Threat

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

June 21, 2021 by Winnie the Pooh

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading

Di dalam serangan ransomware: bagaimana jaringan gelap penjahat dunia maya berkolaborasi untuk melakukannya

June 21, 2021 by Winnie the Pooh

Dalam komunike Carbis Bay mereka, G7 mengumumkan niat mereka untuk bekerja sama mengatasi kelompok ransomware. Beberapa hari kemudian, Presiden AS Joe Biden bertemu dengan Presiden Rusia Vladimir Putin, di mana proses ekstradisi untuk membawa penjahat siber Rusia ke pengadilan di AS dibahas. Putin dilaporkan setuju pada prinsipnya, tetapi bersikeras bahwa ekstradisi harus dilakukan secara timbal balik.

Masalah penegakan hukum adalah bahwa ransomware – suatu bentuk malware yang digunakan untuk mencuri data organisasi dan menyimpannya untuk tebusan – adalah suatu hal yang susah ditangkap. Tidak hanya itu kejahatan campuran, termasuk pelanggaran yang berbeda di berbagai badan hukum, tetapi juga kejahatan yang mengangkangi kewenangan lembaga kepolisian yang berbeda dan, dalam banyak kasus, negara. Dan tidak ada satu pelaku utama. Serangan Ransomware melibatkan jaringan terdistribusi dari penjahat dunia maya yang berbeda, seringkali tidak diketahui satu sama lain untuk mengurangi risiko penangkapan.

Serangan Ransomware juga berubah. Model bisnis industri kriminal telah bergeser ke arah ransomware-as-a-service. Ini berarti operator menyediakan perangkat lunak berbahaya, mengelola sistem pemerasan dan pembayaran, serta mengelola reputasi “merek”. Tetapi untuk mengurangi risiko penangkapan, mereka merekrut afiliasi dengan komisi yang besar untuk menggunakan perangkat lunak mereka untuk meluncurkan serangan.

Untuk mengurangi risiko tertangkap, kelompok pelaku cenderung mengembangkan dan menguasai keterampilan khusus untuk berbagai tahap serangan. Kelompok-kelompok ini mendapat manfaat dari saling ketergantungan ini, karena mengimbangi tanggung jawab pidana di setiap tahap.

Mereka mungkin dibeli oleh “broker akses awal”, yang berspesialisasi dalam mendapatkan akses awal ke sistem komputer sebelum menjual detail akses tersebut kepada calon penyerang ransomware.

Ekosistem ini terus berkembang. Misalnya, perkembangan baru-baru ini adalah munculnya “konsultan ransomware”, yang memungut biaya untuk menasihati pelanggar pada tahap-tahap utama serangan.

Selengkapnya: The Conversation

Malware rasis memblokir The Pirate Bay dengan merusak file host Windows korban

June 20, 2021 by Winnie the Pooh

Malware dicampur dengan julukan rasial mencoba untuk memblokir korban berbasis Windows dari mengunjungi situs berbagi file yang terkait dengan pelanggaran hak cipta, menurut penelitian Sophos baru.

Perangkat lunak berbahaya tersebut merupakan “proses konyol untuk memblokir orang agar tidak pergi ke Pirate Bay,” menurut peneliti Sophos Andrew Brandt, yang menemukan malware tersebut setelah seorang rekan menyebutkannya secara sepintas.

Alih-alih membuka pintu belakang untuk geng ransomware untuk mengeksploitasi atau menjatuhkan muatan berbahaya, malware ini hanya menenggelamkan banyak nama domain Pirate Bay dengan menambahkannya ke file host Windows dan mengarahkannya ke 127.0.0.1 – artinya mereka akan tidak dapat diakses dari mesin korban.

“Kami menemukannya dibagikan melalui BitTorrent,” Brandt menjelaskan kepada The Register. “Ini sangat aneh.”

The Pirate Bay adalah gudang terkenal file yang melanggar hak cipta, mulai dari film hingga game hingga perangkat lunak komersial. Banyak unggahan yang tersedia mengandung malware.

Perangkat lunak jahat Brandt menyamar sebagai salinan retak dari perangkat lunak sah yang tersedia untuk diunduh di BitTorrent atau sebagai tautan yang dibagikan di layanan obrolan-untuk-gamer Discord, yang juga memiliki CDN-nya sendiri yang relatif sedikit diketahui.

selengkapnya :

Peretas Molerat Kembali Dengan Serangan Baru yang Menargetkan Pemerintah Timur Tengah

June 18, 2021 by Winnie the Pooh

Kelompok ancaman persisten lanjutan (APT) Timur Tengah telah muncul kembali setelah jeda dua bulan untuk menargetkan lembaga pemerintah di Timur Tengah dan entitas pemerintah global yang terkait dengan geopolitik di kawasan itu dalam serangkaian kampanye baru yang diamati awal bulan ini.

Firma keamanan perusahaan yang berbasis di Sunnyvale, Proofpoint, mengaitkan aktivitas tersebut dengan aktor ancaman bermotivasi politik yang dilacaknya sebagai TA402, dan dikenal oleh moniker lain seperti Molerats dan GazaHackerTeam.

Berdasarkan penargetan dan kampanye sebelumnya, TA402 diduga beroperasi dengan motif yang sejalan dengan tujuan militer atau negara Palestina. Pelaku ancaman diyakini aktif selama satu dekade, dengan sejarah organisasi penyerang yang berlokasi di Israel dan Palestina, dan mencakup berbagai bidang vertikal seperti teknologi, telekomunikasi, keuangan, akademisi, militer, media, dan pemerintah.

Tidak jelas apa yang mendorong kolektif untuk menghentikan operasinya selama dua bulan, tetapi peneliti Proofpoint berspekulasi bahwa baik bulan suci Ramadhan atau gejolak saat ini di wilayah tersebut dan kekerasan berikutnya pada bulan Mei mungkin telah berperan.

Gelombang serangan terbaru dimulai dengan email spear-phishing yang ditulis dalam bahasa Arab dan berisi lampiran PDF yang disematkan dengan URL geofenced berbahaya untuk secara selektif mengarahkan korban ke arsip yang dilindungi kata sandi hanya jika alamat IP sumber milik negara yang ditargetkan di Tengah Timur.

Penerima yang berada di luar kelompok sasaran dialihkan ke situs web umpan yang ramah, biasanya situs berita berbahasa Arab seperti Al Akhbar (www.al-akhbar.com) dan Al Jazeera (www.aljazeera.net).

selengkapnya : thehackernews.com

Langkah Pertama: Akses Awal Menyebabkan Ransomware

June 17, 2021 by Winnie the Pooh

Serangan Ransomware masih menggunakan email — tetapi tidak seperti yang Anda kira. Operator Ransomware sering membeli akses dari kelompok penjahat cyber independen yang menyusup ke target utama dan kemudian menjual akses ke pelaku ransomware untuk mendapatkan keuntungan yang tidak semestinya. Kelompok ancaman kejahatan dunia maya yang telah mendistribusikan malware perbankan atau trojan lain juga dapat menjadi bagian dari jaringan afiliasi ransomware. Hasilnya adalah ekosistem kriminal yang kuat dan menguntungkan di mana individu dan organisasi yang berbeda semakin mengkhususkan diri pada keuntungan yang lebih besar untuk semua—kecuali, tentu saja, para korban.

Mencegah ransomware melalui email sangatlah mudah: blokir loader, dan Anda memblokir ransomware.

Biasanya, broker akses awal dipahami sebagai pelaku ancaman oportunistik yang memasok afiliasi dan pelaku ancaman kejahatan dunia maya lainnya, misalnya dengan mengiklankan akses untuk dijual di forum. Namun untuk tujuan laporan ini, kami menganggap pialang akses awal sebagai kelompok yang memperoleh akses awal melalui muatan malware tahap pertama dan mungkin atau mungkin tidak bekerja secara langsung dengan pelaku ancaman ransomware.

– Mencegah ransomware hari ini sebagian besar telah bergeser dari ancaman email langsung ke ancaman tidak langsung di mana email hanya bagian dari rantai serangan.
– Pelaku ancaman ransomware memanfaatkan perusahaan penjahat dunia maya – sebagian besar distributor trojan perbankan – untuk penyebaran malware. Fasilitator akses ini mendistribusikan backdoor mereka melalui tautan dan lampiran berbahaya yang dikirim melalui email.
– Trojan perbankan adalah malware paling populer yang didistribusikan melalui email, mewakili hampir 20% malware yang terlihat dalam data Proofpoint pada paruh pertama tahun 2021.
– Proofpoint saat ini melacak setidaknya 10 pelaku ancaman yang bertindak sebagai fasilitator akses awal atau kemungkinan afiliasi ransomware.
– Ransomware jarang didistribusikan langsung melalui email. Hanya satu jenis ransomware yang menyumbang 95% dari ransomware sebagai muatan email tahap pertama antara tahun 2020 dan 2021.
– Tidak ada hubungan 1:1 antara pemuat malware dan serangan ransomware. – Beberapa pelaku ancaman menggunakan muatan malware yang sama untuk distribusi ransomware.

selengkapnya : www.proofpoint.com

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

June 16, 2021 by Winnie the Pooh

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

Bug yang Belum Ditambal Ditemukan Mengintai di Platform Penyediaan yang Digunakan dengan Cisco UC

June 16, 2021 by Winnie the Pooh

Manajer Penyedia Akkadian, yang digunakan sebagai alat penyediaan pihak ketiga dalam lingkungan Cisco Unified Communications, memiliki tiga kerentanan keamanan tingkat tinggi yang dapat dirangkai bersama untuk mengaktifkan eksekusi kode jarak jauh (RCE) dengan hak istimewa yang lebih tinggi, kata para peneliti.

Mereka tetap tidak ditambal, menurut para peneliti di Rapid7 yang menemukannya.

Suite UC Cisco memungkinkan komunikasi VoIP dan video di seluruh jejak bisnis. Produk Akkadian adalah alat yang biasanya digunakan di perusahaan besar untuk membantu mengelola proses penyediaan dan konfigurasi semua klien dan instans UC, melalui otomatisasi.

Kerentanan tersebut, semua hadir dalam versi 4.50.18 dari platform Akkadia, adalah sebagai berikut:

CVE-2021-31579: Use of hard-coded credentials (ranking 8.2 out of 10 on the CVSS vulnerability-severity scale)
CVE-2021-31580 and CVE-2021-31581: Improper neutralization of special elements used in an OS command (using exec and vi commands, respectively; ranking 7.9)
CVE-2021-31582: Exposure of sensitive information to an unauthorized actor (ranking 7.9)

Menggabungkan CVE-2021-31579 dengan CVE-2021-31580 atau CVE-2021-31581 akan memungkinkan musuh yang tidak sah mendapatkan akses shell tingkat root ke perangkat yang terpengaruh, menurut Rapid7. Itu membuatnya mudah untuk menginstal cryptominers, keystroke logger, persisten shell, dan semua jenis malware berbasis Linux lainnya.

Selengkapnya: Threat Post

Microsoft: SEO poisoning digunakan untuk target backdoor dengan malware

June 16, 2021 by Winnie the Pooh

Microsoft melacak serangkaian serangan yang menggunakan SEO poisoning untuk menginfeksi target dengan trojan akses jarak jauh (RAT) yang mampu mencuri informasi sensitif korban dan melakukan backdoor pada sistem mereka.

Malware yang dikirim dalam kampanye ini adalah SolarMarker (alias Jupyter, Polazert, dan Yellow Cockatoo), RAT .NET yang berjalan di memori dan digunakan oleh penyerang untuk menjatuhkan muatan lain pada perangkat yang terinfeksi.

SolarMarker dirancang untuk memberi masternya pintu belakang ke sistem yang disusupi dan mencuri kredensial dari browser web.

Data yang berhasil dipanen dari sistem yang terinfeksi dieksfiltrasi ke server perintah-dan-kontrol. Malware juga akan mendapatkan ketekunan dengan menambahkan dirinya ke folder Startup dan memodifikasi pintasan di desktop korban.

Pada bulan April, peneliti eSentire mengamati aktor ancaman di balik SolarMaker membanjiri hasil pencarian dengan lebih dari 100.000 halaman web yang mengklaim menyediakan formulir kantor gratis (misalnya, faktur, kuesioner, tanda terima, dan resume).

Dalam serangan terbaru yang ditemukan oleh Microsoft, penyerang telah beralih ke dokumen berisi kata kunci yang dihosting di AWS dan Strikingly, dan sekarang menargetkan sektor lain, termasuk keuangan dan pendidikan.

Setelah korban menemukan salah satu PDF perusak dan membukanya, mereka akan diminta untuk mengunduh dokumen PDF atau DOC lain yang berisi informasi yang mereka cari.

Alih-alih mendapatkan akses ke info, mereka diarahkan melalui beberapa situs web menggunakan .site, .tk, dan .ga TLD ke halaman web Google Drive yang dikloning di mana mereka menyajikan muatan terakhir, malware SolarMaker.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings