Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Plugin WordPress dengan 5 juta penginstalan memiliki kerentanan kritis

by

Tim di balik plugin WordPress yang populer telah mengungkapkan kerentanan unggahan file penting dan telah merilis update untuk perbaikan.

Plugin yang rentan, Contact Form 7, memiliki lebih dari 5 juta penginstalan aktif yang membuat upgrade mendesak ini menjadi kebutuhan bagi pemilik situs WordPress di luar sana.

Minggu ini, proyek Contact Form 7 telah mengungkapkan kerentanan unggahan file yang tidak dibatasi (menunggu CVE) di plugin WordPress yang dapat memungkinkan penyerang untuk melewati perlindungan sanitasi nama file Contact Form 7 saat mengunggah file.

Penyerang dapat mengupload file yang dibuat dengan kode apapun di server yang rentan menggunakan plugin.

Kemudian, dengan mengeksploitasi kerentanan yang parah ini, file dapat dieksekusi sebagai skrip oleh penyerang untuk menjalankan kode di dalamnya.

“Contact Form 7 5.3.2 telah dirilis. Ini adalah rilis keamanan dan pemeliharaan yang mendesak. Kami sangat menganjurkan Anda untuk segera memperbaruinya,” tulisnya dalam sebuah pengunguman.

Kerentanan tersebut telah ditemukan dan dilaporkan oleh Jinson Varghese Behanan, seorang analis keamanan informasi di Astra Security.

Dalam versi yang rentan, plugin tidak menghapus karakter khusus dari nama file yang diunggah, termasuk karakter kontrol dan pemisah.

Hal ini berpotensi memungkinkan penyerang mengunggah nama file yang berisi ekstensi ganda, dipisahkan oleh karakter khusus atau non-printable, seperti file bernama “abc.php .jpg”.

Perbaikan yang dibuat oleh tim Contact Form 7, berisi validasi berbasis regex untuk menangkap kasus seperti ini:

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

by

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

Microsoft juga mengalami Security Breach dalam peretasan rantai pasokan SolarWinds baru-baru ini, lapor

by

Peretas yang disponsori negara yang melanggar penyedia perangkat lunak AS SolarWinds awal tahun ini memutar ke jaringan internal Microsoft, dan kemudian menggunakan salah satu produk Microsoft sendiri untuk meluncurkan serangan terhadap perusahaan lain, Reuters melaporkan hari ini mengutip sumber yang mengetahui penyelidikan tersebut.

Berita tersebut muncul setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan peringatan hari ini tentang serangan rantai pasokan SolarWinds dan dampaknya terhadap lembaga pemerintah, entitas infrastruktur penting, dan organisasi sektor swasta.

CISA mengatakan mereka memiliki “bukti vektor akses awal tambahan, selain platform SolarWinds Orion.” Dua laporan Reuters tentang dugaan peretasan Microsoft tidak mengatakan produk Microsoft apa yang disalahgunakan oleh peretas setelah melanggar Microsoft.

Seorang juru bicara Microsoft menerima telepon sebelumnya hari ini tetapi tidak memiliki apa pun untuk dibagikan sebelum artikel ini dipublikasikan. Microsoft sekarang bergabung dengan daftar entitas profil tinggi yang telah diretas melalui pembaruan backdoor untuk aplikasi pemantauan jaringan SolarWinds Orion.

Sebagian besar dari korban ini adalah lembaga pemerintah AS, seperti:

  • Departemen Keuangan AS
  • Administrasi Informasi dan Telekomunikasi Nasional (NTIA) Departemen Perdagangan AS
  • National Institutes of Health (NIH) Departemen Kesehatan
  • Badan Keamanan Siber dan Infrastruktur (CISA)
  • Departemen Keamanan Dalam Negeri (DHS)
  • Departemen Luar Negeri AS
  • Administrasi Keamanan Nuklir Nasional (NNSA) (juga diungkapkan hari ini)
  • Departemen Energi AS (DOE) (juga diungkapkan hari ini)
  • Tiga negara bagian AS (juga diungkapkan hari ini)
  • Kota Austin (juga diungkapkan hari ini)

sumber : ZDNET

Tiga juta pengguna memasang 28 ekstensi Chrome atau Edge yang berbahaya

by

Lebih dari tiga juta pengguna internet diyakini telah menginstal 15 Chrome, dan 13 ekstensi Edge yang berisi kode berbahaya, kata perusahaan keamanan Avast hari ini.

28 ekstensi berisi kode yang dapat melakukan beberapa operasi berbahaya. Avast mengatakan menemukan kode untuk:

  • mengarahkan lalu lintas pengguna ke iklan
  • mengarahkan lalu lintas pengguna ke situs phishing
  • mengumpulkan data pribadi, seperti tanggal lahir, alamat email, dan perangkat aktif
  • kumpulkan riwayat penelusuran
  • mengunduh malware lebih lanjut ke perangkat pengguna

Di bawah ini adalah daftar ekstensi Chrome yang menurut Avast mengandung kode berbahaya:

  • Direct Message for Instagram
  • DM for Instagram
  • Invisible mode for Instagram Direct Message
  • Downloader for Instagram
  • App Phone for Instagram
  • Stories for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Zoomer for Instagram and FaceBook
  • VK UnBlock. Works fast.
  • Odnoklassniki UnBlock. Works quickly.
  • Upload photo to Instagram™
  • Spotify Music Downloader
  • The New York Times News

Di bawah ini adalah daftar ekstensi Edge yang menurut Avast mengandung kode berbahaya:

  • Direct Message for Instagram™
  • Instagram Download Video & Image
  • App Phone for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Volume Controller
  • Stories for Instagram
  • Upload photo to Instagram™
  • Pretty Kitty, The Cat Pet
  • Video Downloader for YouTube
  • SoundCloud Music Downloader
  • Instagram App with Direct Message DM

sumber : ZDNET

FBI mengatakan geng ransomware DoppelPaymer melecehkan korban yang menolak membayar

by

Biro Investigasi Federal AS mengatakan mereka mengetahui insiden di mana geng ransomware DoppelPaymer telah menggunakan cold-calling untuk mengintimidasi dan memaksa korban untuk membayar permintaan tebusan.

Peringatan PIN FBI, dikirim pada 10 Desember, mengonfirmasi laporan ZDNet dari 5 Desember yang merinci taktik cold-calling serupa yang digunakan oleh empat grup ransomware lainnya: Sekhmet (sekarang tidak berfungsi), Maze (sekarang tidak berfungsi), Conti, dan Ryuk. FBI mengatakan taktik ini sebenarnya pertama kali terlihat pada geng DoppelPaymer beberapa bulan sebelumnya.

“Doppelpaymer adalah salah satu varian ransomware pertama di mana para pelaku memanggil para korban untuk meminta pembayaran,” kata FBI.

“Pada Februari 2020, dalam banyak kasus, para pelaku DoppelPaymer telah mengikuti infeksi ransomware dengan menelepon para korban untuk memeras pembayaran melalui intimidasi atau mengancam akan merilis data yang dieksfiltrasi,” tambahnya.

Geng DoppelPaymer adalah satu dari 20 geng ransomware lebih yang mengoperasikan situs kebocoran tempat mereka mempublikasikan data dari perusahaan yang menolak membayar tebusan – sebagai bentuk balas dendam.

Dalam peringatan PIN DoppelPaymer, FBI merekomendasikan agar korban mengamankan jaringan mereka untuk mencegah gangguan sejak awal, dan dalam kasus serangan, merekomendasikan agar korban memberi tahu pihak berwenang dan mencoba untuk menghindari pembayaran tebusan karena ini memberikan penyerang semangat baru untuk melakukan serangan intrusi baru, tertarik dengan keuntungan mudah yang mereka hasilkan.

Sumber: ZDNet

Peretas SolarWinds memiliki cara cerdas untuk melewati otentikasi multi-faktor

by

Para peretas di balik serangan rantai pasokan yang membahayakan organisasi publik dan swasta telah menemukan cara cerdas untuk melewati sistem otentikasi multi-faktor yang melindungi jaringan yang mereka targetkan.

Para peneliti dari perusahaan keamanan Volexity mengatakan pada hari Senin bahwa mereka telah menemukan penyerang yang sama pada akhir 2019 dan awal 2020 ketika mereka menembus jauh di dalam organisasi think tank tidak kurang dari tiga kali.

Dari salah satu gangguan, peneliti Volexity memperhatikan para peretas menggunakan teknik baru untuk melewati perlindungan MFA yang disediakan oleh Duo. Setelah mendapatkan hak administrator di jaringan yang terinfeksi, para peretas menggunakan hak tak terbatas tersebut untuk mencuri rahasia Duo yang dikenal sebagai akey dari server yang menjalankan Outlook Web App, yang digunakan perusahaan untuk menyediakan otentikasi akun untuk berbagai layanan jaringan.

Para peretas kemudian menggunakan akey untuk membuat cookie, jadi mereka akan menyiapkannya saat seseorang dengan nama pengguna dan sandi yang tepat akan membutuhkannya saat mengambil alih akun.

Akun Volexity tentang Dark Halo memperkuat pengamatan yang dilakukan peneliti lain bahwa para peretas sangat terampil. Volexity mengatakan para penyerang kembali berulang kali setelah klien lembaga think tank tersebut yakin bahwa kelompok tersebut telah dikeluarkan. Pada akhirnya, kata Volexity, para penyerang dapat “tetap tidak terdeteksi selama beberapa tahun”.

sumber : Arstechnica

Peretas Iran Meretas 80 Perusahaan Israel Saat Serangan Siber Besar-besaran Berlanjut

by

Pay2Key, sebuah geng ransomware Iran, hanya aktif sejak November tetapi telah berhasil mendatangkan malapetaka pada perusahaan Israel. Kelompok itu berfokus pada serangan uang tebusan dan telah menyerang setidaknya 80 perusahaan Israel. Beberapa hari terakhir telah terlihat laporan setidaknya dua serangan dunia maya yang serius terhadap perusahaan Israel.

Kedua serangan tersebut dikaitkan dengan peretas Iran Pay2Key, yang menargetkan perusahaan Israel dengan kecepatan yang cepat dan mengkhawatirkan. Rincian baru serangan itu, yang diungkapkan oleh OP Innovate, menunjukkan cakupannya jauh lebih luas daripada yang diketahui sebelumnya.

Riset intelijen dunia maya yang dilakukan oleh OP Innovate dan dipublikasikan Rabu ini mengungkapkan bahwa para peretas Iran berhasil membobol lebih dari 80 target di pasar Israel.

sumber : IranBriefing

Sistem pemasaran Subway diretas untuk mengirim email malware TrickBot

by

Subway UK telah mengungkapkan bahwa sistem yang digunakan untuk pemasaran perusahaan telah diretas dan bertanggung jawab atas email phishing yang berisi malware yang dikirim ke pelanggan kemarin.

Pelanggan Subway UK menerima email aneh dari ‘Subcard’ tentang pesanan Subway yang dilakukan. Di dalam email tersebut terdapat tautan ke dokumen yang diduga berisi konfirmasi pesanan.

Sumber: Bleeping Computer

Setelah menganalisis email phishing ini, ditemukan bahwa mereka menyebarkan dokumen Excel berbahaya yang akan menginstal versi terbaru malware TrickBot.

TrickBot adalah infeksi malware jahat yang memungkinkan penyerang, menyebar ke seluruh jaringan, data browser, data RDP, VNC, dan PuTTY Credentials, dan banyak lagi. Lebih buruk lagi, TrickBot pada akhirnya dapat menyediakan akses ke operasi ransomware Ryuk atau Conti.

Subway juga telah mengirim email pemberitahuan ke pelanggan yang terkena dampak yang menyatakan bahwa nama depan dan nama belakang pelanggan terungkap dalam serangan itu.

Jika Anda menerima email ini dan keliru membuka dokumen Excel yang berbahaya, Anda dapat memeriksa versi TrickBot saat ini dengan membuka Task Manager dan mencari proses bernama ‘Windows Problem Reporting’. Jika proses itu ditemukan, klik tombol ‘End Task’ untuk menghentikannya.

Sekarang lakukan pemindaian menyeluruh pada komputer Anda menggunakan perangkat lunak antivirus dan bersihkan apa pun yang ditemukan.

Sumber: Bleeping Computer