Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Microsoft menonaktifkan makro Excel 4.0 secara default untuk memblokir malware

by

Microsoft telah mengumumkan bahwa makro Excel 4.0 (XLM) sekarang akan dinonaktifkan secara default untuk melindungi pelanggan dari dokumen berbahaya. Perusahaan mengungkapkan akan menonaktifkan makro XLM di semua penyewa jika pengguna atau admin tidak mengaktifkan atau menonaktifkan fitur secara manual.

Mulai Juli 2021, admin Windows juga dapat menggunakan kebijakan grup dan pengguna pengaturan ‘Aktifkan makro XLM saat makro VBA diaktifkan’ dari Pusat Kepercayaan Excel untuk menonaktifkan fitur ini secara manual.

Admin dapat mengonfigurasi bagaimana makro Excel diizinkan untuk berjalan menggunakan pengaturan Kebijakan Grup, kebijakan Cloud, dan kebijakan ADMX.

Mereka juga dapat memblokir semua penggunaan makro XLM Excel di lingkungan mereka (termasuk file baru yang dibuat pengguna) dengan mengaktifkan Kebijakan Grup “Cegah Excel menjalankan makro XLM”, yang dapat dikonfigurasi melalui Editor Kebijakan Grup atau kunci registri.

Dokumen XLS dengan makro Excel 4.0 yang dikaburkan

Makro XLM (alias Excel 4.0) adalah format makro Excel default hingga Excel 5.0 dirilis pada tahun 1993 ketika Microsoft pertama kali memperkenalkan makro VBA yang masih merupakan format default.

Namun, meskipun dihentikan, pelaku ancaman masih menggunakan XLM tiga dekade kemudian untuk membuat dokumen yang menyebarkan malware atau melakukan perilaku berbahaya lainnya yang memanipulasi file di sistem file lokal karena versi Microsoft Office saat ini masih mendukung makro XLM.

Kampanye berbahaya yang menggunakan makro jenis ini untuk mendorong malware telah diamati dengan mengunduh dan menginstal TrickBot, Zloader, Qbot, Dridex, dan banyak jenis lainnya di komputer korban.

Microsoft juga diam-diam menambahkan Kebijakan Grup pada Oktober 2019 yang memungkinkan admin memblokir pengguna Excel dari membuka file Microsoft Query yang tidak tepercaya (dan berpotensi berbahaya) dengan ekstensi IQY, OQY, DQY, dan RQY.

File-file tersebut telah dipersenjatai dalam berbagai serangan berbahaya untuk mengirimkan Trojan akses jarak jauh dan pemuat malware sejak awal 2018.

Sumber : Bleeping Computer

Peretas China Terlihat Menggunakan Implan Firmware UEFI Baru dalam Serangan Bertarget

by

Kaspersky, yang memberi kode nama rootkit MoonBounce, mengkarakterisasi malware sebagai “implan firmware UEFI paling canggih yang ditemukan di alam liar hingga saat ini,” menambahkan “tujuan implan adalah untuk memfasilitasi penyebaran malware mode-pengguna yang melakukan eksekusi muatan lebih lanjut. diunduh dari internet.”

MoonBounce mengkhawatirkan karena menargetkan flash SPI, penyimpanan non-volatil di luar hard drive.

Dengan menempatkan malware bootkit yang sangat persisten di dalam penyimpanan flash yang disolder ke motherboard komputer, mekanisme ini tidak memungkinkan untuk dihapus melalui penggantian hard drive dan bahkan tahan terhadap penginstalan ulang sistem operasi.

Perusahaan keamanan siber Rusia mengatakan telah mengidentifikasi keberadaan rootkit firmware dalam satu insiden tahun lalu, yang menunjukkan sifat serangan yang sangat ditargetkan. Meskipun demikian, mekanisme pasti bagaimana firmware UEFI terinfeksi masih belum jelas.

“Rantai infeksi itu sendiri tidak meninggalkan jejak apa pun pada hard drive, karena komponennya hanya beroperasi di memori, sehingga memfasilitasi serangan tanpa file dengan jejak kecil,” catat para peneliti, menambahkan bahwa ia menemukan implan non-UEFI lainnya di target. jaringan berkomunikasi dengan infrastruktur yang sama yang menampung muatan pementasan

Untuk mengatasi modifikasi tingkat firmware seperti itu, disarankan untuk memperbarui firmware UEFI secara teratur serta mengaktifkan perlindungan seperti Boot Guard, Secure boot, dan Trust Platform Modules (TPM).

Perusahaan keamanan siber Binarly, dalam analisis independen, mencatat bahwa komponen UEFI MoonBounce dibuat untuk perangkat keras target yang terkait dengan sistem MSI mulai tahun 2014, dan bahwa malware dapat dikirimkan ke mesin yang disusupi baik melalui akses fisik atau melalui modifikasi perangkat lunak yang dihasilkan. dari kurangnya perlindungan SPI yang memadai.

“MoonBounce menandai evolusi tertentu dalam kelompok ancaman ini dengan menghadirkan aliran serangan yang lebih rumit dibandingkan dengan pendahulunya dan tingkat kompetensi teknis yang lebih tinggi oleh pembuatnya, yang menunjukkan pemahaman menyeluruh tentang detail halus yang terlibat dalam proses boot UEFI, ” kata para peneliti.

Selengkapnya: The Hacker News

Eksploitasi pada Dark Souls 3 dapat membuat peretas mengendalikan seluruh komputer Anda

by

Eksploitasi eksekusi kode jarak jauh (RCE) berbahaya yang ditemukan di Dark Souls 3 dapat membuat aktor jahat mengendalikan komputer Anda, menurut laporan dari Dexerto.

Eksploitasi terlihat beraksi selama aliran Twitch The__Grim__Sleeper dari Dark Souls 3 online. Di akhir streaming (1:20:22), game The__Grim__Sleeper crash, dan suara robot milik generator text-to-speech Microsoft tiba-tiba mulai mengkritik gameplay-nya.

The__Grim__Sleeper kemudian melaporkan bahwa Microsoft PowerShell terbuka dengan sendirinya, pertanda bahwa seorang peretas menggunakan program tersebut untuk menjalankan skrip yang memicu fitur text-to-speech.

Namun, kemungkinan ini bukan peretas jahat — postingan tangkapan layar di Perselisihan SpeedSouls dapat mengungkapkan niat sebenarnya “peretas”.

Menurut posting tersebut, “peretas” tahu tentang kerentanan dan berusaha menghubungi pengembang Dark Souls FromSoftware tentang masalah ini.

Dia laporan tersebut diabaikan, jadi dia mulai menggunakan peretasan pada streamer untuk menarik perhatian pada masalah tersebut.

Blue Sentinel, mod anti-cheat buatan komunitas untuk Dark Souls 3, telah ditambal untuk melindungi dari kerentanan RCE.

Dalam sebuah posting di r/darksouls3 subreddit, seorang pengguna menjelaskan bahwa (semoga) hanya empat orang yang tahu cara mengeksekusi peretasan RCE — dua di antaranya adalah pengembang Blue Sentinel, dan dua lainnya adalah orang-orang “yang mengerjakannya,” mungkin mengacu pada individu yang membantu mengungkap masalah.

Namun, untuk saat ini, mungkin yang terbaik adalah menjauh dari Dark Souls online sampai perbaikan resmi dirilis.

Seorang perwakilan Bandai Namco mengomentari posting Reddit sebagai tanggapan atas masalah ini, dengan menyatakan: “Terima kasih banyak atas pingnya, laporan tentang topik ini telah dikirimkan ke tim internal yang relevan sebelumnya hari ini, informasinya sangat dihargai!” The Verge menghubungi Bandai Namco untuk meminta komentar tetapi tidak segera mendapat tanggapan.

