Threat

Para peneliti akan merilis eksploit VMware vRealize Log RCE, patch sekarang

January 30, 2023 by Søren

Peneliti keamanan dengan Tim Serangan Horizon3 akan merilis eksploit yang menargetkan rantai kerentanan minggu depan untuk mendapatkan eksekusi kode jarak jauh pada peralatan VMware vRealize Log Insight yang belum ditambal.

Sekarang dikenal sebagai VMware Aria Operations for Logs, vRealize Log Insight memudahkan admin VMware untuk menganalisis dan mengelola terabyte infrastruktur dan log aplikasi.

Pada hari Selasa, VMware menambal empat kerentanan keamanan dalam alat analisis log ini, dua di antaranya kritis dan memungkinkan penyerang mengeksekusi kode dari jarak jauh tanpa autentikasi.

Keduanya ditandai sebagai tingkat keparahan kritis dengan skor dasar CVSS 9,8/10 dan dapat dimanfaatkan oleh pelaku ancaman dalam serangan dengan kompleksitas rendah yang tidak memerlukan autentikasi.

Salah satunya (CVE-2022-31706) adalah kerentanan traversal direktori yang dapat disalahgunakan untuk menyuntikkan file ke dalam sistem operasi peralatan yang terpengaruh, dan yang kedua (dilacak sebagai CVE-2022-31704) adalah cacat kontrol akses yang rusak yang dapat juga dapat dieksploitasi dengan menyuntikkan file perusak yang berbahaya ke dalam serangan RCE.

VMware juga mengatasi kerentanan deserialisasi (CVE-2022-31710) yang memicu penolakan status layanan dan bug pengungkapan informasi (CVE-2022-31711) yang dapat dieksploitasi untuk mengakses sesi sensitif dan info aplikasi.

Pada hari Kamis, Tim Serangan Horizon3 memperingatkan admin VMware bahwa mereka telah dapat membuat eksploit yang menghubungkan tiga dari empat kelemahan yang ditambal oleh VMware minggu ini untuk mengeksekusi kode dari jarak jauh sebagai root.

Semua kerentanan dapat dieksploitasi dalam konfigurasi default peralatan VMware vRealize Log Insight. Eksploitasi dapat digunakan untuk mendapatkan akses awal ke jaringan organisasi (melalui peralatan yang terpapar Internet) dan untuk pergerakan lateral dengan kredensial tersimpan.

Selengkapnya: Bleeping Computer

Melindungi Terhadap Penggunaan Malicious Remote Monitoring dan Management Software

January 29, 2023 by Coffee Bean

Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Multi-State Information Sharing and Analysis Center (MS-ISAC) (selanjutnya disebut sebgai “organisasi penulis”) merilis bersama Cybersecurity Advirsoty (CSA) untuk memperingatkan pembela jaringan tentang penggunaan berbahaya perankat lunak RMM yang sah. Secara khusus, pelaku kejahatan dunia maya mengirimkan email phishing yang mengarah ke pengunduhan eprangkat lunka RMM ayng sah – ScreenConnect (sekarang ConnectWise Control) dan AnyDesk – yang digunakan pelaku dalam penipuan pengembalian uang tuntuk mencuri uang dari rekening bank korban.

Menggunakan executable portabel perangkat lunak RMM menyediakan cara bagi pelaku untuk membuat akses pengguna lokal tanpa memerlukan hak istimewa administratif dan instalasi perangkat lunak lengkap—secara efektif melewati kontrol perangkat lunak umum dan asumsi manajemen risiko.

Organisasi penulis sangat menganjurkan pembela jaringan untuk meninjau bagian Indikator Kompromi (IOC) dan Mitigasi dalam CSA ini dan menerapkan rekomendasi untuk melindungi perangkat lunak RMM yang sah dari penggunaan berbahaya.

Berita ini dikembangkan oleh CISA, NSA, dan MS-ISAC sebagai kelanjutan dari misi kemanan siber masing-masing, termasuk tanggungjawab mereka untuk mengembangkan dan mengeluarkan spesisfikasi dan mitigasi kemanan siber

selengkapnya : cisa.gov

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

January 28, 2023 by Coffee Bean

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow — The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

5 Fakta Vice Society, Grup Ransomware yang Menghancurkan Sektor Pendidikan

January 28, 2023 by Søren

Ada pemain ransomware-as-a-service (RaaS) baru di kota yang menyerang sektor pendidikan—dan namanya adalah Vice Society.

Vice Society diyakini sebagai kelompok intrusi, eksfiltrasi, dan pemerasan yang berbasis di Rusia. Dan mangsa ideal mereka? Anda dapat menebaknya: universitas, perguruan tinggi, dan sekolah K-12. Biro Investigasi Federal (FBI) bahkan telah merilis Cybersecurity Advisory (CSA) bersama setelah mengamati bahwa Vice Society secara tidak proporsional menargetkan sektor pendidikan.

Tetapi dengan pengetahuan datanglah kekuatan. Semakin banyak sektor pendidikan mengetahui tentang Vice Society, semakin siap mereka untuk bertahan melawan mereka.

Dalam artikel ini, kami akan mempersenjatai Anda dengan lima fakta tentang Vice Society sehingga Anda dapat mengatasi ancaman yang terus-menerus ini.

Berikut 5 Fakta tentang Vice Society:

1. Pada tahun 2022 mereka adalah penyerang terbesar di sektor pendidikan
2. Dan mereka tidak menunjukkan tanda-tanda melambat di tahun 2023
3. Mereka memanfaatkan teknik hidup dari tanah untuk menyelinap melewati deteksi
4. Menggunakan teknik yang sudah dikenal seperti phishing, kredensial yang disusupi, dan eksploitasi untuk membangun pijakan di jaringan korban.
5. Sepertinya mereka terbuka untuk menegosiasikan uang tebusan awal mereka

Vice Society saat ini merupakan ancaman RaaS paling parah terhadap sektor pendidikan. Tetap saja, untuk mengatakan bahwa serangan ransomware di sekolah adalah masalah Vice Society, murni kehilangan hutan untuk pepohonan.

Kami tidak ingin mengatakan meluncurkan ransomware di sekolah K-12, perguruan tinggi, dan universitas semudah mengambil permen dari bayi, tetapi sayangnya begitulah yang dilihat oleh banyak geng RaaS. Kenyataannya adalah anggaran yang ketat dari banyak lembaga pendidikan memaksa mereka untuk berjuang dengan peralatan usang dan staf yang terbatas, menjadikannya sasaran empuk bagi penjahat dunia maya.

Selengkapnya: MalwarebytesLABS

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

January 27, 2023 by Coffee Bean

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

Kampanye Masif Menggunakan Situs WordPress yang Diretas sebagai Platform untuk Jaringan Iklan Black Hat

January 27, 2023 by Flamango

Seringkali penyerang mendaftarkan domain baru untuk menghosting malware mereka. Dalam banyak kasus, domain baru dikaitkan dengan kampanye malware tertentu.

Dalam postingan blognya, penulis bersama rekannya Ben Martin, akan meninjau bagaimana perilaku wave terbaru untuk domain violetlovelines, bagaimana kampanye telah berkembang dalam beberapa bulan terakhir, dan cara menghapus malware dari situs web korban.

Jenis Suntikan
Pada situs web yang terinfeksi, ditemukan dua jenis injeksi violetlovelines[.]com yang umum yaitu injeksi tag skrip sederhana (subdomain dan nama file dapat bervariasi) dan dan injeksi yang disamarkan (JavaScript) yang memanfaatkan fungsi fromCharCode.

Rantai Pengalihan dan Jaringan Iklan
Beberapa bulan terakhir, kampanye malware ini secara bertahap beralih dari halaman penipuan pemberitahuan push CAPTCHA palsu yang terkenal ke jaringan iklan ’black hat’ yang berganti-ganti antara pengalihan ke sah, samar, dan murni berbahaya situs web.

Berbagai level untuk injeksi skrip, TDS (Sistem Pengarahan Lalu Lintas), rantai pengalihan dan jaringan iklan, diantaranya yaitu tingkat pertama – skrip yang disuntikkan, tingkat kedua – TDS pendahuluan, tingkat ketiga – jaringan iklan/TDS.

TDS berfungsi sebagai Jaringan Iklan untuk situs WordPress yang terinfeksi
TDS tampaknya menggabungkan penawaran dari berbagai aktor jahat dan mitra iklan yang lebih sah dan menggunakan situs WordPress yang diretas sebagai inventaris untuk penempatan/pengalihan iklan.

Pemasaran samar, pembaruan browser palsu, penipuan dukungan teknis, unduhan drive-by berbahaya dari Discord, malware pencuri, dan penjelajahan aman Google, merupakan upaya-upaya masif dari penyerang untuk melancarkan aksinya.

Langkah-langkah Perbaikan dan Pembersihan
Pemilik situs web WordPress dan pengguna melaporkan bahwa situs web dialihkan melalui violetlovelines[.]com dan/atau ke lokasi tak terduga lainnya, maka pengguna dapat memindainya melalui malware SiteCheck dan pemeriksa keamanan.

Langkah untuk perbaikan dan pembersihan yang dapat dilakukan adalah menghapus malware yang disuntikkan, perbarui tema, plugin, dan perangkat lunak pihak ketiga, mengubah kata sandi situs web, dan hapus backdoors

Selengkapnya: SUCURI

DOJ, FBI melumpuhkan ransomware Hive setelah menghabiskan waktu berbulan-bulan di dalam sistem geng

January 27, 2023 by Coffee Bean

FBI dan Departemen Kehakiman membongkar infrastruktur grup ransomware Hive pada hari Kamis, mengumumkan bahwa agen mereka telah berada di dalam sistem grup tersebut sejak Juli 2022.

Direktur FBI Christopher Wray mengatakan agen memperoleh “akses rahasia dan terus-menerus” ke panel kontrol yang digunakan oleh operator Hive tujuh bulan lalu, memungkinkan mereka untuk mengidentifikasi korban dan menawarkan kunci dekripsi kepada lebih dari 1.300 dari mereka di seluruh dunia dan mencegah setidaknya $130 juta masuk. pembayaran tebusan.

Badan-badan itu mengatakan Hive telah menargetkan 1.500 korban di lebih dari 80 negara sejak muncul pada Juni 2021, dan Jaksa Agung Merrick Garland membuat daftar lusinan contoh spesifik di mana mereka dapat membantu korban menangani serangan ransomware, mencatat afinitas kelompok tersebut untuk menargetkan sekolah. dan rumah sakit selama pandemi COVID-19.

Grup ini menghasilkan setidaknya $100 juta pada tahun pertama operasinya.

Garland mengatakan mereka akhirnya memutuskan untuk mengganggu sistem grup setelah menemukan server komputer yang berlokasi di Los Angeles yang digunakan oleh aktor Hive untuk menyimpan informasi penting. Mereka menyita server pada Rabu malam dan menutup situs darknet Hive. Pemberitahuan penyitaan dari beberapa lembaga AS dan internasional kini muncul di situs kebocoran grup.

Dia mencatat bahwa selama berada di sistem Hive, mereka menemukan bahwa hanya sekitar 20% korban yang melaporkan insiden ransomware mereka ke penegak hukum, menyoroti masalah terus-menerus dari korban yang tidak melapor dan malah membayar uang tebusan.

Europol mengatakan bahwa kesuksesan Hive berakar pada model “ransomware-as-a-service”, di mana afiliasi menerima 80% uang tebusan dan pengembang ransomware menerima 20% lainnya.

Mereka mencatat bahwa pertemuan operasional diadakan di Portugal dan Belanda untuk mendukung operasi – menyediakan tautan ke “data yang tersedia untuk berbagai kasus kriminal di dalam dan di luar UE, dan mendukung penyelidikan melalui cryptocurrency, malware, dekripsi, dan analisis forensik.”

Wray mencatat bahwa pekerjaan FBI dalam kasus ini istimewa karena mereka tidak pernah memiliki akses semacam ini ke backend grup ransomware.

sumber : therecord

NCSC mengungkap kampanye spear-phishing Iran dan Rusia yang menargetkan Inggris

January 27, 2023 by Søren

Kelompok ancaman persisten tingkat lanjut (APT) yang bermusuhan yang sejalan dengan kepentingan nasional Iran dan Rusia menargetkan warga negara Inggris termasuk akademisi, aktivis, pekerja amal dan LSM, pejabat pertahanan dan pemerintah, jurnalis, dan politisi, dengan spear-phishing yang dibuat dengan hati-hati dan sangat ditargetkan email, menurut intelijen baru dari National Cyber Security Center (NCSC) Inggris.

Kampanye yang berbeda namun secara teknis serupa dikaitkan dengan keyakinan relatif terhadap TA453 Iran, yang juga menggunakan nama Charming Kitten, dan Seaborgium Rusia, yang juga menggunakan Cold River dan baru-baru ini dikaitkan dengan serangan terhadap mantan kepala MI6 Richard Dearlove dan seorang kelompok pendukung keras Brexit, dan insiden yang menargetkan ilmuwan nuklir AS.

Pola aktivitas dunia maya yang sedang berlangsung diduga, meskipun tidak dikonfirmasi oleh NCSC, terkait dengan pengumpulan intelijen untuk mendukung tujuan APT yang seharusnya membayar pemerintah di Teheran dan Moskow.

Skalanya relatif kecil dan tidak menimbulkan ancaman langsung bagi mayoritas publik Inggris dalam skema besar, menurut direktur operasi NCSC, Paul Chichester, yang mengatakan itu lebih merupakan kecanggihan serangan, daripada volumenya, itu mengkhawatirkan.

“Inggris berkomitmen untuk mengungkap aktivitas siber berbahaya bersama mitra industri kami, dan saran ini meningkatkan kesadaran akan ancaman terus-menerus yang ditimbulkan oleh serangan spear-phishing,” katanya.

Selengkapnya: Computer Weekly

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings