Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Setelah dua zero-day di Chrome versi desktop, Google kini menambal zero-day ketiga di versi Android

by

Google telah merilis pembaruan keamanan untuk browser Chrome versi Android guna memperbaiki kerentanan zero-day yang saat ini dieksploitasi di alam liar.

Chrome untuk Android versi 86.0.4240.185 dirilis dengan perbaikan untuk CVE-2020-16010, kerentanan heap buffer overflow di komponen antarmuka pengguna (UI) Chrome untuk Android.

Google mengatakan bug itu dieksploitasi untuk memungkinkan penyerang melewati dan melarikan diri dari sandbox keamanan Chrome di perangkat Android dan menjalankan kode pada OS yang mendasarinya.

Detail tentang serangan tersebut tidak dipublikasikan untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lainnya mengembangkan eksploitasi untuk zero-day yang sama.

Ini menandai zero-day Chrome ketiga yang ditemukan oleh tim TAG (Threat Analysis Group) Google dalam dua minggu terakhir.

Dua zero-day pertama hanya memengaruhi Chrome untuk versi desktop. Yang pertama ditambal pada 20 Oktober, dilacak sebagai CVE-2020-15999, dan memengaruhi library rendering font FreeType Chrome.

Selain itu, Google juga menambal zero-day kedua kemarin. Dilacak sebagai CVE-2020-16009, zero-day ini dideskripsikan sebagai eksekusi kode jarak jauh di mesin JavaScript Chrome V8.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Google menambal Chrome zero-day kedua dalam dua minggu

by

Google telah merilis pembaruan keamanan hari ini untuk browser web Chrome-nya yang menambal sepuluh bug keamanan, termasuk satu kerentanan zero-day yang saat ini aktif dieksploitasi di alam liar.

Diidentifikasi sebagai CVE-2020-16009, zero-day ini ditemukan oleh Grup Analisis Ancaman (TAG) Google, tim keamanan di Google yang bertugas melacak pelaku ancaman dan operasi mereka yang sedang berlangsung.

Dengan cara khas Google, detail tentang zero-day dan grup yang mengeksploitasi bug belum dipublikasikan – untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lain mengembangkan eksploitasi mereka sendiri untuk zero-day yang sama.

Namun, dalam changelog singkat yang diterbitkan hari ini, Google mengatakan kerentanan zero-day ini berada di V8, komponen Chrome yang menangani kode JavaScript.

Pengguna Chrome disarankan untuk memperbarui browser mereka ke versi 86.0.4240.183 segera.

Berita selengkapnya dapat dibaca pada tautan di bawa ini;
Source: ZDNet

Marriott didenda £18,4 juta oleh pengawas Inggris atas pelanggaran data pelanggan

by

Kantor Komisaris Informasi (ICO) telah mendenda Marriott sebesar £18,4 juta atas pelanggaran data pada tahun 2014, yang hukumannya telah dikurangi karena adanya COVID-19.

Grup hotel Marriott menjadi sasaran pelanggaran data tahun 2014 yang berdampak pada Starwood resort chain, yang diakuisisi oleh Marriott pada tahun 2015.

Pada saat itu, pelaku ancaman dapat menyusup ke sistem Starwood dan mengeksekusi malware melalui web shell, termasuk alat akses jarak jauh dan perangkat lunak pemanen kredensial.

Para penyerang kemudian dapat memasukkan database yang digunakan untuk menyimpan data reservasi tamu termasuk nama, alamat email, nomor telepon, nomor paspor, detail perjalanan, dan informasi program loyalitas.

Serangan berlanjut hingga 2018, dan selama empat tahun, informasi milik sekitar 339 juta tamu dicuri. Secara total, tujuh juta catatan yang berkaitan dengan tamu Inggris terungkap.

Namun, pengawas tersebut mengakui bahwa “Marriott melakukan tindakan secepat mungkin untuk menghubungi pelanggan dan ICO” setelah insiden keamanan siber terungkap, dan “bertindak cepat untuk mengurangi risiko kerusakan yang diderita pelanggan.”

“Jutaan data orang terpengaruh oleh kegagalan Marriott; ribuan orang menghubungi saluran bantuan dan orang lain mungkin harus mengambil tindakan untuk melindungi data pribadi mereka karena perusahaan yang mereka percayai tidak melakukannya,” komentar Elizabeth Denham, Komisaris Informasi Inggris. “Ketika sebuah bisnis gagal menjaga data pelanggan, dampaknya bukan hanya kemungkinan denda, yang paling penting adalah publik yang datanya harus mereka lindungi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Grup peretas menggunakan Solaris zero-day untuk menerobos jaringan perusahaan

by

Mandiant, unit investigasi firma keamanan FireEye, telah menerbitkan rincian tentang aktor ancaman baru yang mereka sebut UNC1945. Perusahaan keamanan tersebut mengatakan menggunakan kerentanan zero-day dalam sistem operasi Oracle Solaris sebagai bagian dari intrusi ke jaringan perusahaan.

Target reguler serangan UNC1945 termasuk perusahaan telekomunikasi, keuangan, dan konsultasi, kata tim Mandiant dalam sebuah laporan yang diterbitkan tanggal 2 November 2020.

Dilacak sebagai CVE-2020-14871, zero-day ini adalah kerentanan dalam Solaris Pluggable Authentication Module (PAM) yang memungkinkan UNC1945 untuk melewati prosedur otentikasi dan memasang backdoor bernama SLAPSTICK di server Solaris yang terpapar internet.

Mandiant mengatakan para peretas kemudian menggunakan backdoor ini sebagai titik masuk untuk meluncurkan operasi pengintaian di dalam jaringan perusahaan dan berpindah secara lateral ke sistem lain.

Untuk menghindari deteksi, Mandiant mengatakan kelompok itu mengunduh dan menginstal mesin virtual QEMU yang menjalankan versi Tiny Core Linux OS.

Sumber: FireEye

Mandiant mengatakan pihaknya mengamati kelompok tersebut menggunakan bermacam-macam pengujian penetrasi sumber terbuka dan alat keamanan, tetapi juga jenis malware khusus. Perusahaan juga percaya bahwa UNC1945 membeli EVILSUN (alat yang memungkinkan mereka untuk mengeksploitasi zero-day Solaris dan menanam backdoor SLAPSTICK) dari forum peretasan publik seharga $3.000 (Rp 43 juta).

Zero-day (CVE-2020-14871) telah di-patch bulan lalu di patch keamanan Oracle Oktober 2020.

Berita selengkapnya serta IoC dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Fire Eye

Malware Android Firestarter Menyalahgunakan Google Firebase Cloud Messaging

by

Grup APT memulai serangan dengan loader malware Android baru, yang menggunakan layanan perpesanan Google yang sah untuk melewati deteksi.

Malware, yang dijuluki “Firestarter”, digunakan oleh grup ancaman APT yang disebut “DoNot”. DoNot menggunakan Firebase Cloud Messaging (FCM), yang merupakan solusi cloud lintas platform untuk pesan dan notifikasi untuk aplikasi Android, iOS, dan web. Layanan ini disediakan oleh Firebase, anak perusahaan Google, dan sebelumnya juga telah dimanfaatkan oleh penjahat siber.

Dalam hal ini, loader menggunakannya sebagai mekanisme komunikasi untuk terhubung dengan server perintah-dan-kontrol (C2) DoNot, membantu aktivitas grup menghindari deteksi.

“Penelitian kami mengungkapkan bahwa DoNot telah bereksperimen dengan teknik baru untuk menjaga pijakan pada mesin korban mereka,” menurut peneliti dengan Cisco Talos dalam analisis hari Kamis. “Eksperimen ini, yang dibuktikan dengan loader Firestarter, adalah tanda betapa bertekadnya mereka untuk tetap menjalankan operasi meskipun terekspos, yang menjadikan mereka aktor yang sangat berbahaya yang beroperasi di area spionase.”

Tim DoNot terus berfokus pada India dan Pakistan, dan dikenal karena menargetkan pejabat pemerintah Pakistan dan organisasi nirlaba Kashmir (Kashmir adalah kelompok etnis Dardik yang berasal dari Lembah Kashmir yang disengketakan).

Pengguna dibujuk untuk memasang aplikasi berbahaya di perangkat seluler mereka, kemungkinan dilakukan melalui pesan langsung yang memanfaatkan rekayasa sosial, kata peneliti. Nama file aplikasi Android ini (kashmir_sample.apk atau Kashmir_Voice_v4.8.apk) menunjukkan minat yang berkelanjutan di India, Pakistan, dan krisis Kashmir.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

WordPress Menambal Bug RCE Keparahan Tinggi Berusia 3 Tahun

by

WordPress merilis pembaruan 5.5.2 untuk platform perangkat lunak penerbitan web nya.

Pembaruan ini menambal bug dengan tingkat keparahan tinggi, yang dapat memungkinkan penyerang jauh yang tidak diautentikasi untuk mengambil alih situs web yang ditargetkan melalui serangan denial-of-service yang telah disesuaikan.

Secara keseluruhan, Rilis Keamanan dan Pemeliharaan WordPress menangani 10 bug keamanan dan juga membawa banyak peningkatan fitur ke platform. WordPress mengatakan pembaruan tersebut adalah “rilis keamanan dan pemeliharaan siklus pendek” sebelum rilis utama berikutnya versi 5.6. Dengan pembaruan ini, semua versi sejak WordPress 3.7 juga akan menjadi yang terbaru.

Peneliti yang menemukan bug tersebut, Omar Ganiev, pendiri DeteAct, mengatakan kepada Threatpost bahwa dampak kerentanan mungkin tinggi, tetapi kemungkinan musuh dapat mereproduksi serangan di alam liar rendah.

Baik WordPress maupun Ganiev tidak percaya bahwa kerentanan telah dieksploitasi di alam liar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Waspadalah terhadap Scam Landing Google Drive Baru di Inbox

by

Penipu menemukan umpan phishing baru untuk digunakan: Google Drive.

Kerentanan di Drive sedang dieksploitasi untuk mengirimkan email yang tampaknya sah dan pemberitahuan push dari Google yang, jika dibuka, dapat mendaratkan orang di situs web berbahaya.

Bagian paling cerdas dari penipuan ini adalah email dan pemberitahuan yang dihasilkannya datang langsung dari Google. Di perangkat seluler, penipu menggunakan fitur kolaborasi di Google Drive untuk menghasilkan pemberitahuan push yang mengundang orang untuk berkolaborasi di dokumen. Jika diketuk, notifikasi akan membawa Anda langsung ke dokumen yang berisi link yang sangat besar dan menggoda.

Pemberitahuan email yang dibuat oleh penipu, yang juga berasal dari Google, juga berisi tautan yang berpotensi berbahaya. Tidak seperti spam biasa, yang difilter oleh Gmail dengan cukup baik, pesan ini tidak hanya masuk ke kotak masuk Anda, tetapi juga mendapat lapisan legitimasi tambahan dengan datang dari Google itu sendiri.

Orang yang menjadi sasaran scam menerima pemberitahuan Google Drive dan email dalam bahasa Rusia atau bahasa Inggris yang meminta mereka untuk berkolaborasi dalam dokumen dengan nama yang tidak masuk akal. Dokumen-dokumen ini selalu berisi tautan ke situs web scam. Salah satu situs web yang digunakan untuk penipuan, yang baru didaftarkan pada 26 Oktober, membombardir orang dengan pemberitahuan dan permintaan untuk mengeklik tautan ke penawaran dan penarikan hadiah. Versi lain dari penipuan mencoba memikat orang agar mengeklik tautan untuk memeriksa rekening bank mereka atau untuk menerima pembayaran.

Seorang juru bicara Google mengatakan perusahaan memiliki langkah-langkah untuk mendeteksi serangan spam baru dan menghentikannya, tetapi tidak ada tindakan keamanan yang 100 persen efektif. Juru bicara tersebut menambahkan bahwa Google sedang mengerjakan langkah-langkah baru untuk mempersulit spam Google Drive menghindari sistemnya.

David Emm, peneliti keamanan utama di perusahaan keamanan siber Kaspersky, mengatakan bahwa, seperti semua penipuan phishing, yang terpenting adalah berpikir sebelum Anda mengeklik. “Hindari mengklik tautan apa pun yang tidak diminta saat dikirim dari sumber yang tidak dikenal”.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Wired

US Cyber Command mengungkap malware Rusia baru

by

US Cyber Command telah mengungkap delapan sampel malware baru yang dikembangkan dan digunakan oleh peretas Rusia dalam serangan baru-baru ini.

Enam dari delapan sampel adalah untuk malware ComRAT (digunakan oleh grup peretasan Turla), sedangkan dua lainnya adalah sampel untuk malware Zebrocy (digunakan oleh grup peretasan APT28).

Baik ComRAT dan Zebrocy adalah keluarga malware yang telah digunakan oleh kelompok peretas Rusia selama bertahun-tahun, dengan ComRAT digunakan dalam serangan selama lebih dari satu dekade, yang telah berevolusi dari malware Agent.BTZ yang lama.

Baik Turla dan APT28 secara konsisten memperbarui kedua alat untuk menambahkan teknik penghindaran dan menjaga malware mereka tidak terdeteksi.

Tujuan dari pengungkapan pemerintah AS baru-baru ini adalah untuk membagikan versi terbaru dari alat peretasan ini dengan masyarakat umum sehingga administrator sistem dan defender lainnya dapat menambahkan aturan deteksi dan memperbarui tindakan perlindungan.

Pada hari Kamis, Pasukan Misi Nasional Siber Komando Siber AS (CNMF) mengunggah sampel versi ComRAT dan Zebrocy baru di akun VirusTotal-nya, sementara Cybersecurity and Infrastructure Security Agency (CISA), bekerja sama dengan CyWatch Biro Investigasi Federal, menerbitkan dua advisory keamanan yang menjelaskan cara kerja ComRAT dan Zebrocy.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet