Threat

Peretas mengeksploitasi kelemahan penting VMware RCE untuk memasang pintu belakang

April 27, 2022 by Eevee

Peretas tingkat lanjut secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE), CVE-2022-22954, yang memengaruhi VMware Workspace ONE Access (sebelumnya disebut VMware Identity Manager).

Masalah ini telah diatasi dalam pembaruan keamanan 20 hari yang lalu bersama dengan dua RCE lainnya – CVE-2022-22957 dan CVE-2022-22958 yang juga memengaruhi VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Segera setelah pengungkapan kelemahan tersebut kepada publik, kode eksploitasi bukti konsep (PoC) muncul di ruang publik, memungkinkan peretas memanfaatkan untuk menargetkan penyebaran produk VMware yang rentan. VMware mengkonfirmasi eksploitasi CVE-2022-22954 di alam liar.

Sekarang, para peneliti di Morphisec melaporkan melihat eksploitasi dari aktor ancaman persisten tingkat lanjut (APT), khususnya kelompok peretasan Iran yang dilacak sebagai APT35, alias “Rocket Kitten.”

Musuh mendapatkan akses awal ke lingkungan dengan mengeksploitasi CVE-2022-22954, satu-satunya di trio RCE yang tidak memerlukan akses administratif ke server target dan juga memiliki eksploitasi PoC yang tersedia untuk umum.

Serangan dimulai dengan mengeksekusi perintah PowerShell pada layanan yang rentan (Identity Manager), yang meluncurkan stager.

Stager kemudian mengambil pemuat PowerTrash dari server perintah dan kontrol (C2) dalam bentuk yang sangat dikaburkan dan memuat agen Dampak Inti ke dalam memori sistem.

Core Impact adalah alat pengujian penetrasi yang sah yang disalahgunakan untuk tujuan jahat dalam kasus ini, mirip dengan bagaimana Cobalt Strike digunakan dalam kampanye jahat.

“Penelitian Morphisec mengamati penyerang yang sudah mengeksploitasi kerentanan ini (CVE-2022-22954) untuk meluncurkan backdoor HTTPS terbalik—terutama Cobalt Strike, Metasploit, atau Core Impact beacon” – Morphisec

CTO Morphisec Michael Gorelik mengatakan bahwa penyerang mencoba gerakan lateral pada jaringan, meskipun pintu belakang dihentikan.

Morphisec dapat mengambil alamat C2 server stager, versi klien Core Impact, dan kunci enkripsi 256-bit yang digunakan untuk komunikasi C2, dan akhirnya menghubungkan operasi tersebut dengan orang tertentu bernama Ivan Neculiti dan sebuah perusahaan bernama Stark Industries.

Beberapa perusahaan dalam database paparan penipuan yang mencantumkan nama Neculiti sebagai rekanan atau penerima manfaat. Basis data tersebut mencakup perusahaan hosting yang diduga mendukung situs web ilegal yang digunakan dalam kampanye spam dan phishing.

Pembaruan [26 April, 12:04]: BleepingComputer menerima pernyataan dari P.Q. Hosting S.R.L., yang berkantor pusat di Moldova dan perusahaan induk Stark Industries, menolak keterlibatan mereka yang disengaja dalam kegiatan ilegal:

Sumber: Bleeping Computer

Quantum ransomware terlihat digunakan dalam serangan jaringan yang cepat

April 26, 2022 by Eevee

Ransomware Quantum, jenis yang pertama kali ditemukan pada Agustus 2021, terlihat melakukan serangan cepat yang meningkat dengan cepat, meninggalkan sedikit waktu bagi para pembela untuk bereaksi.

Pelaku ancaman menggunakan malware IcedID sebagai salah satu vektor akses awal mereka, yang menyebarkan Cobalt Strike untuk akses jarak jauh dan mengarah ke pencurian data dan enkripsi menggunakan Quantum Locker.

Rincian teknis serangan ransomware Quantum dianalisis oleh peneliti keamanan di The DFIR Report, yang mengatakan serangan itu hanya berlangsung 3 jam 44 menit dari infeksi awal hingga penyelesaian perangkat enkripsi.

Serangan yang dilihat oleh The DFIR Report menggunakan malware IcedID sebagai akses awal ke mesin target, yang mereka yakini datang melalui email phishing yang berisi lampiran file ISO.

IcedID adalah trojan perbankan modular yang digunakan selama lima tahun terakhir, terutama untuk penyebaran payload tahap kedua, loader, dan ransomware.

Kombinasi arsip IcedID dan ISO telah digunakan dalam serangan lain baru-baru ini, karena file ini sangat baik untuk melewati kontrol keamanan email.

Dua jam setelah infeksi awal, pelaku ancaman menyuntikkan Cobalt Strike ke dalam proses C:\Windows\SysWOW64\cmd.exe untuk menghindari deteksi.

Langkah pertama dari rantai infeksi (DFIR)

Pada fase ini, penyusup mencuri kredensial domain Windows dengan membuang memori LSASS, yang memungkinkan mereka menyebar secara lateral melalui jaringan.

Akhirnya, pelaku ancaman menggunakan WMI dan PsExec untuk menyebarkan muatan ransomware Quantum dan mengenkripsi perangkat.

Serangan ini hanya memakan waktu empat jam, yang cukup cepat, dan karena serangan ini biasanya terjadi larut malam atau selama akhir pekan, serangan ini tidak memberikan jendela besar bagi admin jaringan dan keamanan untuk mendeteksi dan merespons serangan tersebut.

Untuk detail lebih lanjut tentang TTP yang digunakan oleh Quantum Locker, Laporan DFIR telah menyediakan daftar lengkap indikator kompromi serta alamat C2 yang terhubung dengan IcedID dan Cobalt Strike untuk komunikasi.

Ransomware Quantum Locker adalah rebrand dari operasi ransomware MountLocker, yang diluncurkan pada September 2020.

Sejak itu, geng ransomware telah mengubah nama operasinya menjadi berbagai nama, termasuk AstroLocker, XingLocker, dan sekarang dalam fase saat ini, Quantum Locker.

Perubahan nama menjadi Quantum terjadi pada Agustus 2021, ketika enkripsi ransomware mulai menambahkan ekstensi file .quantum ke nama file terenkripsi dan menjatuhkan catatan tebusan bernama README_TO_DECRYPT.html.

Catatan ini mencakup tautan ke situs negosiasi tebusan Tor dan ID unik yang terkait dengan korban. Catatan tebusan juga menyatakan bahwa data dicuri selama serangan, yang mengancam akan dipublikasikan oleh penyerang jika uang tebusan tidak dibayarkan.

Catatan tebusan Quantum Locker
Sumber: BleepingComputer

Sementara The DFIR Report menyatakan bahwa mereka tidak melihat aktivitas eksfiltrasi data dalam serangan yang mereka analisis, BleepingComputer telah mengkonfirmasi di masa lalu bahwa mereka mencuri data selama serangan dan membocorkannya dalam skema pemerasan ganda.

Tuntutan tebusan untuk geng ini bervariasi tergantung pada korban, dengan beberapa serangan menuntut $ 150.000 untuk menerima decryptor, sementara yang lain dilihat oleh BleepingComputer adalah tuntutan multi-juta dolar, seperti yang ditunjukkan di bawah ini.

Meskipun mereka mungkin tidak seaktif operasi ransomware lainnya, seperti Conti, LockBit, dan AVOS, mereka masih merupakan risiko yang signifikan dan penting bagi pembela jaringan untuk menyadari TTP yang terkait dengan serangan mereka.

Sumber : Bleeping Computer

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

April 26, 2022 by Eevee

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Malware Prynt Stealer baru yang kuat dijual hanya dengan $100 per bulan

April 26, 2022 by Eevee

Analis ancaman telah melihat tambahan lain ke ruang pertumbuhan infeksi malware pencuri info, bernama Prynt Stealer, yang menawarkan kemampuan yang kuat dan modul keylogger dan clipper tambahan.

Prynt Stealer menargetkan banyak pilihan browser web, aplikasi perpesanan, dan aplikasi game dan juga dapat melakukan kompromi finansial langsung.

Penulisnya menjual alat dalam langganan berbasis waktu, seperti $100/bulan, $200/kuartal, atau $700 selama setahun, tetapi juga dijual di bawah lisensi seumur hidup seharga $900.

Selain itu, pembeli dapat memanfaatkan pembuat malware untuk membuat putaran Prynt yang khusus, ramping, dan sulit dideteksi untuk digunakan dalam operasi yang ditargetkan.

Biaya lisensi Prynt Stealer (Bleeping Computer)

Analis malware di Cyble telah menganalisis Prynt untuk mengevaluasi pencuri info baru dan melaporkan bahwa alat itu dibuat dengan kerahasian sebagai prioritas, menampilkan kebingungan biner dan string terenkripsi Rijndael.

Selain itu, semua komunikasi C2-nya dienkripsi dengan AES256, sedangkan folder AppData (dan subfolder) yang dibuat untuk menyimpan sementara data yang dicuri sebelum eksfiltrasi disembunyikan.

Dekripsi string yang di-hardcode (Cyble)

Pada awalnya, Prynt Stealer memindai semua drive di host dan mencuri dokumen, file database, file kode sumber, dan file gambar yang memiliki ukuran di bawah 5.120 byte (5 KB).

Selanjutnya, malware menargetkan data pengisian otomatis, kredensial (kata sandi akun), info kartu kredit, riwayat pencarian, dan cookie yang disimpan di browser web berbasis Chrome, MS Edge, dan Firefox.

Mencuri data dari browser Chromium (Cyble)

Pada tahap ini, malware menggunakan ScanData () untuk memeriksa apakah ada kata kunci yang relevan dengan perbankan, cryptocurrency, atau situs porno yang ada di data browser dan mencurinya jika ada.

Selanjutnya, Prynt menargetkan aplikasi perpesanan seperti Discord, Pidgin, dan Telegram dan juga mengambil token Discord jika ada di sistem.

File otorisasi aplikasi game, file save game, dan data berharga lainnya dari Ubisoft Uplay, Steam, dan Minecraft juga dicuri.

Kemudian, malware meminta registri untuk menemukan direktori data untuk dompet cryptocurrency, seperti Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda, dan dompet cryptocurrency Coinomi.

Karena direktori data ini berisi file konfigurasi dompet dan database yang sebenarnya, pelaku ancaman mengumpulkannya untuk mencuri cryptocurrency yang tersimpan di dalamnya.

Terakhir, Prynt mencuri data dari FileZilla, OpenVPN, NordVPN, dan ProtonVPN, menyalin kredensial akun terkait pada subfolder terkait di AppData.

Sebelum eksfiltrasi, Prynt Stealer melakukan tindakan profil sistem umum yang melibatkan penghitungan proses yang berjalan, mengambil tangkapan layar ringkasan, dan menggabungkannya dengan kredensial jaringan dan kunci produk Windows yang digunakan di mesin host.

Pencurian data terkompresi akhirnya dilakukan melalui bot Telegram yang menggunakan koneksi jaringan terenkripsi yang aman untuk meneruskan semuanya ke server jarak jauh.

Langkah Eksfiltrasi Data Telegram (Cyble)

Terlepas dari fitur-fitur di atas, yang sejalan dengan kemampuan kebanyakan pencuri info saat ini, Prynt juga dilengkapi dengan clipper dan keylogger.

Clipper adalah alat yang memantau data yang disalin pada clipboard mesin yang disusupi untuk mengidentifikasi alamat dompet cryptocurrency dan menggantinya saat itu juga dengan yang berada di bawah kendali aktor ancaman.

Setiap kali korban mencoba membayar dengan cryptocurrency ke alamat tertentu, malware secara diam-diam mengalihkan alamat penerima, dan pembayaran dialihkan ke peretas.

Keylogger adalah modul tambahan lain yang memungkinkan operator malware jarak jauh melakukan pencurian informasi massal dengan merekam semua penekanan tombol.

Prynt adalah tambahan lain untuk kebanyakan alat malware pencuri informasi yang tersedia yang dapat dipilih oleh penjahat dunia maya, banyak di antaranya baru-baru ini muncul di alam liar.

Sementara keylogger, clipper, dan kemampuan mencuri yang ekstensif dikombinasikan dengan operasi tersembunyi menjadikannya kandidat yang baik untuk penyebaran luas, biayanya yang relatif tinggi (dibandingkan dengan malware lain yang baru muncul) dan keandalan infrastruktur server yang meragukan mungkin menghambat kebangkitannya.

