Threat

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

May 11, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Peretas sekarang menyembunyikan malware di Windows Event Logs

May 10, 2022 by Eevee

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer

Setiap pengguna Google Chrome harus mengklik tombol ini sekarang

May 9, 2022 by Eevee

Jadi, di mana tombol Pemeriksaan keamanan? Cara termudah untuk menemukannya adalah dengan mengetikkan ini ke bilah alamat Anda dan tekan enter:

chrome://settings/safetyCheck

Atau, Anda dapat masuk ke Pengaturan dan klik Keamanan dan Privasi lalu klik Periksa sekarang di sisi kanan di bawah Pemeriksaan Keamanan.

Tombol pemeriksaan keamanan ada di sana. Mengkliknya melakukan empat hal:

Memeriksa pembaruan Google Chrome
Memeriksa apakah ada sandi tersimpan Anda yang telah disusupi
Memeriksa apakah Penjelajahan Aman diaktifkan, dan memberi Anda tautan untuk mengubah pengaturan ini
Memeriksa ekstensi berbahaya (bukan ide yang buruk mengingat bencana terbaru dengan The Great Suspender)

Menjalankan pemeriksaan Keamanan Google Chrome

Jika Anda menginginkan lebih banyak perlindungan, Anda dapat mengaktifkan Peningkatan perlindungan di bawah Penjelajahan Aman, dan itu akan memberi Anda keamanan yang jauh lebih besar, tetapi itu melibatkan persetujuan agar data penjelajahan Anda dikirim ke Google.

Sumber: ZDnet

Peneliti keamanan: Begini cara peretas Lazarus memulai serangannya

May 9, 2022 by Eevee

Grup peretasan Lazarus adalah salah satu ancaman keamanan siber teratas dari Korea Utara, baru-baru ini menarik perhatian pemerintah AS karena pencurian cryptocurrency besar-besaran.

Sekarang para peneliti di NCCGroup telah mengumpulkan beberapa alat dan teknik yang digunakan peretas Lazarus baru-baru ini, termasuk rekayasa sosial di LinkedIn, mengirim pesan ke target kontraktor pertahanan AS di WhatsApp, dan menginstal pengunduh berbahaya LCPDot.

Pada bulan Februari, para peneliti di Qualys menemukan kelompok yang menyamar sebagai kontraktor pertahanan Lockheed Martin, menggunakan namanya sebagai iming-iming untuk peluang kerja dalam dokumen Word yang dicampur. Dokumen berisi makro berbahaya untuk menginstal malware dan mengandalkan Tugas Terjadwal untuk bertahan di sistem.

Lazarus secara historis telah menggunakan LinkedIn sebagai jaringan sosial pilihan untuk menghubungi para profesional dengan tawaran pekerjaan. Pada tahun 2020, para peneliti di F-Secure menemukan kelompok tersebut mencoba merekrut administrator sistem dengan dokumen phishing yang dikirim ke akun LinkedIn target mengenai perusahaan blockchain yang mencari sysadmin baru.

Pada bulan April, Departemen Keuangan AS menghubungkan Lazarus dengan pencurian $600 juta pada bulan Maret dari jaringan blockchain di belakang game play-to-earn Axie Finity.

Pada bulan yang sama, FBI, Cybersecurity and Infrastructure Security Agency, dan Treasury memperingatkan bahwa Lazarus saat ini berfokus pada pertukaran di industri blockchain dan cryptocurrency, menggunakan kampanye spear-phishing dan malware untuk mencuri cryptocurrency.

NCCGroup menemukan bahwa penggunaan profil Lockheed Martin palsu baru-baru ini untuk berbagi iklan pekerjaan dengan target bergantung pada dokumen yang dihosting di domain yang berusaha meniru situs rekrutmen yang berbasis di AS untuk lowongan pemerintah dan pertahanan.

Untuk melewati upaya Microsoft baru-baru ini untuk membatasi penggunaan makro dalam dokumen Office, situs web tersebut menghosting file ZIP yang berisi dokumen berbahaya yang digunakan untuk terhubung dengan server perintah dan kontrol Lazarus.

Microsoft pada bulan April memperkenalkan perilaku default Office baru yang memblokir makro VBA yang diperoleh dari internet dalam dokumen pada perangkat yang menjalankan Windows. Seorang pakar keamanan menyebutnya sebagai “pengubah permainan” karena prevalensi malware makro.

NCCGroup juga memperoleh sampel varian Lazarus dari LCPDot, pengunduh yang baru-baru ini dianalisis oleh Japan CERT, yang menghubungkannya dengan Lazarus.

Setelah mendaftarkan host yang disusupi dengan server perintah dan kontrol, pengunduh menerima muatan lain, mendekripsinya, dan kemudian memuatnya ke dalam memori.

NCCGroup mencantumkan beberapa domain yang mengindikasikan suatu organisasi telah disusupi oleh peretas.

Google pada bulan Maret merinci kampanye luas oleh kelompok terkait Lazarus yang menargetkan ratusan orang di seluruh sektor media dan teknologi dengan tawaran pekerjaan dalam email yang meniru perekrut dari Disney, Google, dan Oracle. Perusahaan analisis Blockchain Chainalysis memperkirakan peretas Korea Utara mencuri $400 juta dalam cryptocurrency pada tahun 2021.

Sumber: ZDnet

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

May 7, 2022 by Søren

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Google bermitra dengan Asus IoT untuk menyebarkan ketersediaan perangkat keras AI pada perangkat Coral

May 6, 2022 by Eevee

Coral adalah platform Google untuk menambahkan AI pada perangkat dan kemampuan inferensi ke perangkat keras. Untuk membuatnya lebih banyak tersedia, terutama untuk kasus penggunaan Internet of Things, Google bermitra dengan Asus IoT.

Asus IoT adalah sub-merek Asus, dan Google ingin meningkatkan produksi, distribusi, dan dukungan untuk Coral dengan perjanjian ini.

Dengan pengalaman puluhan tahun di bidang manufaktur elektronik dalam skala global, ASUS IoT akan menyediakan Coral sumber daya untuk memenuhi tuntutan pertumbuhan kami sementara kami terus mengembangkan produk baru untuk komputasi tepi.

Ini akan membuat Asus IoT “menjadi saluran utama untuk penjualan, distribusi, dan dukungan” untuk Coral, dengan pelanggan mendapatkan “tim khusus untuk penjualan dan dukungan teknis” dalam prosesnya. Ini termasuk jaringan distribusi yang diperluas yang akan memungkinkan produk tersedia di lebih banyak negara.

ASUS IoT telah memiliki sejarah panjang dalam kolaborasi dengan Coral, menjadi mitra pertama yang merilis produk menggunakan Coral SoM ketika mereka meluncurkan papan pengembangan Tinker Edge T. ASUS IoT juga telah mengintegrasikan akselerator Coral ke dalam komputer edge cerdas kelas perusahaan mereka dan merupakan yang pertama merilis perangkat TPU multi Edge dengan Kartu PCIe AI Accelerator pemenang penghargaan.

Lini perangkat keras Coral memungkinkan AI untuk berjalan di perangkat, dan karenanya offline, tanpa perlu mengirim data ke cloud, yang memiliki keuntungan lebih cepat dan lebih aman. Ini dapat digunakan untuk deteksi objek, estimasi pose, segmentasi gambar, dan deteksi frase kunci.

Google menggunakannya untuk rangkaian kit ruang konferensi video Seri One (dengan Lenovo) untuk “penghilangan kebisingan saat berjalan”.

Dengan kemitraan Asus IoT-Coral ini, Google akan “mempertahankan kepemilikan merek dan portofolio produk” dan “berfokus untuk membangun generasi berikutnya dari fitur dan alat pelestarian privasi untuk komputasi saraf di edge.”

Sumber: 9TO5 Google

F5 memperingatkan bug RCE BIG-IP kritis yang memungkinkan pengambilalihan perangkat

May 5, 2022 by Winnie the Pooh

F5 telah mengeluarkan peringatan penasehat keamanan tentang cacat yang memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan untuk mengeksekusi perintah sistem sewenang-wenang, melakukan tindakan file, dan menonaktifkan layanan di BIG-IP.

Kerentanan dilacak sebagai CVE-2022-1388 dan memiliki peringkat keparahan CVSS v3 9,8, dikategorikan kritis. Eksploitasinya berpotensi mengarah pada pengambilalihan sistem secara menyeluruh.

Menurut penasihat keamanan F5, kelemahannya terletak pada komponen iControl REST dan memungkinkan aktor jahat mengirim permintaan yang tidak diungkapkan untuk melewati otentikasi iControl REST di BIG-IP.

Karena parahnya kerentanan dan penyebaran luas produk BIG-IP di lingkungan kritis, CISA (Cybersecurity and Infrastructure Security Agency) juga telah mengeluarkan peringatan hari ini.

Berikut daftar lengkap produk yang terpengaruh:

BIG-IP versions 16.1.0 to 16.1.2
BIG-IP versions 15.1.0 to 15.1.5
BIG-IP versions 14.1.0 to 14.1.4
BIG-IP versions 13.1.0 to 13.1.4
BIG-IP versions 12.1.0 to 12.1.6
BIG-IP versions 11.6.1 to 11.6.5

F5 telah merilis perbaikan di v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6, dan v13.1.5. Cabang 12.x dan 11.x tidak akan menerima patch perbaikan.

Selain itu, advisory tersebut menjelaskan bahwa Manajemen Terpusat BIG-IQ, F5OS-A, F5OS-C, dan Traffic SDC tidak terpengaruh oleh CVE-2022-1388.

F5 telah menyediakan tiga mitigasi efektif yang dapat digunakan sementara untuk mereka yang tidak dapat segera menerapkan pembaruan keamanan.

Selengkapnya: Bleeping Computer

Artist Pixiv, DeviantArt mendapat tawaran pekerjaan NFT yang mendorong malware

May 5, 2022 by Winnie the Pooh

Pengguna di Pixiv, DeviantArt, dan platform online berorientasi pencipta lainnya melaporkan menerima banyak pesan dari orang-orang yang mengaku berasal dari proyek NFT “Cyberpunk Ape Executives”, dengan tujuan utama menginfeksi perangkat artis dengan malware pencuri informasi.

“Cyberpunk Ape Executives” adalah koleksi terbatas token non-fungible (NFT) mengikuti pendekatan klub tertutup yang telah memberikan ketenaran dan nilai astronomi pada usaha serupa.

Dilansir dari Malwarebytes, aktor ancaman menargetkan artis dengan tawaran untuk bekerja dengan orang-orang di belakang proyek dan merancang serangkaian karakter baru untuk memperluas koleksi dengan NFT baru, menawarkan kompensasi hingga $350 per hari.

Pesan yang dikirim ke artis berisi tautan yang, jika diklik, mengarah ke halaman unduhan MEGA dimana korban dapat mengunduh arsip RAR 4,1 MB yang dilindungi kata sandi bernama ‘Cyberpunk Ape Exemples (pass 111).rar’ yang berisi sampel Karya seni Eksekutif Kera Cyberpunk.

Di dalam arsip, para seniman akan menemukan GIF dari Cyberpunk Ape Executives NFTs, dan di antaranya, ada file executable yang dibuat agar terlihat seperti gambar GIF lainnya, mudah dipadukan dengan koleksi lainnya.

File executable ini adalah malware installer yang akan menginfeksi perangkat dengan trojan pencuri informasi dengan peluang bagus untuk melewati deteksi AV berdasarkan deteksi VirusTotal saat ini.

Malware pencuri informasi biasanya menargetkan informasi yang disimpan di browser, seperti kata sandi akun, dompet cryptocurrency, kartu kredit, atau bahkan file di disk.

Ketika pelaku ancaman mendapatkan kredensial akun dari akun terkenal dengan jumlah pengikut yang tinggi, mereka akan menggunakannya untuk mempromosikan penipuan yang sama ke lebih banyak pengguna.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings