Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

80K Situs WooCommerce Ritel Terekspos oleh Plugin XSS Bug

by

Plugin “Variation Swatches for WooCommerce,” dipasang di 80.000 situs ritel WordPress, berisi kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.

Variasi Swatch dirancang untuk memungkinkan pengecer menggunakan platform WooCommerce untuk situs WordPress untuk menampilkan versi berbeda dari produk yang sama, seperti sweter dalam beberapa warna.

Sayangnya, versi rentan juga dapat memberi pengguna tanpa izin administratif — seperti pelanggan — akses ke pengaturan plugin, menurut peneliti dari Wordfence.

Memberi pengguna dengan izin rendah akses ke fungsi “tawcvs_save_settings” sangat memprihatinkan, katanya, karena akses itu dapat digunakan untuk memperbarui pengaturan plugin dan menyuntikkan skrip web berbahaya yang akan dijalankan setiap kali pemilik situs mengakses area pengaturan plugin.

Kerentanan (CVE-2021-42367) memengaruhi semua pengguna plugin hingga 23 November, sampai plugin ditambal di versi 2.1.2 yang baru.

Untuk mengurangi bug plugin terbaru ini, Chamberland merekomendasikan agar pengguna memperbarui situs mereka dengan versi yang ditambal dari Variasi Swatch untuk WooCommerce.

Selengkapnya: Threat Post

Penipuan Phishing Omicron Sudah Terlihat di Inggris

by

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

by Leave a Comment

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

by

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

by

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

Bot Twitter Berpose Sebagai Staf Pendukung untuk Mencuri Cryptocurrency Anda

by

Scammers memantau setiap tweet yang berisi permintaan dukungan pada MetaMask, TrustWallet, dan dompet crypto populer lainnya, dan menanggapinya dengan tautan penipuan hanya dalam hitungan detik.

Untuk melakukan serangan phishing yang ditargetkan ini, scammers menyalahgunakan API Twitter yang memungkinkan mereka memantau semua tweet publik untuk kata kunci atau frasa tertentu.

Jika frasa tersebut hadir, program yang sama ini akan mengarahkan bot Twitter di bawah kendali scammer untuk secara otomatis membalas tweet sebagai agen dukungan palsu dengan tautan ke penipuan yang mencuri dompet cryptocurrency.

Saya butuh kepercayaan CS dompet metamask phantom yoroi!
Saya kehilangan semua frase pemulihan crypto dan password saya.
Ayo maju semua bot Anda!
— @LawrencAbrams

Serangan ini bukan hal baru, dan kami melaporkannya pada bulan Mei. Namun, serangan ini telah berkembang ke cryptocurrency lainnya, dan penipuan terus merajalela.

Oleh karena itu, kami merasa sangat penting bagi pembaca kami untuk meninjau kembali serangan ini dan menggambarkan cara kerjanya, sehingga Anda tidak secara tidak sengaja menjadi korban.
Anatomi penipuan crypto Twitter

Tes pertama kami dari bot penipuan cryptocurrency ini adalah mengemas tweet dengan banyak kata kunci dan melihat apa yang akan terjadi.

Dalam tes yang dilakukan oleh BleepingComputer, tweet yang berisi kata-kata ‘dukungan,’ ‘bantuan,’ atau ‘bantuan’ bersama dengan kata kunci seperti ‘MetaMask,’ ‘Phantom,’ ‘Yoroi,’ dan ‘Trust Wallet’ akan menghasilkan balasan yang hampir seketika dari bot Twitter dengan formulir atau akun dukungan palsu.

Kata kunci lain memiliki hasil yang beragam, seperti nama dompet dan kata ‘dicuri.’
————————————————————–

Kami kemudian melakukan tes lebih lanjut untuk mencoba dan mempersempit kata kunci apa yang akan memicu balasan bot.

Dalam beberapa detik setelah memposting tes kami, kami menerima balasan dari banyak akun penipuan yang berpura-pura menjadi akun dukungan MetaMask dan TrustWallet, “korban sebelumnya,” atau pengguna yang membantu.

Semua balasan scammer berbagi tujuan yang sama – untuk mencuri frasa pemulihan untuk dompet korban, yang kemudian dapat digunakan penyerang untuk mengimpor dompet ke perangkat mereka sendiri.

Ketika memandu untuk mengisi frase pemulihan, mereka memakai bahasa konyol kalau itu sedang diproses oleh mereka “bot cloud terenkripsi,” mencoba meyakinkan pengguna untuk memposting informasi sensitif.

Setelah frase pemulihan dikirim ke penyerang, pupus sudah harapan. Mereka sekarang memiliki akses penuh ke cryptocurrency dalam dompet Anda dan dapat mentransfernya ke dompet lain di bawah kendali mereka.

Sebelum Anda mengatakan bahwa tidak ada yang “kena” penipuan ini, sayangnya, itu tidak benar. Sudah banyak pengguna Twitter yang dompet, cryptocurrency, dan NFT-nya dicuri.

@merchant_token saya tidak dapat mengubah alamat penarikan saya dari Binance ke metamask, jadi saya menghubungi dan telah tertipu oleh dukungan metamask palsu @MetaMasko yang mencuri token saya dari Dompet Metamask saya.
— @fc_sebastien

Terima kasih Kenzie. Saya mendapatkan apa yang saya pikir adalah dukungan pelanggan untuk dana yang hilang sejak minggu lalu. Dukungan pelanggan palsu berbagi tautan, dan melalui itu mereka mengekstrak Metamask saya. Saya sudah sepanjang hari mencoba untuk setidaknya memulihkan seni yang tidak dijual.
— @NightversionHQ

————————————————————–

Twitter mengatakan kepada BleepingComputer bahwa menggunakan API Twitter untuk spam bertentangan dengan aturan dan bahwa mereka secara aktif bekerja pada metode baru untuk mencegah serangan ini.

“Ini melanggar aturan kami untuk menggunakan taktik penipuan di Twitter untuk mendapatkan uang atau informasi keuangan pribadi, termasuk melalui aktivitas otomatis. Kebijakan Pengembang kami juga secara ketat melarang penggunaan API Twitter dan produk pengembang untuk mengirim spam kepada orang-orang,” jelas juru bicara Twitter.

“Ketika kami mengidentifikasi aplikasi atau akun yang melanggar kebijakan ini, kami mengambil tindakan penegakan hukum yang tepat. Kami terus beradaptasi dengan metode yang berkembang dari aktor jahat dan kami akan terus bergerak cepat untuk mengatasi penipuan cryptocurrency di platform saat mereka berevolusi.”

Jangan pernah berbagi frasa pemulihan!

Sebagai aturan umum, Anda tidak boleh membagikan frasa pemulihan dompet Anda dengan siapa pun. Frasa pemulihan hanya untuk Anda, dan tidak ada orang pendukung yang sah dari MetaMask, TrustWallet, atau di tempat lain yang akan memintanya.

Penting juga untuk diingat untuk tidak membagikan layar Anda dengan pengguna yang tidak tepercaya yang kemudian meminta Anda menampilkan frasa pemulihan Anda. Pada saat itu, mereka dapat dengan mudah mengambil tangkapan layar dan menuliskannya secara manual.

Pada akhirnya, serangan ini akan berlanjut kecuali Twitter mencari cara untuk mencegah bot ini merajalela, membatasi penggunaan kata kunci tertentu, atau menempatkan kontrol yang lebih ketat pada siapa yang dapat bergabung dengan platform pengembang mereka.

Pembaruan 12/7/21: Menambahkan pernyataan dari Twitter.

Sumber: Bleepingcomputer

Ransomware Cerber baru menargetkan server Confluence dan GitLab

by

Cerber ransomware kembali, karena keluarga ransomware baru mengadopsi nama lama dan menargetkan server Atlassian Confluence dan GitLab menggunakan kerentanan eksekusi kode jarak jauh.

Ketika ransomware mulai meningkat pada tahun 2016, operasi ransomware Cerber baru muncul dan dengan cepat menjadi salah satu geng paling produktif pada saat itu. Namun, aktivitasnya perlahan mereda hingga menghilang pada akhir tahun 2019.

Mulai bulan lalu, sebuah ransomware bernama Cerber sekali lagi muncul, karena mulai menginfeksi korban di seluruh dunia dengan encryptor Windows dan Linux.

Versi baru Cerber membuat catatan tebusan bernama __$$RECOVERY_README$$__.html dan menambahkan ekstensi .locked ke file terenkripsi.

Cerber Tor payment site
Source: BleepingComputer

CTO Emsisoft dan ahli ransomware Fabian Wosar memeriksa varian baru dan mengatakan itu tidak cocok dengan kode keluarga yang lebih lama. Versi baru menggunakan pustaka Crypto+++, sedangkan varian yang lebih lama menggunakan pustaka Windows CryptoAPI.

Perbedaan kode ini dan fakta bahwa Cerber asli tidak memiliki varian Linux membuktikan bahwa aktor ancaman baru telah mengadopsi nama, catatan tebusan, dan situs pembayaran Tor, dan bukan operasi asli.

Para peneliti dan vendor keamanan telah melihat server peretasan operasi ransomware Cerber yang baru menggunakan kerentanan eksekusi kode jarak jauh di Atlassian Confluence dan GitLab.

Peneliti keamanan BoanBird juga membagikan sampel ransomware Cerber baru yang menunjukkan strain baru ini secara khusus menargetkan folder Atlassian Confluence yang tercantum di bawah ini.

C:\Program Files\Atlassian\Application Data
C:\Program Files\Atlassian\Application Data\Confluence
C:\Program Files\Atlassian\Application Data\Confluence\backups

BoanBird juga membagikan tautan ke forum GitLab di mana admin mengungkapkan bahwa Cerber mengeksploitasi kerentanan yang baru-baru ini diungkapkan dalam komponen ExifTool GitLab.

Kerentanan ini dilacak sebagai CVE-2021-26084 (Confluence) dan CVE-2021-22205 (GitLab) dan dapat dieksploitasi dari jarak jauh tanpa otentikasi. Selain itu, kedua kerentanan telah secara terbuka mengungkapkan eksploitasi proof-of-concept (PoC), memungkinkan penyerang untuk menembus server dengan mudah.

Para peneliti di Tencent menunjukkan bahwa serangan yang menyebarkan ransomware Cerber baru sebagian besar menargetkan Amerika Serikat, Jerman, dan China.

Meskipun versi Cerber sebelumnya mengecualikan target di CIS (Commonwealth of Independent States), data telemetri Tencent dari serangan baru-baru ini menunjukkan sebaliknya.

Saat ini, pendekatan terbaik untuk melindungi dari Cerber adalah dengan menerapkan pembaruan keamanan yang tersedia untuk Atlassian Confluence dan GitLab.

Selengkapnya : Bleeping Computer