Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Apa itu spear phishing? Mengapa serangan email yang ditargetkan begitu sulit dihentikan

by

Spear phishing adalah tindakan mengirim dan mengirim email ke target tertentu dan diteliti dengan baik sambil mengaku sebagai pengirim tepercaya. Tujuannya adalah untuk menginfeksi perangkat dengan malware atau meyakinkan korban untuk menyerahkan informasi atau uang.

Sementara kampanye phishing biasa mengejar sejumlah besar target hasil yang relatif rendah, spear phishing bertujuan pada target tertentu menggunakan email khusus yang dibuat untuk korban yang dituju. “Phishing hanyalah jenis serangan generik, berteknologi rendah, bukan bertarget,” kata Aaron Higbee, salah satu pendiri dan CTO dari perusahaan anti-phishing Cofense (sebelumnya dikenal sebagai PhishMe). “Mereka tidak terlalu peduli tentang siapa target mereka. Mereka hanya memasang jaring lebar untuk mencoba menjerat sebanyak mungkin orang dan perusahaan. ”

“Spear phishing adalah kampanye yang sengaja dibuat oleh pelaku ancaman dengan tujuan menembus satu organisasi, dan di mana mereka benar-benar akan meneliti nama dan peran dalam sebuah perusahaan,” tambah Higbee.

Meskipun email spear phishing sangat bertarget dan oleh karena itu kemungkinan besar berbeda dari satu organisasi ke organisasi lain, tren pemersatu harus menimbulkan tanda bahaya di antara pengguna. Tanda peringatan yang paling jelas adalah alamat email yang salah atau yang terlihat mirip dengan yang Anda harapkan tetapi sedikit berbeda. Namun, alamat email dapat dipalsukan atau mungkin tidak akan terlihat berbeda tanpa pemeriksaan yang cermat.

Urgensi ini sering kali dibarengi dengan dorongan untuk melanggar kebijakan atau norma perusahaan, pembayaran pelacakan cepat tanpa pemeriksaan dan prosedur biasa. Mereka mungkin juga menggunakan bahasa emosi untuk membangkitkan simpati atau ketakutan; CEO yang menyamar mungkin mengatakan Anda mengecewakan mereka jika Anda tidak melakukan pembayaran mendesak, misalnya.

Dia menambahkan bahwa seringkali email akan berisi file – atau tautan ke file – yang membutuhkan makro untuk diaktifkan. “Itu tanda peringatan. Sebagian besar makro tidak berbahaya, tetapi apakah Anda biasanya berharap menerimanya? Jika ya, apakah Anda perlu mengaktifkan makro untuk melakukan tugas ini? ”

Organisasi dapat menerapkan kontrol teknis dan manusia untuk mengurangi ancaman phishing tombak. Bersamaan dengan kontrol standar seperti filter spam, deteksi malware, dan antivirus, perusahaan harus mempertimbangkan pengujian simulasi phishing, pendidikan pengguna, dan memiliki proses yang mapan bagi pengguna untuk melaporkan email yang mencurigakan kepada tim keamanan TI.

selengkapnya : www.csoonline.com

Hacker “Expert” menggunakan 11 hari nol untuk menginfeksi pengguna Windows, iOS, dan Android

by

Dengan menggunakan teknik eksploitasi dan kebingungan baru, penguasaan berbagai jenis kerentanan, dan infrastruktur pengiriman yang kompleks, grup ini mengeksploitasi empat nol hari pada Februari 2020. Kemampuan peretas untuk menyatukan beberapa eksploitasi yang membahayakan perangkat Windows dan Android yang sepenuhnya ditambal. anggota Project Zero dan Grup Analisis Ancaman dari Google untuk menyebut grup itu “sangat canggih”.

Pada hari Kamis, peneliti Project Zero Maddie Stone mengatakan bahwa, dalam delapan bulan setelah serangan Februari, kelompok yang sama mengeksploitasi tujuh kerentanan yang sebelumnya tidak diketahui, yang kali ini juga berada di iOS. Seperti yang terjadi pada bulan Februari, para peretas mengirimkan eksploitasi melalui serangan lubang-air, yang menyusupi situs web yang sering dikunjungi oleh target minat dan menambahkan kode yang memasang perangkat lunak perusak di perangkat pengunjung.

Tujuh zero day adalah:

CVE-2020-15999 – Heap buffer overflow Chrome Freetype
CVE-2020-17087 – Windows heap buffer overflow di cng.sys
CVE-2020-16009 – Kebingungan jenis Chrome dalam penghentian peta TurboFan
CVE-2020-16010 – Chrome untuk Android heap buffer overflow
CVE-2020-27930 – Safari baca / tulis tumpukan sewenang-wenang melalui font Tipe 1
CVE-2020-27950 – Pengungkapan memori kernel iOS XNU di trailer pesan mach
CVE-2020-27932 – Kebingungan jenis kernel iOS dengan pintu putar

selengkapnya : Arstechnica

Malware CopperStealer baru mencuri akun Google, Apple, Facebook

by

Malware pencuri akun yang sebelumnya tidak diketahui yang didistribusikan melalui situs crack perangkat lunak palsu menargetkan pengguna penyedia layanan utama, termasuk Google, Facebook, Amazon, dan Apple.

Malware, yang dijuluki CopperStealer oleh peneliti Proofpoint, adalah pencuri kata sandi dan cookie yang dikembangkan secara aktif dengan fitur pengunduh yang memungkinkan operatornya mengirimkan muatan berbahaya tambahan ke perangkat yang terinfeksi.

Aktor ancaman di balik malware ini telah menggunakan akun yang disusupi untuk menjalankan iklan berbahaya dan mengirimkan malware tambahan dalam kampanye malvertising berikutnya.

“Sementara kami menganalisis sampel yang menargetkan akun bisnis dan pengiklan Facebook dan Instagram, kami juga mengidentifikasi versi tambahan yang menargetkan penyedia layanan utama lainnya, termasuk Apple, Amazon, Bing, Google, PayPal, Tumblr, dan Twitter,” kata Proofpoint dalam laporan yang mereka terbitkan.

CopperStealers bekerja dengan memanen kata sandi yang disimpan di browser web Google Chrome, Edge, Firefox, Yandex, dan Opera.

Itu juga akan mengambil Token Akses Pengguna Facebook korban menggunakan cookie curian untuk mengumpulkan konteks tambahan, termasuk daftar teman mereka, info akun iklan, dan daftar halaman Facebook yang dapat mereka akses.

Malware yang dijatuhkan menggunakan modul pengunduh CopperStealer mencakup backdoor Smokeloader modular dan beragam muatan berbahaya lainnya yang diunduh dari beberapa URL.

Selengkapnya: Bleeping Computer

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

by

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Gambar Twitter dapat disalahgunakan untuk menyembunyikan file ZIP, MP3 – begini caranya

by

Seorang peneliti mengungkapkan metode menyembunyikan hingga tiga MB data di dalam gambar Twitter.

Dalam peragaannya, peneliti menunjukkan file audio MP3 dan arsip ZIP yang terdapat dalam gambar PNG yang dihosting di Twitter.

Meskipun seni menyembunyikan data non-gambar dalam gambar (steganografi) bukanlah hal baru, fakta bahwa gambar dapat dihosting di situs web populer seperti Twitter dan tidak dibersihkan membuka kemungkinan penyalahgunaannya oleh aktor jahat.

Kemarin, peneliti dan programmer David Buchanan melampirkan gambar contoh ke tweetnya yang memiliki data seperti ZIP dan file MP3 tersembunyi di dalamnya.

Meskipun file PNG terlampir yang dihosting di Twitter mewakili gambar yang valid saat dipratinjau, hanya mengunduh dan mengubah ekstensi file sudah cukup untuk mendapatkan konten yang berbeda dari file yang sama.

Sumber: BleepingComputer

Seperti yang diamati oleh BleepingComputer, gambar 6 KB yang di-tweet oleh peneliti berisi seluruh arsip ZIP.

ZIP berisi kode sumber Buchanan yang dapat digunakan siapa saja untuk mengemas berbagai konten ke dalam gambar PNG.

Teknik steganografi sering kali dimanfaatkan oleh pelaku ancaman tersembunyi karena memungkinkan mereka menyembunyikan perintah jahat, muatan, dan konten lain dalam file yang tampak biasa, seperti gambar.

Meskipun demikian, Buchanan yakin teknik bukti konsep gambar PNG-nya mungkin tidak terlalu berguna dengan sendirinya karena lebih banyak metode steganografi yang dapat digunakan.

Namun, teknik PNG yang ditunjukkan oleh peneliti tersebut dapat digunakan oleh malware untuk memfasilitasi aktivitas C2 perintah dan kontrolnya.

Selengkapnya: Bleeping Computer

Malware botnet ZHtrap baru menyebarkan honeypots untuk menemukan lebih banyak target

by

Sebuah botnet baru memburu dan mengubah router, DVR, dan perangkat jaringan UPnP yang terinfeksi menjadi honeypots yang membantunya menemukan target lain untuk diinfeksi.

Malware tersebut, yang dijuluki ZHtrap oleh peneliti keamanan 360 Netlab, didasarkan pada kode sumber Mirai, dan dilengkapi dengan dukungan untuk x86, ARM, MIPS, dan arsitektur CPU lainnya.

Setelah mengambil alih perangkat, ZHtrap mencegah malware lain menginfeksi kembali botnya dengan bantuan whitelist yang hanya memungkinkan proses sistem yang sudah berjalan, memblokir semua upaya untuk menjalankan perintah baru.

Kemampuan utama botnet termasuk serangan DDoS dan pemindaian perangkat yang lebih rentan untuk terinfeksi. Namun, itu juga dilengkapi dengan fungsi backdoor yang memungkinkan operator untuk mengunduh dan mengeksekusi muatan berbahaya tambahan.

Untuk menyebarkan, ZHtrap menggunakan eksploitasi yang menargetkan empat kerentanan keamanan N-day di endpoint Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000, dan daftar panjang perangkat CCTV-DVR.

Itu juga memindai perangkat dengan kata sandi Telnet yang lemah dari daftar alamat IP yang dibuat secara acak dan dikumpulkan dengan bantuan honeypot yang disebarkannya pada perangkat yang sudah terjerat dalam botnet.

Sumber: 360 Netlab

Selengkapnya: Bleeping Computer

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

Microsoft Mengeluarkan Alat Mitigasi Lokal Microsoft Exchange Sekali Klik

by

Microsoft bekerja secara aktif dengan pelanggan melalui tim dukungan pelanggan, host pihak ketiga, dan jaringan mitra kami untuk membantu mereka mengamankan lingkungan mereka dan menanggapi ancaman terkait dari serangan di lokasi Exchange Server baru-baru ini. Berdasarkan keterlibatan ini, kami menyadari bahwa ada kebutuhan akan solusi otomatis yang sederhana, mudah digunakan, yang akan memenuhi kebutuhan pelanggan yang menggunakan versi Exchange Server lokal saat ini dan di luar dukungan.

Microsoft telah meluncurkan alat mitigasi satu klik yang baru, Alat Mitigasi Lokal Microsoft Exchange untuk membantu pelanggan yang tidak memiliki tim keamanan atau TI khusus untuk menerapkan pembaruan keamanan ini. Dengan mengunduh dan menjalankan alat ini, yang mencakup Pemindai Keamanan Microsoft terbaru, pelanggan akan secara otomatis mengurangi CVE-2021-26855 di server Exchange mana pun yang digunakan. Alat ini bukan pengganti untuk pembaruan keamanan Exchange tetapi merupakan cara tercepat dan termudah untuk mengurangi risiko tertinggi ke Server Exchange di tempat yang tersambung ke internet sebelum menambal.

Kami menyarankan bahwa semua pelanggan yang belum menerapkan pembaruan keamanan Exchange di tempat:

1. Unduh alat ini.
2. Jalankan di server Exchange Anda segera.
3. Kemudian, ikuti panduan yang lebih detail di sini untuk memastikan bahwa Exchange lokal Anda terlindungi.
4. Jika Anda sudah menggunakan Microsoft Safety Scanner, itu masih aktif dan kami menyarankan agar ini tetap berjalan karena dapat digunakan untuk membantu mitigasi tambahan.

Setelah dijalankan, alat Jalankan EOMT.ps1 akan melakukan tiga operasi:

1. Kurangi serangan yang diketahui saat ini menggunakan CVE-2021-26855 menggunakan konfigurasi Tulis Ulang URL.
2. Pindai Exchange Server menggunakan Microsoft Safety Scanner.
3. Mencoba membalikkan perubahan apa pun yang dibuat oleh ancaman yang teridentifikasi.

Sebelum menjalankan alat tersebut, Anda harus memahami:

    • Alat Mitigasi Exchange On-premises efektif melawan serangan yang telah kita lihat sejauh ini, tetapi tidak dijamin dapat mengurangi semua kemungkinan teknik serangan di masa mendatang. Alat ini hanya boleh digunakan sebagai mitigasi sementara sampai server Exchange Anda dapat diperbarui sepenuhnya seperti yang diuraikan dalam panduan kami sebelumnya.
      Kami merekomendasikan skrip ini daripada skrip ExchangeMitigations.ps1 sebelumnya karena disetel berdasarkan kecerdasan ancaman terbaru. Jika Anda sudah memulai dengan skrip lain, tidak masalah untuk beralih ke skrip ini.
      Ini adalah pendekatan yang disarankan untuk penyebaran Exchange dengan akses Internet dan bagi mereka yang ingin mencoba remediasi otomatis.
      Sejauh ini, kami belum mengamati dampak apa pun pada fungsionalitas Exchange Server saat metode mitigasi ini diterapkan.

    • Untuk informasi teknis, contoh, dan panduan lebih lanjut, harap tinjau dokumentasi GitHub.

    Source : Microsoft