Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Malware M1 MacBook pertama telah tiba – inilah yang perlu Anda ketahui

by

Malware asli pertama dari MacBook bertenaga M1 telah ditemukan di alam liar, hanya beberapa bulan setelah kedatangan perangkat Apple Silicon pertama.

Berita tentang malware M1 pertama datang dari mantan peneliti NSA dan peneliti keamanan Mac lama Patrick Wardle, yang telah menemukan keberadaan GoSearch22.app, versi asli M1 dari virus Pirrit yang sudah lama ada.

“Hari ini kami mengonfirmasi bahwa musuh berbahaya memang membuat aplikasi multi-arsitektur, sehingga kode mereka akan berjalan secara native di sistem M1,” kata Wardle dalam postingan blog. “Aplikasi GoSearch22 yang berbahaya mungkin merupakan contoh pertama dari kode asli yang kompatibel dengan M1”.

Wardle mencatat bahwa adware ditandatangani dengan ID pengembang Apple, akun berbayar yang memungkinkan Apple melacak semua pengembang Mac dan iOS, pada 23 November.

Memiliki ID pengembang juga berarti membuat pengguna yang mengunduh malware tidak akan memicu Gatekeeper di macOS, yang memberi tahu pengguna saat aplikasi yang akan mereka unduh mungkin tidak aman.

Terlebih lagi, Wardle mengatakan bahwa sejumlah sistem antivirus saat ini yang dapat mendeteksi versi Intel dari virus Pirrit gagal mengidentifikasi versi M1.

Selengkapnya: Tech Radar

Peneliti Membuka Kedok Peretas di Balik Pembuat Malware APOMacroSploit

by

Peneliti keamanan siber telah mengungkapkan jenis baru malware Office yang didistribusikan sebagai bagian dari kampanye email berbahaya yang menargetkan lebih dari 80 pelanggan di seluruh dunia dalam upaya untuk mengontrol mesin korban dan mencuri informasi dari jarak jauh.

Alat tersebut – dijuluki “APOMacroSploit” – adalah generator eksploitasi makro yang memungkinkan pengguna membuat dokumen Excel yang mampu melewati perangkat lunak antivirus, Windows Antimalware Scan Interface (AMSI), dan bahkan Gmail dan pendeteksi phishing berbasis email lainnya.

APOMacroSploit diyakini sebagai karya dua pelaku ancaman berbasis di Prancis “Apocaliptique” dan “Nitrix,” yang diperkirakan telah menghasilkan setidaknya $ 5.000 dalam waktu kurang dari dua bulan dengan menjual produk di HackForums.

Serangan itu terlihat pertama kali pada akhir November 2020, menurut perusahaan keamanan siber Check Point.

Dalam salah satu serangan, malware – Delphi Crypter diikuti oleh Trojan akses jarak jauh tahap kedua yang disebut BitRAT – ditemukan di-host di situs Bulgaria yang melayani peralatan medis dan persediaan, menyiratkan bahwa penyerang melanggar situs web untuk menyimpan file executable berbahaya.

Sumber: The Hacker News

Penyelidikan lebih lanjut oleh Check Point melibatkan pengejaran jejak digital yang ditinggalkan oleh dua operator – termasuk dua profil pemain League of Legends – yang pada akhirnya mengarahkan para peneliti untuk mengungkap identitas asli Nitrix, yang mengungkapkan nama aslinya di Twitter ketika dia memposting gambar sebuah tiket yang dia beli untuk konser pada Desember 2014.

Selengkapnya: The Hacker News

Bug di shared SDK dapat memungkinkan penyerang bergabung dengan panggilan tanpa terdeteksi di beberapa aplikasi

by

Sebuah library kecil yang menyediakan kemampuan panggilan audio dan video berisi bug yang memungkinkan penyerang untuk bergabung dengan panggilan audio dan video tanpa terdeteksi.

Bug — ditemukan oleh firma keamanan McAfee, dan dilacak sebagai CVE-2020-25605 — memengaruhi kit pengembangan perangkat lunak (SDK) yang disediakan oleh Agora, sebuah perusahaan AS yang mengkhususkan diri dalam menyediakan alat komunikasi waktu nyata.

Aplikasi yang menggunakan SDK ini untuk kemampuan panggilan audio dan video termasuk aplikasi seperti MeetMe, Skout, Nimo TV, temi, Dr. First Backline, Hike, Bunch, dan Talkspace.

Dalam laporan yang diterbitkan, McAfee mengatakan bahwa Agora SDK tidak mengenkripsi detail yang dibagikan selama proses penyiapan panggilan baru, bahkan jika aplikasi tersebut mengaktifkan fitur enkripsi.

Setiap penyerang yang duduk di jaringan yang sama dengan pengguna yang ditargetkan dapat mencegat lalu lintas di fase awal panggilan, mengekstrak berbagai pengenal panggilan, dan kemudian bergabung dengan panggilan tanpa terdeteksi.

McAfee mengatakan menemukan masalah ini tahun lalu, pada bulan April, selama audit keamanan untuk temi, robot pribadi yang digunakan di toko ritel, yang juga mendukung panggilan audio dan video.

Sumber: ZDNet

Telegram memiliki beberapa kerentanan keamanan besar

by

Aplikasi perpesanan Telegram dilanda kerentanan tahun lalu setelah seorang peneliti keamanan menemukan 13 kerentanan dalam satu penyelidikan.

Menulis untuk perusahaan keamanan TI Shielder, seorang individu yang dikenal sebagai “polict” juga mengonfirmasi bahwa semua bug keamanan telah dilaporkan secara bertanggung jawab ke Telegram dan kemudian diperbaiki.

Kerentanan Telegram awalnya ditemukan setelah menyelidiki kode sumber untuk stiker animasi baru yang diluncurkan oleh aplikasi perpesanan tersebut pada tahun 2019.

Cacat ini memungkinkan penyerang mengirim stiker berbahaya ke korban untuk mendapatkan akses ke pesan pribadi, foto, dan video. Meskipun eksploitasi itu jauh dari kata langsung, tidak ada jaminan bahwa hal ini akan mematahkan semangat para pelaku ancaman yang canggih.

13 kerentanan tersebut termasuk satu heap out-of-bounds write, satu stack out-of-bounds write, satu stack out-of-bounds read, dua heap out-of-bound read, satu integer overflow yang mengarah ke heap out-of-bounds read, dua jenis kebingungan, dan lima kelemahan denial-of-service.

Semua kerentanan telah ditambal, mengikuti pembaruan untuk versi Android, iOS, dan macOS yang dirilis pada bulan September dan Oktober tahun lalu. Intinya, jika Anda telah memperbarui aplikasi Telegram Anda dalam empat bulan terakhir, Anda akan terlindungi.

Sumber: Tech Radar

Malvertisers mengeksploitasi browser zero-day untuk mengarahkan pengguna ke situs penipuan

by

Grup pengiklan jahat ScamClub menggunakan kerentanan zero-day di mesin browser web WebKit untuk mendorong muatan yang dialihkan ke penipuan gift card.

Selama kampanye mereka selama tiga bulan terakhir, jumlah tayangan iklan berbahaya yang ditayangkan dalam sehari mencatat lonjakan hingga 16 juta.

Pengiklan jahat ScamClub terkenal karena taktik berisik mereka yang terdiri dari membanjiri ekosistem iklan dengan iklan berbahaya yang berharap persentase yang lebih kecil berhasil.

Menjelaskan “strategi pengeboman” ScamClub, Confiant, perusahaan keamanan iklan dan kontrol kualitas, mengatakan bahwa peningkatan hanya 1% pada tingkat pengalihan dapat diterjemahkan ke dalam “puluhan ribu tayangan yang terpengaruh” selama satu kampanye.

Dalam postingan blog nya, engineer dan peneliti keamanan Confiant Eliya Stein menemukan bahwa malvertiser mengandalkan kerentanan di WebKit yang melewati kebijakan sandbox iframe.

Mengingat penargetan SscamClub yang luas dan volume besar iklan berbahaya yang mereka dorong, beberapa di antaranya masih lolos dan memiliki dampak yang signifikan. Di bawah ini adalah domain yang digunakan dalam kampanye malvertising ScamClub.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Bagaimana Melindungi Cadangan File Dari Serangan Ransomware ?

by

Ransomware menjadi ancaman nomor satu terhadap data, yang membuatnya penting untuk memastikan bahwa pelaku kejahatan tidak mengenkripsi data cadangan Anda bersama dengan data primer Anda saat mereka melakukan serangan ransomware. Jika mereka berhasil dalam hal itu, Anda tidak akan punya pilihan selain membayar tebusan, dan itu akan mendorong mereka untuk mencobanya lagi.

Perkuat Windows
Selain menyimpan cadangan biasa Anda di belakang server media berbasis Linux, pastikan cadangan server cadangan utama Anda juga disimpan di sana. Tidak ada gunanya jika cadangan Anda tidak dienkripsi jika database yang diperlukan untuk mengakses cadangan tersebut dienkripsi oleh ransomware.

Anda juga harus memperkuat server cadangan berbasis Windows sebanyak mungkin. Pelajari layanan yang digunakan ransomware untuk menyerang server (seperti RDP) dan matikan sebanyak mungkin. Ingat server ini adalah garis pertahanan terakhir Anda, jadi pikirkan keamanan, bukan kenyamanan.

Dapatkan cadangan dari pusat data
Apa pun solusi pencadangan yang Anda pilih, salinan cadangan harus disimpan di lokasi yang berbeda. Ini berarti lebih dari sekadar meletakkan server cadangan Anda di mesin virtual di cloud. Jika VM dapat diakses dari perspektif elektronik seperti saat berada di pusat data, itu juga mudah untuk diserang. Anda perlu mengonfigurasi berbagai hal sedemikian rupa sehingga serangan terhadap sistem di pusat data Anda tidak dapat menyebar ke sistem cadangan Anda di cloud. Ini dapat dilakukan dengan berbagai cara, termasuk aturan firewall, mengubah sistem operasi, dan protokol penyimpanan.

Idenya adalah untuk mendapatkan cadangan atau setidaknya satu salinan dari cadangan anda sebanyak mungkin lompatan dari sistem Windows yang terinfeksi. Tempatkan mereka di awan penyedia yang dilindungi oleh aturan firewall, gunakan sistem operasi yang berbeda untuk server cadangan Anda, dan tulis cadangan Anda ke jenis penyimpanan yang berbeda.

Hapus akses sistem file ke cadangan
Jika menulis cadangan ke harddrive, lakukan yang terbaik untuk memastikannya tidak dapat diakses melalui direktori sistem file standar. Misalnya, menamai data cadangan Anda E: \ backups. Produk ransomware secara khusus menargetkan direktori dengan nama seperti itu dan akan mengenkripsi cadangan Anda.

Letakkan di beberapa penghalang pandang
Jangan membuat mudah ransomware untuk melihat dan mengenkripsi cadangan Anda. Jangan menyimpannya di server Windows jika memungkinkan dan memiliki setidaknya satu salinan yang disimpan di tempat yang tidak dapat diakses secara elektronik dari pusat data Anda. Terakhir, konfigurasikan sistem cadangan Anda sedemikian rupa sehingga cadangan tidak dapat dilihat sebagai file di server cadangan Anda.

Source : Networkworld

Prancis Terkena Serangan Mirip SolarWinds

by

Menurut ANSSI, sekelompok hacker telah berhasil menembus produk Centreon Systems, sebuah firma IT Perancis yang mengkhususkan diri pada network dan system monitoring yang digunakan oleh banyak instansi pemerintah Perancis, serta beberapa perusahaan terbesar bangsa (Air France, antara lain ). Halaman klien Centreon menunjukkan bahwa ia bermitra dengan Departemen Kehakiman Prancis, Politeknik Ecole, dan badan publik regional, serta beberapa perusahaan produksi agribisnis terbesar di negara itu.

Meskipun ANSSI tidak secara resmi mengaitkan peretasan tersebut ke organisasi mana pun, badan tersebut mengatakan teknik yang digunakan memiliki kemiripan dengan teknik yang digunakan oleh kelompok peretas militer Rusia “Sandworm” (juga dikenal sebagai Unit 74455). Kampanye intrusi, yang dimulai setidaknya pada tahun 2017, memungkinkan para peretas untuk melanggar sistem sejumlah organisasi Prancis, meskipun ANSSI telah menolak menyebutkan nama para korban atau mengatakan berapa banyak yang terpengaruh.

Meskipun tidak jelas dari laporan tentang bagaimana para peretas awalnya menyusupi Centreon, laporan tersebut menunjukkan bahwa, begitu masuk, mereka menggunakan webshell untuk melanjutkan kampanye penyusupan mereka. Webshell adalah skrip berbahaya yang memungkinkan aktor jahat untuk membajak situs atau sistem dari jarak jauh dan mengontrolnya.

Dalam kasus Centreon, peretas menggunakan dua skrip berbeda, P.A.S. dan Exaramel. Keduanya bertindak sebagai pintu belakang yang memungkinkan peretas untuk mendapatkan kendali atas situs web atau sistem dan mengontrolnya dari jarak jauh: “Pada sistem yang disusupi, ANSSI menemukan adanya pintu belakang dalam bentuk webshell yang dijatuhkan di beberapa server Centreon yang terpapar ke internet , ”Tulis agensi. Saat digunakan bersama, skrip memungkinkan peretas memiliki kendali penuh atas sistem yang disusupi.

Source : Gizmodo

Microsoft menarik Windows KB4601392 untuk memblokir pembaruan keamanan

by

Microsoft telah menarik pembaruan tumpukan layanan Windows (SSU) yang bermasalah setelah memblokir pelanggan Windows 10 dan Windows Server dari menginstal pembaruan keamanan yang dirilis selama bulan ini Patch Tuesday.

Bug diamati oleh pelanggan yang mencoba menginstal pembaruan keamanan 9 Februari pada sistem yang menjalankan Windows Server 2016 dan semua edisi Windows 10, versi 1607, setelah kemajuan penginstalan dihentikan.

“Setelah menginstal SSU KB4601392, penginstalan Pembaruan Kumulatif dari Pembaruan Windows mungkin tidak melewati 24%,” kata Microsoft saat menjelaskan masalahnya.

Meskipun SSU tidak dapat dihapus instalasinya dari perangkat tempat mereka digunakan karena mereka membuat perubahan pada cara pembaruan diinstal, Microsoft mengatakan bahwa pengguna yang telah menginstal KB4601392 dapat mengatur ulang komponen pembaruan menggunakan prosedur sederhana.

“Untuk mengurangi masalah ini pada perangkat yang telah menginstal KB4601392, restart perangkat Anda dan kemudian ikuti hanya langkah 1, 2 dan 4a dari Reset komponen Pembaruan Windows secara manual,” perusahaan menjelaskan.

“Kemudian restart perangkat Anda lagi. KB5001078 sekarang harus menginstal dari Pembaruan Windows saat Anda memilih” periksa pembaruan “atau Anda dapat menunggu untuk menginstal secara otomatis.”

Setelah melalui langkah-langkah yang dijelaskan di atas untuk mengurangi masalah yang diketahui ini, Anda seharusnya dapat menginstal Pembaruan Kumulatif terbaru yang dirilis pada 9 Februari melalui layanan Pembaruan Windows.

Anda juga bisa mendapatkan paket KB5001078 SSU mandiri dari Katalog Pembaruan Microsoft untuk menyebarkannya di lingkungan perusahaan melalui WSUS.

Source : Bleepingcomputer