Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Microsoft meriliskan perbaikan untuk Windows 11 screenshot bug privasi

by

Microsoft telah merilis sepasang pembaruan darurat untuk mengatasi kelemahan keamanan “aCropalypse” yang ditemukan dalam aplikasi pengeditan screenshot Windows 10 dan 11 aslinya. Seperti yang dilaporkan Bleeping Computer, perusahaan mulai menguji perbaikan vulnerabilty awal pekan ini tak lama setelah ditemukan oleh pensiunan insinyur perangkat lunak Chris Blume.

Pada Jumat malam, Microsoft mulai meluncurkan pembaruan publik untuk Snipping Tool Windows 11 serta aplikasi Snip & Sketch Windows 10. Anda dapat secara manual meminta Windows untuk menambal aplikasi yang Anda gunakan dengan membuka Microsoft Store dan mengeklik “Library”, diikuti dengan “Get Updates”. Microsoft merekomendasikan semua pengguna menginstal pembaruan.

Cacat aCropalypse pertama kali ditemukan pada perangkat Pixel, dan kemudian ditangani oleh Google dalam pembaruan keamanan Android Maret baru-baru ini. Dalam kasus Snipping Tool Windows 11, ternyata utilitas tersebut tidak menimpa data PNG yang dipangkas dengan benar. Masalah ini tidak memengaruhi semua file PNG, tetapi kekhawatirannya adalah bahwa aktor jahat dapat mengeksploitasi vulnerabilty untuk memulihkan sebagian gambar yang diedit, terutama yang telah dipangkas untuk menghilangkan informasi sensitif. Seperti pembaruan Android Maret Google, tambalan Microsoft tidak akan melindungi gambar yang sebelumnya dibuat dengan alat screenshot.

sumber : engadget.com

Windows 11, Tesla, Ubuntu, dan macOS diretas di Pwn2Own 2023

by

Pada hari pertama Pwn2Own Vancouver 2023, peneliti keamanan berhasil mendemonstrasikan eksploitasi Tesla Model 3, Windows 11, dan macOS zero-day dan rantai eksploitasi untuk memenangkan $375.000 dan Tesla Model 3.

Yang pertama jatuh adalah Adobe Reader dalam kategori aplikasi perusahaan setelah Abdul Aziz Hariri dari Haboob SA (@abdhariri) menggunakan rantai eksploitasi yang menargetkan rantai logika 6-bug yang menyalahgunakan beberapa tambalan gagal yang lolos dari kotak pasir dan melewati daftar API yang dilarang di macOS untuk dapatkan $50.000.

Sepanjang kontes Pwn2Own Vancouver 2023, peneliti keamanan akan menargetkan produk dalam aplikasi perusahaan, komunikasi perusahaan, eskalasi hak istimewa (EoP) lokal, server, virtualisasi, dan kategori otomotif.

Pada hari kedua, pesaing Pwn2Own akan mendemonstrasikan eksploitasi zero-day yang menargetkan Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root, dan Desktop Ubuntu.

Pada hari terakhir kontes, peneliti keamanan akan menetapkan target mereka lagi di Desktop Ubuntu dan mencoba meretas Microsoft Teams, Windows 11, dan VMware Workstation.

Antara 22 Maret dan 24 Maret, kontestan dapat memperoleh $1.080.000 dalam bentuk tunai dan hadiah, termasuk mobil Tesla Model 3. Penghargaan tertinggi untuk meretas Tesla sekarang adalah $150.000, dan mobil itu sendiri.

Setelah kerentanan zero-day didemonstrasikan dan diungkapkan selama Pwn2Own, vendor memiliki waktu 90 hari untuk membuat dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan sebelum Zero Day Initiative dari Trend Micro mengungkapkannya secara publik.

selengkapnya : bleepingcomputer

Google menandai aplikasi yang dibuat oleh raksasa e-commerce China yang populer sebagai Malware

by

Google telah menandai beberapa aplikasi yang dibuat oleh raksasa e-commerce China sebagai malware, memperingatkan pengguna yang menginstalnya, dan menangguhkan aplikasi resmi perusahaan.

Dalam beberapa minggu terakhir, beberapa peneliti keamanan China menuduh Pinduoduo, raksasa e-commerce yang sedang naik daun dengan hampir 800 juta pengguna aktif, membuat aplikasi untuk Android yang berisi malware yang dirancang untuk memantau pengguna.

Secara efektif, Google telah menetapkan Google Play Protect, mekanisme keamanan Android-nya, untuk memblokir pengguna agar tidak menginstal aplikasi berbahaya ini, dan memperingatkan mereka yang sudah menginstalnya, meminta mereka untuk menghapus aplikasi tersebut.

Meminta anonimitas, seorang peneliti keamanan memberi tahu TechCrunch tentang klaim terhadap aplikasi tersebut, dan mengatakan analisis mereka juga menemukan bahwa aplikasi tersebut mengeksploitasi beberapa eksploitasi zero-day untuk meretas pengguna.

Sebagai pengujian, TechCrunch memasang salah satu aplikasi yang dicurigai, yang memicu peringatan bahwa aplikasi tersebut mungkin berbahaya.

Penting untuk dicatat bahwa Google Play tidak tersedia di China, dan menurut peneliti keamanan, aplikasi tersebut hadir di toko aplikasi khusus Samsung, Huawei, Oppo, dan Xiaomi.

selengkapnya : techcrunch.com

Hacker Semakin Mengklaim Penargetan Sistem OT

by

Pada Januari 2023, grup hacktivist yang berafiliasi dengan Anonymous, GhostSec, mengklaim di media sosial telah menyebarkan ransomware untuk mengenkripsi unit terminal jarak jauh (RTU) Belarusia—sejenis perangkat teknologi operasional (OT) untuk pemantauan jarak jauh perangkat otomasi industri. Niat yang dinyatakan para aktor adalah untuk menunjukkan dukungan untuk Ukraina dalam invasi Rusia yang sedang berlangsung. Peneliti, profesional keamanan OT, dan media menganalisis klaim tersebut dan menyimpulkan bahwa aktor tersebut melebih-lebihkan implikasi dari dugaan serangan tersebut.

Meskipun tidak ada dampak yang signifikan dalam insiden khusus ini, acara tersebut menyoroti meningkatnya kebutuhan akan diskusi yang lebih luas mengenai sejauh mana risiko yang ditimbulkan para peretas terhadap lingkungan OT. Selama beberapa tahun terakhir, Mandiant telah melacak berbagai klaim peretas yang menargetkan sistem OT yang mengklaim kerusakan fisik sebagai akibatnya. Diperburuk oleh ketegangan geopolitik di berbagai kawasan—seperti invasi Rusia yang sedang berlangsung ke Ukraina—aktor-aktor ini baru-baru ini mengintensifkan aktivitas mereka, mengakibatkan klaim yang lebih sering dan jalan baru untuk memengaruhi target.

Dalam banyak kasus, klaim para peretas dibesar-besarkan atau tidak berdasar. Jumlah klaim palsu terkadang menantang untuk dibantah. Namun, terlepas dari ketidakakuratan sebagian besar klaim, ketika aktivitas peretas yang menargetkan OT menjadi hal yang biasa, kemungkinan insiden OT aktual dan bahkan substansial meningkat. Risikonya lebih tinggi untuk organisasi yang terkait dengan peristiwa politik atau perselisihan sosial berdasarkan lokasi geografis, kebangsaan, bahasa, atau industri yang relevan.

Mandiant menawarkan analisis komprehensif tentang aktivitas peretas baru-baru ini yang menargetkan sistem OT. Mandiant dapat memanfaatkan informasi dari insiden yang sebelumnya dirahasiakan dan diketahui untuk membahas implikasi potensial bagi pembela PL. Kesadaran tentang tren hacktivisme yang muncul membantu para pembela PL untuk memprioritaskan penanggulangan dan membedakan front yang disponsori negara yang memanfaatkan jubah hacktivism.

selengkapnya : mandiant.com

Botnet Baru ‘Hinatabot’ Dapat Meluncurkan Serangan DDOS 3,3 Tbps yang Sangat Besar

by

Botnet malware baru ditemukan menargetkan Realtek SDK, router Huawei, dan server Hadoop Yarn untuk merekrut perangkat ke DDOS (Denial of Service) yang didistribusikan dengan potensi serangan besar-besaran.

Ditemukan oleh para peneliti di Akamai pada awal tahun, menangkapnya di honeypots HTTP dan SSH mereka, terlihat mengeksploitasi kelemahan lama seperti CVE-2014-8361 dan CVE-2017-17215.

Operator Hinatabot awalnya mendistribusikan binari Mirai, sementara Hinatabot pertama kali muncul pada pertengahan Januari 2023. Tampaknya didasarkan pada Mirai dan merupakan varian berbasis GO dari ketegangan terkenal.

Setelah menangkap beberapa sampel dari kampanye aktif baru-baru ini pada Maret 2023, para peneliti Akamai menyimpulkan bahwa malware sedang dalam pengembangan aktif, menampilkan peningkatan fungsional dan penambahan anti-analisis.

Kekuatan DDOS yang Signifikan
Malware didistribusikan oleh titik akhir SSH yang memuat brute atau menggunakan skrip infeksi dan muatan RCE untuk kerentanan yang diketahui.

Fungsi Serangan (Akamai)
Fungsi Serangan (Akamai)

Setelah menginfeksi perangkat, malware akan berjalan diam-diam, menunggu perintah untuk dieksekusi dari server perintah dan kontrol.

Hinatabot masih dalam pengembangan dan mungkin menerapkan lebih banyak eksploitasi dan memperluas ruang lingkup penargetan kapan saja. Selain itu, fakta bahwa perkembangannya sangat aktif meningkatkan kemungkinan melihat versi yang lebih kuat beredar di alam liar segera.

Selengkapnya: BleepingComputer

Malware Pesanan ‘NapListener’, Sebuah Mimpi Buruk untuk Deteksi Berbasis Jaringan

by

Aktor ancaman menggunakan aset jaringan yang sah dan kode open-source untuk terbang di bawah radar dalam serangan mencuri data menggunakan serangkaian malware kustom yang ditekuk pada penghindaran.

Peneliti mengamati Naplistener dalam bentuk baru yang dapat dieksekusi, dibuat dan diinstal pada jaringan korban sebagai layanan Windows pada 20 Januari. Aktor ancaman menciptakan yang dapat dieksekusi, wmdtc.exe, menggunakan konvensi penamaan yang mirip dengan biner sah yang digunakan oleh tersebut Layanan Koordinator Transaksi Terdistribusi Microsoft.

Fokus pada penghindaran deteksi
Menurut King, Naplistener adalah yang terbaru dari serangkaian jenis malware pesanan baru yang telah diamati oleh para peneliti elastis Ref2924 dalam serangannya yang mendukung fokus khusus pada menghindari deteksi berbasis jaringan. Kesamaan yang dimiliki keluarga malware baru ini yaitu mereka menggunakan aset jaringan yang akrab dan sah untuk menutupi kegiatan mereka.

Sementara kelompok ancaman lain juga mengadopsi pendekatan ini dengan malware pesanan, mereka melakukannya lebih jarang, dan kurang konsisten daripada ref2924. Catatannya menunjukkan bahwa Ref2924 bertaruh berat untuk menghindari deteksi untuk sukses.

Menurut para peneliti, secara khusus NapListener membuat pendengar permintaan HTTP yang dapat memproses permintaan yang masuk dari Internet, membaca data apa pun yang dikirimkan, memecahkan kode dari format Base64, dan menjalankannya dalam memori.

Melampaui deteksi tingkat jaringan
Perusahaan dalam garis silangnya dapat menghindari kompromi oleh kelompok terutama dengan memprioritaskan teknologi deteksi berbasis titik akhir, lebih dikenal sebagai deteksi dan respons titik akhir (EDR), karena REF2024 sangat fokus pada menghindari metode deteksi berbasis jaringan.

Teknologi lain yang dapat digunakan organisasi untuk memerangi malware yang dapat menghindari deteksi berbasis jaringan adalah penyaringan keluar, atau membatasi jenis komunikasi jaringan keluar yang diizinkan.

Selengkapnya: DARKReading

Korban Baru Muncul setelah Serangan Ransomware Massal

by

Clop mengklaim meretas 130 organisasi secara massal. Jumlah korban terserang ransomware massal, yang disebabkan oleh bug pada alat transfer data populer yang digunakan oleh bisnis di seluruh dunia, terus bertambah berdasarkan keterangan organisasi lain yang juga teretas pada TechCrunch.

Raksasa pembiayaan Kanada Investissement Québec, mengonfirmasi bahwa beberapa informasi pribadi karyawan baru-baru ini dicuri oleh grup ransomware yang mengklaim telah melanggar lusinan perusahaan lain. Juru bicara Isabelle Fontaine mengatakan insiden itu terjadi di Fortra, sebelumnya dikenal sebagai HelpSystems, yang mengembangkan alat transfer file GoAnywhere yang rentan.

Hitachi Energy juga mengkonfirmasi bahwa beberapa data karyawannya telah dicuri dalam insiden serupa yang melibatkan sistem GoAnywhere-nya, tetapi mengatakan bahwa insiden tersebut terjadi di Fortra.

Beberapa hari terakhir, geng Clop yang terkait dengan Rusia telah menambahkan beberapa organisasi lain ke situs kebocoran web gelapnya untuk memeras perusahaan lebih lanjut dengan mengancam akan menerbitkan file yang dicuri kecuali jika permintaan uang tebusan dibayarkan.

Sementara jumlah korban peretasan massal meningkat, dampak yang diketahui paling tidak jelas.

Sejak serangan pada akhir Januari atau awal Februari, Clop mengungkapkan kurang dari setengah dari 130 organisasi yang diklaim telah disusupi melalui GoAnywhere, sebuah sistem yang dapat dihosting di cloud atau di jaringan organisasi yang memungkinkan perusahaan untuk mentransfer set besar data dan file besar lainnya dengan aman.

Detail baru terungkap pada 2 Februari setelah reporter keamanan independen Brian Krebs pertama kali melaporkan detail bug tersebut, yang disembunyikan Fortra di balik layar login di situs webnya. Fortra merilis perbaikan keamanan untuk GoAnywhere lima hari kemudian.

Pengguna GoAnywhere lain yang teridentifikasi tidak menanggapi beberapa permintaan komentar, termasuk penyedia rehabilitasi dan kesehatan mental Kanada Homewood Health, penyedia perumahan terjangkau yang berbasis di Inggris Guinness Partnership, perusahaan perbankan ritel Avidia Bank, Medex Healthcare, Cornerstone Home Lending dan raksasa energi Kolombia Grupo Vanti.

Selengkapnya: TechCrunch+

Hacker Menguras ATM Bitcoin Sebesar $1,5 Juta dengan Mengeksploitasi Bug Zero-Day

by

Hacker meninggalkan pelanggan dalam bahaya kerugian yang tidak dapat dikembalikan, produsen kios mengungkapkannya.

Pencurian menargetkan ATM yang dijual oleh General Bytes, perusahaan dengan banyak lokasi di seluruh dunia. BATM atau ATM Bitcoin dapat dipasang di toserba dan bisnis lain untuk memungkinkan orang menukar bitcoin dengan mata uang lain dan sebaliknya. Pelanggan menghubungkan BATM ke server aplikasi crypto (CAS) yang dapat mereka kelola atau, hingga sekarang, yang dapat dikelola oleh General Bytes untuk mereka.

BATM menawarkan opsi yang memungkinkan pelanggan mengunggah video dari terminal ke CAS menggunakan mekanisme yang dikenal sebagai antarmuka server master.

Aktor ancaman tak dikenal mengeksploitasi kerentanan yang sebelumnya tidak diketahui, memungkinkannya menggunakan antarmuka ini untuk mengunggah dan menjalankan aplikasi Java berbahaya untuk melakukan pencurian. Kemudian ia menguras berbagai dompet panas sekitar $1,5 juta Bitcoin.

General Bytes menambal kerentanan 15 jam setelah mempelajarinya, tetapi karena cara kerja cryptocurrency, kerugian tidak dapat dipulihkan.

Pejabat General Bytes menulis bahwa seluruh tim bekerja keras untuk mengumpulkan semua data terkait pelanggaran keamanan dan terus bekerja menyelesaikan semua kasus untuk membantu klien kembali online dan terus mengoperasikan ATM mereka sesegera mungkin.

Ditulis juga permohonan maaf atas apa yang terjadi dan akan meninjau semua prosedur keamanan, dan saat ini sedang diupayakan untuk menjaga pelanggan yang terdampak tetap bertahan.

Praktisi keamanan telah lama menyarankan orang untuk menyimpan dana di dompet dingin yang tidak dapat diakses langsung ke Internet. Sayangnya, BATM dan jenis ATM cryptocurrency lainnya umumnya tidak dapat mengikuti praktik ini, menandakan bahwa BATM kemungkinan tetap menjadi target utama para hacker.

Selengkapnya: arsTECHNICA