Threat

Crimea “manifesto” menyebarkan VBA Rat menggunakan vektor serangan ganda

July 31, 2021 by Winnie the Pooh

Pada 21 Juli 2021, kami mengidentifikasi dokumen mencurigakan bernama “Манифест.docx” (“Manifest.docx”) yang mengunduh dan menjalankan dua template: satu berkemampuan makro dan yang lainnya adalah objek html yang berisi eksploitasi Internet Explorer.

Sementara kedua teknik mengandalkan injeksi template untuk menjatuhkan Trojan Akses Jarak Jauh berfitur lengkap, eksploitasi IE (CVE-2021-26411) yang sebelumnya digunakan oleh Lazarus APT adalah penemuan yang tidak biasa. Penyerang mungkin ingin menggabungkan teknik rekayasa sosial dengan eksploitasi yang diketahui untuk memaksimalkan peluang mereka menginfeksi target.

Kami juga menemukan panel yang digunakan oleh aktor ancaman yang dijuluki “Ekipa” yang dapat diterjemahkan menjadi “tim.” Korban dilacak dan statistik mencakup apakah eksploitasi IE berhasil atau tidak.

Kami tidak dapat menentukan siapa yang mungkin berada di balik serangan ini berdasarkan teknik saja, tetapi dokumen umpan yang ditampilkan kepada para korban mungkin memberikan beberapa petunjuk. Ini berisi pernyataan dari kelompok yang berhubungan dengan Andrey Sergeevich Portyko dan menentang kebijakan Putin di semenanjung Krimea.

selengkapnya : blog.malwarebytes.com

Ransomware ‘Death Kitty’ Terkait dengan Serangan Pelabuhan Afrika Selatan

July 31, 2021 by Winnie the Pooh

Perusahaan pelabuhan dan kereta api Afrika Selatan tampaknya telah menjadi sasaran dengan jenis ransomware yang dikaitkan oleh para pakar keamanan siber dengan serangkaian pelanggaran data tingkat tinggi yang kemungkinan dilakukan oleh geng-geng kejahatan dari Eropa Timur dan Rusia.

Peretas meninggalkan catatan tebusan di komputer Transnet SOC Ltd., dilihat oleh Bloomberg News, mengklaim bahwa mereka mengenkripsi file perusahaan, termasuk satu terabyte data pribadi, laporan keuangan, dan dokumen lainnya. Catatan itu menginstruksikan perusahaan untuk mengunjungi portal obrolan di web gelap untuk memasuki negosiasi.

Penyelidikan atas motif serangan itu masih berlangsung, kata Menteri Perusahaan Umum Pravin Gordhan dalam sebuah pernyataan pada hari Rabu. Juru bicara Transnet Ayanda Shezi merujuk pada pernyataan menteri dan menolak berkomentar lebih lanjut.

Serangan siber pada 22 Juli menyebabkan perusahaan mengumumkan force majeure di terminal peti kemas dan beralih ke pemrosesan kargo secara manual. Pelabuhan Durban Transnet sendiri menangani lebih dari setengah pengiriman nasional dan merupakan pintu gerbang utama bagi eksportir komoditas lainnya termasuk Republik Demokratik Kongo dan Zambia.

selengkapnya: www.bloomberg.com

Malware Android baru merekam ponsel cerdas melalui VNC untuk mencuri kata sandi

July 29, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan bagian baru dari malware Android yang menggunakan teknologi VNC untuk merekam dan menyiarkan aktivitas smartphone korban, memungkinkan pelaku ancaman untuk mengumpulkan penekanan keyboard dan kata sandi aplikasi.

Pertama kali ditemukan pada Maret 2021 oleh perusahaan keamanan Belanda ThreatFabric, malware baru ini, bernama Vultur, adalah penyimpangan dari jenis malware Android lainnya yang biasanya mengandalkan layar login palsu yang mengambang di atas aplikasi yang sah untuk mengumpulkan kredensial korban.

Sebagai gantinya, Vultur membuka server VNC di ponsel yang terinfeksi, dan menyiarkan tangkapan layar ke server perintah dan kontrol penyerang, tempat operator Vultur mengekstrak kata sandi untuk aplikasi yang diinginkan.

selengkapnya : therecord.media

Apple memperbaiki zero-day yang memengaruhi iPhone dan Mac, yang sedang aktif dieksploitasi

July 28, 2021 by Winnie the Pooh

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dieksploitasi di alam liar dan berdampak pada iPhone, iPad, dan Mac.

Kerentanan, dilacak sebagai CVE-2021-30807, adalah masalah kerusakan memori dalam ekstensi kernel IOMobileFramebuffer yang dilaporkan oleh peneliti anonim. Eksploitasi yang berhasil dapat memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel

Apple telah memperbaiki bug dengan meningkatkan penanganan memori di iOS 14.7.1, iPadOS 14.7.1, dan macOS Big Sur 11.5.1.

Daftar perangkat yang terpengaruh termasuk Mac, iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Sementara Apple mengungkapkan bahwa setidaknya satu laporan menyebutkan eksploitasi aktif CVE-2021-30807 di alam liar, perusahaan tidak merilis informasi tambahan mengenai serangan ini.

Menahan info ini kemungkinan merupakan tindakan yang dirancang untuk memungkinkan pembaruan keamanan yang dirilis hari ini untuk menjangkau iPhone, iPad, dan Mac sebanyak mungkin sebelum pelaku ancaman lain mengetahui detailnya dan mulai secara aktif menyalahgunakan zero-day yang sekarang telah ditambal.

Selengkapnya: Bleeping Computer

Laporan Metodologi Forensik: Cara menangkap Pegasus NSO Group

July 27, 2021 by Winnie the Pooh

NSO Group mengklaim bahwa spyware Pegasus-nya hanya digunakan untuk “menyelidiki terorisme dan kejahatan” dan “tidak meninggalkan jejak apa pun”. Laporan Metodologi Forensik ini menunjukkan bahwa tidak satu pun dari pernyataan ini benar. Laporan ini menyertai peluncuran Proyek Pegasus, sebuah investigasi kolaboratif yang melibatkan lebih dari 80 jurnalis dari 17 organisasi media di 10 negara yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Lab Keamanan Amnesty International.

Lab Keamanan Amnesty International telah melakukan analisis forensik mendalam terhadap berbagai perangkat seluler dari pembela hak asasi manusia (HRD) dan jurnalis di seluruh dunia. Penelitian ini telah mengungkap pengawasan yang melanggar hukum, terus-menerus dan berkelanjutan serta pelanggaran hak asasi manusia yang dilakukan dengan menggunakan spyware Pegasus NSO Group.

Bagian 1 hingga 8 dari laporan ini menguraikan jejak forensik yang tertinggal di perangkat seluler setelah infeksi Pegasus. Bukti ini telah dikumpulkan dari telepon pembela HAM dan jurnalis di berbagai negara. Terakhir, di bagian 9 laporan tersebut mendokumentasikan evolusi infrastruktur jaringan Pegasus sejak 2016.

1. Menemukan serangan injeksi jaringan Pegasus

Investigasi teknis Amnesty International terhadap Pegasus NSO Group diintensifkan setelah mereka menemukan penargetan staf Amnesty International dan aktivis Saudi, Yahya Assiri, pada tahun 2018. Lab Keamanan Amnesty International mulai menyempurnakan metodologi forensiknya melalui penemuan serangan terhadap pembela HAM di Maroko pada tahun 2019, yang selanjutnya dikuatkan oleh serangan yang mereka temukan terhadap seorang jurnalis Maroko pada tahun 2020. Di bagian pertama ini mereka merinci proses yang mengarah pada penemuan kompromi ini.

Banyak laporan publik telah mengidentifikasi pelanggan NSO Group yang menggunakan pesan SMS dengan domain eksploitasi Pegasus selama bertahun-tahun. Akibatnya, pesan serupa muncul dari analisis kami terhadap telepon aktivis Maroko Maati Monjib, yang merupakan salah satu aktivis yang menjadi sasaran sebagaimana didokumentasikan dalam laporan Amnesty International tahun 2019.

Namun, pada analisis lebih lanjut, Amnesty juga melihat pengalihan mencurigakan yang tercatat dalam riwayat penelusuran Safari. Misalnya, dalam satu kasus Amnesty melihat pengalihan ke URL yang tampak aneh setelah Maati Monjib mencoba mengunjungi Yahoo:

Seperti yang dijelaskan dalam Lampiran Teknis dari laporan 2020 Amnesty tentang serangan Pegasus di Maroko, pengalihan ini tidak hanya terjadi ketika target menavigasi Internet dengan aplikasi browser, tetapi juga saat menggunakan aplikasi lain.

Selengkapnya: Amnesty International

Serangan jaringan “PetitPotam” Windows – cara melindunginya

July 27, 2021 by Winnie the Pooh

Peneliti asal Prancis Gilles Lionel, yang menggunakan @topotam77, baru-baru ini menerbitkan kode bukti konsep yang dapat digunakan penyerang untuk mengambil alih jaringan Windows.

Peretasan itu, yang ia juluki PetitPotam, melibatkan apa yang dikenal sebagai serangan relay NTLM, yang merupakan bentuk serangan manipulator-in-the-middle (MitM) terhadap sistem otentikasi NTLM Microsoft.

Microsoft telah menyarankan semua orang untuk menghindari NTLM, kependekan dari NT LAN Manager, selama lebih dari satu dekade, karena tidak memenuhi standar keamanan kriptografi modern.

Menurut Microsoft, kode PetitPotam bergantung pada penyalahgunaan fungsi sistem yang diaktifkan jika semua kondisi ini berlaku:

Otentikasi NTLM diaktifkan di domain Anda.
Anda menggunakan Active Directory Certificate Services (AD CS).
Anda mengaktifkan Certificate Authority Web Enrollment atau Certificate Enrollment Web Service.

Apa yang harus dilakukan?

Jelas, pertahanan paling kuat adalah berhenti menggunakan NTLM di jaringan Anda.

Jika Anda benar-benar tidak membutuhkannya (dan sudah tidak digunakan lagi selama lebih dari satu dekade), Anda dapat mematikannya di domain controller untuk meningkatkan keamanan seluruh jaringan Anda.

Jika Anda tidak dapat mematikan otentikasi NTLM sama sekali, Microsoft memiliki banyak langkah lain yang dapat Anda ambil, tetapi ini secara khusus menangani celah PetitPotam daripada menyingkirkan kriptografi NTLM yang sudah ketinggalan zaman itu sendiri.

Selengkapnya: Naked Security

Jaringan Industri Terekspos Melalui Teknologi Operasional Berbasis Cloud

July 27, 2021 by Winnie the Pooh

Manfaat menggunakan platform manajemen berbasis cloud untuk memantau dan mengonfigurasi perangkat sistem kontrol industri (ICS) sangat jelas — efisiensi, penghematan biaya, dan diagnostik yang lebih baik hanya sebagai permulaan. Tetapi penelitian baru menemukan kerentanan kritis dalam platform ini yang dapat digunakan untuk melumpuhkan operasi jika dibiarkan tanpa tanggung jawab.

Analisis oleh tim peneliti Team82 Claroty yang baru menemukan kerentanan mencolok dalam sistem industri CODESYS dan WAGO, yang menggunakan otomatisasi berbasis cloud untuk teknologi operasional (OT) — segmen yang sering disebut sebagai “Industri 4.0.”

Kerentanan, jika dieksploitasi, dapat menyebabkan konsekuensi serius, termasuk menguasai peralatan dan operasi industri.

Beberapa jenis eksploitasi dapat dilakukan, tetapi Claroty menandai beberapa catatan. Dalam satu bukti konsep, mereka dapat memodifikasi paket CODESYS Package Designer untuk mengambil kredensial cloud pengguna; serangan melibatkan rekayasa sosial pengguna yang masuk untuk menginstalnya.

Serangan itu akan memungkinkan akses ke konsol manajemen berbasis cloud CODESYS, dimana musuh dapat lebih jauh mengeksploitasi PLC terkelola yang terhubung ke konsol.

WAGO dan CODESYS dengan cepat merespons dengan mitigasi dan patch untuk semua kerentanan yang dilaporkan.

Selengkapnya: Threat Post

Malware Lemon Duck belum selesai mengganggu Windows dan Linux, malware ini terus berkembang

July 26, 2021 by Winnie the Pooh

Lemon Duck menyebabkan lebih banyak masalah dari sebelumnya. Awalnya, itu hanya botnet cryptocurrency yang memungkinkan penambangan di mesin. Kemudian memulai transisi menjadi pemuat malware, yang membawa kita ke pembaruan terbaru dari Microsoft tentang status bebek digital jahat yang mengandung jeruk.

“Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan pada akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia,” Laporan keamanan Microsoft berbunyi, merinci banyak cara Lemon Duck (sekarang disebut sebagai LemonDuck oleh Microsoft) dapat membahayakan seseorang. Lebih buruk lagi, itu tidak eksklusif untuk satu platform. LemonDuck akan menyerang Windows serta Linux, dan menyebar melalui email phishing, perangkat USB, eksploitasi, dan banyak lagi.

Bisa dibilang, bagian paling menakutkan dari LemonDuck adalah fakta bahwa ia sangat pandai menutupi jejaknya.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi. Khususnya, LemonDuck menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Selengkapnya: Windows Central

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

1. Menemukan serangan injeksi jaringan Pegasus

Apa yang harus dilakukan?

Cookies Settings