Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Eksploitasi RCE Massive GoAnywhere: Semua yang Perlu Anda Ketahui

by

Pekan lalu, Cybersecurity and Infrastructure Security Agency (CISA) menambahkan tiga entri baru ke katalog Known Exploited Vulnerabilities. Diantaranya adalah CVE-2023-0669, bug yang membuka jalan bagi eksploitasi dan serangan ransomware lanjutan terhadap ratusan organisasi dalam beberapa minggu terakhir.

Bug tersebut ditemukan di GoAnywhere, perangkat lunak berbagi file berbasis Windows dari Fortra, sebelumnya HelpSystems. Menurut situs webnya, GoAnywhere digunakan di lebih dari 3.000 organisasi untuk mengelola semua jenis dokumen. Menurut data dari Enlyft, sebagian besar adalah organisasi besar — dengan sedikitnya 1.000 dan, seringkali, lebih dari 10.000 karyawan — sebagian besar berbasis di Amerika Serikat.

Bug yang dilacak sebagai CVE-2023-0669 memungkinkan peretas untuk mengeksekusi kode dari jarak jauh dalam sistem target, melalui internet, tanpa perlu otentikasi. Sampai tulisan ini dibuat, kerentanan ini belum menerima peringkat CVSS resmi dari Database Kerentanan Nasional.

Tapi kita tidak perlu bertanya-tanya betapa berbahayanya itu, karena para peretas telah menerkam. Pada 10 Februari — beberapa hari setelah Fortra merilis tambalan — geng ransomware Clop mengklaim telah mengeksploitasi CVE-2023-0669 di lebih dari 130 organisasi.

Setelah tiga minggu dan terus bertambah, tidak jelas apakah lebih banyak organisasi masih berisiko atau tidak.

Selengkapnya: Dark Reading

Peringatan: Pelaku ancaman menggunakan sertifikat penandatanganan kode Emsisoft palsu untuk menyamarkan serangan mereka

by

Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami. Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi tersebut mengizinkan aplikasi yang dipasang dan ingin digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.

Serangan gagal – produk kami mendeteksi dan memblokirnya – tetapi kami mengeluarkan peringatan ini agar pelanggan dan pengguna produk perusahaan lain mengetahui taktik yang digunakan dalam kasus ini.

Sementara metode akses awal diperoleh tidak jelas, kemungkinan besar melalui serangan brute-force pada RDP atau penggunaan kredensial yang disusupi (login yang dicuri).

Setelah penyerang mengamankan akses ke titik akhir, mereka memasang aplikasi akses jarak jauh sumber terbuka yang disebut MeshCentral. Ini adalah aplikasi tujuan ganda, artinya ini adalah alat yang sah yang dapat digunakan untuk tujuan jahat. Karena dapat digunakan untuk tujuan yang sah dan tidak berbahaya, keberadaannya di titik akhir tidak serta merta memicu alarm apa pun, baik dari solusi keamanan atau dari manusia.

Penyerang menandatangani eksekusi MeshCentral dengan sertifikat yang disebut “Emsisoft Server Trusted Network CA”. Kami yakin ini dilakukan untuk membuat pendeteksian aplikasi apa pun tampak positif palsu. Bagaimanapun, salah satu produk kami diinstal dan dijalankan pada titik akhir yang disusupi, sehingga aplikasi yang diduga telah ditandatangani oleh sertifikat Emsisoft dapat dianggap aman dan diizinkan.

Selengkapnya: Emisoft

Aplikasi antivirus tersedia untuk melindungi Anda – Cisco’s ClamAV memiliki kekurangan

by

Perangkat lunak antivirus seharusnya menjadi bagian penting dari pertahanan organisasi melawan gelombang malware yang tak ada habisnya.

ClamAV open source Cisco dapat mengisi peran itu – setelah Anda menambal cacat eksekusi kode arbitrer berperingkat 9.8/10 yang diungkapkan raksasa jaringan pada hari Rabu.

“Kerentanan dalam parser file partisi HFS+ dari ClamAV versi 1.0.0 dan sebelumnya, 0.105.1 dan sebelumnya, dan 0.103.7 dan sebelumnya dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata penasehat keamanan Cisco, yang mengidentifikasi masalah sebagai CVE-2023-20032.

“Kerentanan ini disebabkan oleh pemeriksaan ukuran buffer yang hilang yang dapat mengakibatkan penulisan buffer overflow heap,” dokumen tersebut menjelaskan. “Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan file partisi HFS+ yang dibuat untuk dipindai oleh ClamAV pada perangkat yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dengan hak istimewa proses pemindaian ClamAV, atau merusak proses, mengakibatkan kondisi denial of service (DoS).”

Namun memperbaiki ClamAV bukanlah akhir dari cerita. Mengatasi parser file yang salah juga memerlukan pembaruan untuk produk Cisco lainnya, termasuk perangkat keras Secure Web Appliance. Secure Endpoint Private Cloud juga memerlukan perbaikan, seperti halnya produk Secure Endpoint Cisco (sebelumnya dikenal sebagai Advanced Malware Protection for Endpoints) untuk Linux, Windows, dan macOS.

Untungnya, Cisco tidak mengetahui “pengumuman publik apa pun atau penggunaan berbahaya dari kerentanan yang dijelaskan dalam penasehat ini.”

Tapi bagaimana dengan ClamAV yang gratis dan open source, kelemahan ini kemungkinan besar akan menjadi target yang tidak akan lama diabaikan oleh penjahat dan penjahat.

Selengkapnya: The Register

Para ahli sedang menyelidiki kegagalan beberapa bandara Jerman setelah beberapa media mengaitkannya dengan kemungkinan kampanye peretasan.

by

Dugaan serangan siber terjadi sehari setelah kegagalan TI menyebabkan pembatalan dan penundaan ribuan penumpang maskapai nasional Jerman Lufthansa di bandara Frankfurt.

Serangan itu memblokir situs web bandara berikut:

  • Bandara Hannover
  • Bandara Dortmund
  • Bandara Nürnberg
  • Bandara Karlsruhe/Baden-Baden
  • Düsseldorf
  • Erfurt-Weimar

Administrator di bandara mengonfirmasi bahwa masalah tersebut kemungkinan besar disebabkan oleh lalu lintas berbahaya.
“Kami masih memecahkan masalah,” kata juru bicara Bandara Dortmund, menambahkan tidak mungkin kegagalan itu disebabkan oleh kelebihan beban biasa. lapor situs web DW. “Ada alasan untuk menduga itu bisa menjadi serangan peretas,” tambahnya.

Pada awal Januari, kelompok Pro-Rusia Killnet meluncurkan serangan DDoS terhadap situs web bandara, badan administrasi, dan bank Jerman.

Serangan tersebut merupakan respon para hacktivist terhadap keputusan pemerintah Jerman untuk mengirim tank Leopard 2 ke Ukraina.

Kanselir Olaf Scholz mengumumkan keputusan untuk mengirim 14 tank – dan mengizinkan negara lain untuk mengirimnya juga (yang dibatasi sampai sekarang di bawah peraturan ekspor) – pada rapat kabinet pada hari Rabu.

Pada 16 Februari, grup tersebut menyerukan tindakan di saluran Telegramnya terhadap bandara Jerman.

Pada bulan Oktober, kelompok peretas pro-Rusia ‘KillNet’ mengaku bertanggung jawab atas serangan denial-of-service (DDoS) terdistribusi besar-besaran terhadap situs web beberapa bandara utama di AS.

Selengkapnya: Security Affairs

Eksklusif: FBI mengatakan telah ‘berisi’ insiden dunia maya di jaringan komputer biro

by

FBI telah menyelidiki dan bekerja untuk membendung insiden dunia maya berbahaya di bagian jaringan komputernya dalam beberapa hari terakhir, menurut orang yang diberi pengarahan tentang masalah tersebut.

Pejabat FBI yakin insiden itu melibatkan sistem komputer FBI yang digunakan dalam penyelidikan gambar eksploitasi seksual anak, kata dua sumber yang menjelaskan masalah tersebut kepada CNN.

“FBI mengetahui insiden itu dan bekerja untuk mendapatkan informasi tambahan,” kata biro itu dalam sebuah pernyataan kepada CNN. “Ini adalah insiden terisolasi yang telah diatasi. Karena ini adalah penyelidikan yang sedang berlangsung, FBI tidak memiliki komentar lebih lanjut untuk diberikan saat ini.”

Pejabat FBI telah bekerja untuk mengisolasi aktivitas dunia maya berbahaya, yang menurut dua sumber melibatkan Kantor Lapangan FBI New York – salah satu kantor profil terbesar dan tertinggi di biro tersebut. Asal usul insiden peretasan masih diselidiki, menurut salah satu sumber.

FBI, seperti lembaga atau perusahaan pemerintah besar mana pun, harus menghadapi serangkaian ancaman online.

Pada November 2021, seseorang menggunakan alamat email sah yang digunakan FBI untuk berkomunikasi dengan penegak hukum negara bagian dan lokal untuk mengirim email palsu ke ribuan organisasi tentang dugaan ancaman dunia maya. FBI mengatakan pada saat itu bahwa mereka memperbaiki kerentanan perangkat lunak terkait insiden tersebut, tetapi biro tersebut belum mengumumkan nama tersangka secara terbuka.

Episode itu menimbulkan kekhawatiran bahwa orang luar dapat memanfaatkan peran penting FBI dalam memperingatkan publik tentang insiden peretasan untuk membuat organisasi berebut untuk mengatasi ancaman peretasan hantu.

Selengkapnya: CNN

GoDaddy: Peretas mencuri kode sumber, memasang malware dalam pelanggaran multi-tahun

by

Raksasa web hosting GoDaddy mengatakan mengalami pelanggaran di mana penyerang tak dikenal telah mencuri kode sumber dan memasang malware di servernya setelah melanggar lingkungan hosting bersama cPanel dalam serangan multi-tahun.

Sementara GoDaddy menemukan pelanggaran keamanan setelah laporan pelanggan pada awal Desember 2022 bahwa situs mereka digunakan untuk mengalihkan ke domain acak, penyerang memiliki akses ke jaringan perusahaan selama beberapa tahun.

“Berdasarkan penyelidikan kami, kami yakin insiden ini adalah bagian dari kampanye multi-tahun oleh kelompok pelaku ancaman canggih yang, antara lain, memasang malware di sistem kami dan memperoleh potongan kode yang terkait dengan beberapa layanan di dalam GoDaddy,” kata pihak hosting. perusahaan mengatakan dalam pengarsipan SEC.

Perusahaan mengatakan bahwa pelanggaran sebelumnya yang diungkapkan pada November 2021 dan Maret 2020 juga terkait dengan kampanye multi-tahun ini.

Insiden November 2021 menyebabkan pelanggaran data yang memengaruhi 1,2 juta pelanggan WordPress yang Dikelola setelah penyerang melanggar lingkungan hosting WordPress GoDaddy menggunakan kata sandi yang disusupi.

Mereka mendapatkan akses ke alamat email dari semua pelanggan yang terkena dampak, kata sandi Admin WordPress mereka, kredensial sFTP dan basis data, serta kunci pribadi SSL dari subset klien aktif.

Setelah pelanggaran Maret 2020, GoDaddy memberi tahu 28.000 pelanggan bahwa penyerang menggunakan kredensial akun hosting web mereka pada Oktober 2019 untuk terhubung ke akun hosting mereka melalui SSH.

GoDaddy kini bekerja sama dengan pakar forensik keamanan siber eksternal dan lembaga penegak hukum di seluruh dunia sebagai bagian dari penyelidikan berkelanjutan terhadap akar penyebab pelanggaran tersebut.

Selengkapnya: Bleeping Computer

Bagaimana China Mendanai Kampanye Pengaruh Asing

by

Tinjauan catatan keuangan untuk organisasi Partai Komunis China (PKC) dengan kemampuan pengaruh asing mengungkapkan bahwa pendanaan untuk kegiatan propaganda di China sebagian besar berbasis proyek, dengan sebagian besar pembiayaan berasal dari dana publik. Organisasi PKT merilis laporan keuangan publik yang dapat dianalisis untuk memahami prioritas Tiongkok dalam hal operasi informasi. DFRLab membedah keuangan dua organisasi media Tiongkok dan dua departemen PKC tingkat kota untuk mengungkap wawasan tentang pendanaan kampanye pengaruh asing. Pemeriksaan kami mencakup catatan keuangan untuk Kantor Berita Xinhua, China Media Group (CMG), Departemen Kerja Front Persatuan Beijing (UFWD), dan Departemen Propaganda Beijing.

Operasi media asing Xinhua telah merugi sejak pandemi dimulai, namun pekerjaan tersebut masih didukung oleh kantor berita karena kepentingan strategisnya. Xinhua melihat dirinya terlibat dalam “perang opini publik” global di mana ia berperang secara ofensif. Misalnya, Xinhua merilis serangkaian film dokumenter mini berisi disinformasi yang ditonton jutaan kali. Sementara itu, penyiar China Media Group berinvestasi lebih banyak dalam proyek-proyek yang mempromosikan soft power China, seperti mengiklankan hiburan China.

Membangun kemitraan dalam jurnalisme adalah bidang fokus lainnya. Proyek senilai tujuh juta RMB menjalin kemitraan dengan jurnalis asing di Beijing untuk “memberi tahu dunia tentang Beijing yang komprehensif, nyata, dan tiga dimensi”. Departemen propaganda juga ikut memproduksi serial dokumenter 104 episode, juga berjudul “Pesona Beijing,” dan mempromosikannya di luar negeri dengan negara-negara mitra BRI dalam dua item proyek yang terdaftar, dengan total 5,9 juta RMB (USD $875.000). Departemen propaganda mengharapkan serial tersebut mencapai delapan juta pemirsa di dua jaringan TV asing utama.

Melalui laporan keuangan keempat organisasi ini, DFRLab menemukan pendanaan yang cukup besar untuk proyek pengaruh asing di berbagai bidang. Proyek disinformasi China langsung, seperti “Trilogi Sejarah Kegelapan Amerika”, bertujuan untuk menyebarkan narasi anti-Barat. Bersamaan dengan itu, acara dan pameran TV soft power memamerkan China yang dicintai sebagai tempat untuk dikunjungi dan berinvestasi. Pengeluaran untuk proyek-proyek ini diperkirakan akan meningkat di tahun-tahun berikutnya karena China mengembangkan ekonominya dan terus mencari status internasional yang lebih besar.

selengkapnya : medium.com

Fake Installers yang Menargetkan Asia Tenggara dan Timur

by

Peneliti ESET mengidentifikasi kampanye malware yang menargetkan orang-orang berbahasa Mandarin di Asia Tenggara dan Timur dengan membeli iklan yang menyesatkan untuk muncul di hasil pencarian Google yang mengarah pada pengunduhan pemasang trojan. Penyerang tak dikenal membuat situs web palsu yang terlihat identik dengan aplikasi populer seperti Firefox, WhatsApp, atau Telegram, tetapi selain menyediakan perangkat lunak yang sah, juga mengirimkan FatalRAT, trojan akses jarak jauh yang memberikan kendali penyerang atas komputer korban.

Figure 1 menunjukkan peta panas dengan negara tempat kami mendeteksi serangan antara Agustus 2022 dan Januari 2023. Sebagian besar serangan memengaruhi pengguna di Taiwan, China, dan Hong Kong.

Penyerang mendaftarkan berbagai nama domain yang semuanya mengarah ke alamat IP yang sama: server yang menghosting beberapa situs web yang mengunduh perangkat lunak trojan. Beberapa situs web ini terlihat identik dengan rekan mereka yang sah tetapi malah mengirimkan penginstal berbahaya. Situs web lain, yang mungkin diterjemahkan oleh penyerang, menawarkan perangkat lunak versi bahasa China yang tidak tersedia di China, seperti Telegram, seperti yang ditunjukkan pada Gambar 3.

Penyerang telah berusaha keras terkait nama domain yang digunakan untuk situs web mereka, berusaha semirip mungkin dengan nama resmi. Situs web palsu, dalam banyak kasus, merupakan salinan identik dari situs yang sah. Adapun penginstal trojan, mereka menginstal aplikasi sebenarnya yang diminati pengguna, menghindari kecurigaan kemungkinan kompromi pada mesin korban. Untuk semua alasan ini, kami melihat betapa pentingnya untuk rajin memeriksa URL yang kami kunjungi sebelum mengunduh perangkat lunak. Lebih baik lagi, ketikkan ke bilah alamat browser Anda setelah memeriksa bahwa itu adalah situs vendor yang sebenarnya.

Karena malware yang digunakan adalah kampanye ini, FatalRAT, berisi berbagai perintah yang digunakan untuk memanipulasi data dari berbagai browser, dan viktimologi tidak berfokus pada jenis pengguna tertentu, siapa pun dapat terpengaruh. Ada kemungkinan bahwa penyerang hanya tertarik pada pencurian informasi seperti kredensial web untuk menjualnya di forum bawah tanah atau menggunakannya untuk jenis kampanye crimeware lainnya, tetapi untuk saat ini atribusi khusus dari kampanye ini ke aktor ancaman yang dikenal atau baru adalah tidak memungkinkan.

selengkapnya : welivesecurity