Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Microsoft memperingatkan malware yang tidak biasa ini yang menargetkan Windows dan Linux

by

Microsoft memperingatkan pelanggan tentang malware penambangan kripto LemonDuck yang menargetkan sistem Windows dan Linux dan menyebar melalui email phishing, eksploitasi, perangkat USB, dan serangan brute force, serta serangan yang menargetkan kerentanan Server Exchange lokal yang kritis yang terungkap pada bulan Maret .

Grup tersebut diketahui menggunakan bug Exchange untuk menambang cryptocurrency pada bulan Mei, dua tahun setelah pertama kali muncul.

Khususnya, grup di belakang LemonDuck memanfaatkan bug keamanan profil tinggi dengan mengeksploitasi kerentanan lama selama periode di mana tim keamanan fokus untuk menambal kelemahan kritis, dan bahkan menghapus malware saingan.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi,” catatan Microsoft 365 Defender Threat Intelligence Team.

selengkapnya : www.zdnet.com

Router rumah dan kantor diserang oleh peretas negara China, Prancis memperingatkan

by

Peretas negara bagian China mengkompromikan sejumlah besar router rumah dan kantor untuk digunakan dalam serangan besar-besaran dan berkelanjutan terhadap organisasi di Prancis, kata pihak berwenang dari daerah itu.

Kelompok peretas—dikenal di kalangan keamanan sebagai APT31, Zirkonium, Panda, dan nama lainnya—secara historis melakukan kampanye spionase yang menargetkan organisasi pemerintah, keuangan, kedirgantaraan, dan pertahanan serta bisnis di bidang teknologi, konstruksi, teknik, telekomunikasi, media, dan industri asuransi, kata perusahaan keamanan FireEye. APT31 juga merupakan salah satu dari tiga kelompok peretas yang disponsori oleh pemerintah China yang berpartisipasi dalam peretasan server Microsoft Exchange baru-baru ini, Pusat Keamanan Siber Nasional Inggris mengatakan pada hari Senin.

Pada hari Rabu, Badan Nasional Keamanan Sistem Informasi Prancis — disingkat ANSSI — memperingatkan bisnis dan organisasi nasional bahwa kelompok itu berada di balik kampanye serangan besar-besaran yang menggunakan router yang diretas sebelum melakukan pengintaian dan serangan sebagai sarana untuk menutupi intrusi.

“ANSSI saat ini sedang menangani kampanye penyusupan besar yang berdampak pada banyak entitas Prancis,” sebuah penasehat ANSSI memperingatkan. “Serangan masih berlangsung dan dipimpin oleh kelompok penyusup yang secara publik disebut sebagai APT31. Tampaknya dari penyelidikan kami bahwa aktor ancaman menggunakan jaringan router rumah yang disusupi sebagai kotak relai operasional untuk melakukan pengintaian siluman serta serangan.”

Penasihat berisi indikator kompromi yang dapat digunakan organisasi untuk menentukan apakah mereka diretas atau ditargetkan dalam kampanye. Indikatornya mencakup 161 alamat IP, meskipun tidak sepenuhnya jelas apakah itu milik router yang disusupi atau jenis perangkat lain yang terhubung ke Internet yang digunakan dalam serangan.

selengkapnya :arstechnica.com

Malware Joker kembali menargetkan jutaan perangkat Android lainnya

by

Malware Joker yang terkenal sekali lagi menemukan jalannya ke Google Play Store resmi dengan membuat penyesuaian halus untuk melewati pemeriksaan otomatis, menurut laporan.

Keluarga malware Joker telah menginfeksi aplikasi di Google Play Store selama beberapa tahun terakhir, dan bahkan muncul di toko aplikasi terkemuka lainnya seperti Huawei.

“Meskipun mengetahui malware khusus ini, ia terus menemukan jalannya ke pasar aplikasi resmi Google dengan menggunakan perubahan dalam kode, metode eksekusi, atau teknik pengambilan muatannya,” saran peneliti dari perusahaan keamanan cloud Zscaler.

Zscaler menyarankan bahwa spyware Joker dirancang untuk mencuri pesan SMS, daftar kontak, dan informasi perangkat dan juga akan secara diam-diam mendaftarkan korban ke layanan protokol aplikasi nirkabel (WAP) premium.

selengkapnya : www.techradar.com

Malware Windows pencuri kata sandi ini didistribusikan melalui iklan di hasil pencarian

by

Bentuk malware yang baru ditemukan yang dikirimkan kepada korban melalui iklan di hasil pencarian digunakan sebagai pintu gerbang untuk mencuri kata sandi, menginstal penambang cryptocurrency, dan mengirimkan malware trojan tambahan.

Dirinci oleh perusahaan keamanan siber Bitdefender, malware – yang menargetkan Windows – telah dijuluki MosaicLoader dan telah menginfeksi korban di seluruh dunia karena mereka yang berada di baliknya berusaha untuk mengkompromikan sebanyak mungkin sistem.

MosaicLoader dapat digunakan untuk mengunduh berbagai ancaman ke mesin yang disusupi, termasuk Glupteba, sejenis malware yang membuat pintu belakang ke sistem yang terinfeksi, yang kemudian dapat digunakan untuk mencuri informasi sensitif, termasuk nama pengguna dan kata sandi, serta informasi keuangan.

Tidak seperti banyak bentuk malware, yang didistribusikan melalui serangan phishing atau kerentanan perangkat lunak yang belum ditambal, MosaicLoader dikirimkan kepada korban melalui iklan.

Tautan ke malware muncul di bagian atas hasil pencarian saat orang mencari versi bajakan dari perangkat lunak populer. Sistem otomatis yang digunakan untuk membeli dan melayani ruang iklan kemungkinan berarti bahwa tidak seorang pun dalam rantai – selain penyerang – tahu bahwa iklan tersebut berbahaya sama sekali.

Perusahaan keamanan mengatakan bahwa karyawan yang bekerja dari rumah berisiko lebih tinggi mengunduh perangkat lunak bajakan.

Ada kemungkinan bahwa malware akan terdeteksi oleh perangkat lunak antivirus, tetapi banyak pengguna yang mengunduh perangkat lunak bajakan secara ilegal kemungkinan telah menonaktifkan perlindungan mereka untuk mengakses dan menginstal unduhan.

Pengguna harus berhati-hati dalam mengikuti petunjuk untuk mematikan perangkat lunak antivirus, karena hal itu dapat menyebabkan perangkat lunak berbahaya diizinkan untuk menyusup ke sistem.

Selengkapnya: ZDNet

Microsoft membagikan workaround untuk kerentanan SeriousSAM Windows 10

by

Microsoft telah membagikan solusi untuk kerentanan zero-day Windows 10 yang dijuluki SeriousSAM yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem yang rentan dan mengeksekusi kode dengan hak istimewa SISTEM.

Seperti yang dilaporkan oleh BleepingComputer sebelumnya, peningkatan lokal dari bug hak istimewa (dijuluki SeriousSAM) yang ditemukan di versi Windows yang baru dirilis memungkinkan pengguna dengan hak istimewa rendah untuk mengakses file database Registry yang sensitif.

Kerentanan, yang diungkapkan secara publik oleh peneliti keamanan Jonas Lykkegaard di Twitter dan belum menerima patch resmi, sekarang dilacak oleh Microsoft sebagai CVE-2021-36934.

Seperti yang diungkapkan Microsoft lebih lanjut, kerentanan zero-day ini berdampak pada rilis Windows sejak Oktober 2018, dimulai dengan Windows 10, versi 1809. Lykkegaard juga menemukan bahwa Windows 11 (OS Microsoft yang belum dirilis secara resmi) juga terpengaruh.

Berikut adalah langkah-langkah yang diperlukan untuk memblokir eksploitasi kerentanan ini untuk sementara:

Batasi akses ke konten %windir%\system32\config:

  1. Buka Command Prompt atau Windows PowerShell sebagai administrator.
  2. Jalankan perintah ini: icacls %windir%\system32\config\*.* /inheritance:e

Hapus shadow copies dari Volume Shadow Copy Service (VSS):

  1. Hapus semua titik System Restore dan Shadow volumes yang ada sebelum membatasi akses ke %windir%\system32\config.
  2. Buat titik System Restore baru (jika diinginkan).

Microsoft masih menyelidiki kerentanan ini dan sedang mengerjakan tambalan yang kemungkinan besar akan dirilis sebagai pembaruan keamanan out-of-band akhir pekan ini.

Selengkapnya: Bleeping Computer

Kerentanan Windows 10 baru memungkinkan siapa saja untuk mendapatkan hak istimewa admin

by

Windows 10 dan Windows 11 rentan terhadap peningkatan kerentanan hak istimewa lokal setelah menemukan bahwa pengguna dengan hak istimewa rendah dapat mengakses file database Registry yang sensitif.

Registry Windows bertindak sebagai repositori konfigurasi untuk sistem operasi Windows dan berisi kata sandi hash, penyesuaian pengguna, opsi konfigurasi untuk aplikasi, kunci dekripsi sistem, dan banyak lagi.

File database yang terkait dengan Windows Registry disimpan di bawah folder C:\Windows\system32\config dan dipecah menjadi file yang berbeda seperti SYSTEM, SECURITY, SAM, DEFAULT, dan SOFTWARE.

Karena file ini berisi informasi sensitif tentang semua akun pengguna di perangkat dan token keamanan yang digunakan oleh fitur Windows, file tersebut harus dibatasi agar tidak dilihat oleh pengguna biasa tanpa hak istimewa yang lebih tinggi.

Hal ini terutama berlaku untuk file Security Account Manager (SAM) karena berisi kata sandi hash untuk semua pengguna di sistem, yang dapat digunakan oleh pelaku ancaman untuk mengasumsikan identitas mereka.

Peneliti keamanan Jonas Lykkegaard mengatakan kepada BleepingComputer bahwa dia menemukan file Registry Windows 10 dan Windows 11 yang terkait dengan Security Account Manager (SAM), dan semua database Registry lainnya, dapat diakses oleh grup ‘Pengguna’ yang memiliki hak istimewa rendah pada perangkat.

Dengan izin file yang rendah ini, aktor ancaman dengan hak istimewa terbatas pada perangkat dapat mengekstrak kata sandi hash NTLM untuk semua akun di perangkat dan menggunakan hash tersebut dalam serangan pass-the-hash untuk mendapatkan hak istimewa yang lebih tinggi.

Serangan ini ditunjukkan dalam video di bawah yang dibuat oleh Delpy dan dibagikan dengan BleepingComputer yang menunjukkan Mimikatz menggunakan hash NTLM untuk mendapatkan hak debug.

Selengkapnya: Bleeping Computer

Bug keamanan sistem Linux yang buruk terungkap

by

Systemd, manajer sistem dan layanan Linux yang sebagian besar telah menggantikan init sebagai program startup dan kontrol utama Linux, selalu mendapat kritik.

Sekarang, dengan penemuan bug keamanan systemd baru oleh Qualys, systemd akan mendapatkan lebih banyak kritikan. Eksploitasi yang berhasil dari kerentanan terbaru ini memungkinkan pengguna yang tidak memiliki hak untuk menyebabkan Denial of Service melalui kernel panic.

Seperti yang ditulis oleh Bharat Jogi, manajer senior Qualys untuk Kerentanan dan Signatures, “Mengingat luasnya permukaan serangan untuk kerentanan ini, Qualys merekomendasikan pengguna untuk segera menerapkan patch untuk kerentanan ini”.

Systemd digunakan di hampir semua distribusi Linux modern. Lubang keamanan khusus ini tiba di kode systemd pada April 2015. Ini bekerja dengan memungkinkan penyerang untuk menyalahgunakan fungsi alloca() dengan cara yang akan mengakibatkan kerusakan memori. Ini memungkinkan seorang peretas untuk merusak systemd dan seluruh sistem operasi.

Secara praktis, ini dapat dilakukan oleh penyerang lokal yang memasang sistem file pada jalur yang sangat panjang. Ini menyebabkan terlalu banyak ruang memori untuk digunakan di tumpukan systemd, yang mengakibatkan sistem crash.

Itu berita buruknya. Kabar baiknya adalah bahwa Red Hat Product Security dan pengembang systemd telah segera menambal lubangnya.

Meskipun tidak ada di semua distro Linux saat ini, Anda akan menemukannya di sebagian besar distro seperti Debian 10 (Buster) dan kerabatnya seperti Ubuntu dan Mint. Oleh karena itu, jika Anda ingin komputer Anda tetap berfungsi, Anda harus menambal versi systemd Anda sesegera mungkin.

Selengkapnya: ZDNet

Pegasus: Amnesty Merilis Alat Baru Untuk Memeriksa Apakah Spyware Invasif Dipasang Secara Rahasia di Ponsel

by

Amnesty International telah merilis toolkit untuk membantu orang mengetahui apakah ponsel mereka diam-diam dipantau oleh Pegasus, spyware kelas militer yang menargetkan aktivis hak asasi manusia, jurnalis, dan pengacara di seluruh dunia.

Perangkat lunak tersebut memindai perangkat untuk petunjuk kecil yang tertinggal jika telepon terinfeksi oleh spyware Pegasus.

Daftar 50.000 nomor telepon yang bocor diperoleh oleh jurnalisme non-profit Forbidden Stories dan Amnesty sebelum dibagikan ke media.

Spyware, yang dibangun oleh perusahaan Israel NSO Group, dapat digunakan untuk merekam panggilan, menyalin dan mengirim pesan atau bahkan merekam orang melalui kamera ponsel. Spyware ini dapat dan telah digunakan untuk menargetkan perangkat Apple iOS dan Android.

Versi awal perangkat lunak membutuhkan target untuk mengklik tautan berbahaya, memberikan akses kepada orang yang tidak berwenang ke data pribadi korban, termasuk kata sandi, panggilan, teks, dan email, tetapi para ahli percaya bahwa perangkat lunak telah lebih maju sehingga target tidak perlu mengklik tautan apa pun agar spyware terinstal.

Toolkit peneliti Amnesty, Mobile Verification Toolkit (MVT), berfungsi pada perangkat iOS dan Android untuk membantu pengguna mengetahui apakah mereka telah ditargetkan.

Ini menggunakan cadangan perangkat dan mencarinya untuk setiap indikator kompromi yang akan digunakan untuk mengirimkan Pegasus, seperti nama domain yang digunakan dalam infrastruktur NSO Group.

Ketika dijalankan, toolkit memindai cadangan telepon untuk mencari bukti bahwa ponsel telah diretas. Dibutuhkan satu atau dua menit untuk melakukannya, dan membuat sejumlah file yang menunjukkan hasil pemindaian – jika ponsel berpotensi disusupi, file tersebut akan mengatakan demikian.

Selengkapnya: Independent.co.uk