Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Bug LibreOffice, OpenOffice Memungkinkan Peretas Untuk Memalsukan Dokumen Yang Ditandatangani

by

LibreOffice dan OpenOffice telah mendorong pembaruan untuk mengatasi kerentanan yang memungkinkan penyerang memanipulasi dokumen agar tampak ditandatangani oleh sumber tepercaya.

Meskipun tingkat keparahan bug diklasifikasikan sebagai sedang, implikasinya bisa mengerikan. Tanda tangan digital yang digunakan dalam makro dokumen dimaksudkan untuk membantu pengguna memverifikasi bahwa dokumen tersebut belum diubah dan dapat dipercaya.

Penemuan bug, yang dilacak sebagai CVE-2021-41832 untuk OpenOffice, adalah karya empat peneliti di Ruhr University Bochum.

Bug yang sama berdampak pada LibreOffice, yang merupakan cabang dari OpenOffice yang muncul dari proyek utama lebih dari satu dekade lalu, dan untuk proyek mereka dilacak sebagai CVE-2021-25635.

Jika Anda menggunakan salah satu suite kantor sumber terbuka di atas, Anda disarankan untuk segera mememperbarui ke versi terbaru yang tersedia. Untuk OpenOffice, itu akan menjadi 4.1.10 dan yang lebih baru, dan untuk LibreOffice, 7.0.5 atau 7.1.1 dan yang lebih baru.

Karena tidak satu pun dari kedua aplikasi ini yang menawarkan pembaruan otomatis, Anda harus melakukannya secara manual dengan mengunduh versi terbaru dari masing-masing pusat unduhan – LibreOffice, OpenOffice.

Jika Anda menggunakan Linux dan versi yang disebutkan di atas belum tersedia di packet manager distribusi Anda, Anda disarankan untuk mengunduh paket “deb”, atau “rpm” dari pusat Unduhan atau buat LibreOffice dari sumber.

Selengkapnya: Bleeping Computer

Pembaruan Darurat Apple iOS 15.0.2 Memperbaiki Zero-Day

by

Apple telah merilis iOS 15.0.2 dan iPadOS 15.0.2 untuk memperbaiki kerentanan zero-day yang secara aktif dieksploitasi dalam serangan yang menargetkan Ponsel dan iPad.

Kerentanan ini, dilacak sebagai CVE-2021-30883, adalah bug korupsi memori kritis di IOMobileFrameBuffer yang memungkinkan aplikasi untuk menjalankan perintah pada perangkat yang rentan dengan hak istimewa kernel.

Karena hak istimewa kernel memungkinkan aplikasi untuk menjalankan perintah apa pun di perangkat, pelaku ancaman berpotensi menggunakannya untuk mencuri data atau menginstal malware lebih lanjut.

Sementara Apple belum memberikan perincian tentang bagaimana kerentanan ini digunakan dalam serangan, mereka menyatakan bahwa ada laporan bahwa itu digunakan secara aktif dalam serangan.

Namun, segera setelah kerentanan dirilis, peneliti keamanan Saar Amar menerbitkan penulisan teknis dan eksploitasi bukti konsep yang berasal dari rekayasa balik patch.

Daftar perangkat yang terpengaruh cukup luas, memengaruhi model lama dan baru, termasuk iPhone 6s dan lebih baru, iPad Pro (semua model), iPad Air 2 dan lebih baru, iPad generasi ke-5 dan lebih baru, iPad mini 4 dan lebih baru, dan iPod touch (generasi ke-7).

Meskipun ada kemungkinan bahwa kerentanan digunakan dalam serangan yang ditargetkan dan tidak digunakan secara luas, sangat disarankan untuk menginstal pembaruan sesegera mungkin mengingat tingkat keparahannya yang tinggi.

Selengkapnya: Bleeping Computer

Malware FontOnLake menginfeksi sistem Linux melalui utilitas trojan

by

Keluarga malware yang baru saja ditemukan telah menginfeksi sistem Linux yang bersembunyi di dalam binari yang sah. Dijuluki FontOnLake, malware ini memberikan komponen backdoor dan rootkit.

Malware ini memiliki prevalensi rendah di alam liar dan mendapat manfaat dari desain canggih yang memungkinkannya mempertahankan persistensi yang diperpanjang pada sistem yang terinfeksi.

FontOnLake memiliki beberapa modul yang berinteraksi satu sama lain dan memungkinkan komunikasi dengan operator malware, mencuri data sensitif, dan tetap tersembunyi di sistem.

Para peneliti di ESET menemukan beberapa sampel malware yang diunggah ke layanan pemindaian VirusTotal sepanjang tahun lalu, yang pertama muncul pada Mei 2020.

Ditandai dengan desain tersembunyi dan canggih, FontOnLake kemungkinan digunakan dalam serangan yang ditargetkan oleh operator yang cukup berhati-hati untuk menggunakan server perintah dan kontrol (C2) yang unik untuk “hampir semua sampel” dan berbagai port non-standar.

Di antara utilitas Linux yang diubah oleh aktor ancaman untuk mengirimkan FontOnLake adalah:

  • cat – digunakan untuk mencetak konten file
  • kill – daftar semua proses yang berjalan
  • sftp – secure FTP utility
  • sshd – the OpenSSH server process

Menurut para peneliti, utilitas trojan kemungkinan dimodifikasi pada tingkat kode sumber, menunjukkan bahwa aktor ancaman mengkompilasinya dan menggantikan yang asli.

Selain membawa malware, peran binari yang dimodifikasi ini adalah memuat muatan tambahan, mengumpulkan informasi, atau melakukan tindakan jahat lainnya.

Para peneliti menemukan tiga pintu belakang khusus yang ditulis dalam C++ yang terkait dengan keluarga malware FontOnLake, yang memberikan akses jarak jauh kepada operator ke sistem yang terinfeksi.

ESET mengatakan bahwa FontOnLake mungkin merupakan malware yang sama yang sebelumnya dianalisis oleh para peneliti di Tencent Security Response Center, yang mengaitkannya dengan insiden ancaman persisten tingkat lanjut.

Selengkapnya: Bleeping Computer

Amnesty International menghubungkan perusahaan keamanan siber dengan operasi spyware

by

Sebuah laporan oleh Amnesty International menghubungkan perusahaan keamanan siber India dengan program spyware Android yang digunakan untuk menargetkan aktivis terkemuka.

Penyelidikan berasal dari tim Amnesty International, yang mengkonfirmasi kasus spionase terhadap seorang aktivis Togo dan juga mengamati tanda-tanda penyebaran spyware di beberapa wilayah utama Asia.

Menurut Amnesty International, spyware Android telah dikaitkan dengan perusahaan keamanan siber India Innefu Labs setelah alamat IP milik perusahaan itu berulang kali digunakan untuk distribusi muatan spyware.

Namun, deployment yang sebenarnya bisa menjadi pekerjaan ‘Tim Donot’ (APT-C-35), sekelompok peretas India yang telah menargetkan pemerintah di Asia Tenggara setidaknya sejak 2018.

Amnesty mencatat bahwa mungkin saja Innefu tidak mengetahui bagaimana pelanggannya atau pihak ketiga lainnya menggunakan alatnya. Namun, audit eksternal dapat mengungkapkan semuanya setelah detail teknis lengkap terungkap.

Serangan terhadap para aktivis dimulai dengan pesan yang tidak diminta melalui WhatsApp, menyarankan instalasi aplikasi obrolan yang seharusnya aman bernama ‘ChatLite’.

Dalam kasus ChatLite, ini adalah spyware aplikasi Android yang dikembangkan khusus yang memungkinkan penyerang mengumpulkan data sensitif dari perangkat dan mengunduh alat malware tambahan.

Untuk spyware yang didistribusikan melalui dokumen Word berbahaya, ia memiliki kemampuan berikut:

  • Merekam penekanan tombol
  • Mengambil tangkapan layar secara teratur
  • Mencuri file dari penyimpanan lokal dan yang dapat dilepas
  • Mengunduh modul spyware tambahan

Dengan menganalisis sampel spyware Android, penyelidik Amnesty menemukan beberapa kesamaan dengan “Kashmir_Voice_v4.8.apk” dan “SafeShareV67.apk”, dua alat malware yang terkait dengan operasi Tim Donot sebelumnya.

Kesalahan opsec aktor ancaman memungkinkan penyelidik untuk menemukan server “pengujian” di AS tempat aktor ancaman menyimpan tangkapan layar dan data keylogging dari ponsel Android yang disusupi.

Di sinilah Amnesty pertama kali melihat alamat IP Innefu Labs, karena jika tidak, sumber sebenarnya bersembunyi di balik VPN.

Selengkapnya: Bleeping Computer

Peretas Rusia di balik peretasan SolarWinds mencoba menyusup ke jaringan pemerintah AS dan Eropa

by

Peretas Rusia di balik pelanggaran agen federal AS pada tahun 2020 yang sukses dalam beberapa bulan terakhir mencoba menyusup ke jaringan pemerintah AS dan Eropa, kata analis keamanan siber yang melacak kelompok itu kepada CNN.

Kelompok Rusia telah melanggar beberapa perusahaan teknologi dalam aktivitas yang sebelumnya tidak dilaporkan, kata Charles Carmakal, wakil presiden senior dan CTO di perusahaan keamanan siber Mandiant. Para peretas juga telah menggunakan alat dan teknik baru dalam beberapa operasi mereka tahun ini, kata Carmakal.

Tidak jelas data apa, jika ada, yang diakses peretas. Tetapi kegiatan tersebut merupakan pengingat akan tantangan yang dihadapi pemerintahan Biden ketika mencoba untuk menumpulkan upaya musuh digital utama Amerika untuk mengakses data pemerintah yang sensitif.

“Kelompok ini telah mengkompromikan beberapa entitas pemerintah, organisasi yang fokus pada masalah politik dan kebijakan luar negeri, dan penyedia teknologi yang menyediakan akses langsung atau tidak langsung ke organisasi target utama di Amerika Utara dan Eropa,” kata Carmakal kepada CNN. Dia menolak untuk mengidentifikasi penyedia teknologi.

Grup Rusia terkenal karena menggunakan malware yang dibuat oleh kontraktor federal SolarWinds untuk melanggar setidaknya sembilan agen AS dalam aktivitas yang terungkap pada Desember 2020.

Para penyerang tidak terdeteksi selama berbulan-bulan di jaringan email yang tidak diklasifikasikan dari departemen Kehakiman, Keamanan Dalam Negeri, dan lainnya, dan FireEye, mantan perusahaan induk Mandiant, bukan agen pemerintah, yang menemukan kampanye peretasan tersebut.

Sumber: CNN

Peretas menguras akun cryptocurrency dari ribuan pengguna Coinbase

by

Coinbase, platform yang digunakan untuk membeli, menjual, dan menyimpan cryptocurrency, memberi tahu lebih dari 6.000 pelanggan mereka bahwa mereka menjadi korban kampanye yang ditargetkan untuk mendapatkan akses ke akun mereka yang melibatkan kombinasi serangan phishing dan kelemahan dalam sistem otorisasi dua faktor Coinbase.

Antara Maret dan Mei 2021, peretas berhasil masuk ke akun dan memindahkan dana dari platform, menguras beberapa akun. Ribuan pelanggan sudah mulai mengeluh kepada Coinbase bahwa dana telah hilang dari akun mereka.

Menurut surat yang dikirim ke pengguna, inilah cara Coinbase mengklaim peretas masuk ke akun yang disusupi:

“Untuk mengakses akun Coinbase Anda, pihak ketiga ini terlebih dahulu membutuhkan pengetahuan sebelumnya tentang alamat email, kata sandi, dan nomor telepon yang terkait dengan akun Coinbase Anda, serta akses ke kotak masuk email pribadi Anda. Meskipun kami tidak dapat menentukan secara meyakinkan bagaimana pihak ketiga ini memperoleh akses ke informasi ini, jenis kampanye ini biasanya melibatkan serangan phishing atau teknik rekayasa sosial lainnya untuk mengelabui korban agar secara tidak sadar mengungkapkan kredensial login kepada pelaku. Kami belum menemukan bukti bahwa pihak ketiga ini memperoleh informasi ini dari Coinbase sendiri.”

Beberapa kabar baik untuk para korban: Coinbase sudah mulai mengganti dana untuk beberapa pelanggan dan berjanji bahwa semua pelanggan akan menerima nilai penuh dari dana yang hilang.

“Kami memberi tahu pelanggan secara langsung yang kehilangan dana sebagai akibat dari masalah khusus ini dan membantu mengganti kerugian mereka yang terjadi selama serangan. Harap dicatat, penggantian ini terbatas pada pelanggan yang telah kami konfirmasi sebagai korban serangan ini dan akibatnya kehilangan dana.”

Selengkapnya: PC Gamer

Peretasan Twitch Besar-besaran: Kode sumber dan laporan pembayaran bocor

by

Kode sumber Twitch dan informasi sensitif streamer dan pengguna diduga dibocorkan secara online oleh pengguna anonim di 4chan imageboard.

Orang yang membocorkan membagikan tautan torrent yang mengarah ke arsip 125GB yang berisi data yang diduga dicuri dari sekitar 6.000 repositori internal Twitch Git.

Menurut pengguna anonim 4chan, data Twitch yang bocor berisi:

  • Keseluruhan twitch.tv, dengan sejarah komit kembali ke awal
  • Klien Twitch konsol seluler, desktop, dan video game
  • Berbagai SDK eksklusif dan layanan AWS internal yang digunakan oleh Twitch
  • Setiap properti lain yang dimiliki Twitch, termasuk IGDB dan CurseForge
  • Pesaing Steam yang belum dirilis dari Amazon Game Studios
  • Twitch SOC internal red teaming tools (lol)
  • Laporan pembayaran kreator dari tahun 2019 hingga sekarang.

Poster anonim itu menamai utasnya “twitch leaks part one,” yang mengisyaratkan data Twitch yang dicuri lebih lanjut kemungkinan akan bocor di masa depan.

Kebocoran itu kemungkinan merupakan balasan langsung terhadap kurangnya respons Twitch dan alat yang efektif untuk menangkis serangan kebencian yang menargetkan streamer pada bulan Agustus, mengingat anonim yang membocorkan juga menggunakan tagar #DoBetterTwitch.

Selengkapnya: Bleeping Computer

Grup Peretasan APT Baru yang Menargetkan Industri Bahan Bakar, Energi, dan Penerbangan

by

Aktor ancaman yang sebelumnya tidak terdokumentasi telah diidentifikasi berada di balik serangkaian serangan yang menargetkan industri produksi bahan bakar, energi, dan penerbangan di Rusia, AS, India, Nepal, Taiwan, dan Jepang dengan tujuan mencuri data dari jaringan yang disusupi.

Perusahaan keamanan siber Positive Technologies menjuluki kelompok ancaman persisten (APT) canggih tersebut sebagai ChamelGang – mengacu pada kemampuan bunglon mereka, termasuk menyamarkan “malware dan infrastruktur jaringannya di bawah layanan sah Microsoft, TrendMicro, McAfee, IBM, dan Google.”

“Untuk mencapai tujuan mereka, para penyerang menggunakan metode penetrasi yang sedang tren—rantai pasokan,” kata para peneliti tentang salah satu insiden yang diselidiki oleh perusahaan.

“Grup tersebut menyusup ke anak perusahaan dan menembus jaringan perusahaan target melaluinya. Serangan hubungan tepercaya jarang terjadi saat ini karena kompleksitas eksekusi mereka. Dengan menggunakan metode ini […], grup ChamelGang dapat mencapai tujuannya dan mencuri data dari jaringan yang disusupi.”

Penyusupan yang dipasang oleh musuh diyakini telah dimulai pada akhir Maret 2021, dengan serangan berikutnya pada bulan Agustus memanfaatkan apa yang disebut rantai kerentanan ProxyShell yang memengaruhi Server Microsoft Exchange, detail teknis yang pertama kali diungkapkan di keamanan Black Hat USA 2021 konferensi awal bulan itu.

Selengkapnya: The Hacker News