Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

SonicWall memperingatkan pelanggan untuk menambal 3 zero-day yang dieksploitasi di alam liar

by

Produsen perangkat keras keamanan SonicWall mendesak pelanggan untuk menambal serangkaian tiga kerentanan zero-day yang memengaruhi produk Keamanan Email lokal dan yang dihosting.

“Setidaknya dalam satu kasus yang diketahui, kerentanan ini telah diamati untuk dieksploitasi ‘di alam liar'”, kata SonicWall dalam sebuah advisory keamanan yang mereka terbitkan.

Perusahaan mengatakan itu “keharusan” bahwa organisasi yang menggunakan peralatan perangkat keras Keamanan Email, peralatan virtual, atau instalasi perangkat lunak pada mesin Microsoft Windows Server segera meningkatkan ke versi yang terbaru.

Tiga zero-day yang dilaporkan oleh Josh Fleischer dan Chris DiGiamo dari Mandiant adalah:

  • CVE-2021-20021: Kerentanan Pembuatan Akun Administratif Pra-Otentikasi Keamanan Email yang memungkinkan penyerang membuat akun administratif dengan mengirim permintaan HTTP yang dibuat ke host jarak jauh (pembaruan keamanan dirilis pada 9 April)
  • CVE-2021-20022: Kerentanan Pembuatan File Sewenang-wenang Pasca-Autentikasi Keamanan Email yang memungkinkan penyerang pasca-otentikasi mengunggah file sewenang-wenang ke host jarak jauh (pembaruan keamanan dirilis pada 9 April)
  • CVE-2021-20023: Kerentanan keamanan Email Pasca-Otentikasi Membaca File Sewenang-wenang yang memungkinkan penyerang pasca-otentikasi membaca file sewenang-wenang dari host jarak jauh (pembaruan keamanan dirilis pada 19 April)

Selengkapnya: Bleeping Computer

MI5 memperingatkan mata-mata yang menggunakan LinkedIn untuk mengelabui staf agar membocorkan rahasia

by

Setidaknya 10.000 warga negara Inggris telah didekati oleh profil palsu yang terkait dengan negara yang bermusuhan, di jejaring sosial profesional LinkedIn, selama lima tahun terakhir, menurut MI5.

Mereka memperingatkan pengguna yang telah menerima permintaan koneksi semacam itu mungkin kemudian terpikat untuk berbagi rahasia.

“Profil berbahaya” sedang digunakan pada “skala industri”, kata kepala badan keamanan tersebut, Ken McCallum.

Sebuah kampanye telah diluncurkan untuk mendidik pegawai pemerintah tentang ancaman tersebut.

Upaya – Think Before You Link – memperingatkan mata-mata asing menargetkan mereka yang memiliki akses ke informasi sensitif.

Salah satu kekhawatiran adalah rekan-rekan korban, pada gilirannya, menjadi lebih bersedia untuk menerima permintaan tindak lanjut – karena tampaknya mereka memiliki kenalan yang sama.

MI5 tidak secara spesifik menyebut LinkedIn tetapi BBC News telah mengetahui bahwa layanan milik Microsoft tersebut memang platform yang terlibat.

Angka 10.000+ termasuk staf di hampir setiap departemen pemerintah serta industri utama, yang mungkin ditawari kesempatan berbicara atau bisnis dan perjalanan yang dapat mengarah pada upaya untuk merekrut mereka untuk memberikan informasi rahasia.

Dan diperkirakan sejumlah besar dari mereka yang awalnya mendekati terlibat dengan profil yang menghubungi mereka secara online.

Selengkapnya: BBC

Microsoft Store, situs Spotify palsu menyebarkan malware pencuri info

by

Penyerang mempromosikan situs yang meniru Microsoft Store, Spotify, dan konverter dokumen online yang mendistribusikan malware untuk mencuri kartu kredit dan sandi yang disimpan di browser web.

Serangan itu ditemukan oleh perusahaan keamanan siber ESET yang mengeluarkan peringatan kemarin di Twitter untuk mewaspadai kampanye jahat tersebut.

Dalam percakapan dengan Jiri Kropac, Kepala ESET Lab Deteksi Ancaman, BleepingComputer mengetahui bahwa serangan tersebut dilakukan melalui iklan jahat yang mempromosikan apa yang tampak sebagai aplikasi yang sah.

Misalnya, salah satu iklan yang digunakan dalam serangan ini mempromosikan aplikasi Catur online. Namun, ketika pengguna mengklik iklan tersebut, mereka dibawa ke halaman Microsoft Store palsu untuk aplikasi catur online ‘xChess 3’ palsu, yang secara otomatis diunduh dari server Amazon AWS.

File zip yang diunduh bernama ‘xChess_v.709.zip’, yang sebenarnya adalah ‘Ficker’, atau ‘FickerStealer,’ malware pencuri informasi yang menyamar, seperti yang ditunjukkan oleh laporan Any.Run ini yang dibuat oleh BleepingComputer.

Iklan lain dari kampanye malware ini berpura-pura menjadi Spotify atau pengonversi dokumen online. Saat dikunjungi, halaman arahan mereka juga akan secara otomatis mendownload file zip yang berisi malware Ficker.

Sumber: Bleeping Computer

Selengkapnya: Bleeping Computer

Ratusan jaringan dilaporkan diretas dalam serangan rantai pasokan Codecov

by

Rincian lebih lanjut telah muncul tentang pelanggaran sistem Codecov baru-baru ini yang sekarang disamakan dengan peretasan SolarWinds.

Dalam laporan baru oleh Reuters, penyelidik telah menyatakan bahwa ratusan jaringan pelanggan telah dibobol dalam insiden tersebut, memperluas cakupan pelanggaran sistem ini di luar sistem Codecov saja.

Seperti dilansir BleepingComputer minggu lalu, Codecov mengalami serangan rantai pasokan yang tidak terdeteksi selama lebih dari 2 bulan.

Dalam serangan ini, pelaku ancaman telah mendapatkan kredensial Codecov dari image Docker mereka yang cacat yang kemudian digunakan oleh pelaku untuk mengubah skrip Bash Uploader Codecov, yang digunakan oleh klien perusahaan.

Penyelidikan awal Codecov mengungkapkan bahwa mulai 31 Januari 2021, terjadi perubahan berkala yang tidak sah dari skrip Bash Uploader yang memungkinkan pelaku ancaman untuk secara potensial mengekstrak informasi pengguna Codecov yang disimpan di lingkungan CI mereka.

Namun, baru pada tanggal 1 April perusahaan menyadari aktivitas berbahaya ini ketika pelanggan melihat perbedaan antara hash (shashum) skrip Bash Uploader yang dihosting di domain Codecov dan hash (benar) yang terdaftar di GitHub perusahaan.

Tak lama kemudian, insiden itu mendapat perhatian penyelidik federal AS karena pelanggaran tersebut dibandingkan dengan serangan SolarWinds baru-baru ini yang oleh pemerintah AS dikaitkan dengan Badan Intelijen Luar Negeri Rusia (SVR).

Codecov memiliki lebih dari 29.000 pelanggan, termasuk nama-nama terkemuka seperti GoDaddy, Atlassian, The Washington Post, Procter & Gamble (P & G), menjadikannya sebagai insiden rantai pasokan yang patut diperhatikan.

Selengkapnya: Bleeping Computer

Beberapa agensi dibobol oleh peretas menggunakan kerentanan Pulse Secure

by

Otoritas federal hari Selasa mengumumkan bahwa peretas melanggar beberapa lembaga pemerintah dan organisasi penting lainnya dengan mengeksploitasi kerentanan dalam produk dari perusahaan perangkat lunak yang berbasis di Utah.

Badan tersebut, yang merupakan badan keamanan siber Departemen Keamanan Dalam Negeri, mencatat bahwa mereka telah membantu organisasi yang dikompromikan sejak 31 Maret, dan bahwa peretas menggunakan kerentanan untuk menempatkan webshell di produk Pulse Connect Secure, yang memungkinkan mereka untuk melewati kata sandi, otentikasi multi-faktor, dan fitur keamanan lainnya.

Agensi tersebut menulis bahwa Ivanti (Perusahaan yang memiliki Pulse Secure) sedang mengembangkan tambalan untuk kerentanan ini, dan “sangat mendorong” semua organisasi yang menggunakan produk ini untuk memperbarui ke versi terbaru dan menyelidiki tanda-tanda penyusupan.

Selain itu, CISA mengeluarkan arahan darurat pada Selasa malam yang mewajibkan semua agen federal untuk menilai berapa banyak produk Pulse Connect Secure yang mereka dan organisasi pihak ketiga gunakan, dan untuk memperbarui produk ini sebelum 23 April.

Seorang juru bicara Ivanti mengatakan kepada The Hill pada hari Selasa bahwa patch untuk kerentanan akan dirilis pada bulan Mei, dan hanya “sejumlah kecil” pelanggan yang telah disusupi.

Selengkapnya: The Hill

Geng Ransomware Terkenal Mengklaim Telah Mencuri Desain Produk Apple

by

Penjahat dunia maya mengklaim telah mencuri blueprints dari beberapa produk terbaru Apple dan sekarang mencoba memeras raksasa teknologi tersebut dengan mengancam akan menerbitkan dokumen tersebut secara online.

Pada hari Selasa, geng ransomware REvil secara terbuka mengklaim bahwa mereka telah meretas Quanta Computer, pemasok pihak ketiga di Taiwan yang memiliki kemitraan dengan lebih dari selusin perusahaan teknologi besar AS, termasuk Apple, Dell, Hewlett-Packard, Blackberry, dan beberapa lainnya.

Quanta, yang merupakan salah satu produsen laptop terbesar di dunia, bekerja untuk merakit produk Apple berdasarkan desain yang dipasok oleh perusahaan Cupertino, yang berarti ada dasar logis untuk klaim pencurian tersebut.

Di “situs kebocoran” REvil (di mana geng memposting sampel data yang dicuri untuk mengancam perusahaan yang ditargetkan agar memenuhi tuntutan pemerasan), peretas memposting sejumlah blueprints produk, waktu rilisnya bertepatan dengan peluncuran produk Spring Loaded yang sangat dinantikan pada hari Selasa.

Geng tersebut menuntut Apple “membeli kembali” dokumen yang dicuri “sebelum 1 Mei”, atau “semakin banyak file akan ditambahkan [ke situs kebocoran] setiap hari”. BleepingComputer melaporkan bahwa geng tersebut memeras Quanta sebesar $ 50 juta — memberi perusahaan batas waktu 27 April untuk membayar dugaan data yang dicuri.

Selengkapnya: Gizmodo

Kerentanan eksekusi kode jarak jauh di alat penggoreng pintar Cosori

by

Cisco Talos baru-baru ini menemukan dua kerentanan eksekusi kode di alat penggoreng pintar Cosori.

Cosori Smart Air Fryer adalah alat dapur berkemampuan WiFi yang memasak makanan dengan berbagai metode dan pengaturan. Pengguna juga dapat menggunakan fitur Wi-Fi perangkat untuk memulai dan berhenti memasak, mencari panduan resep, dan memantau status memasak.

2 kerentanan yang ditemukan adalah TALOS-2020-1216 (CVE-2020-28592) dan TALOS-2020-1217 (CVE-2020-28593), kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk memasukkan kode dari jarak jauh ke dalam perangkat.

Ini secara hipotetis memungkinkan attacker untuk mengubah suhu, waktu memasak dan pengaturan pada penggoreng udara, atau memulainya tanpa sepengetahuan pengguna. Attacker harus memiliki akses fisik ke alat penggorengan agar beberapa kerentanan ini dapat bekerja.

Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan paket yang dibuat khusus ke perangkat yang berisi objek JSON unik, yang memungkinkan mereka mengeksekusi arbitrary code.

Talos menguji dan mengonfirmasi bahwa Cosori Smart 5.8-Quart Air Fryer CS158-AF, versi 1.1.0 dapat dieksploitasi oleh kerentanan ini.

Selengkapnya: Cisco Talos

Lazarus Group Menggunakan Taktik Baru untuk Menghindari Deteksi

by

Peneliti keamanan dengan Malwarebytes telah mengamati aktor ancaman persisten tingkat lanjut yang berafiliasi dengan Korea Utara, Lazarus Group, menggunakan teknik baru untuk mengirimkan malware sambil menghindari alat keamanan.

Lazarus dikenal karena mengembangkan keluarga malware khusus dan menggunakan taktik baru. Salah satu metode terbarunya melibatkan penyematan file Aplikasi HTML (HTA) berbahaya dalam file zlib terkompresi, dalam file PNG.

Selama waktu proses, file PNG diubah menjadi format file BMP. Karena file BMP tidak dikompresi, mengubah dari PNG ke BMP secara otomatis mendekompresi objek zlib berbahaya. Peneliti menyebut ini cara cerdas untuk menghindari deteksi. Karena objek berbahaya dikompresi di dalam gambar PNG, ini melewati deteksi statis.

Serangan ini kemungkinan besar dimulai dengan kampanye phishing yang mengirimkan email dengan file berbahaya yang dilampirkan. Saat dibuka, file meminta penampilnya untuk mengaktifkan makro.

Melakukan ini akan menghasilkan kotak pesan; mengeklik ini akan memuat umpan phishing terakhir – formulir partisipasi untuk pameran di kota di Korea Selatan. Dokumen dipersenjatai dengan makro yang dijalankan saat dibuka.

Baca postingan blog lengkap untuk informasi lebih lanjut.

Selengkapnya: Dark Reading