Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Google menambal zero-day Chrome ke-10 yang dieksploitasi di alam liar tahun ini

by

Google telah merilis Chrome 93.0.4577.82 untuk Windows, Mac, dan Linux untuk memperbaiki sebelas kerentanan keamanan, dua di antaranya adalah zero-days yang dieksploitasi di alam liar.

“Google menyadari bahwa eksploitasi untuk CVE-2021-30632 dan CVE-2021-30633 ada di alam liar,” perusahaan mengungkapkan dalam catatan rilis untuk versi Chrome baru.

Pembaruan saat ini diluncurkan di seluruh dunia di saluran desktop Stabil, dan Google menyatakan itu akan tersedia untuk semua orang selama beberapa hari ke depan.

Google Chrome juga akan secara otomatis memeriksa pembaruan baru saat Anda memulai ulang browser di lain waktu.

Dua kerentanan zero-day yang diperbaiki hari ini diungkapkan ke Google pada 8 September 2021, dan keduanya merupakan bug memori.

CVE-2021-30632 adalah penulisan di luar batas di mesin JavaScript V8, dan bug CVE-2021-30633 adalah bug use-after-free di API DB yang Diindeks.

Meskipun bug ini sering menyebabkan browser crash, pelaku ancaman terkadang dapat mengeksploitasinya untuk melakukan eksekusi kode jarak jauh, sandbox escapes, dan perilaku berbahaya lainnya.

Sementara Google telah mengungkapkan bahwa kedua bug telah dieksploitasi di alam liar, mereka belum membagikan informasi lebih lanjut mengenai serangan tersebut.

Dengan dua kerentanan ini, Google kini telah menambal total sepuluh kerentanan zero-day di Chrome pada tahun 2021.

Karena kerentanan ini diketahui telah dieksploitasi secara liar, sangat disarankan agar semua Google Chrome segera memperbarui ke versi terbaru.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day iOS yang digunakan untuk menyebarkan spyware iPhone NSO

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day yang terlihat dieksploitasi secara liar untuk menyerang iPhone dan Mac. Salah satunya diketahui digunakan untuk menginstal spyware Pegasus di iPhone.

Kerentanan dilacak sebagai CVE-2021-30860 dan CVE-2021-30858, dan keduanya memungkinkan dokumen berbahaya untuk menjalankan perintah saat dibuka pada perangkat yang rentan.

Kerentanan CoreGraphics CVE-2021-30860 adalah bug integer overflow yang ditemukan oleh Citizen Lab yang memungkinkan pelaku ancaman membuat dokumen PDF berbahaya yang menjalankan perintah saat dibuka di iOS dan macOS.

CVE-2021-30858 adalah penggunaan WebKit setelah kerentanan gratis yang memungkinkan peretas membuat halaman web jahat yang menjalankan perintah saat mengunjunginya di iPhone dan macOS. Apple menyatakan bahwa kerentanan ini diungkapkan secara anonim.

Sementara Apple tidak merilis informasi lebih lanjut tentang bagaimana kerentanan digunakan dalam serangan, Citizen Lab telah mengkonfirmasi bahwa CVE-2021-30860 adalah eksploitasi zero-click iMessage bernama ‘FORCEDENTRY.’

Eksploitasi FORCEDENTRY ditemukan digunakan untuk melewati fitur keamanan iOS BlastDoor untuk menyebarkan spyware NSO Pegasus pada perangkat milik aktivis Bahrain.

Ini adalah tahun yang sangat sibuk bagi Apple dengan apa yang tampak seperti streaming tanpa henti dari kerentanan zero-day yang digunakan dalam serangan yang ditargetkan terhadap perangkat iOS dan Mac.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

by

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

  1. Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
    Untuk dokumen Word, navigasikan ke registry key berikut:

    • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

    Untuk file rich text (RTF), navigasikan ke registry key ini:

    • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  2. Export salinan registry key sebagai cadangan.
  3. Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
  4. Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Kata kunci teratas yang digunakan dalam baris subjek email phishing

by

Pada hari Rabu, Expel merilis laporan, menyoroti kata kunci teratas yang digunakan dalam baris subjek upaya phishing. Berdasarkan temuan, karyawan mungkin perlu sangat waspada terhadap email yang tampaknya tidak berbahaya di kotak masuk mereka.

Untuk menentukan daftar kata kunci ini, Expel melihat 10.000 email berbahaya. Dalam posting blog tentang temuan tersebut, Expel mengatakan kata kunci dalam baris subjek ini menargetkan satu atau beberapa tema dalam upaya untuk “membuat penerima berinteraksi dengan konten.” Tema-tema ini termasuk “meniru aktivitas bisnis yang sah, menghasilkan “rasa mendesak” dan memberi isyarat kepada “penerima untuk bertindak.”

Beberapa kata kunci phishing teratas yang terdaftar dirancang untuk meniru faktur bisnis yang sah.

Secara berurutan, tiga baris subjek teratas termasuk “RE: INVOICE,” “Missing Inv ####; From [Nama Bisnis Sah] and “INV####.”

Per Expel, baris subjek yang menyoroti sifat baru sering digunakan dalam upaya phishing dengan contoh termasuk “New Message from ####, “New Scanned Fax Doc-Delivery for ####” dan “New FaxTransmission from ####.”

Menambahkan konteks pada kumpulan baris subjek “baru” ini, Expel mengatakan komunikasi dan peringatan yang sah secara teratur menggunakan istilah “baru” untuk “meningkatkan minat penerima,” menambahkan bahwa “orang tertarik pada hal-hal baru di kotak masuk mereka, ingin memastikan mereka tidak melewatkan sesuatu yang penting.”

Selengkapnya: Tech Republic

REvil ransomware kembali dalam mode serangan penuh dan membocorkan data

by

Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.

Sejak 2019, operasi ransomware REvil, alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri.

Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.

REvil menutup infrastruktur mereka dan benar-benar menghilang setelah caper terbesar mereka – serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.

Setelah penutupan mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik.

Namun, sangat mengejutkan, geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.

Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware.

Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.

Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal.

Selengkapnya: Bleeping Computer

Perserikatan Bangsa-Bangsa diretas dari April hingga Agustus: penjahat dunia maya berbahasa Rusia menjajakan nama pengguna dan kata sandi curian karyawan di web gelap seharga $ 1.000

by

Peretas telah mengumpulkan data dari sistem internal Perserikatan Bangsa-Bangsa sejak April, menggunakan kredensial login curian karyawan yang telah dijual di web gelap hanya dengan $1.000.

Kombinasi nama pengguna dan kata sandi dijual oleh beberapa penjahat dunia maya berbahasa Rusia hingga akhir Juli, tetapi identitas peretas dan tujuan eksplisit mereka masih belum diketahui.

Kredensial menawarkan akses ke perangkat lunak manajemen proyek organisasi Umoja. Titik masuk memberikan wawasan berharga tentang pekerjaan pemerintah dan kemanusiaan di seluruh dunia.

PBB, yang terus-menerus berhubungan dengan negara-negara dan perusahaan-perusahaan besar, telah menjadi sasaran peretas yang diarahkan oleh negara sebelumnya, tetapi penjahat dunia maya sehari-hari sekarang mengejar perusahaan dan organisasi besar dengan tujuan menjual akses ke informasi yang sangat didambakan.

Peretas memperoleh akses ke sistem PBB pada 5 April dan masih aktif di jaringan sebulan yang lalu, menurut Bloomberg.

‘Organisasi seperti PBB adalah target bernilai tinggi untuk aktivitas spionase siber,’ kata Gene Yoo, CEO Resecurity, sebuah perusahaan keamanan siber yang mengatakan telah menemukan pelanggaran tersebut.

PBB menjawab bahwa para peretas hanya mengambil tangkapan layar, tetapi ketika perusahaan memperingatkan mereka tentang data yang dicuri, organisasi itu berhenti berbicara dengan mereka, kata Resecurity.

Pada hari Kamis, seorang juru bicara PBB mengatakan bahwa organisasi tersebut mengetahui peretasan tersebut sebelum Resecurity memberi tahu mereka tentang hal itu. Dia juga mengatakan PBB telah mendeteksi lebih banyak pelanggaran.

Selengkapnya: Daily Mail UK

Peretas membocorkan kata sandi untuk 500.000 akun Fortinet VPN

by

Seorang aktor ancaman telah membocorkan daftar hampir 500.000 nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dapat dieksploitasi musim panas lalu.

Sementara aktor ancaman menyatakan bahwa kerentanan Fortinet yang dieksploitasi telah ditambal, mereka mengklaim bahwa banyak kredensial VPN masih valid.

Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.

Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai ‘Orange,’ yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari operasi Babuk Ransomware.

Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.

Pada tanggal 7 September, pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet.

Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.

Kedua posting mengarah ke file yang dihosting di server penyimpanan Tor yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.

Selengkapnya: Bleeping Computer

Pemadaman internet Selandia Baru disebabkan oleh serangan DDoS pada penyedia internet terbesar ketiga di negara itu

by

Beberapa bagian dari Selandia Baru terputus dari dunia digital pada tanggal 3 September setelah ISP lokal utama terkena serangan DDoS yang agresif.

Vocus – operator internet terbesar ketiga di negara itu yang berada di belakang merek termasuk Orcon, Slingshot dan Stuff Fiber – mengkonfirmasi bahwa serangan siber berasal dari salah satu pelanggannya.

Menurut pembaruan status jaringan, perusahaan mengatakan: “Sore ini pelanggan Vocus berada di bawah serangan DDoS… Aturan mitigasi DDoS telah diperbarui ke platform Arbor DDoS kami untuk memblokir serangan bagi pelanggan.”

Detailnya masih samar, tetapi pemadaman telah menyebabkan gangguan signifikan di seluruh negeri dengan banyak orang bekerja dari rumah karena pembatasan COVID-19.

Sebuah laporan oleh Reuters menunjukkan bahwa tanggapan Vocus terhadap serangan cyber mungkin memiliki efek knock-on yang mengakibatkan pemadaman 30 menit di seluruh negeri, termasuk kota-kota besar Auckland, Wellington dan Christchurch. Kami telah meminta komentar dari vendor perlindungan Arbor DDoS Netscout.

Selengkapnya: The Register