Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Lemahnya Microsoft Defender memungkinkan peretas melewati deteksi malware

by

Pelaku ancaman dapat memanfaatkan kelemahan yang memengaruhi antivirus Microsoft Defender di Windows untuk mempelajari lokasi yang dikecualikan dari pemindaian dan menanam malware di sana.

Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.

Seperti solusi antivirus lainnya, Microsoft Defender memungkinkan pengguna menambahkan lokasi (lokal atau di jaringan) pada sistem mereka yang harus dikecualikan dari pemindaian malware.

Orang biasanya membuat pengecualian untuk mencegah antivirus memengaruhi fungsionalitas aplikasi sah yang terdeteksi secara keliru sebagai malware.

Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi penyerang pada sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.

Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.

Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.

Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan karena melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah “permintaan reg” mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.

Selengkapnya: Bleeping Computer

Korea Utara mencuri rekor $400 juta dalam cryptocurrency tahun lalu, kata para peneliti

by

Korea Utara mencuri hampir $400 juta dalam cryptocurrency pada tahun 2021, khususnya ethereum, para peneliti telah menemukan, menunjukkan strategi nasional peretasan dan pencucian uang digital tetap berhasil.

Negara yang terisolasi, yang dilanda sanksi dari Amerika Serikat dan negara-negara lain, telah lama mengandalkan korps peretasnya untuk membobol lembaga keuangan di seluruh dunia untuk mencuri uang.

Dalam beberapa tahun terakhir, para peretas tersebut semakin fokus pada perusahaan yang menangani dan memperdagangkan mata uang kripto, yang disimpan dalam dompet digital dan dapat dengan mudah dikirim ke seluruh dunia jika seorang peretas memperoleh akses.

Sebuah laporan PBB tahun lalu menemukan bahwa Korea Utara telah meretas dan mencuri aset virtual senilai $316 juta antara 2019 dan 2020 untuk digunakan dalam program senjata nuklirnya.

Taktik itu sangat efektif tahun lalu, menurut para peneliti di Chainalysis, sebuah perusahaan yang memantau transaksi di blockchain, yang merupakan semacam catatan publik yang melacak semua transaksi untuk sebagian besar cryptocurrency. Peretas Korea Utara berhasil menembus setidaknya tujuh pertukaran mata uang kripto dan mencuci uangnya, kata perusahaan itu.

Korea Utara terus-menerus mencuci mata uang kripto yang diretas dalam jumlah sedang sambil mempertahankan sekitar $ 170 juta dari peretasan yang sebelumnya, katanya, memanfaatkan fakta bahwa mata uang kripto utama seperti bitcoin dan ethereum telah meningkat nilainya dalam beberapa tahun terakhir.

“Mereka sangat strategis. Mereka tidak terburu-buru dalam menguangkan, ”kata Plante. “Mereka melihat jumlah yang jauh lebih besar” karena mereka menunggu, katanya

Selengkapnya: NBC News

Layanan Keamanan Ukraina menangkap kelompok ransomware karena menyerang 50 perusahaan

by

Spesialis Siber Ukraina dari Dinas Keamanan Ukraina melakukan operasi bersama dengan polisi siber, mitra Amerika dan Inggris untuk melenyapkan sekelompok peretas yang kuat.

Dan mereka berhasil menahan lima penjahat yang tergabung dalam geng ransomware yang bertanggung jawab melancarkan serangan terhadap 50 perusahaan milik Amerika dan Eropa. Namun, geng ransomware milik mereka belum diungkapkan.

Penangkapan terjadi awal pekan ini dengan peretas utama adalah warga Kyiv berusia 36 tahun, pasangannya dan tiga orang lainnya. Penangkapan tersebut dibenarkan oleh kelompok-kelompok yang melakukan tindakan ilegal dan jahat terhadap badan-badan pemerintah dan swasta untuk mengenkripsi dan mencuri data, dengan serangan ransomware dan DDOS.

Sesuai pernyataan pihak berwenang Ukraina, Seluruh tindakan itu dilakukan dari perangkat pribadi mereka, dan untuk menghindari klaim ilegal, mereka menyamar dengan nama berbeda di jaringan Darknet.

Selain itu, mereka memiliki koneksi dan jaringan untuk mencuci uang dan keuntungan mereka ke kartu pembayaran yang dimiliki oleh individu fiktif.

Setelah beberapa analisis, pihak berwenang Ukraina mengklaim bahwa geng tersebut telah menghasilkan sekitar satu juta dollar dari serangan tersebut.

Pihak berwenang melakukan pencarian menyeluruh di sembilan lokasi berbeda yang penggerebekan dilakukan dengan bantuan dari lembaga penegak hukum AS dan Inggris. Peralatan yang disita meliputi laptop, desktop, ponsel, kartu kredit/debit, flash drive, dan tiga mobil.

Pihak berwenang dari negara lain juga siap untuk menahan dan menyelidiki para penjahat karena serangan itu juga dilakukan di luar negeri.

Namun, kita perlu apresiasi pihak berwenang Ukraina atas penyaringan berkelanjutan dan prosedur perang siber yang telah mereka lakukan sejak awal tahun 2021.

Selengkapnya: The Cybersecurity Times

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer

Apple Perbaiki Bug doorLock yang Dapat Menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan yang terus-menerus (DoS) yang dijuluki doorLock yang sama sekali akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS untuk menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari ini, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan menabrak perangkat iOS dan iPadOS yang terkena dampak ketika memproses nama aksesori HomeKit yang dibuat dengan jahat.

Apple telah mengatasi masalah kelelahan sumber daya yang parah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang lebih baik yang tidak lagi memungkinkan penyerang untuk menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan hari ini termasuk iPhone 6s dan yang lebih baru, iPad Pro (semua model), iPad Air 2 dan yang lebih baru, iPad generasi ke-5 dan yang lebih baru, iPad mini 4 dan yang lebih baru, dan iPod touch (generasi ke-7).

“Empat bulan lalu saya menemukan dan melaporkan penolakan serius terhadap bug layanan di iOS yang masih tetap dalam rilis terbaru. Ini berlanjut melalui reboot dan dapat memicu setelah pemulihan dalam kondisi tertentu, “Trevor Spiniolas, programmer dan “peneliti keamanan awal” yang melihat dan melaporkan bug.

“Semua persyaratan adalah pengaturan default. Ketika seseorang mengatur perangkat iOS mereka, semuanya sudah agar bug berfungsi. Jika mereka menerima undangan rumah berbahaya dari sana, perangkat mereka berhenti bekerja. ”

Perbaikan tertunda sejak Agustus

Menurut Spiniolas, Apple telah mengetahui tentang doorlock sejak Agustus 2021, tetapi mendorong pembaruan keamanan beberapa kali meskipun berulang kali berjanji untuk memperbaikinya.

“Saya percaya bug ini ditangani secara tidak tepat karena menimbulkan risiko serius bagi pengguna dan berbulan-bulan telah berlalu tanpa perbaikan yang komprehensif,” kata Spinolas.

“Masyarakat harus menyadari kerentanan ini dan bagaimana mencegahnya dieksploitasi, daripada disimpan dalam kegelapan.”

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan menipu target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan mengatur ulang perangkat yang dinonaktifkan, mengingat bahwa itu akan sekali lagi macet setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Patch zero-day juga tertunda

Pada bulan September, pengembang perangkat lunak Denis Tokarev juga menjatuhkan kode eksploitasi proof-of-concept untuk tiga kekurangan zero-day iOS di GitHub setelah Apple menunda patching dan gagal mengkreditnya ketika menambal yang keempat pada bulan Juli.

Satu bulan kemudian, dengan merilis iOS 15.0.2, Apple memperbaiki salah satu kerentanan ‘gamed’ zero-day yang dilaporkan oleh Tokarev.

Namun, Apple tidak mengakui atau memujinya atas penemuan itu dan juga memintanya untuk tetap diam dan tidak mengungkapkan kepada orang lain bahwa perusahaan gagal memberinya kredit untuk bug tersebut.

Peneliti keamanan lainnya dan pemburu hadiah bug juga telah melalui pengalaman serupa yang mengatakan bahwa mereka telah disimpan dalam kegelapan selama berbulan-bulan dengan Apple menolak untuk membalas pesan mereka.

Sumber: Bleepingcomputer

Peretas OceanLotus Beralih ke File Arsip Web untuk Menyebarkan Backdoors

by

Kelompok OceanLotus dari hacker yang disponsori negara sekarang menggunakan format file arsip web (. MHT dan . MHTML) untuk menyebarkan backdoors ke sistem yang dikompromikan.

Tujuannya adalah untuk menghindari deteksi oleh alat solusi antivirus yang lebih mungkin untuk menangkap format dokumen yang umum disalahgunakan dan menghentikan korban dari membukanya di Microsoft Office.

Juga dilacak sebagai APT32 dan SeaLotus, para peretas telah menunjukkan kecenderungan di masa lalu untuk mencoba metode yang kurang umum untuk menyebarkan malware.

Sebuah laporan dari Netskope Threat Labs yang dibagikan dengan Bleeping Computer sebelumnya mencatat bahwa kampanye OceanLotus menggunakan file arsip web masih aktif, meskipun ruang lingkup penargetan sempit dan meskipun server command and control (C2) terganggu.

Dari RAR ke word macros

Rantai serangan dimulai dengan kompresi RAR dari file arsip web besar 35-65MB yang berisi dokumen Word berbahaya.

Untuk melewati perlindungan Microsoft Office, para aktor telah mengatur properti ZoneID dalam metadata file ke “2”, membuatnya tampak seolah-olah diunduh dari sumber yang dapat dipercaya.

Saat membuka file arsip web dengan Microsoft Word, dokumen yang terinfeksi meminta korban untuk “Mengaktifkan Konten”, yang membuka jalan untuk mengeksekusi kode makro VBA berbahaya.

Skrip melakukan tugas-tugas berikut pada mesin yang terinfeksi:

  • Menjatuhkan payload ke “C:ProgramDataMicrosoftUser Account Picturesguest.bmp”;
  • Menyalin payload ke “C:ProgramDataMicrosoft Outlook Syncguest.bmp”;
  • Membuat dan menampilkan dokumen umpan bernama “Dokumen.doc”;
  • Mengganti nama muatan dari “tamu.bmp” menjadi “latar belakang.dll”;
  • Menjalankan DLL dengan memanggil fungsi ekspor “SaveProfile” atau “OpenProfile”

Setelah payload dieksekusi, kode VBA menghapus file Word asli dan membuka dokumen umpan yang melayani korban kesalahan palsu.

Backdoor menggunakan layanan hosting Glitch

Payload yang dijatuhkan dalam sistem adalah DLL 64-bit yang mengeksekusi setiap 10 menit berkat tugas terjadwal yang meniru cek pembaruan WinRAR.

Backdoor disuntikkan ke dalam proses rundll32.exe berjalan tanpa batas waktu dalam memori sistem untuk menghindari deteksi, netskope mencatat dalam laporan teknisnya.

Malware mengumpulkan informasi adaptor jaringan, nama komputer, nama pengguna, menyebutkan direktori dan file sistem, memeriksa daftar proses yang berjalan.

Setelah data dasar dikumpulkan, backdoor mengkompilasi semuanya menjadi satu paket dan mengenkripsi konten sebelum dikirim ke server C2.

Server ini di-host di Glitch, hosting cloud dan layanan kolaborasi pengembangan web yang sering disalahgunakan untuk tujuan jahat.

Dengan menggunakan layanan cloud hosting yang sah untuk komunikasi C2, para aktor semakin mengurangi kemungkinan terdeteksi bahkan ketika alat pemantauan lalu lintas jaringan dikerahkan.

Meskipun Glitch menurunkan URL C2 yang diidentifikasi dan dilaporkan oleh para peneliti Netskope, tidak mungkin ini akan menghentikan APT32 dari membuat yang baru menggunakan akun yang berbeda.

Untuk daftar lengkap indikator kompromi dari kampanye ini, Anda dapat memeriksa repositori GitHub ini.

Sumber: Bleepingcomputer

EA: 50 Akun Ternama FIFA 22 Diambil Alih oleh Aktor Phishing

by

Electronic Arts (EA) telah menerbitkan tanggapan resmi terhadap banyak laporan tentang akun pemain yang diretas, mengkonfirmasikan masalah dan menghubungkannya dengan aktor phishing.

Seperti yang dijelaskan pemberitahuan itu, peretas menggunakan rekayasa sosial terhadap tim pengalaman pelanggan EA untuk melewati otentikasi dua faktor dan mengambil lebih dari 50 akun pemain.

FIFA 22 adalah permainan simulasi sepak bola (sepak bola) yang sangat populer yang menampilkan mode multi-pemain di mana orang dapat bersaing secara real-time, memperdagangkan item dalam game, dll.

Perusahaan game telah berjanji untuk mengembalikan akses pemilik yang sah ke akun yang dikompromikan dan juga telah mengumumkan langkah-langkah berikut untuk mencegah hal ini terjadi lagi di masa depan:

  • Semua Penasihat EA dan individu yang membantu layanan Akun EA menerima pelatihan ulang individual dan pelatihan tim tambahan, dengan penekanan khusus pada praktik keamanan akun dan teknik phishing yang digunakan dalam contoh khusus ini.
  • Implementasi langkah-langkah tambahan untuk proses verifikasi kepemilikan akun, seperti persetujuan manajerial wajib untuk semua permintaan perubahan email.
  • Perangkat lunak pengalaman pelanggan akan diperbarui untuk mengidentifikasi aktivitas yang mencurigakan dengan lebih baik, menandai akun berisiko, dan selanjutnya membatasi potensi kesalahan manusia dalam proses pembaruan akun.

Perubahan di atas pasti akan membuat layanan pelanggan lebih rumit dan lambat, tetapi mereka akan meningkatkan keamanan akun, sesuatu yang telah dikeluhkan oleh komunitas FIFA selama bertahun-tahun.

“Kami ingin meminta maaf atas ketidaknyamanan dan frustrasi yang disebabkan ini, dan bahwa kami tidak dapat berbagi rincian tambahan dalam komunikasi asli kami minggu lalu saat kami melakukan penyelidikan menyeluruh.”

Akun profil ternama diretas

Akun yang ditargetkan oleh aktor phishing termasuk pemain sepak bola nyata seperti Valentin Rosier, streamer profesional, dan pedagang mata uang dalam game.

Akun-akun profil tinggi ini telah menginvestasikan sejumlah besar uang dalam permainan dan menggunakannya sebagai sumber pendapatan dengan memonetisasi kehadiran mereka di ruang virtual itu.

Beberapa pemegang akun yang diretas menunjukkan kemungkinan staf EA memberikan data pribadi mereka kepada peretas, yang akan melanggar GDPR, menimbulkan denda hingga 4% dari omset tahunan EA.

Namun, pada saat ini, tidak ada penyelidikan perlindungan data yang diumumkan, dan penyelidikan EA atas insiden tersebut masih berlangsung, sehingga ruang lingkup dampak belum ditentukan dengan pasti.

Perlu juga dicatat bahwa Bleeping Computer telah melihat laporan akun FIFA 22 tingkat rendah yang telah diretas baru-baru ini, sehingga jumlah akun yang diambil alih oleh aktor phishing mungkin jauh lebih besar dari 50.

Sumber: Bleepingcomputer

Atlet Belanda Diperingatkan untuk Tidak Membawa Ponsel dan Laptop ke China

by

Atlet Belanda yang bersaing di Olimpiade Musim Dingin Beijing bulan depan harus meninggalkan ponsel dan laptop mereka di rumah dalam langkah yang belum pernah terjadi sebelumnya untuk menghindari spionase China, surat kabar Belanda De Volkskrant melaporkan pada hari Selasa.

Saran mendesak kepada atlet dan staf pendukung untuk tidak membawa perangkat pribadi ke China adalah bagian dari serangkaian langkah-langkah yang diusulkan oleh Komite Olimpiade Belanda (NOCNSF) untuk menangani kemungkinan campur tangan oleh agen negara China, kata surat kabar itu mengutip sumber yang dekat dengan masalah ini.

Juru bicara NOCNSF Geert Slot mengatakan cybersecurity adalah bagian dari penilaian risiko yang dibuat untuk perjalanan ke China, tetapi menolak untuk mengomentari tindakan spesifik apa pun.

“Pentingnya cybersecurity tentu saja telah berkembang selama bertahun-tahun,” kata Slot. “Tapi China telah benar-benar menutup internetnya, yang menjadikannya kasus tertentu.”

Anggota tim Belanda akan dilengkapi dengan perangkat yang tidak terpakai di China, untuk melindungi data pribadi mereka dari pengawasan China, kata sumber itu kepada De Volkskrant.

Setidaknya 30 atlet Belanda akan bersaing di Olimpiade Beijing bulan depan, terutama dalam acara skating kecepatan dan trek pendek.

Sumber: Reuters