Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Mozilla Memblokir Add-On Berbahaya Yang Telah Dipasang Oleh 455 Ribu Pengguna Firefox

by

Mozilla memblokir add-on Firefox berbahaya yang dipasang oleh sekitar 455.000 pengguna setelah menemukan pada awal Juni bahwa mereka menyalahgunakan API proxy untuk memblokir pembaruan Firefox.

Add-on (bernama Bypass dan Bypass XM) menggunakan API untuk mencegat dan mengarahkan permintaan web untuk memblokir pengguna dari mengunduh pembaruan, memperbarui konten yang dikonfigurasi dari jarak jauh, dan mengakses daftar blokir yang diperbarui.

“Dimulai dari Firefox 91.1, Firefox sekarang menyertakan perubahan untuk kembali ke koneksi langsung ketika Firefox membuat permintaan penting (seperti untuk pembaruan) melalui konfigurasi proxy yang gagal.

“Memastikan permintaan ini diselesaikan dengan sukses membantu kami memberikan pembaruan dan perlindungan penting terbaru kepada pengguna kami.”

Untuk memblokir add-on berbahaya serupa untuk menyalahgunakan API yang sama, Mozilla telah menambahkan add-on sistem (tersembunyi, tidak mungkin dinonaktifkan, dan dapat diperbarui tanpa henti) yang disebut Proxy Failover.

Add-on baru ini mencegah upaya untuk mengganggu mekanisme pembaruan di versi Firefox saat ini dan yang lebih lama.

Microsoft Defender adalah satu-satunya solusi anti-malware yang mendeteksi add-on sebagai berbahaya, menandainya sebagai BrowserModifier:JS/BypassPaywall.A.

Jika Anda tidak menjalankan Firefox 93 dan belum menonaktifkan pembaruan browser, Anda mungkin terpengaruh oleh masalah ini. Untuk memastikan, coba perbarui Firefox ke versi terbaru karena versi terbaru sudah di-bundle dengan blocklist yang diperbarui yang dirancang untuk menonaktifkan add-on berbahaya ini secara otomatis.

Selengkapnya: Bleeping Computer

Serangan siber Rusia terbaru menargetkan ratusan jaringan AS Lapor Microsoft

by

Badan yang berbasis di Rusia di balik serangan siber besar-besaran SolarWinds tahun lalu telah menargetkan ratusan lebih banyak perusahaan dan organisasi dalam gelombang serangan terbarunya terhadap sistem komputer yang berbasis di AS, kata Microsoft dalam sebuah posting blog.

Microsoft, dalam sebuah posting blog tertanggal 24 Oktober, mengatakan gelombang terbaru Nobelium menargetkan “pengecer dan penyedia layanan teknologi lainnya” dari layanan cloud.

Serangan-serangan itu adalah bagian dari kampanye yang lebih luas selama musim panas, kata Microsoft, seraya menambahkan bahwa pihaknya telah memberi tahu 609 pelanggan antara 1 Juli dan 19 Oktober bahwa mereka telah diserang.

Hanya sebagian kecil dari upaya terbaru yang berhasil, Microsoft mengatakan kepada New York Times, yang pertama kali melaporkan pelanggaran tersebut, tetapi tidak memberikan rincian lebih lanjut.

Pejabat keamanan siber AS tidak dapat segera dihubungi untuk mengkonfirmasi laporan tersebut.

Pejabat A.S. mengkonfirmasi kepada Times bahwa operasi itu sedang berlangsung, dengan seorang pejabat administrasi senior yang tidak disebutkan namanya menyebutnya “operasi run-of-the-mill yang tidak canggih yang dapat dicegah jika penyedia layanan cloud telah menerapkan praktik keamanan siber dasar.”

“Kegiatan baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan membangun mekanisme untuk mengawasi – sekarang atau di masa depan – target yang menarik bagi pemerintah Rusia, “tulis Microsoft.

Selengkapnya: Reuters

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

by

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

FBI Peringatkan Geng Ransomware BlackMatter Siap Menyerang

by

Otoritas federal memperingatkan bisnis untuk menopang pertahanan keamanan siber karena dengan hati-hati memantau kemunculan kembali geng ransomware DarkSide, yang diyakini bertanggung jawab atas serangan Colonial Pipeline yang melumpuhkan pada Mei 2021.

Geng ransomware-as-a-service telah berkumpul kembali di bawah moniker BlackMatter, menurut penasehat bersama yang diposting Senin oleh Cybersecurity and Infrastructure Security Agency (CISA), FBI dan National Security Agency (NSA).

Penasihat mendesak bisnis untuk meningkatkan pertahanan yang terkait dengan kredensial pengguna dan menerapkan kata sandi yang kuat dan otentikasi multi-faktor (MFA) untuk lebih menggagalkan peningkatan yang diantisipasi dalam aktivitas kriminal BlackMatter.

Penasihat tersebut menawarkan tip pertahanan siber dan potensi mitigasi serangan.

“Menggunakan kredensial tertanam yang sebelumnya dikompromikan, BlackMatter memanfaatkan protokol Lightweight Directory Access Protocol (LDAP) dan Server Message Block (SMB) untuk mengakses Active Directory (AD) untuk menemukan semua host di jaringan,” menurut penasihat tersebut. “BlackMatter kemudian mengenkripsi host dan drive bersama dari jarak jauh saat ditemukan.”

Karena taktiknya untuk menggunakan kredensial curian untuk menembus jaringan, beberapa mitigasi utama untuk mempertahankan diri dari serangan BlackMatter terkait dengan cara organisasi menangani otentikasi pengguna dan dengan demikian merupakan perbaikan praktis.

Badan-badan tersebut merekomendasikan untuk menegakkan kata sandi yang kuat dan menerapkan MFA di seluruh jaringan untuk menghindari kompromi dengan kredensial yang dicuri.

Menggunakan signature deteksi yang disediakan untuk mengidentifikasi aktivitas BlackMatter di jaringan juga dapat memblokir penempatan catatan tebusan grup pada bagian pertama yang dienkripsi, “selanjutnya memblokir lalu lintas SMB tambahan dari sistem encryptor selama 24 jam,” rekomendasi agensi.

Badan-badan tersebut merekomendasikan untuk menghapus akses yang tidak perlu ke pembagian administratif, terutama ADMIN$ dan C$, dan menggunakan firewall berbasis host untuk hanya mengizinkan koneksi ke pembagian administratif melalui SMB dari seperangkat mesin administrator yang terbatas.

Selengkapnya: Threat Post

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

by

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Twitter menangguhkan peretas yang diduga mencuri data 45 juta warga Argentina

by

Twitter telah menangguhkan seorang peretas yang diduga mencuri semua data dari database Argentina yang menyimpan ID dan informasi semua 45 juta warga negara itu.

Seorang aktor ancaman yang menggunakan username @aniballleaks mengatakan bahwa mereka berhasil meretas Daftar Orang Nasional Argentina — juga dikenal sebagai RENAPER atau Registro Nacional de las Personas — dan menawarkan untuk menjual data tersebut di forum kejahatan dunia maya.

Data yang bocor termasuk nama, alamat rumah, ulang tahun, nomor Tramite, nomor warga negara, ID foto pemerintah, kode identifikasi tenaga kerja, penerbitan kartu ID dan tanggal kedaluwarsa.

Awalnya, peretas mulai membocorkan informasi terkenal Argentina seperti Lionel Messi dan Sergio Aguero. Namun dalam percakapan dengan The Record, peretas mengatakan bahwa mereka berencana untuk mempublikasikan informasi “1 juta atau 2 juta orang” sambil mencari pembeli yang tertarik dengan data tersebut.

Peretas juga secara diam-diam mengkonfirmasi bagaimana mereka berhasil masuk ke National Registry of Persons, mencatat bahwa “karyawan ceroboh” yang memungkinkan mereka masuk ke sistem.

Pemerintah Argentina merilis pernyataan pada 13 Oktober yang menyangkal bahwa National Registry of Persons telah diretas.

Tetapi pernyataan itu juga mengatakan bahwa VPN dari seseorang di dalam Kementerian Kesehatan telah digunakan untuk mengakses Sistem Identitas Digital tepat sebelum akun Twitter membocorkan data awal pada profil tinggi Argentina itu.

Selengkapnya: ZDNet

Microsoft meminta admin untuk menambal PowerShell untuk memperbaiki bypass WDAC

by Leave a Comment

Microsoft telah meminta administrator sistem untuk menambal PowerShell 7 terhadap dua kerentanan yang memungkinkan penyerang untuk melewati penegakan Windows Defender Application Control (WDAC) dan mendapatkan akses ke kredensial plain text.

PowerShell adalah solusi lintas platform yang menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Microsoft merilis PowerShell 7.0.8 dan PowerShell 7.1.5 untuk mengatasi kerentanan keamanan ini di cabang PowerShell 7 dan PowerShell 7.1 pada bulan September dan Oktober.

WDAC dirancang untuk melindungi perangkat Windows dari perangkat lunak yang berpotensi berbahaya dengan memastikan bahwa hanya aplikasi dan driver tepercaya yang dapat berjalan, sehingga memblokir peluncuran malware dan perangkat lunak yang tidak diinginkan.

Saat lapisan keamanan WDAC berbasis perangkat lunak diaktifkan di Windows, PowerShell secara otomatis masuk ke mode bahasa terbatas, membatasi akses hanya ke serangkaian API Windows yang terbatas.

Dengan memanfaatkan fitur keamanan Windows Defender Application Control melewati kerentanan yang dilacak sebagai CVE-2020-0951, pelaku ancaman dapat menghindari daftar yang diizinkan WDAC, yang memungkinkan mereka menjalankan perintah PowerShell yang seharusnya diblokir saat WDAC diaktifkan.

Cacat kedua, dilacak sebagai CVE-2021-41355, adalah kerentanan pengungkapan informasi di .NET Core di mana kredensial dapat bocor dalam clear teks pada perangkat yang menjalankan platform non-Windows.

Microsoft mengatakan tidak ada langkah-langkah mitigasi saat ini tersedia untuk memblokir eksploitasi kelemahan keamanan ini.

Admin disarankan untuk menginstal versi PowerShell 7.0.8 dan 7.1.5 yang diperbarui sesegera mungkin untuk melindungi sistem dari potensi serangan.

Selengkapnya: Bleeping Computer