Namun, Prynt adalah malware berbahaya yang dapat mencuri informasi sensitif pengguna dan menyebabkan kerugian finansial yang signifikan, kompromi akun, dan pelanggaran data.

Sumber : Bleeping Computer

Peretas Korea Utara menargetkan jurnalis dengan malware baru

April 26, 2022 by Eevee

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer

Malware Emotet menginfeksi pengguna lagi setelah memperbaiki penginstal yang rusak

April 26, 2022 by Eevee

Jumat lalu, distributor malware Emotet meluncurkan kampanye email baru yang menyertakan lampiran file ZIP yang dilindungi kata sandi yang berisi file Windows LNK (pintasan) yang berpura-pura menjadi dokumen Word.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau skrip berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti Cobalt Strike atau malware lain yang biasanya mengarah ke serangan ransomware.

Contoh email phishing Emotet saat ini
Sumber: Cofense

Ketika pengguna mengklik dua kali pada pintasan, itu akan menjalankan perintah yang mencari file pintasan untuk string tertentu yang berisi kode Visual Basic Script, menambahkan kode yang ditemukan ke file VBS baru, dan mengeksekusi file VBS itu, seperti yang ditunjukkan di bawah ini .

Perintah pintasan emotet dari kampanye hari Jumat
Sumber: BleepingComputer

Namun, perintah ini mengandung bug karena menggunakan nama pintasan statis ‘Password2.doc.lnk,’ meskipun nama sebenarnya dari file pintasan terlampir berbeda, seperti ‘INVOICE 2022-04-22_1033, USA.doc’.

Ini menyebabkan perintah gagal, karena file Password2.doc.lnk tidak ada, dan dengan demikian file VBS tidak dibuat, seperti yang dijelaskan oleh grup riset Emotet Cryptolaemus.

Peneliti Cryptolaemus Joseph Roosen mengatakan bahwa Emotet menutup kampanye email baru sekitar pukul 00:00 UTC pada hari Jumat setelah menemukan bahwa bug tersebut mencegah pengguna terinfeksi.

Sayangnya, Emotet memperbaiki bug hari ini dan, sekali lagi, mulai mengirim spam kepada pengguna dengan email berbahaya yang berisi file zip yang dilindungi kata sandi dan lampiran pintasan.

Pintasan ini sekarang merujuk nama file yang benar ketika perintah dijalankan, memungkinkan file VBS dibuat dengan benar dan malware Emotet diunduh dan diinstal pada perangkat korban.

Memperbaiki perintah lampiran Emotet
Sumber: BleepingComputer

Perusahaan keamanan email Cofense mengatakan bahwa lampiran yang digunakan bernama yang digunakan dalam kampanye Emotet hari ini adalah:

form.zip
Formulir.zip
Formulir elektronik.zip
PO 04252022.zip
Formulir – 25 Apr 2022.zip
Status Pembayaran.zip
TRANSFER BANK COPY.zip
Transaksi.zip
formulir ACH.zip
Info pembayaran ACH.zip

Sumber : Bleeping Computer

FBI Memperingatkan Sektor Pertanian Tentang Meningkatnya Risiko Serangan Ransomware

April 25, 2022 by Eevee

FBI pada hari Rabu memperingatkan perusahaan makanan dan pertanian untuk bersiap-siap bagi operasi ransomware untuk berpotensi menyerang entitas pertanian selama musim tanam dan panen – kerangka waktu yang diperingatkan FBI lebih mungkin untuk menarik perhatian aktor ransomware yang bertekad memanfaatkan sektor ini pada yang paling rentan, termasuk sekarang saat musim tanam musim semi berlangsung.

Pemberitahuan FBI kepada industri menegaskan bahwa peretas ransomware bertekad “mengganggu operasi, menyebabkan kerugian finansial, dan berdampak negatif pada rantai pasokan makanan,” dan mencatat ada serangan ransomware terhadap enam koperasi biji-bijian selama panen musim gugur 2021, bersama dengan dua serangan pada awal 2022 terhadap target yang tidak disebutkan biro yang dapat mempengaruhi musim tanam dengan mengganggu pasokan benih dan pupuk.

Pemberitahuan FBI hari Rabu mengungkapkan untuk pertama kalinya seberapa luas serangan ransomware terhadap target pertanian tahun lalu dan awal tahun ini, menurut Allan Liska, seorang analis intelijen di Recorded Future.

“Perusahaan pertanian tidak selalu mampu untuk staf TI dan peran keamanan, sehingga mereka sangat bergantung pada MSPs untuk memberikan perlindungan,” kata Liska. “Ketika MSP itu dikompromikan, biasanya tidak ada perlindungan untuk melindungi para korban.”

Sektor pertanian telah mengalami peningkatan jumlah serangan ransomware dalam beberapa bulan terakhir. Oktober lalu, pabrik dan pusat distribusi di Schreiber Foods, sebuah perusahaan susu bernilai miliaran dolar, dipaksa offline mengikuti apa yang disebut perusahaan sebagai “peristiwa cyber.” Insiden itu menyusul pemberitahuan FBI september untuk peringatan industri makanan dan pertanian tentang ancaman ransomware. Pemberitahuan itu mengatakan bahwa dari 2019 hingga 2020 permintaan tebusan rata-rata dua kali lipat dan pembayaran asuransi cyber rata-rata meningkat sebesar 65%.

Sekitar waktu yang sama, Badan Keamanan Siber dan Infrastruktur Departemen Keamanan Dalam Negeri, FBI, dan Badan Keamanan Nasional memperingatkan sektor pertanian bahwa penyerang ransomware BlackMatter menargetkan mereka sebagai bagian dari ancaman yang lebih luas terhadap infrastruktur penting AS.

Selengkapnya: Cyberscoop

Kesalahan Palo Alto Networks mengekspos kasus dukungan pelanggan, lampiran

April 24, 2022 by Søren

Sebuah bug di dasbor dukungan Palo Alto Networks (PAN) mengekspos ribuan tiket dukungan pelanggan ke individu yang tidak berwenang, BleepingComputer telah mempelajarinya.

Informasi yang terungkap termasuk, nama dan informasi kontak (bisnis) dari orang yang membuat tiket dukungan, percakapan antara anggota staf Palo Alto Networks dan pelanggan.

Bukti yang dibagikan dengan BleepingComputer menunjukkan beberapa tiket dukungan berisi lampiran—seperti log firewall, konfigurasi dump, dan aset debug lainnya yang dibagikan dengan staf PAN oleh pelanggan.

Palo Alto Networks, penyedia terkemuka produk keamanan siber dan jaringan serta firewall, mengatakan kepada BleepingComputer bahwa masalah tersebut kini telah diperbaiki—sekitar delapan hari setelah dilaporkan.

Saat menyadari kesalahan akses, pelanggan memberi tahu BleepingComputer bahwa mereka segera memberi tahu Palo Alto Networks, baik dengan mengajukan “permintaan dukungan kritis” dan menghubungi anggota PAN tertentu di LinkedIn.

BleepingComputer menghubungi PAN untuk lebih memahami ruang lingkup dan dampak kebocoran data ini.

PAN mengatakan bahwa tidak ada data yang diunduh dan menyiratkan bahwa cakupan kebocoran tetap terbatas hanya pada satu pelanggan:

“Kami diberitahu tentang masalah yang memungkinkan pelanggan resmi untuk melihat sebagian kecil kasus dukungan, yang biasanya tidak dapat mereka lihat,” kata juru bicara Palo Alto Networks kepada BleepingComputer.

“Kami segera memulai penyelidikan dan mengidentifikasi itu karena kesalahan kesalahan konfigurasi izin dalam sistem pendukung.”

“Analisis kami mengkonfirmasi tidak ada data yang diunduh atau diubah, dan masalah ini segera diperbaiki.”

Namun, perhatikan, perbaikan bug memakan waktu sekitar delapan hari, setelah itu akses pelanggan tersebut ke 1.900 tiket yang tidak terkait dicabut.

PAN tidak menjawab apakah memberi tahu pelanggan yang informasinya terpengaruh oleh bug kebocoran data, atau jika berencana melakukannya.

Saat ini, perusahaan mengatakan, tidak ada tindakan pelanggan yang diperlukan dan yakin bahwa produk dan layanannya aman.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings