Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

by

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

FBI memperingatkan serangan vishing yang mencuri rekening perusahaan

by

Biro Investigasi Federal (FBI) telah mengeluarkan peringatan pemberitahuan tentang serangan vishing yang sedang berlangsung yang mencoba mencuri akun dan kredensial perusahaan untuk akses jaringan dan eskalasi hak istimewa dari AS dan karyawan yang berbasis internasional.

Vishing (juga dikenal sebagai phishing suara) adalah serangan manipulasi psikologis di mana penyerang meniru entitas tepercaya selama panggilan suara untuk membujuk target mereka agar mengungkapkan informasi sensitif seperti kredensial perbankan atau login.

Menurut TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Jumat [PDF], pelaku ancaman menggunakan platform Voice over Internet Protocol (VoIP) (alias layanan telepon IP) untuk menargetkan karyawan perusahaan di seluruh dunia, mengabaikan tingkat korporat mereka.

“Selama Covid-19 shelter-in-place and social distancing, banyak perusahaan harus cepat beradaptasi dengan perubahan lingkungan dan teknologi,” kata PIN. “Dengan pembatasan ini, akses jaringan dan eskalasi hak istimewa mungkin tidak sepenuhnya dipantau.”

selengkapnya : BleepingComputer

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Ransomware sekarang menjadi perhatian keamanan siber terbesar untuk CISO

by

Ransomware adalah masalah keamanan siber terbesar yang dihadapi bisnis, menurut mereka yang bertanggung jawab menjaga keamanan organisasi dari peretasan dan serangan siber.

Sebuah survei terhadap kepala petugas keamanan informasi (CISO) dan kepala petugas keamanan (CSO) oleh cybersecurity Proofpoint menemukan bahwa ransomware sekarang dipandang sebagai ancaman keamanan siber utama bagi organisasi mereka selama tahun depan.

Hampir setengah – 46% – CSO dan CISO yang disurvei mengatakan bahwa ransomware atau bentuk pemerasan lainnya oleh pihak luar merupakan ancaman keamanan siber terbesar.

Selain skema pelatihan dan kesadaran, organisasi dapat membantu melindungi dari ransomware dan serangan lainnya dengan menerapkan patch keamanan saat dirilis, mencegah peretas mengeksploitasi kerentanan yang diketahui.

Menggunakan perlindungan tambahan seperti autentikasi dua faktor di seluruh organisasi juga dapat membantu mencegah serangan yang merusak dengan mempersulit peretas untuk bergerak di sekitar jaringan, bahkan jika mereka memiliki kredensial yang benar.

sumber : ZDNET

Peretas memposting 1,9 juta catatan pengguna Pixlr secara gratis di forum

by

Seorang peretas telah membocorkan 1,9 juta catatan pengguna Pixlr yang berisi informasi yang dapat digunakan untuk melakukan serangan phishing dan credential stuffing yang ditargetkan.

Pixlr adalah aplikasi pengeditan foto online yang sangat populer dan gratis dengan banyak fitur yang sama yang ditemukan di editor foto desktop profesional seperti Photoshop.

Selama akhir pekan, aktor ancaman yang dikenal sebagai ShinyHunters membagikan database secara gratis di forum peretas yang dia klaim telah dicuri dari Pixlr saat dia membobol situs stock foto 123rf. Pixlr dan 123rf dimiliki oleh perusahaan yang sama, Inmagine.

Database Pixlr yang diduga diposting oleh ShinyHunters berisi 1.921.141 catatan pengguna yang terdiri dari alamat email, nama login, sandi dengan hash SHA-512, negara pengguna, apakah mereka mendaftar untuk buletin, dan informasi internal lainnya.

Sumber: BleepingComputer

ShinyHunters menyatakan dia mengunduh database dari AWS bucket perusahaan pada akhir tahun 2020.

Setelah berbagi database, banyak pelaku ancaman lain yang sering mengunjungi forum peretas berbagi apresiasi mereka karena penyerang dapat menggunakan data tersebut untuk aktivitas jahat mereka.

Karena beberapa data yang terpapar dipastikan akurat, tampaknya itu adalah benar sebuah pelanggaran.

Sangat disarankan agar semua pengguna Pixlr segera mengubah kata sandi mereka di situs. Pengguna harus menggunakan kata sandi yang unik dan kuat yang tidak digunakan di situs lain.

Sumber: Bleeping Computer

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

by

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Sumber: BleepingComputer

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

by

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet

Forum IObit Diretas Untuk Mendistribusikan DeroHE Ransomware

by

IObit, pembuat perangkat lunak seperti pengoptimal sistem dan anti-malware untuk OS Windows, forumnya telah dilanggar. Ini diketahui setelah anggota forum terinfeksi kampanye jahat bundel IObit gratis, karena menjadi anggota.

Mereka melaporkan menerima email dari IObit tentang paket satu tahun gratis dari bundel mereka, yang memiliki tautan ke situs hxxps: //forums.iobit.com/promo.html dan akhirnya dibawa ke hxxps: //forums.iobit. situs com / free-iobit-license-promo.zip unduh file zip.

Meskipun file zip ini ditandatangani secara digital oleh program IObit License Manager yang sah, file IObitUnlocker.dll diganti oleh file berbahaya yang akan menginstal ransomware DeroHE ke dalam C: \ Program Files (x86) \ IObit \ iobit.dll dan menjalankannya.

Ini terjadi karena pengguna percaya perangkat lunak itu sah, karena memiliki tanda tangan digital dari IObit dan dihosting di situs resmi mereka. Saat membukanya, mereka akan melihat kotak dialog untuk tidak mengunci layar atau sistem saat sedang memproses. Namun di latar belakang, ransomware sedang mengenkripsi file host.

Setelah melakukannya, grup ransomware membuat dua folder di layar desktop, satu untuk memberi tahu korban tentang semua file yang dienkripsi dan yang lainnya adalah catatan tebusan. Anehnya, para peretas meminta pembayaran dalam bentuk koin DeroHE, yang merupakan cryptocurrency seperti Bitcoin.

Ini memberi korban tautan darknet ke halaman pembayaran, di mana ia meminta 200 koin DeroHE, yang diterjemahkan menjadi sekitar $ 100. Selain itu, ia menyalahkan IObit atas peretasannya dan membujuk para korban untuk membuat IObit membayar 100.000 dalam bentuk koin Dero untuk mendekripsi sistem semua orang.

Source : Techdator