Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

File teks CSV berbahaya yang digunakan untuk menginstal malware BazarBackdoor

by

Kampanye phishing baru menggunakan file teks CSV yang dibuat khusus untuk menginfeksi perangkat pengguna dengan malware BazarBackdoor.

File comma-separated values (CSV) adalah file teks yang berisi baris teks dengan kolom data yang dipisahkan oleh koma. Dalam banyak kasus, baris pertama teks adalah header, atau deskripsi, untuk setiap kolom.

Menggunakan CSV adalah metode populer untuk mengekspor data dari aplikasi yang kemudian dapat diimpor ke program lain sebagai sumber data, baik itu Excel, database, pengelola kata sandi, atau perangkat lunak penagihan.

Microsoft Excel memiliki fitur yang disebut Dynamic Data Exchange (DDE), yang dapat digunakan untuk menjalankan perintah yang outputnya dimasukkan ke dalam spreadsheet yang terbuka, termasuk file CSV.

Sayangnya, pelaku ancaman juga dapat menyalahgunakan fitur ini untuk menjalankan perintah yang dapat mengunduh dan menginstal malware pada korban yang tidak menaruh curiga.

Kampanye phishing baru yang ditemukan oleh peneliti keamanan Chris Campbell menginstal trojan BazarLoader/BazarBackdoor melalui file CSV berbahaya.

Email phishing berpura-pura menjadi “Saran Pengiriman Uang” dengan tautan ke situs jarak jauh yang mengunduh file CSV dengan nama yang mirip dengan ‘document-21966.csv.’

Untungnya, ketika file CSV ini dibuka di Excel, program akan melihat panggilan DDE dan meminta pengguna untuk “mengaktifkan pembaruan tautan otomatis”, yang ditandai sebagai masalah keamanan.

Sumber: Bleeping Computer

Bahkan jika mereka mengaktifkan fitur tersebut, Excel akan menunjukkan kepada mereka prompt lain yang mengonfirmasi apakah WMIC harus diizinkan untuk mulai mengakses data jarak jauh.

Sumber: Bleeping Computer

Jika pengguna mengonfirmasi kedua perintah tersebut, Microsoft Excel akan meluncurkan skrip PowerShell, DLL akan diunduh dan dijalankan, dan BazarBackdoor akan diinstal pada perangkat.

Selengkapnya: Bleeping Computer

Grup Peretasan ‘White Tur’ Meminjam Teknik Dari Beberapa APT

by

Seorang aktor ancaman baru yang terperinci telah diamati menggunakan berbagai teknik yang dipinjam dari beberapa aktor ancaman persisten tingkat lanjut (APT), tim intelijen ancaman dunia maya PwC melaporkan.

Dijuluki White Tur, advisory ini belum dikaitkan dengan geografi tertentu, meskipun tampaknya telah aktif setidaknya sejak 2017.

Sebagai bagian dari serangan yang diidentifikasi pada Januari 2021, grup tersebut mendaftarkan subdomain mail[.]mod[.]qov[.]rs untuk mengelabui kredensial login pegawai Kementerian Pertahanan Serbia.

Domain phishing memiliki sertifikat TLS menggunakan istilah ‘qov’, yang meniru kata ‘gov’. Teknik spoofing .gov sebelumnya digunakan oleh aktor APT seperti Sofacy yang terkait dengan Rusia (juga dikenal sebagai APT28).

White Tur juga terlihat menyalahgunakan proyek open source OpenHardwareMonitor untuk eksekusi payload. Untuk itu, ia menyuntikkan kode ke alat yang sah, menggunakan teknik yang sebelumnya digunakan oleh aktor ancaman ZINC yang berbasis di Korea Utara.

Pelaku ancaman juga diamati menggunakan paket pintu belakang sebagai DLL, yang memungkinkannya mengelola file, mengunggah dan mengunduh file, menjalankan perintah, dan mengatur waktu tidur malware. Ini, kata PwC, adalah “pintu belakang paling fungsional” di gudang senjata White Tur.

Selengkapnya: Security Week

Kerentanan keamanan SureMDM dapat menyebabkan Serangan Rantai Pasokan

by

Berbagai kerentanan keamanan telah diungkapkan dalam solusi 42 Gears SureMDM. Ini adalah solusi manajemen perangkat seluler yang dapat dimanipulasi oleh pelaku ancaman untuk melakukan serangan rantai pasokan.

Sebuah perusahaan Cybersecurity bernama Immersive Labs adalah yang pertama kali mengidentifikasi kerentanan dan telah menyebutkan rincian makalah mereka. 42 Gears telah merilis serangkaian pembaruan dari Nov 2021 hingga Jan 2022 untuk mengatasi berbagai kelemahan yang memengaruhi agen Linux dan konsol web mereka.

42 Gears adalah perusahaan manajemen perangkat seluler berbasis di India yang memiliki produk SureMDM yang mendukung manajemen lintas platform yang memungkinkan admin memantau, mengelola, mengontrol, dan mengamankan perangkat milik perusahaan, BYOD, dan COPE dari jarak jauh.

Sesuai informasi yang dibagikan oleh 42 Gears, SureMDM digunakan secara aktif oleh sekitar 10.000 organisasi di seluruh dunia.

Berikut ini adalah daftar kerentanan keamanan yang teridentifikasi:

  • SureMDM agent spoofing
  • SureMDM agent authentication bypass
  • SureMDM dashboard XSS
  • SureMDM agent remote code execution
  • SureMDM Linux agent command injection
  • SureMDM Linux agent remote code execution
  • SureMDM Linux agent default root credentials
  • SureMDM Linux agent local privilege escalation
  • SureMDM Linux Sensitive Information Disclosure

Dengan berbagai kerentanan ini, penyerang akan dapat menonaktifkan program keamanan dan menyebarkan muatan ke perangkat Linux, MacOS, dan Android dengan SureMDM sebagai katalis untuk operasi mereka, kata Kev Breen, Direktur Riset Ancaman di Immersive Labs. Dia juga menambahkan bahwa penyerang dapat mengeksploitasi semua kelemahan yang disebutkan di atas tanpa memiliki akun SureMDM.

Kerentanan ini nantinya dapat digabungkan untuk melakukan serangan rantai pasokan ketika pengguna masuk ke akun SureMDM mereka sehingga menginfeksi dan membahayakan semua perangkat yang dikelola dalam jaringan.

Selngkapnya: The Cybersecurity Times

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

Situs WordPress 600K dipengaruhi oleh kerentanan RCE plugin kritis

by

Essential Addons for Elementor, plugin WordPress populer yang digunakan di lebih dari satu juta situs, telah ditemukan memiliki kerentanan eksekusi kode jarak jauh (RCE) kritis di versi 5.0.4 dan yang lebih lama.

Cacat memungkinkan pengguna yang tidak diautistik untuk melakukan serangan inklusi file lokal, seperti file PHP, untuk mengeksekusi kode di situs.

“Kerentanan inklusi file lokal ada karena cara data input pengguna digunakan di dalam PHP termasuk fungsi yang merupakan bagian dari fungsi ajax_load_more dan ajax_eael_product_gallery,” jelas peneliti PatchStack yang menemukan kerentanan.

Satu-satunya prasyarat untuk serangan ini adalah agar situs tersebut mengaktifkan widget “galeri dinamis” dan “galeri produk” sehingga tidak ada pemeriksaan token yang ada.

Dua upaya patching gagal

Peneliti Wai Yan Muo Thet menemukan kerentanan pada 25 Januari 2022, dan pengembang plugin sudah tahu tentang keberadaannya pada saat itu.

Bahkan, penulis telah merilis versi 5.0.3 untuk mengatasi masalah ini dengan menerapkan fungsi “sanitize_text_field” pada data input pengguna. Namun, sanitasi ini tidak mencegah masuknya muatan lokal.

Upaya kedua adalah versi 5.0.4, yang menambahkan fungsi “sanitize_file_name” dan berusaha untuk menghapus karakter khusus, titik,garis miring, dan apa pun yang dapat digunakan untuk mengesampingkan langkah sanitasi teks.

Ini adalah versi yang diuji patchstack dan menemukan rentan, sehingga mereka memberitahu pengembang bahwa perbaikan tidak mengurangi masalah cukup.

Akhirnya, penulis merilis versi 5.0.5 yang menerapkan fungsi “realpath” PHP, mencegah resolusi pathname berbahaya.

Memperbarui dan mengurangi

Versi ini dirilis minggu lalu, pada tanggal 28 Januari 2022, dan saat ini hanya diinstal sekitar 380.000 kali menurut statistik unduhan WordPress.

Dengan plugin yang diinstal di lebih dari 1 juta situs WordPress, itu berarti ada lebih dari 600 ribu situs yang belum menerapkan pembaruan keamanan.

Jika Anda termasuk di antara banyak yang menggunakan Essential Addons untuk Elementor, Anda bisa mendapatkan versi terbaru dari sini atau menerapkan pembaruan langsung dari dasbor WP.

Untuk mencegah aktor memanfaatkan kelemahan inklusi file lokal bahkan ketika mereka tidak dapat dikurangi secara langsung, ikuti langkah-langkah ini:

  • Simpan jalur file Anda dalam database yang aman dan berikan ID untuk setiap orang.
  • Gunakan file allowlist yang diverifikasi dan aman dan abaikan yang lainnya.
  • Jangan sertakan file di server web yang dapat dikompromikan, tetapi gunakan database sebagai gantinya.
  • Buat server mengirim header unduhan secara otomatis alih-alih mengeksekusi file di direktori tertentu.

