Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Otoritas Sertifikat Mongolia Diretas untuk Mendistribusikan Perangkat Lunak CA Backdoored

by

Dalam contoh lain serangan rantai pasokan perangkat lunak, peretas tak dikenal melanggar situs web MonPass, salah satu otoritas sertifikat utama Mongolia, untuk mem-backdoor perangkat lunak penginstalnya dengan binari Cobalt Strike.

Klien trojan tersedia untuk diunduh antara 8 Februari 2021, dan 3 Maret 2021, kata perusahaan perangkat lunak keamanan siber Ceko Avast dalam sebuah laporan yang diterbitkan Kamis.

Selain itu, server web publik yang dihosting oleh MonPass berpotensi disusupi sebanyak delapan kali secara terpisah, dengan para peneliti mengungkap delapan cangkang web dan pintu belakang yang berbeda pada server yang disusupi.

Penyelidikan Avast atas insiden tersebut dimulai setelah menemukan penginstal pintu belakang dan implan pada salah satu sistem pelanggannya.

“Pemasang berbahaya adalah file [Portable Executable] yang tidak ditandatangani,” kata para peneliti. “Ini dimulai dengan mengunduh versi penginstal yang sah dari situs web resmi MonPass. Versi yang sah ini dijatuhkan ke folder ‘C:\Users\Public\’ dan dijalankan di bawah proses baru. Ini menjamin bahwa penginstal berperilaku seperti yang diharapkan, artinya pengguna biasa tidak mungkin melihat sesuatu yang mencurigakan.”

selengkapnya : thehackernews.com

Microsoft memperingatkan kerentanan eksekusi kode PowerShell 7 yang kritis

by

Microsoft memperingatkan kerentanan eksekusi kode jarak jauh .NET Core yang kritis di PowerShell 7 yang disebabkan oleh bagaimana pengkodean teks dilakukan di .NET 5 dan .NET Core.

PowerShell menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Ini berjalan di semua platform utama, termasuk Windows, Linux, dan macOS, dan memungkinkan bekerja dengan data terstruktur seperti JSON, CSV, dan XML, serta REST API dan model objek.

Perusahaan mengatakan tidak ada tindakan mitigasi yang tersedia untuk memblokir eksploitasi kelemahan keamanan yang dilacak sebagai CVE-2021-26701.

Pelanggan didesak untuk menginstal versi PowerShell 7.0.6 dan 7.1.3 yang diperbarui sesegera mungkin untuk melindungi sistem mereka dari potensi serangan.

Penasihat awal Microsoft juga memberikan panduan kepada pengembang tentang memperbarui aplikasi mereka untuk menghapus kerentanan ini.

“Paket yang rentan adalah System.Text.Encodings.Web. Memutakhirkan paket Anda dan menerapkan ulang aplikasi Anda seharusnya cukup untuk mengatasi kerentanan ini,” Microsoft menjelaskan pada bulan April ketika kelemahan keamanan telah ditambal.

Aplikasi berbasis .NET 5, .NET Core, atau .NET Framework apa pun yang menggunakan versi paket System.Text.Encodings.Web yang tercantum di bawah ini rentan terhadap serangan.

selengkapnya : www.bleepingcomputer.com

Microsoft Memperingatkan Cacat “PrintNightmare” Kritis Dieksploitasi di Alam Liar

by

Microsoft pada hari Kamis secara resmi mengkonfirmasi bahwa kerentanan eksekusi kode jarak jauh (RCE) “PrintNightmare” yang memengaruhi Windows Print Spooler berbeda dari masalah yang ditangani perusahaan sebagai bagian dari pembaruan Patch Tuesday yang dirilis awal bulan ini, sambil memperingatkan bahwa ia telah mendeteksi upaya eksploitasi yang menargetkan cacat.

Perusahaan melacak kelemahan keamanan di bawah pengenal CVE-2021-34527.

“Kerentanan eksekusi kode jarak jauh terjadi ketika layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar,” kata Microsoft dalam nasihatnya. “Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau membuat akun baru dengan hak pengguna penuh.”

“Sebuah serangan harus melibatkan pengguna yang diautentikasi yang memanggil RpcAddPrinterDriverEx(),” tambah perusahaan yang berbasis di Redmond.

Pengakuan itu muncul setelah para peneliti dari perusahaan keamanan siber yang berbasis di Hong Kong, Sangfor, memublikasikan kesalahan teknis Print Spooler RCE ke GitHub, bersama dengan kode PoC yang berfungsi penuh, sebelum diturunkan hanya beberapa jam setelah naik.

selengkapnya : thehackernews.com

Data yang Diretas untuk 69K Pengguna LimeVPN Dijual di Web Gelap

by

LimeVPN telah mengkonfirmasi insiden data, dan sementara itu situs webnya telah dimatikan.

Penyedia VPN yang dikenal sebagai LimeVPN telah terkena peretasan yang memengaruhi 69.400 catatan pengguna, menurut para peneliti.

Seorang peretas mengklaim telah mencuri seluruh basis data pelanggan perusahaan sebelum membuat situs webnya offline (Threatpost mengonfirmasi bahwa pada waktu pers, situs web itu mati). Catatan yang dicuri terdiri dari nama pengguna, kata sandi dalam teks biasa, alamat IP, dan informasi penagihan, menurut PrivacySharks. Para peneliti menambahkan serangan itu juga termasuk kunci publik dan pribadi pengguna LimeVPN.

“Peretas memberi tahu kami bahwa mereka memiliki kunci pribadi setiap pengguna, yang merupakan masalah keamanan serius karena itu berarti mereka dapat dengan mudah mendekripsi lalu lintas setiap pengguna LimeVPN,” kata perusahaan itu dalam sebuah posting.

selengkapnya : threatpost.com

CISA merilis alat audit keamanan penilaian mandiri ransomware baru

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah merilis Ransomware Readiness Assessment (RRA), modul baru untuk Alat Evaluasi Keamanan Cyber ​​(CSET).

RRA adalah alat penilaian mandiri audit keamanan untuk organisasi yang ingin lebih memahami seberapa baik mereka diperlengkapi untuk bertahan dan pulih dari serangan ransomware yang menargetkan teknologi informasi (TI), teknologi operasional (OT), atau sistem kontrol industri (ICS) mereka. aktiva.

Modul CSET ini dirancang RRA untuk menilai berbagai tingkat kesiapan ancaman ransomware untuk membantu semua organisasi terlepas dari kematangan keamanan siber mereka.

“RRA juga menyediakan jalur yang jelas untuk perbaikan dan berisi perkembangan pertanyaan yang berkembang berjenjang berdasarkan kategori dasar, menengah, dan lanjutan,” kata CISA di halaman wiki alat.

“Ini dimaksudkan untuk membantu organisasi meningkatkan dengan berfokus pada dasar-dasar terlebih dahulu, dan kemudian berkembang dengan menerapkan praktik melalui kategori menengah dan lanjutan.”

CISA mengatakan RRA dapat digunakan untuk bertahan melawan ancaman yang berkembang ini karena secara efektif:

  1. Membantu organisasi mengevaluasi postur keamanan siber mereka, sehubungan dengan ransomware, terhadap standar yang diakui dan rekomendasi praktik terbaik secara sistematis, disiplin, dan berulang.
  2. Memandu pemilik aset dan operator melalui proses sistematis untuk mengevaluasi teknologi operasional (OT) dan praktik keamanan jaringan teknologi informasi (TI) mereka terhadap ancaman ransomware.
  3. Menyediakan dasbor analisis dengan grafik dan tabel yang menyajikan hasil penilaian baik dalam bentuk ringkasan maupun detail.

selengkapnya : www.bleepingcomputer.com

Serangan ransomware besar ini digagalkan pada menit terakhir. Begini cara mereka melihatnya

by

Geng ransomware menginstal perangkat lunak desktop jarak jauh di lebih dari 100 mesin di seluruh jaringan, dan rencana mereka untuk mengenkripsi jaringan hanya digagalkan pada menit terakhir ketika pakar keamanan siber dipanggil ke perusahaan setelah perangkat lunak mencurigakan ditemukan di jaringannya.

Upaya yang dilakukan oleh penjahat untuk meletakkan dasar untuk serangan ransomware, yang mengakibatkan perangkat lunak akses jarak jauh yang sah diinstal pada 130 titik akhir, ditemukan ketika perusahaan keamanan Sophos dibawa untuk menyelidiki perusahaan yang tidak disebutkan namanya setelah Cobalt Strike terdeteksi di jaringannya.

Cobalt Strike adalah alat pengujian penetrasi yang sah, tetapi biasanya digunakan oleh penjahat cyber pada tahap awal serangan ransomware. Salah satu alasan yang digunakan oleh penjahat cyber adalah sebagian berjalan di memori, sehingga sulit untuk dideteksi.

Tujuan dari geng tersebut adalah untuk mengenkripsi sebanyak mungkin jaringan dengan REvil ransomware, tetapi karena penjahat cyber terdeteksi sebelum mereka dapat menyelesaikan persiapan mereka, serangan itu tidak berhasil – meskipun mereka berhasil mengenkripsi data pada beberapa perangkat yang tidak terlindungi. dan menghapus cadangan online setelah mereka menyadari bahwa mereka telah ditemukan oleh penyelidik.

selengkapnya : www.zdnet.com

Decryptor ransomware Lorenz memulihkan file korban secara gratis

by

Perusahaan keamanan siber Belanda Tesorion telah merilis decryptor gratis untuk ransomware Lorenz, yang memungkinkan korban memulihkan beberapa file mereka secara gratis tanpa membayar uang tebusan.

Lorenz adalah ransomware yang dioperasikan manusia yang mulai beroperasi pada April 2021 dan sejak itu telah mendaftarkan dua belas korban yang datanya mereka curi dan bocorkan di situs kebocoran data ransomware mereka.

Alat dekripsi ransomware Lorenz dapat diunduh dari NoMoreRansom dan akan memungkinkan korban memulihkan beberapa file terenkripsi mereka.

Tidak seperti decryptor ransomware lain yang menyertakan kunci dekripsi sebenarnya, decryptor Tesorion beroperasi secara berbeda dan hanya dapat mendekripsi jenis file tertentu.

Peneliti Tesorion Gijs Rijnders mengatakan kepada BleepingComputer bahwa hanya file dengan struktur file terkenal yang dapat didekripsi, seperti dokumen Office, file PDF, beberapa jenis gambar, dan file film.

Sementara decryptor akan mendekripsi tidak semua jenis file, masih akan memungkinkan mereka yang tidak membayar uang tebusan untuk memulihkan file penting.

selengkapnya : www.bleepingcomputer.com

Masalah RPM Linux utama ditemukan

by

Pada tahun 1995, ketika Linux 1.x adalah kernel Linux baru yang panas, programmer pendiri Red Hat awal Marc Ewing dan Erik Troan menciptakan RPM. Sistem manajemen paket perangkat lunak ini menjadi cara default untuk mendistribusikan perangkat lunak untuk distribusi berbasis Red Hat Linux seperti Red Hat Enterprise Linux (RHEL), CentOS Stream, AlmaLinux OS, dan Rocky Linux. Sayangnya, tersembunyi di dalam hatinya adalah lubang keamanan utama.

Dmitry Antipov, pengembang Linux di CloudLinux, perusahaan induk AlmaLinux OS, pertama kali menemukan masalah pada Maret 2021. Antipov menemukan bahwa RPM akan bekerja dengan paket RPM yang tidak sah. Ini berarti bahwa paket yang tidak ditandatangani atau paket yang ditandatangani dengan kunci yang dicabut dapat diam-diam ditambal atau diperbarui tanpa peringatan bahwa mereka mungkin tidak halal.

Mengapa? Karena RPM tidak pernah memeriksa dengan benar penanganan kunci sertifikat yang dicabut. Secara khusus, seperti yang dijelaskan oleh pengembang Linux dan RPM utama Panu Matilainen: “Pencabutan adalah salah satu dari banyak hal yang tidak diimplementasikan dalam dukungan OpenPGP rpm. Dengan kata lain, Anda tidak melihat bug seperti itu; itu hanya tidak diterapkan sama sekali, seperti kedaluwarsa tidak.”

Bagaimana ini bisa terjadi? Itu karena RPM berasal dari hari-hari ketika membuat kode berfungsi adalah prioritas pertama dan keamanan datang jauh kedua. Misalnya, kita tidak tahu apakah komit RPM pertama dibuat oleh Marc Ewing atau Erik Troan karena dilakukan sebagai root.

selengkapnya : www.zdnet.com