Selengkapnya: The Verge

ProtonMail Memblokir Sistem Pelacakan Email

by

ProtonMail telah memperkenalkan sistem perlindungan pelacakan email yang disempurnakan untuk solusi email berbasis web yang mencegah pengirim dilacak oleh penerima yang membuka pesan mereka.

ProtonMail adalah layanan email terenkripsi end-to-end yang berbasis di Swiss dan menggunakan pendekatan enkripsi sisi klien untuk menjaga privasi pengguna dan melindungi komunikasi mereka dari perantara pengintaian.
40% dari semua email memiliki pelacak

Menurut sebuah studi tahun 2017, hampir setengah dari semua email dikirim dan menerima pelacak fitur yang mengirimkan informasi kembali ke pengirim.

Informasi tersebut mencakup waktu penerima membuka email, berapa kali ditinjau kembali, perangkat apa yang dihubungi, dan alamat IP penerima.

Pelacak ini praktis tidak terlihat karena mereka hanya piksel kecil dalam gambar yang tertanam di badan email, dan mereka mencatat data tentang aktivitas pengguna setiap kali pesan dibuka.

Pelacak email sebagian besar digunakan untuk iklan bertarget tetapi juga dapat digunakan untuk de-anonimisasi, untuk mengekspos informasi penerima kepada pihak ketiga, atau hanya untuk memantau ketika seseorang telah membaca email Anda.

Pengumpulan data ini terjadi tanpa persetujuan pengguna, tetapi sistem ini sulit diatur, jadi pendekatan terbaik adalah memblokirnya.

Memblokir pelacak untuk semua pengguna

ProtonMail sekarang akan mulai memblokir pelacak email secara default di semua akun, termasuk pengguna gratis (tidak membayar).

Layanan webmail akan memblokir piksel yang diidentifikasi sebagai piksel berisiko dan menyembunyikan alamat IP pengguna sehingga lokasi mereka tetap tersembunyi.

Setiap kali pelacak diblokir, pengguna akan mendapatkan pemberitahuan yang relevan dengan ikon yang dapat diklik yang menyimpan lebih banyak informasi tentang pelacak yang terdeteksi.

Seperti yang dijelaskan perusahaan, sistem baru ini tidak akan mempengaruhi berlangganan buletin atau mendaftar untuk layanan online.

Pengguna ProtonMail dapat memeriksa apakah fitur privasi ini diaktifkan dengan masuk ke Pengaturan > Privasi Email dan mengonfirmasi apakah pengaturan pelacakan email Blokir diaktifkan, seperti yang ditunjukkan di bawah ini.

Cara lain untuk melindungi diri sendiri

Jika Anda tidak menggunakan ProtonMail, tetapi Anda masih ingin melindungi diri dari pelacak email, coba nonaktifkan pemuatan gambar / sumber daya pada klien email Anda.

Opsi ini tersedia di Thunderbird, Outlook, Gmail, dan Apple Mail, dan seharusnya cukup untuk memblokir sebagian besar pelacak dari pemuatan.

Anda juga dapat mematikan email HTML sepenuhnya dan membaca pesan Anda dalam bentuk teks biasa untuk keamanan tambahan. Namun, langkah ini tidak dianjurkan untuk pengalaman pengguna yang menyenangkan tetapi dapat membantu dalam kasus-kasus di mana perlindungan privasi sangat penting.

Bug Cisco Memberikan Hak Akses Root Penyerang Jarak Jauh Melalui Mode Debug

by

Cisco telah memperbaiki kelemahan keamanan kritis yang ditemukan di Cisco Redundancy Configuration Manager (RCM) untuk Cisco StarOS Software selama pengujian keamanan internal.

Kerentanan, dilacak sebagai CVE-2022-20649, memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) dengan hak istimewa tingkat root pada perangkat yang menjalankan perangkat lunak yang rentan.

“Kerentanan di Cisco RCM untuk Cisco StarOS Software dapat memungkinkan penyerang jarak jauh yang tidak diautistik untuk melakukan eksekusi kode jarak jauh pada aplikasi dengan hak istimewa tingkat akar dalam konteks wadah yang dikonfigurasi,” kata Cisco.

Seperti yang dijelaskan perusahaan lebih lanjut, kerentanan ada karena mode debug salah diaktifkan untuk layanan tertentu.

“Penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke perangkat dan menavigasi ke layanan dengan mode debug diaktifkan. Eksploitasi yang sukses dapat memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang sebagai pengguna akar,” tambah Cisco.

Namun, untuk akses yang tidak diautistik ke perangkat yang menjalankan perangkat lunak yang tidak ditamtik, para penyerang pertama-tama perlu melakukan pengintaian terperinci untuk menemukan layanan yang rentan.

Tidak ada eksploitasi di alam liar

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa perusahaan tidak mengetahui eksploitasi kerentanan ini dalam serangan yang sedang berlangsung.

Hari ini, Cisco juga memperbaiki bug pengungkapan informasi tingkat keparahan menengah (CVE-2022-20648) di Cisco RCM untuk Cisco StarOS yang disebabkan oleh layanan debug yang salah mendengarkan dan menerima koneksi masuk.

Penyerang jarak jauh dapat mengeksploitasi bug kedua ini dengan mengeksekusi perintah debug setelah terhubung ke port debug. Eksploitasi yang berhasil dapat memungkinkan mereka untuk mengakses informasi debugging sensitif pada perangkat yang rentan.

Perusahaan telah merilis Cisco RCM untuk StarOS 21.25.4, yang dilengkapi dengan pembaruan keamanan untuk mengatasi kekurangan ini dan tersedia melalui Software Center pada Cisco.com.

Tahun lalu, Cisco menambal beberapa kerentanan lain yang memungkinkan aktor ancaman untuk mengeksekusi kode dan perintah dari jarak jauh dengan hak istimewa root.

Misalnya, ini membahas cacat RCE pra-otentikasi kritis yang berdampak pada SD-WAN vManage yang dapat memungkinkan aktor ancaman untuk mendapatkan hak istimewa root pada OS yang mendasarinya pada bulan Mei. Bug pra-auth lain dalam perangkat lunak yang sama, yang memungkinkan penyerang untuk mendapatkan RCE sebagai root, diperbaiki pada bulan April.

Sumber: Bleepingcompter

Spyware ‘anomali’ mencuri kredensial di perusahaan industri

by

Para peneliti telah menemukan beberapa kampanye spyware yang menargetkan perusahaan industri, yang bertujuan untuk mencuri kredensial akun email dan melakukan penipuan keuangan atau menjualnya kembali kepada aktor lain.

Para aktor menggunakan alat spyware yang tersedia tetapi hanya menggunakan setiap varian untuk waktu yang sangat terbatas untuk menghindari deteksi.

Contoh malware yang digunakan dalam serangan termasuk AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult, dan Lokibot.

Serangan spyware ini disebut ‘anomali’ karena sifatnya yang berumur sangat pendek yaitu sekitar 25 hari, sedangkan sebagian besar kampanye spyware berlangsung selama beberapa bulan atau bahkan bertahun-tahun.

Durasi serangan dibandingkan dengan statistik dari semua deteksi
Sumber: Kaspersky

Jumlah sistem yang diserang dalam kampanye ini selalu di bawah seratus, setengahnya adalah mesin ICS (sistem komputer terintegrasi) yang digunakan di lingkungan industri.

Elemen lain yang tidak biasa adalah menggunakan protokol komunikasi berbasis SMTP untuk mengekstrak data ke server C2 yang dikendalikan aktor.

SMTP adalah saluran satu arah yang hanya melayani pencurian data, SMTP berkembang melalui kesederhanaan dan kemampuannya untuk berbaur dengan lalu lintas jaringan biasa.

Mencuri kredensial untuk melanjutkan infiltrasi
Para aktor menggunakan kredensial karyawan curian yang mereka peroleh melalui spear-phishing untuk menyusup lebih dalam dan bergerak secara lateral di jaringan perusahaan.

Selain itu, mereka menggunakan kotak surat perusahaan yang dikompromikan dalam serangan sebelumnya sebagai server C2 untuk serangan baru, membuat deteksi dan penandaan korespondensi internal berbahaya menjadi sangat menantang.

diagram operasional
Sumber: Kaspersky

Dalam hal jumlah, para analis mengidentifikasi setidaknya 2.000 akun email perusahaan yang disalahgunakan sebagai server C2 sementara dan 7.000 akun email lainnya disalahgunakan dengan cara lain.

Menjual di pasar Darkweb
Banyak kredensial akun RDP, SMTP, SSH, cPanel, dan VPN email yang dicuri dalam kampanye ini diposting di pasar web gelap dan akhirnya dijual ke pelaku ancaman lainnya.

Menurut analisis statistik Kaspersky, sekitar 3,9% dari semua akun RDP yang dijual di pasar ilegal ini adalah milik perusahaan industri.

Akun RDP (protokol desktop jarak jauh) sangat berharga bagi penjahat dunia maya karena memungkinkan mereka mengakses mesin yang disusupi dari jarak jauh dan berinteraksi langsung dengan perangkat tanpa menimbulkan tanda bahaya.

Sumber : Bleeping Computer

Kelemahan Plugin WordPress Menempatkan 20.000 Situs pada Risiko Phishing

by Leave a Comment

Plugin WordPress WP HTML Mail, yang diinstal di lebih dari 20.000 situs, rentan terhadap cacat tingkat keparahan tinggi yang dapat menyebabkan injeksi kode dan distribusi email phishing yang meyakinkan.

‘WP HTML Mail’ adalah plugin yang digunakan untuk merancang email khusus, pemberitahuan formulir kontak, dan pesan yang umumnya disesuaikan yang dikirim platform online ke audiens mereka.

Plugin ini kompatibel dengan WooCommerce, Ninja Forms, BuddyPress, dan lain-lain. Sementara jumlah situs yang menggunakannya tidak besar, banyak yang memiliki audiens yang besar, memungkinkan cacat untuk mempengaruhi sejumlah besar pengguna internet.

Menurut sebuah laporan oleh tim Threat Intelligence Wordfence, seorang aktor yang tidak diautistik dapat memanfaatkan cacat yang dilacak sebagai “CVE-2022-0218” untuk memodifikasi template email untuk berisi data sewenang-wenang yang dipilih penyerang.

Selain itu, aktor ancaman dapat menggunakan kerentanan yang sama untuk mengirim email phishing kepada siapa pun yang terdaftar di situs yang dikompromikan.

Titik akhir API yang tidak dilindungi

Masalahnya terletak pada pendaftaran plugin dari dua rute REST-API yang digunakan untuk mengambil dan memperbarui pengaturan template email.

Titik akhir API ini tidak dilindungi secara memadai dari akses yang tidak sah, sehingga bahkan pengguna yang tidak diautistik dapat memanggil dan menjalankan fungsi.

Terlepas dari kemungkinan serangan phishing, musuh juga bisa menyuntikkan JavaScript berbahaya ke dalam template surat, yang akan mengeksekusi kapan saja administrator situs mengakses editor email HTML.

Ini berpotensi membuka jalan untuk menambahkan akun admin baru, mengarahkan pengunjung situs ke situs phishing, menyuntikkan backdoor ke file tema, dan bahkan menyelesaikan pengambilalihan situs.

Pengungkapan dan perbaikan

Wordfence menemukan dan mengungkapkan kerentanan kepada pengembang plugin pada 23 Desember 2021, tetapi mereka baru mendapat tanggapan pada 10 Januari 2022.

Pembaruan keamanan yang mengatasi kerentanan datang pada 13 Januari 2022, dengan rilis versi 3.1.

Dengan demikian, semua pemilik dan administrator situs WordPress disarankan untuk memverifikasi bahwa mereka menjalankan versi terbaru dari plugin ‘WP HTML Mail’.

Sumber: Bleepingcomputer

FBI menautkan ransomware Diavol ke grup kejahatan dunia maya TrickBot

by

FBI telah secara resmi menghubungkan operasi ransomware Diavol ke Grup TrickBot, pengembang malware di balik trojan perbankan TrickBot yang terkenal kejam.

Geng TrickBot, alias Wizard Spider, adalah pengembang infeksi malware yang telah merusak jaringan perusahaan selama bertahun-tahun, umumnya mengarah pada serangan ransomware Conti dan Ryuk, penyusupan jaringan, penipuan keuangan, dan spionase perusahaan.

Pada Juli 2021, peneliti dari FortiGuard Labs merilis analisis ransomware baru bernama Diavol (bahasa Rumania untuk Iblis) yang terlihat menargetkan korban perusahaan.

Para peneliti melihat muatan ransomware Diavol dan Conti disebarkan di jaringan dalam serangan ransomware yang sama pada awal Juni 2021.

Setelah menganalisis dua sampel ransomware, kesamaan ditemukan, seperti penggunaan operasi I/O asinkron untuk antrian enkripsi file dan parameter baris perintah yang hampir identik untuk fungsi yang sama.

Sebulan kemudian, peneliti IBM X-Force membangun hubungan yang lebih kuat antara ransomware Diavol dan malware TrickBot Gang lainnya, seperti Anchor dan TrickBot.

FBI menghubungkan ransomware Diavol ke geng TrickBot
FBI telah secara resmi mengumumkan bahwa mereka telah menghubungkan operasi Ransomware Diavol ke Geng TrickBot dalam indikator berbagi penasehat baru dari kompromi yang terlihat pada serangan sebelumnya.

Sejak itu, FBI telah melihat tuntutan tebusan berkisar antara $10.000 dan $500.000, dengan pembayaran yang lebih rendah diterima setelah negosiasi tebusan.

Warning.txt ransom note dari Diavol ransomware

Jumlah ini sangat kontras dengan tebusan yang lebih tinggi yang diminta oleh operasi ransomware lain yang terkait dengan TrickBot, seperti Conti dan Ryuk, yang secara historis meminta tebusan jutaan dolar.

FBI dapat secara resmi menghubungkan Diavol ke Geng TrickBot setelah penangkapan Alla Witte, seorang wanita Latvia yang terlibat dalam pengembangan ransomware untuk geng malware.

“Alla Witte memainkan peran penting untuk operasi TrickBot dan berdasarkan wawasan permusuhan mendalam AdvIntel sebelumnya, dia bertanggung jawab atas pengembangan ransomware Diavol dan proyek frontend/backend yang dimaksudkan untuk mendukung operasi TrickBot dengan ransomware khusus yang disesuaikan dengan bot backconnectivity antara TrickBot dan Diavol,” kata Kremez

“Nama lain untuk ransomware Diavol disebut ransomware “Enigma” yang dimanfaatkan oleh kru TrickBot sebelum merek ulang Diavol.”

Perlu dicatat bahwa ransomware Diavol awalnya membuat catatan tebusan bernama ‘README_FOR_DECRYPT.txt’ seperti yang ditunjukkan oleh penasihat FBI, tetapi geng ransomware beralih pada bulan November ke catatan tebusan bernama ‘Warning.txt.’

FBI juga mendesak semua korban, terlepas dari apakah mereka berencana untuk membayar uang tebusan, untuk segera memberi tahu penegak hukum tentang serangan untuk mengumpulkan IOC baru yang dapat mereka gunakan untuk tujuan investigasi dan operasi penegakan hukum.

Jika Anda terkena serangan Diavol, penting juga untuk memberi tahu FBI sebelum membayar karena mereka “mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol.”

Sumber : Bleeping Computer