Sumber: Bleepingcomputer

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

by

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer

Pengadilan memerintahkan situs web untuk berhenti menyematkan Google Font karena pelanggaran GDPR

by

Pengadilan Jerman dari Munich telah memerintahkan pemilik situs web untuk membayar denda sebesar €100 karena memigrasikan data pribadi pengguna. Pemilik telah memanfaatkan alamat IP pengguna melalui perpustakaan Google Fonts tanpa persetujuan pengguna.

Sesuai putusan, pengungkapan alamat IP penggugat secara tidak sah oleh situs web anonim ke Google adalah pelanggaran privasi pengguna, yang memungkinkan pemilik situs web untuk berkolaborasi dengan pihak ketiga untuk mengidentifikasi orang di balik alamat IP tersebut.

Alamat IP dinamis mewakili data pribadi untuk operator situs web karena, secara abstrak, ia memiliki sarana hukum yang dapat digunakan secara wajar untuk, dengan bantuan pihak ketiga, yaitu otoritas yang berwenang dan penyedia akses Internet, mengidentifikasi orang tersebut. bersangkutan berdasarkan IP yang disimpan untuk menentukan alamat

Font Google adalah layanan penyematan dari perpustakaan Google, yang memungkinkan pengembang untuk memasukkan font Google ke dalam aplikasi Android dan Situs Web hanya dengan referensi yang sama dari stylesheet.

Pelanggaran GDPR oleh Google Font
Sesuai GDPR, apa pun yang menyempit ke individu termasuk alamat IP, ID iklan, Cookie, data Lokasi, dan sebagainya dianggap sebagai PII, sehingga membuat bisnis yang mengumpulkan data ini diberitahukan kepada pengguna dan mendapatkan persetujuan mereka untuk mengumpulkan sama.

Putusan tersebut juga mengatakan bahwa Google Font juga dapat digunakan meskipun tidak ada koneksi ke server Google tetapi alamat IP tetap dapat ditransmisikan ke Google. Dan inilah mengapa Font harus di-host secara lokal alih-alih menyematkan dan menyertakan Google dalam operasinya.

Pengadilan juga memerintahkan pemilik situs web untuk membagikan data yang telah dikumpulkan, disimpan, dan diproses selama ini. Pemilik situs web harus membagikan detail ini dengan pengguna secara langsung. Keputusan ini dibuat beberapa minggu setelah Otoritas Perlindungan Data Austria (DSB) memutuskan bahwa Google Analytics yang digunakan oleh NetDoktor, situs web yang berfokus pada kesehatan, melanggar peraturan GDPR karena mengekspor data pengunjung ke server Google di AS, sehingga membuka jalan bagi pengawasan AS.

Juga tuntutan hukum baru-baru ini yang diajukan oleh empat jaksa agung AS terhadap layanan pelacakan lokasi Google adalah pengawasan lebih lanjut pada privasi Google. Mengingat raksasa teknologi ini telah beberapa kali menjadi pusat perhatian GPDR, kasing Google Font ini bisa jadi hanya permulaan.

Sumber :The Cyber Security Times

Pengguna Android memperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus

by

Pengguna Android diperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus yang dapat membahayakan data ponsel.

Beberapa aplikasi berbeda dapat digunakan untuk mengambil pesan yang dihapus.

Tetapi WAMR tampaknya mengambil data yang dihapus dari WhatsApp, Facebook Messenger, dan platform lainnya. Karena enkripsi pada perangkat Android, WAMR tidak dapat mengakses pesan secara langsung.

Sebagai gantinya, aplikasi menggunakan riwayat pemberitahuan Anda untuk membaca pesan dan membuat cadangan pesan, menurut informasi dari Google App store.

Aplikasi WAMR akan mendeteksi pesan yang dihapus dan kemudian menampilkan pemberitahuan kepada Anda.

Media tambahan, termasuk gambar, video, gif animasi, audio, catatan suara, dokumen, stiker, juga dapat dipulihkan dari pesan.

Namun, aplikasi ini mencatat bahwa ini bukan cara resmi untuk memulihkan pesan yang dihapus, dan memperingatkan bahwa itu dapat menghadapi batasan berdasarkan aplikasi tempat data pesan berada, atau bahkan dari sistem operasi Android.

ketika anda menginstal aplikasi WAMR, beberapa izin harus diberikan agar dapat beroperasi di perangkat Android Anda. Izin ini dapat membahayakan data dari aplikasi lain di ponsel Anda.

Koran Keamanan Informasi melaporkan bahwa riwayat pencarian internet dan daftar kontak termasuk di antara data yang dapat diakses oleh aplikasi WAMR.

Outlet tersebut juga melaporkan bahwa terlepas dari potensi risiko keamanan, aplikasi WAMR telah diunduh lebih dari 10 juta kali.

Memilih untuk mengunduh aplikasi seperti WAMR yang dapat membahayakan data dan keamanan di ponsel Anda adalah risiko yang harus dipertimbangkan dengan cermat.

Sumber : NEW YORK POST