Threat

Bagaimana Penyerang Menggunakan Akun yang Disusupi untuk Membuat dan Mendistribusikan Aplikasi OAuth Berbahaya

May 6, 2021 by Winnie the Pooh

Open authorization atau aplikasi “OAuth” menambahkan fitur bisnis dan peningkatan antarmuka pengguna ke platform cloud utama seperti Microsoft 365 dan Google Workspace. Sayangnya, mereka juga merupakan vektor ancaman baru karena semakin banyak pelaku kejahatan yang menggunakan aplikasi OAuth 2.0 berbahaya (atau malware cloud) untuk menyedot data dan mengakses informasi sensitif.

Proofpoint telah mengamati banyak bentuk serangan phishing token OAuth dan penyalahgunaan aplikasi OAuth, yang ideal bagi penyerang untuk melakukan pengintaian, meluncurkan serangan antar karyawan, dan mencuri file serta email dari platform cloud.

Serangan aplikasi berbahaya sering kali menargetkan akun wakil presiden, pengelola akun, perwakilan sumber daya manusia, dan kepala bagian keuangan — jenis pengguna yang memiliki akses ke data yang sangat sensitif. Jika berhasil, penyerang mendapatkan akses persisten dan independen ke email (termasuk membaca, menulis, mengirim, dan mengatur aturan kotak surat), file, kontak, catatan, obrolan Microsoft Teams, dan lainnya. Dalam beberapa kasus, mereka mengalihkan pengguna ke situs phishing setelah pengguna menyetujui aplikasi tersebut.

Penyerang pertama-tama akan membuat kode berbahaya mereka dan menyimpannya di server web, yang dapat diakses melalui URL (URL aplikasi berbahaya). Setelah menyusupi akun cloud target, penyerang kemudian membuat aplikasi di bagian “pendaftaran aplikasi” di portal Azure, menandai aplikasi tersebut sebagai “aplikasi multi-tenant” dengan pengaturan “web”, menambahkan URL berbahaya dari kode mereka ke aplikasi. Karena kode berbahaya memerlukan izin akses ke sumber daya, penyerang menambahkan izin yang relevan pada halaman aplikasi, di bawah tab “Izin API”.

Selengkapnya: ProofPoint

Report: Q1 2021 Serangan DDoS dan insiden BGP

May 6, 2021 by Winnie the Pooh

Tahun 2021 dimulai dengan catatan tinggi bagi Qrator Labs: pada 19 Januari, perusahaan mereka merayakan hari jadinya yang ke-10. Tak lama kemudian, pada bulan Februari, jaringan perusahaan memitigasi serangan DDoS 750 Gbps yang cukup mengesankan berdasarkan amplifikasi DNS lama dan terkenal.

Selain itu, ada aliran insiden BGP yang konstan; beberapa menjadi anomali perutean global. Qrator Labs mulai melaporkannya di akun Twitter mereka yang baru dibuat untuk Qrator.Radar.

Namun demikian, dengan berakhirnya kuartal pertama tahun ini, kita dapat melihat lebih dekat statistik serangan DDoS dan insiden BGP untuk Januari – Maret 2021.

Vektor serangan DDoS 3 teratas pada Q1 2021 adalah IP flood, tercatat 35,31% dari semua serangan; UDP flood sebesar 18,25%; dan SYN flood bertanggung jawab atas 13,74% dari serangan Q1.

Vektor-vektor terpisah tersebut sekarang hanya sebagian kecil, dalam hal statistik serangan, dari kombinasi campuran pertama: IP flood + UDP flood, yang pada Q1 menghasilkan 11,37% dan menempati posisi keempat, secara efektif mengalahkan TCP flood dalam statistik mereka.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Qrator Labs

Bug Cisco memungkinkan pembuatan akun admin dan menjalankan perintah sebagai root

May 6, 2021 by Winnie the Pooh

Cisco telah memperbaiki kelemahan keamanan perangkat lunak SD-WAN vManage dan HyperFlex HX yang kritis yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sebagai root atau membuat akun admin jahat.

Perusahaan juga mengeluarkan pembaruan keamanan untuk mengatasi kerentanan dengan tingkat keparahan tinggi dan menengah di beberapa produk perangkat lunak lain yang memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh, meningkatkan hak istimewa, memicu adanya denial of service, dan lainnya di server yang tidak ditambal.

Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa mereka tidak mengetahui adanya eksploitasi secara aktif dari kerentanan ini di alam liar.

Cisco SD-WAN vManage Kerentanan perangkat lunak yang di-patch hari ini oleh Cisco dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer atau mengakses informasi sensitif.

Mereka juga dapat dieksploitasi secara lokal oleh penyerang lokal yang diautentikasi untuk mendapatkan hak istimewa atau akses tidak sah ke aplikasi yang rentan terhadap serangan.

Bug keamanan Cisco HyperFlex HX Command Injection memungkinkan penyerang jarak jauh tanpa hak istimewa pada server yang ditargetkan untuk melakukan serangan injeksi perintah.

Dalam kedua kasus, menggabungkan kerentanan tidak diperlukan untuk eksploitasi yang berhasil, dan bug tidak bergantung satu sama lain.

Selengkapnya: Bleeping Computer

Bug 21Nails Exim yang kritis mengekspos jutaan server

May 6, 2021 by Winnie the Pooh

Kerentanan kritis yang baru ditemukan di perangkat lunak agen transfer email (MTA) Exim memungkinkan penyerang jarak jauh yang tidak terautentikasi mengeksekusi kode arbitrer dan mendapatkan hak istimewa root di server email dengan konfigurasi default atau umum.

Cacat keamanan (total 10 dapat dieksploitasi dari jarak jauh dan 11 secara lokal) yang ditemukan dan dilaporkan oleh Tim Riset Qualys secara kolektif dikenal sebagai 21Nails.

Semua versi yang dirilis sebelum Exim 4.94.2 rentan terhadap serangan yang mencoba mengeksploitasi kerentanan 21Nails.

Server MTA seperti Exim adalah sasaran empuk serangan karena, dalam banyak kasus, mereka dapat dijangkau melalui Internet dan menyediakan titik masuk sederhana bagi penyerang ke dalam jaringan target.

“Setelah dieksploitasi, mereka dapat mengubah setelan email sensitif di server email, memungkinkan musuh membuat akun baru di server email target”, jelas Qualys.

Pencarian BinaryEdge menemukan lebih dari 3.564.945 server email Exim menjalankan versi rentan akan adanya serangan melalui Internet. Jika tidak ditambal sesegera mungkin, semua server ini dapat menjadi korban serangan eksekusi perintah jarak jauh yang masuk jika tidak segera ditambal terhadap kerentanan 21Nails.

Oleh karena itu, semua pengguna Exim harus segera meningkatkan ke versi Exim terbaru yang tersedia untuk memblokir serangan masuk yang menargetkan server mereka yang rentan.

Selengkapnya: Bleeping Computer

Serangan phishing di seluruh dunia menghasilkan tiga jenis malware baru

May 5, 2021 by Winnie the Pooh Leave a Comment

Kampanye phishing berskala global yang menargetkan organisasi di seluruh dunia di berbagai industri dengan rangkaian malware yang belum pernah terlihat sebelumnya dikirim melalui umpan yang disesuaikan secara khusus.

Serangan itu menghantam setidaknya 50 organisasi dari berbagai industri dalam dua gelombang, pada 2 Desember dan antara 11 dan 18 Desember, menurut laporan Mandiant.

UNC2529, bagaimana peneliti ancaman Mandiant menyebut kelompok ancaman yang “tidak dikategorikan” di balik kampanye ini, telah menyebarkan tiga jenis malware baru ke komputer target menggunakan umpan phishing khusus.

Malware yang digunakan oleh UNC2529 dalam serangan ini sangat disamarkan untuk menghalangi analisis, dan mencoba menghindari deteksi dengan menyebarkan muatan dalam memori jika memungkinkan.

Sepanjang dua gelombang serangan, grup ancaman menggunakan email phishing dengan tautan ke pengunduh berbasis JavaScript (dijuluki DOUBLEDRAG) atau dokumen Excel dengan makro tertanam yang mengunduh dropper berbasis PowerShell dalam memori (dikenal sebagai DOUBLEDROP) dari penyerang ‘server perintah-dan-kontrol (C2).

Kemudian DOUBLEDROP memuat backdoor di dalam memory (bernama DOUBLEBACK), malware yang dibuat dalam versi 32-bit dan 64-bit, yang diimplementasikan sebagai PE dynamic library.

Selengkapnya: Bleeping Computer

Malware Windows ‘Pingback’ baru menggunakan ICMP untuk komunikasi rahasia

May 5, 2021 by Winnie the Pooh

Hari ini, para peneliti telah mengungkapkan temuan mereka pada sampel malware Windows baru yang menggunakan Internet Control Message Protocol (ICMP) untuk aktivitas command-and-control (C2).

Dijuluki “Pingback”, malware ini menargetkan sistem Microsoft Windows 64-bit, dan menggunakan DLL Hijacking untuk terus bertahan.

Hari ini, arsitek senior Trustwave Lloyd Macrohon dan peneliti keamanan utama Rodel Mendrez, telah merilis temuan mereka tentang malware Windows baru yang berbentuk DLL 64-bit.

Yang perlu diperhatikan adalah sampel malware menggunakan protokol komunikasi ICMP, yang juga digunakan oleh perintah ping populer dan utilitas Windows traceroute.

File berbahaya yang dimaksud hanyalah DLL 66-KB yang disebut oci.dll, dan biasanya dijatuhkan di dalam folder “Sistem” Windows oleh proses berbahaya atau vektor serangan lainnya.

Para peneliti lalu menyadari bahwa DLL ini tidak dimuat oleh aplikasi Windows rundll32.exe yang sudah dikenal, tetapi mengandalkan DLL Hijacking.

Peneliti Trustwave mengidentifikasi bahwa itu adalah layanan Microsoft Distributed Transaction Control (msdtc) yang disalahgunakan untuk memuat oci.dll yang berbahaya.

Malware oci.dll yang diluncurkan oleh msdtc, menggunakan ICMP untuk secara diam-diam menerima perintah dari server C2-nya.

Peneliti Trustwave yang menamai malware ini “Pingback”, menyatakan bahwa keuntungan menggunakan ICMP untuk komunikasi adalah Pingback tetap tersembunyi secara efektif dari pengguna.

Selengkapnya: Bleeping Computer

Apple memperbaiki 2 kerentanan zero-day iOS yang digunakan secara aktif dalam serangan

May 4, 2021 by Winnie the Pooh

Hari ini, Apple telah merilis pembaruan keamanan yang memperbaiki dua kerentanan zero-day iOS yang dieksploitasi secara aktif di mesin Webkit yang digunakan oleh peretas untuk menyerang perangkat iPhone, iPad, iPod, macOS, dan Apple Watch.

Webkit adalah mesin rendering browser Apple yang harus digunakan oleh semua browser web seluler di iOS dan aplikasi lain yang membuat HTML, seperti Apple Mail dan App Store.

Kerentanan ini dilacak sebagai CVE-2021-30665 dan CVE-2021-30663, dan keduanya memungkinkan eksekusi kode jarak jauh (RCE) pada perangkat yang rentan hanya dengan mengunjungi situs web berbahaya.

Kerentanan RCE dianggap paling berbahaya karena memungkinkan penyerang menargetkan perangkat yang rentan dan menjalankan perintah pada perangkat tersebut dari jarak jauh.

Daftar perangkat yang terpengaruh meliputi:

iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, dan iPod touch (generasi ke-7)
macOS Big Sur
Apple Watch Series 3 dan lebih baru

Zero-day tersebut telah ditangani oleh Apple hari ini di iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, dan pembaruan watchOS 7.4.1. Pengguna disarankan untuk memperbarui perangkat mereka sesegera mungking.

Selengkapnya: Bleeping Computer

Ransomware N3TW0RM muncul dalam gelombang serangan dunia maya di Israel

May 4, 2021 by Winnie the Pooh

Geng ransomware baru yang dikenal sebagai ‘N3TW0RM’ menargetkan perusahaan Israel dalam gelombang serangan siber yang dimulai minggu lalu.

Media Israel Haaretz melaporkan bahwa setidaknya empat perusahaan Israel dan satu organisasi nirlaba telah berhasil dibobol dalam gelombang serangan ini.

Seperti geng ransomware lainnya, N3TW0RM telah membuat situs kebocoran data di mana mereka mengancam akan membocorkan file curian sebagai cara untuk menakut-nakuti korbannya agar membayar tebusan.

Dua dari bisnis Israel, H&M Israel dan jaringan Veritas Logistic, telah terdaftar dalam kebocoran data geng ransomware, dengan pelaku ancaman telah membocorkan data yang diduga dicuri selama serangan terhadap Veritas.

Serangan N3TW0RM belum dikaitkan dengan grup peretasan mana pun saat ini.

Saat mengenkripsi jaringan, pelaku ancaman biasanya akan mendistribusikan ransomware mandiri yang dapat dieksekusi ke setiap perangkat yang ingin mereka enkripsi.

N3TW0RM melakukannya sedikit berbeda dengan menggunakan model klien-server sebagai gantinya.

Dari sampel [VirusTotal] ransomware yang dilihat oleh BleepingComputer dan diskusi dengan Arik Nachmias, CEO dari firma tanggapan insiden Honey Badger Security, pelaku ancaman N3TW0RM menginstal program di server korban yang akan mendengarkan koneksi dari workstation.

Nachmias menyatakan bahwa pelaku ancaman kemudian menggunakan PAExec untuk menyebarkan dan mengeksekusi klien ‘slave.exe’ yang dapat dieksekusi di setiap perangkat yang akan dienkripsi oleh ransomware. Saat mengenkripsi file, file akan memiliki ekstensi ‘.n3tw0rm’ yang ditambahkan ke namanya.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings