantu admin sistem untuk mengotomatiskan prosedur pemulihan registri dengan bantuan kebijakan grup atau alat skrip perusahaan lainnya.
Namun, Anda harus terlebih dahulu menguji alat otomatisasi ini sebelum menjalankannya di seluruh lingkungan.

“Harap dicatat bahwa administrator yang ingin menggunakan skrip ini sebagai file batch atau melalui metode lain harus terlebih dahulu meninjau skrip dan mengujinya dengan cermat di lingkungan mereka sebelum pengembangan meluas,” Trend Micro menjelaskan.

“Pelanggan yang terus mengalami masalah disarankan untuk menghubungi perwakilan resmi Trend Micro mereka untuk bantuan lebih lanjut.”

Sumber: Bleepingcomputer

Chip PC dan Ponsel Apple Mengalami Eksploitasi Pencurian Data Pertama di Dunia

by

Sejumlah perangkat Apple yang lebih baru membawa kelemahan unik, yang mengingatkan kita pada Spectre/Meltdown, yang dapat memungkinkan pelaku ancaman untuk mencuri data sensitif, para ahli telah memperingatkan.

Sebuah tim peneliti dari University of Illinois Urbana-Champaign, Tel Aviv University, dan University of Washington, telah menemukan cacat dalam fitur unik untuk silikon Apple, yang disebut Data Memory-Dependent Prefetcher (DMP).

Cacat itu mungkin memengaruhi seluruh host silikon Apple, termasuk chip M1 dan M1 Max internalnya sendiri.

Ide di balik DMP adalah untuk meningkatkan kinerja sistem dengan mengambil data terlebih dahulu, bahkan sebelum dibutuhkan – data yang pada dasarnya tidak aktif. Biasanya, karena alasan keamanan, data akan dibatasi dan dibagi di antara berbagai kompartemen, dan hanya ditarik saat dibutuhkan.

Dengan DMP, data diambil terlebih dahulu, dan data inilah yang dapat diakses oleh pihak ketiga yang tidak berwenang, mirip dengan cacat Spectre/Meltdown. Pada Spectre/Meltdown, silikon akan mencoba untuk berspekulasi data mana yang dapat digunakan dalam waktu dekat, agak membatasi permukaan serangan. Sedangkan pada DMP Apple, seluruh isi memori bisa bocor.

Para peneliti menamakan cacat itu “Augury”. Sejauh ini, A14 System on Chip (SoC) Apple, yang ditemukan di iPad Air Generasi ke-4 dan perangkat iPhone Generasi ke-12, M1, dan M1 Max, semuanya ditemukan rentan. Meskipun mereka mencurigai silikon yang lebih tua (M1 Pro, dan M1 Ultra, misalnya) mungkin juga rentan terhadap Augury, mereka hanya berhasil menunjukkan kelemahan pada titik akhir ini.

Apple diduga “sepenuhnya menyadari” penemuan tersebut, yang dilaporkan telah didiskusikan dengan para peneliti, tetapi belum membagikan rencana mitigasi dan garis waktu patch.

Sumber: TechRadar

Peretas Mengeksploitasi Kerentanan BIG-IP dengan Peringkat Keparahan 9,8

by

Para peneliti mengagumi cakupan dan besarnya kerentanan yang secara aktif dieksploitasi oleh peretas untuk mengambil kendali penuh atas perangkat jaringan yang berjalan di beberapa jaringan terbesar dan paling sensitif di dunia.

Kerentanan, yang membawa peringkat keparahan 9,8 dari kemungkinan 10, memengaruhi BIG-IP F5, serangkaian peralatan yang digunakan organisasi sebagai penyeimbang beban, firewall, dan untuk inspeksi dan enkripsi data yang masuk dan keluar dari jaringan. Ada lebih dari 16.000 instance dari peralatan yang dapat ditemukan secara online, dan F5 mengatakan itu digunakan oleh 48 dari Fortune 50. Mengingat kedekatan BIG-IP dengan tepi jaringan dan fungsinya sebagai perangkat yang mengelola lalu lintas untuk server web, mereka sering berada dalam posisi untuk melihat konten yang didekripsi dari lalu lintas yang dilindungi HTTPS.

Pekan lalu, F5 mengungkapkan dan menambal kerentanan BIG-IP yang dapat dimanfaatkan peretas untuk menjalankan perintah yang dijalankan dengan hak istimewa sistem root. Ancaman berasal dari implementasi otentikasi yang salah dari iControl REST, satu set antarmuka pemrograman berbasis web untuk mengonfigurasi dan mengelola perangkat BIG-IP.

“Masalah ini memungkinkan penyerang dengan akses ke antarmuka manajemen pada dasarnya berpura-pura menjadi administrator karena cacat dalam cara otentikasi diterapkan,” Aaron Portnoy, direktur penelitian dan pengembangan di perusahaan keamanan Randori, mengatakan dalam pesan langsung. “Setelah Anda menjadi Administrator, Anda dapat berinteraksi dengan semua titik akhir yang disediakan aplikasi, termasuk yang secara langsung menjalankan perintah.”

Selengkapnya: Ars Technica

Beberapa versi Windows tidak lagi didukung setelah hari ini

by

Hari ini Windows 10 Home dan Pro, versi 20H2, Windows 10 versi 20H2 akan mendapatkan pembaruan terakhirnya,

Hal yang menyenangkan adalah bahwa itu akan menjadi pembaruan yang mudah. Dalam 18 bulan sejak siklus hidup untuk Windows 10 versi 20H2 dimulai, belum ada pembaruan fitur lengkap. Upgrade ke versi 21H2 hanya membutuhkan waktu beberapa menit, karena hanya menginstal paket pemberdayaan.

Cara siklus hidup Windows 10 secara historis bekerja adalah jika Anda adalah konsumen di Windows 10 Home atau Pro, Anda mendapatkan dukungan selama 18 bulan. Bisnis akan mendapatkan 18 bulan dukungan dari pembaruan musim semi dan 30 bulan dari pembaruan musim gugur.

Windows 10 Enterprise and Education, versi 1909
Windows 10 versi 1909 adalah salah satu yang mendapat dukungan 30 bulan untuk bisnis, dan itu berakhir hari ini. Ini sebenarnya tonggak penting, karena itu berarti bahwa semua versi yang didukung untuk Windows 10 Enterprise dan Education akan menjadi versi 20H2 dan lebih tinggi. Itu berarti bahwa hanya akan ada satu pembaruan kumulatif yang keluar, karena versi 20H2 dan lebih tinggi semuanya adalah bit yang sama persis, hanya dipisahkan oleh paket pengaktifan.

Baru-baru ini, Microsoft beralih ke irama pembaruan tahunan untuk Windows 10, cocok dengan apa yang sudah diperkenalkan dengan Windows 11. Namun, siklus hidup dukungannya berbeda. Pembaruan musim gugur Windows 10, yang akan terus berlanjut, akan terus mendapatkan dukungan selama 18 bulan untuk konsumen dan 30 bulan untuk bisnis. Sementara itu, pembaruan tahunan untuk Windows 11 sebenarnya mendapatkan 24 bulan untuk konsumen dan 36 bulan untuk bisnis.

Versi 20H2 Windows 10 Home dan Windows 10 Pro, dan versi 1909 Windows 10 Education dan Windows 10 Enterprise, akan mendapatkan pembaruan terakhir mereka hari ini. Windows 10 akan didukung dalam satu atau lain bentuk hingga setidaknya Oktober 2025.

Sumber : XDA

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer