Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News

Alamt IP Pengguna VPN terekspos oleh kerentanan zero-day di router Virgin Media

by

Kerentanan zero-day di router Virgin Media Super Hub 3 memungkinkan penyerang membuka kedok alamat IP pengguna VPN yang sebenarnya, ungkap peneliti keamanan.

Fidus Information Security, konsultan penetration testing Inggris, telah menerbitkan rincian kerentanan keamanan hampir dua tahun setelah pertama kali memperingatkan Virgin Media, sebuah perusahaan telekomunikasi Inggris, yang merujuk Fidus ke Liberty Global, perusahaan induknya.

Tim R&D Fidus mengatakan awalnya menunda pengungkapan selama 12 bulan atas permintaan vendor, tetapi upaya selanjutnya untuk menghubungi Virgin Media dan Liberty Global kemudian gagal mendapatkan tanggapan.

Namun, Virgin Media telah mengatakan kepada The Daily Swig bahwa saat ini sedang mengerjakan “perbaikan teknis” untuk “masalah edge-case, yang berpotensi berdampak hanya pada sebagian kecil pelanggan” yang menggunakan VPN.

Para peneliti dapat memasang serangan rebinding DNS yang mengungkapkan alamat IP pengguna VPN “dengan hanya [pengguna] mengunjungi halaman web [berbahaya] selama beberapa detik”, tulis posting blog yang dirancang oleh Fidus pada bulan Maret tetapi akhirnya diterbitkan minggu lalu.

Serangan rebinding DNS menyalahgunakan browser korban dengan menjadikannya sebagai proxy untuk menyerang jaringan pribadi.

Para peneliti berhasil menghilangkan anonimitas perangkat yang alamat IP-nya ditutupi oleh sebagian besar “VPN terkemuka di pasar”, kata tim R&D Fidus kepada The Daily Swig.

Namun, beberapa penyedia VPN menangkis serangan tersebut dengan memblokir akses ke alamat IP lokal secara default.

Selengkapnya: Portswigger

Kerentanan CPU AMD Ditemukan, Membocorkan Kata Sandi Sebagai Pengguna Non-Administratif

by

AMD merilis informasi tentang kerentanan driver yang mempengaruhi CPU mereka, memungkinkan setiap pengguna untuk tidak hanya mendapatkan akses ke informasi tetapi juga mengunduh informasi melalui halaman memori Windows tertentu. Penyerang mampu mendapatkan akses ke kata sandi, serta meluncurkan serangan yang berbeda, seperti mengganggu mitigasi eksploitasi KASLR, juga dikenal sebagai Spectre dan Meltdown.

Informasi ini terungkap setelah peneliti keamanan dan salah satu pendiri ZeroPeril, Kyriakos Economou, menemukan eksploitasi dan menghubungi AMD. Melalui pekerjaan mereka, AMD mampu mengeluarkan mitigasi yang saat ini menjadi bagian dari driver CPU terbaru. Anda juga dapat memanfaatkan Pembaruan Windows untuk menerima driver AMD PSP terbaru.

Pembaruan driver AMD saat ini telah aktif selama beberapa minggu, tetapi ini adalah yang pertama bagi AMD untuk menjelaskan detail pembaruan driver saat ini.

Economou menjelaskan prosesnya dalam laporan yang diungkapkan baru-baru ini dirilis. Dalam dokumen, itu menunjukkan kerentanan panjangnya.

Economou awalnya menemukan exploit menggunakan AMD Ryzen 2000 dan 3000 series. AMD awalnya hanya mencantumkan seri Ryzen 1000 dan CPU generasi yang lebih lama dalam advisory internalnya. Situs web Tom’s Hardware menghubungi AMD setelah membaca dokumen dari Economou untuk menemukan daftar chipset yang terpengaruh.

AMD menginstruksikan pengguna untuk mengunduh driver AMD PSP melalui Pembaruan Windows (driver AMD PSP 5.17.0.0) atau driver CPU AMD dari halaman dukungan mereka (AMD Chipset Driver 3.08.17.735).

Selengkapnya: Wccftech

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

by

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

by

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

by

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Patch Tuesday Microsoft September 2021 memperbaiki 2 zero-day, 60 kerentanan

by

Hari ini adalah Patch Tuesday Microsoft September 2021, dan dengan itu datang perbaikan untuk dua kerentanan zero-day dan total 60 kelemahan.

Microsoft telah memperbaiki 60 kerentanan (86 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, satu sebagai Sedang, dan 56 sebagai Penting.

Dari total 86 kerentanan (termasuk Microsoft Edge):

  • 27 Kerentanan Peningkatan Hak Istimewa
  • 2 Kerentanan Bypass Fitur Keamanan
  • 16 Kerentanan Eksekusi Kode Jarak Jauh
  • 11 Kerentanan Pengungkapan Informasi
  • 1 Kerentanan Denial of Service
  • 8 Kerentanan Spoofing

Patch Tuesday September juga mencakup perbaikan untuk dua kerentanan zero-day, dengan bug MSHTML yang dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa pembaruan keamanan resmi yang dirilis.

Kerentanan zero-day yang diungkapkan secara publik, tetapi tidak dieksploitasi secara aktif adalah:

Satu-satunya kerentanan yang dieksploitasi secara aktif adalah kerentanan eksekusi kode jarak jauh MSHTML Windows, seperti yang telah dibahas sebelumnya:

  • CVE-2021-40444 – Microsoft MSHTML Remote Code Execution Vulnerability

Untuk informasi tentang pembaruan Windows non-security, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5005565 & KB5005566 hari ini.

Selengkapnya: Bleeping Computer