Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kerentanan hard-coded key di Logix PLC memiliki skor keparahan 10 dari 10

by

Perangkat keras yang banyak digunakan untuk mengontrol peralatan di pabrik dan pengaturan industri lainnya dapat dikendalikan dari jarak jauh dengan mengeksploitasi kerentanan yang baru diungkapkan yang memiliki skor tingkat keparahan 10 dari 10.

Kerentanan ditemukan pada pengontrol logika yang dapat diprogram dari Rockwell Automation yang dipasarkan dengan merek Logix.

Pada hari Kamis, Administrasi Keamanan Siber & Infrastruktur AS memperingatkan tentang kerentanan kritis yang dapat memungkinkan peretas untuk terhubung dari jarak jauh ke pengontrol Logix dan dari sana mengubah konfigurasi atau kode aplikasi mereka. Kerentanan tersebut membutuhkan tingkat keterampilan yang rendah untuk dieksploitasi, kata CISA.

Kerentanan, yang dilacak sebagai CVE-2021-22681, adalah hasil dari perangkat lunak Studio 5000 Logix Designer yang memungkinkan peretas untuk mengekstrak kunci enkripsi rahasia. Seorang peretas yang memperoleh kunci tersebut kemudian dapat meniru stasiun kerja teknik dan memanipulasi kode atau konfigurasi PLC yang secara langsung memengaruhi proses manufaktur.

Rockwell tidak mengeluarkan tambalan yang secara langsung mengatasi masalah yang berasal dari kunci yang di-hardcode. Sebaliknya, perusahaan merekomendasikan agar pengguna PLC mengikuti langkah-langkah mitigasi risiko tertentu. Langkah-langkahnya melibatkan menjalankan sakelar mode pengontrol, dan jika itu tidak memungkinkan, mengikuti rekomendasi lain yang khusus untuk setiap model PLC.

Selengkapnya: Ars Technica

Daftar pelanggaran data dan serangan siber pada Februari 2021 – 2,3 miliar catatan dilanggar

by

Industri keamanan siber diguncang pada bulan Februari setelah serangan ransomware terhadap penyedia layanan Cloud Accellion.

Lusinan organisasi yang menggunakan perangkat lunak tersebut melaporkan insiden di salah satu bulan terburuk yang pernah tercatat. IT Governance menemukan 118 insiden yang tercatat secara publik, 43 di antaranya adalah serangan ransomware.

Secara total, IT Governance mendeteksi 2.323.326.953 catatan yang dibobol. Anda dapat menemukan daftar lengkap pada link di bawah ini

Selengkapnya: IT Governance Blog

Data 21 juta pengguna dari 3 VPN Android dijual secara online

by

Seorang pengguna di forum peretas populer menjual tiga basis data yang diduga berisi kredensial pengguna dan data perangkat yang dicuri dari tiga layanan VPN Android yang berbeda – SuperVPN, GeckoVPN, dan ChatVPN – dengan total 21 juta catatan pengguna yang terjual.

Sumber: The Cybernews

Layanan VPN yang datanya diduga telah dieksploitasi oleh peretas adalah SuperVPN, yang dianggap sebagai salah satu VPN paling populer (dan berbahaya) di Google Play dengan 100.000.000+ pemasangan di Play store, serta GeckoVPN (1.000.000+ pemasangan) dan ChatVPN (50.000+ pemasangan).

Penulis postingan forum tersebut menjual tiga arsip, dua di antaranya diduga berisi berbagai data yang tampaknya dikumpulkan oleh penyedia dari lebih dari 21.000.000 pengguna SuperVPN, GeckoVPN, dan ChatVPN, termasuk:

  • Alamat email
  • Nama pengguna
  • Nama lengkap
  • Nama negara
  • String kata sandi yang dibuat secara acak
  • Data terkait pembayaran
  • Status anggota premium dan tanggal kedaluwarsa

String kata sandi acak mungkin menunjukkan bahwa akun pengguna VPN dapat ditautkan dengan akun Google Play Store tempat pengguna mengunduh aplikasi VPN mereka.

Secara teori, salah satu poin utama penggunaan VPN adalah untuk mengenkripsi lalu lintas internet Anda dan melindungi privasi Anda dari mata-mata pihak ketiga, seperti ISP, pemerintah yang represif, atau pelaku ancaman.

Inilah sebabnya, ketika memilih VPN, pengguna harus selalu memastikan bahwa VPN yang dimaksud tidak mencatat aktivitas online mereka atau mengumpulkan data lain apa pun tentang mereka. Jika tidak, data yang dicuri dari VPN yang mencatat informasi penggunanya dapat digunakan untuk melawan pengguna tersebut oleh pelaku ancaman.

Sumber: Cyber News

Peretas merilis alat jailbreak baru untuk hampir setiap iPhone

by

Tim peretasan iPhone telah merilis alat jailbreak baru untuk hampir setiap iPhone, termasuk model terbaru, dengan menggunakan kerentanan yang sama yang bulan lalu dikatakan Apple sedang diserang oleh peretas.

Tim Unc0ver merilis jailbreak terbaru akhir pekan ini, dan mengatakan itu berfungsi di iOS 11 (iPhone 5s dan yang lebih baru) hingga iOS 14.3, yang dirilis Apple pada bulan Desember.

Dalam sebuah tweet, grup jailbreak mengatakan mereka menggunakan “exploitnya sendiri” untuk CVE-2021-1782, kerentanan kernel yang menurut Apple adalah salah satu dari tiga kelemahan yang “mungkin telah secara aktif dieksploitasi” oleh peretas. Dengan menargetkan kernel, para peretas dapat masuk ke sistem operasi yang mendasarinya.

Apple memperbaiki kerentanan di iOS 14.4, yang dirilis bulan lalu, yang juga mencegah jailbreak bekerja pada versi yang lebih baru.

Pakar keamanan umumnya menyarankan pengguna iPhone agar tidak melakukan jailbreak karena itu membuat perangkat lebih rentan terhadap serangan. Dan ketika memperbarui ponsel Anda dapat memperkenalkan perbaikan keamanan yang menghapus jailbreak, itu adalah salah satu cara terbaik untuk menjaga keamanan perangkat Anda.

Selengkapnya: Tech Crunch

Eksploitasi Windows dan Linux Spectre yang berfungsi ditemukan di VirusTotal

by

Eksploitasi yang menargetkan sistem Linux dan Windows yang tidak ditambal terhadap kerentanan berusia tiga tahun yang dijuluki Spectre ditemukan oleh peneliti keamanan Julien Voisin di VirusTotal.

Kerentanan tersebut diungkapkan sebagai bug perangkat keras pada Januari 2018 oleh peneliti Google Project Zero.

Jika berhasil dieksploitasi pada sistem yang rentan, ini dapat digunakan oleh penyerang untuk mencuri data sensitif, termasuk kata sandi, dokumen, dan data lain yang tersedia di privileged memori.

Voisin menemukan dua eksploitasi Linux dan Windows yang berfungsi pada platform analisis malware VirusTotal online.

Pengguna yang tidak memiliki hak istimewa dapat menggunakan eksploitasi untuk mengambil hash LM/NT pada sistem Windows dan file Linux/etc/shadow dari memori kernel perangkat yang ditargetkan.

Eksploitasi juga memungkinkan pengambilan tiket Kerberos yang dapat digunakan dengan PsExec untuk eskalasi hak istimewa lokal dan gerakan lateral pada sistem Windows.

Eksploitasi terkait diunggah di VirusTotal bulan lalu sebagai bagian dari paket yang lebih besar, penginstal Immunity Canvas 7.26 untuk Windows dan Linux.

Alat pengujian penetrasi CANVAS menggabungkan “ratusan eksploitasi, sistem eksploitasi otomatis”, dan juga dilengkapi dengan kerangka kerja pengembangan eksploitasi untuk membuat eksploitasi khusus.

Seperti yang dikatakan Voisin, eksploitasi akan rusak jika mesin yang dijalankan menjalankan versi Linux atau Windows yang ditambal.

Mereka yang menjalankan versi OS yang lebih lama pada silikon yang lebih lama (PC era 2015 dengan Haswell atau prosesor Intel yang lebih lama) mungkin yang paling rentan terkena serangan Spectre.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi situs web untuk memberi mereka SEO yang sangat baik sebelum menyebarkan malware

by

Penjahat siber telah beralih ke teknik pengoptimalan mesin telusur (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, apa yang disebut metode “deoptimization” mesin pencari mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke atas peringkat Google.

Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, alat eksploitasi, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik, yang dijuluki “Gootloader,” melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan di situs web yang diretas yang diamati oleh Sophos, di mana modifikasi “halus” dibuat untuk “menulis ulang bagaimana konten situs web ditampilkan ke situs tertentu.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Korban yang mengklik tautan unduhan langsung akan menerima file arsip .zip, dinamai sesuai dengan istilah pencarian, yang berisi file .js.

Menurut Sophos, teknik tersebut digunakan untuk menyebarkan Trojan perbankan Gootkit, Kronos, Cobalt Strike, dan REvil ransomware, di antara varian malware lainnya, di Korea Selatan, Jerman, Prancis, dan Amerika Serikat.

Selengkapnya: ZDNet

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

by

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

T-Mobile mengungkapkan pelanggaran data setelah serangan SIM swapping

by

Penyedia telekomunikasi Amerika T-Mobile telah mengungkapkan pelanggaran data setelah sejumlah pelanggan yang tidak diketahui tampaknya terpengaruh oleh serangan SIM swapping.

Penipuan SIM swap (atau pembajakan SIM) memungkinkan scammer mengendalikan nomor telepon target setelah mentransfernya menggunakan manipulasi psikologis atau setelah menyuap karyawan operator seluler ke SIM yang dikendalikan oleh penipu.

Dalam pemberitahuan pelanggaran data yang dikirim ke pelanggan yang terkena dampak pada 9 Februari 2021, dan diajukan ke kantor jaksa agung AS, T-Mobile mengungkapkan bahwa penyerang yang tidak dikenal memperoleh akses ke informasi akun pelanggan, termasuk info pribadi dan nomor identifikasi pribadi (PIN).

Karena penyerang dapat mentransfer nomor, tidak jelas apakah mereka memperoleh akses ke akun karyawan atau melakukannya melalui akun pengguna yang disusupi.

Informasi yang diakses oleh peretas mungkin termasuk nama lengkap pelanggan, alamat, alamat email, nomor akun, nomor jaminan sosial (SSN), nomor identifikasi pribadi (PIN) akun, pertanyaan dan jawaban keamanan akun, tanggal lahir, informasi rencana, dan jumlah baris yang berlangganan akun mereka.

Pelanggan T-Mobile yang terkena dampak disarankan untuk mengubah kata sandi akun, PIN, serta pertanyaan dan jawaban keamanan mereka.

Sumber: Bleeping Computer