Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ekstensi Chrome dengan 1 juta pemasangan, membajak target browser

by

Para peneliti di Guardio Labs telah menemukan kampanye malvertizing baru yang mendorong ekstensi Google Chrome yang membajak pencarian dan memasukkan tautan afiliasi ke dalam laman web.

Karena semua ekstensi ini menawarkan opsi penyesuaian warna dan tiba di mesin korban tanpa kode berbahaya untuk menghindari deteksi, para analis menamakan kampanye itu “Warna Tidak Aktif.”

Menurut laporan Guardio, pada pertengahan Oktober 2022, 30 varian ekstensi browser tersedia di toko web Chrome dan Edge, mengumpulkan lebih dari satu juta pemasangan.

30 pengaya yang ada di toko web hingga saat ini
(Guardio)

Infeksi dimulai dengan iklan atau pengalihan ketika mengunjungi halaman web yang menawarkan video atau unduhan.

Namun, ketika mencoba mengunduh program atau menonton video, Anda diarahkan ke situs lain yang menyatakan bahwa Anda harus memasang ekstensi untuk melanjutkan, seperti yang ditunjukkan di bawah ini.

Ketika pengunjung mengklik tombol ‘OK’ atau ‘Lanjutkan’, mereka kemudian diminta untuk memasang ekstensi pengubah warna yang tampak tidak berbahaya.

Namun, ketika ekstensi ini pertama kali diinstal, mereka akan mengarahkan pengguna ke berbagai halaman yang memuat skrip berbahaya yang menginstruksikan ekstensi tentang cara melakukan pembajakan pencarian dan di situs apa yang akan menyisipkan tautan afiliasi.

Bagaimana serangan ekstensi terungkap di host
(Guardia)

Saat melakukan pembajakan penelusuran, ekstensi akan mengarahkan kueri penelusuran untuk mengembalikan hasil dari situs yang berafiliasi dengan pengembang ekstensi, sehingga menghasilkan pendapatan dari tayangan iklan dan penjualan data penelusuran.

Dormant Colors melampaui ini dengan juga membajak penjelajahan korban pada daftar 10.000 situs web yang ekstensif dengan secara otomatis mengarahkan pengguna ke halaman yang sama tetapi kali ini dengan tautan afiliasi ditambahkan ke URL.

Setelah tag afiliasi ditambahkan ke URL, setiap pembelian yang dilakukan di situs akan menghasilkan komisi untuk pengembang.

Para peneliti memperingatkan bahwa menggunakan teknik pemuatan sisi kode berbahaya yang sama, operator Dormant Colors dapat mencapai hal-hal yang berpotensi lebih buruk daripada afiliasi pembajakan.

Para peneliti mengatakan adalah mungkin untuk mengarahkan korban ke halaman phishing untuk mencuri kredensial untuk Microsoft 365, Google Workspace, situs bank, atau platform media sosial.

Sumber: Bleeping Computer

Apple memperbaiki zero-day baru yang digunakan dalam serangan terhadap iPhone, iPad

by

Apple telah mengatasi kerentanan zero-day kesembilan yang dieksploitasi dalam serangan di alam liar sejak awal tahun.

Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan “mungkin telah dieksploitasi secara aktif.”

Bug (CVE-2022-42827) adalah masalah out-of-bounds write yang dilaporkan ke Apple oleh peneliti anonim dan disebabkan oleh perangkat lunak yang menulis data di luar batas buffer memori saat ini.

Hal ini dapat mengakibatkan kerusakan data, aplikasi mogok, atau eksekusi kode karena hasil yang tidak ditentukan atau tidak diharapkan (juga dikenal sebagai kerusakan memori) yang dihasilkan dari data berikutnya yang ditulis ke buffer.

Seperti yang dijelaskan Apple, jika berhasil dieksploitasi dalam serangan, zero-day ini dapat digunakan oleh penyerang potensial untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Daftar lengkap perangkat yang terpengaruh termasuk iPhone 8 dan versi lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru.

Apple mengatasi kerentanan zero-day di iOS 16.1 dan iPadOS 16 dengan pemeriksaan batas yang ditingkatkan.

Sementara Apple telah mengungkapkan bahwa mereka mengetahui laporan eksploitasi aktif dari kerentanan ini di alam liar, itu belum merilis informasi apa pun mengenai serangan ini.

Ini kemungkinan akan memungkinkan pelanggan Apple untuk menambal perangkat mereka sebelum lebih banyak penyerang mengembangkan eksploitasi tambahan dan mulai menggunakannya dalam serangan yang menargetkan iPhone dan iPad yang rentan.

Meskipun bug zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan hari ini sangat disarankan untuk memblokir upaya serangan apa pun.

Sumber : Bleeping Computer

Ribuan repositori GitHub memberikan eksploitasi PoC palsu dengan malware

by

Para peneliti di Leiden Institute of Advanced Computer Science menemukan ribuan repositori di GitHub yang menawarkan eksploitasi proof-of-concept (PoC) palsu untuk berbagai kerentanan, beberapa di antaranya termasuk malware.

Menurut makalah teknis dari para peneliti di Leiden Institute of Advanced Computer Science, kemungkinan terinfeksi malware alih-alih mendapatkan PoC bisa mencapai 10,3%, tidak termasuk palsu dan prankware yang terbukti.

Para peneliti menganalisis sedikit lebih dari 47.300 repositori yang mengiklankan eksploitasi untuk kerentanan yang diungkapkan antara 2017 dan 2021 menggunakan tiga mekanisme berikut:

  • Analisis alamat IP: membandingkan IP penerbit PoC dengan daftar blokir publik dan VT dan AbuseIPDB.
  • Analisis biner: jalankan pemeriksaan VirusTotal pada executable yang disediakan dan hashnya.
  • Analisis heksadesimal dan Base64: memecahkan kode file yang dikaburkan sebelum melakukan pemeriksaan biner dan IP.
Metode analisis data (Arxiv.org)

Dari 150.734 IP unik yang diekstraksi, 2.864 entri daftar blokir yang cocok, 1.522 terdeteksi sebagai berbahaya dalam pemindaian antivirus di Virus Total, dan 1.069 di antaranya ada di database AbuseIPDB.

Alamat IP ditemukan di berbagai daftar blokir (Arxiv.org)

Analisis biner memeriksa satu set 6.160 executable dan mengungkapkan total 2.164 sampel berbahaya yang dihosting di 1.398 repositori.

Secara total, 4.893 repositori dari 47.313 yang diuji dianggap berbahaya, dengan sebagian besar dari mereka terkait dengan kerentanan mulai tahun 2020.

Repositori berbahaya per tahun (Arxiv.org)

Laporan tersebut berisi sekumpulan kecil repositori dengan PoC palsu yang mengirimkan malware. Namun, para peneliti berbagi setidaknya 60 contoh lain yang masih hidup dan dalam proses dihapus oleh GitHub.

Dengan melihat lebih dekat ke beberapa kasus tersebut, para peneliti menemukan sejumlah besar malware dan skrip berbahaya yang berbeda, mulai dari trojan akses jarak jauh hingga Cobalt Strike.

Satu kasus yang menarik adalah PoC untuk CVE-2019-0708, umumnya dikenal sebagai “BlueKeep”, yang berisi skrip Python base64 yang dikaburkan yang mengambil VBScript dari Pastebin.

Scriptnya adalah Houdini RAT, trojan berbasis JavaScript lama yang mendukung eksekusi perintah jarak jauh melalui CMD Windows.

Dalam kasus lain, para peneliti melihat PoC palsu yang merupakan pencuri informasi yang mengumpulkan informasi sistem, alamat IP, dan agen pengguna.

Salah satu peneliti, El Yadmani Soufian, memberikan contoh tambahan yang tidak termasuk dalam laporan teknis, yang diberikan di bawah ini:

PowerShell PoC yang berisi biner yang dikodekan dalam base64 ditandai sebagai berbahaya di Total Virus.

Powershell PoC Palsu

Python PoC berisi one-liner yang mendekode payload yang disandikan base64 yang ditandai sebagai berbahaya di Virus Total.

Eksploitasi BlueKeep palsu berisi executable yang ditandai oleh sebagian besar mesin antivirus sebagai berbahaya, dan diidentifikasi sebagai Cobalt Strike.

Skrip yang bersembunyi di dalam PoC palsu dengan komponen berbahaya yang tidak aktif yang dapat menyebabkan kerusakan jika pembuatnya menginginkannya.

Oleh karena itu mempercayai repositori di GitHub secara membabi buta dari sumber yang tidak diverifikasi akan menjadi ide yang buruk karena kontennya tidak dimoderasi, jadi pengguna harus meninjaunya sebelum menggunakannya.

Penguji perangkat lunak disarankan untuk memeriksa dengan cermat PoC yang mereka unduh dan menjalankan pemeriksaan sebanyak mungkin sebelum menjalankannya.

Soufian percaya bahwa semua penguji harus mengikuti tiga langkah berikut:

  • Baca dengan cermat kode yang akan Anda jalankan di jaringan Anda atau pelanggan Anda.
  • Jika kode terlalu dikaburkan dan membutuhkan terlalu banyak waktu untuk menganalisis secara manual, sandbox di lingkungan (mis: Mesin Virtual yang terisolasi) dan periksa jaringan Anda untuk setiap lalu lintas yang mencurigakan.
  • Gunakan alat intelijen sumber terbuka seperti VirusTotal untuk menganalisis binari.

Para peneliti telah melaporkan semua repositori berbahaya yang mereka temukan ke GitHub, tetapi akan memakan waktu sampai semuanya ditinjau dan dihapus, begitu banyak yang masih tersedia untuk umum.

Seperti yang dijelaskan Soufian, penelitian mereka bertujuan tidak hanya berfungsi sebagai tindakan pembersihan satu kali di GitHub, tetapi juga bertindak sebagai pemicu untuk mengembangkan solusi otomatis yang dapat digunakan untuk menandai instruksi berbahaya dalam kode yang diunggah.

Sumber: Bleeping Computer

Windows zero-day yang dieksploitasi memungkinkan file JavaScript melewati peringatan keamanan

by

Update terbaru mengenai Windows Mark of the Web zero-day

Zero-day Windows baru memungkinkan pelaku ancaman menggunakan file JavaScript standalone yang berbahaya untuk melewati peringatan keamanan Mark-of-the-Web. Pelaku ancaman sudah terlihat menggunakan bug zero-day dalam serangan ransomware.

Fitur keamanan yang disebut Mark-of-the-Web (MoTW) yang menandai file sebagai telah diunduh dari Internet dan oleh karena itu harus diperlakukan dengan hati-hati karena dapat berbahaya.

Bendera MoTW ditambahkan ke file yang diunduh atau lampiran email sebagai Aliran Data Alternatif khusus yang disebut ‘Zone.Identifier,’ yang dapat dilihat menggunakan perintah ‘dir /R’ dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Aliran data alternatif ‘Zone.Identifier’ ini mencakup zona keamanan URL asal file (tiga sama dengan Internet), perujuk, dan URL ke file.

Saat pengguna mencoba membuka file dengan bendera Mark-of-the-Web, Windows akan menampilkan peringatan bahwa file tersebut kemungkinan berbahaya.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, yang menyebabkan makro dinonaktifkan.

Tim intelijen ancaman HP baru-baru ini melaporkan bahwa pelaku ancaman menginfeksi perangkat dengan ransomware Magniber menggunakan file JavaScript.

Untuk lebih jelasnya, kita tidak berbicara tentang file JavaScript yang umum digunakan di hampir semua situs web, tetapi file .JS didistribusikan oleh aktor ancaman sebagai lampiran atau unduhan yang dapat berjalan di luar browser web.

File JavaScript yang terlihat didistribusikan oleh aktor ancaman Magniber ditandatangani secara digital menggunakan blok tanda tangan yang disandikan base64 seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Setelah dianalisis oleh Will Dormann, dia menemukan bahwa penyerang menandatangani file-file ini dengan kunci yang salah format.

Ketika masuk dengan cara ini, meskipun file JS diunduh dari Internet dan menerima bendera MoTW, Microsoft tidak akan menampilkan peringatan keamanan, dan skrip akan secara otomatis dijalankan untuk menginstal ransomware Magniber.

Dormann lebih lanjut menguji penggunaan tanda tangan yang salah format ini dalam file JavaScript dan mampu membuat file JavaScript bukti konsep yang akan melewati peringatan MoTW.

Kedua file JavaScript (.JS) tersebut menerima Mark-of-the-Web, seperti yang ditunjukkan oleh kotak merah, saat diunduh dari situs web.

Mark-of-the-Web pada eksploitasi PoC Dormann
Sumber: BleepingComputer

Perbedaan antara kedua file adalah bahwa yang satu ditandatangani menggunakan kunci cacat yang sama dari file Magniber, dan yang lainnya tidak berisi tanda tangan sama sekali.

Ketika file yang tidak ditandatangani dibuka di Windows 10, peringatan keamanan MoTW ditampilkan dengan benar.

Namun, ketika mengklik dua kali ‘calc-othersig.js,’ yang ditandatangani dengan kunci yang salah format, Windows tidak menampilkan peringatan keamanan dan hanya menjalankan kode JavaSript.

Dengan menggunakan teknik ini, pelaku ancaman dapat melewati peringatan keamanan normal yang ditampilkan saat membuka file JS yang diunduh dan menjalankan skrip secara otomatis.

BleepingComputer dapat mereproduksi bug di Windows 10. Namun, untuk Windows 11, bug hanya akan terpicu saat menjalankan file JS langsung dari arsip.

Dormann mengatakan bahwa dia yakin bug ini pertama kali diperkenalkan dengan rilis Windows 10, karena perangkat Windows 8.1 yang sepenuhnya ditambal menampilkan peringatan keamanan MoTW seperti yang diharapkan.

Menurut Dormann, bug tersebut berasal dari fitur SmartScreen ‘Periksa aplikasi dan file’ baru Windows 10 di bawah Keamanan Windows > Kontrol Aplikasi & Peramban > Pengaturan perlindungan berbasis reputasi.

Dormann membagikan bukti konsep dengan Microsoft, yang mengatakan bahwa mereka tidak dapat mereproduksi bypass peringatan keamanan MoTW.

Dormann juga mengatakan bahwa pelaku ancaman dapat memodifikasi file bertanda Authenticode, termasuk file yang dapat dieksekusi (.EXE), untuk melewati peringatan keamanan MoTW.

Untuk melakukan ini, executable yang ditandatangani dapat dimodifikasi menggunakan editor hex untuk mengubah beberapa byte di bagian tanda tangan file dan dengan demikian merusak tanda tangan.

Setelah tanda tangan rusak, Windows tidak akan memeriksa file menggunakan SmartScreen, seolah-olah bendera MoTW tidak ada, dan membiarkannya berjalan.

Selengkapnya: Bleeping Computer

Cacat RCE Teks Apache Commons, Haruskah Anda khawatir?

by

Cacat eksekusi kode jarak jauh (RCE) di library Teks Apache Commons membuat beberapa orang khawatir bahwa itu bisa berubah menjadi Log4Shell berikutnya. Namun, sebagian besar peneliti keamanan siber mengatakan itu sama sekali tidak mengkhawatirkan.

Apache Commons Text adalah library Java open-source populer dengan “sistem interpolasi” yang memungkinkan pengembang untuk memodifikasi, mendekode, menghasilkan, dan melepaskan string berdasarkan pencarian string yang dimasukkan.

Misalnya, meneruskan pencarian string ${base64Decoder:SGVsbG9Xb3JsZCE=} ke sistem interpolasi akan menyebabkan library mengonversinya ke nilai dekode base64 ‘HelloWorld!’.

Kerentanan CVE-2022-42889 baru di Apache Commons Text, dijuluki “Text4Shell,” disebabkan oleh evaluasi skrip yang tidak aman oleh sistem interpolasi yang dapat memicu eksekusi kode saat memproses input berbahaya dalam konfigurasi default library.

Masalah ini ditemukan oleh analis ancaman GitHub Alvaro Munoz dan dilaporkan ke Apache pada 9 Maret 2022.

Namun, pengembang library open-source membutuhkan waktu 7 bulan, hingga 12 Oktober 2022, untuk merilis perbaikan di versi 1.10.0, yang menonaktifkan interpolasi.

Haruskah Anda khawatir?
Karena penyebaran library yang rentan secara luas, dan karena cacat tersebut memengaruhi versi yang ada sejak 2018, beberapa awalnya khawatir bahwa itu dapat menyebabkan kerusakan yang meluas seperti kerentanan Log4Shell.

Namun berdasarkan laporan dari Rapid7, tidak semua versi antara 1.5 dan 1.9 tampak rentan dan bahwa potensi eksploitasinya terhubung ke versi JDK yang digunakan.

Bahkan dengan eksploitasi proof of concept (PoC) yang diperbarui menggunakan mesin JEXL sebagai jalur eksploitasi melewati batasan JDK, para peneliti masih tidak terlalu khawatir.

Tim keamanan Apache mengatakan bahwa cakupan kelemahannya tidak seserius Log4Shell, menjelaskan bahwa interpolasi string adalah fitur yang terdokumentasi. Oleh karena itu, kecil kemungkinannya bahwa aplikasi yang menggunakan library akan secara tidak sengaja melewatkan input yang tidak aman tanpa validasi.

Sementara kelemahan tingkat keparahan kritis tetap tidak ditambal selama tujuh bulan dan terpapar pada upaya eksploitasi, tidak ada laporan pelecehan di alam liar bahkan setelah eksploitasi dilepaskan.

Meskipun kita mungkin akan melihat beberapa aktor ancaman yang mengeksploitasi CVE-2022-42889 di masa depan, mungkin cakupannya akan terbatas.

Untuk saat ini, pengguna disarankan untuk meningkatkan ke versi 1.10 atau yang lebih baru sesegera mungkin untuk memperbaiki kekurangannya.

Sumber: Bleeping Computer

Peretas menggunakan pintu belakang PowerShell tersembunyi baru untuk menargetkan 60+ korban

by

Backdoor PowerShell yang sebelumnya tidak terdokumentasi dan sepenuhnya tidak terdeteksi sedang digunakan secara aktif oleh aktor ancaman yang menargetkan setidaknya 69 entitas.

Berdasarkan fitur-fiturnya, malware ini dirancang untuk spionase siber, terutama terlibat dalam pemusnahan data dari sistem yang disusupi.

Saat pertama kali terdeteksi, backdoor PowerShell tidak dianggap berbahaya oleh vendor mana pun di layanan pemindaian VirusTotal.

Namun, penyamarannya terbongkar karena kesalahan operasional oleh peretas, memungkinkan analis SafeBreach untuk mengakses dan mendekripsi perintah yang dikirim oleh penyerang untuk dieksekusi pada perangkat yang terinfeksi.

Serangan dimulai dengan kedatangan email phishing dengan lampiran dokumen berbahaya bernama “Terapkan Form.docm.” Berdasarkan konten file dan metadata, kemungkinan bertema aplikasi pekerjaan berbasis LinkedIn.

Umpan dokumen yang berisi makro (SafeBreach)

Dokumen tersebut berisi makro berbahaya yang menjatuhkan dan menjalankan skrip ‘updater.vbs’ yang membuat tugas terjadwal untuk meniru pembaruan Windows rutin.

Skrip VBS kemudian mengeksekusi dua skrip PowerShell, “Script.ps1” dan “Temp.ps1,” yang keduanya disimpan di dalam dokumen berbahaya dalam bentuk yang dikaburkan.

Saat SafeBreach pertama kali menemukan skrip, tidak ada vendor antivirus di VirusTotal yang mendeteksi skrip PowerShell sebagai berbahaya.

VirusTotal mengembalikan pemindaian bersih pada kedua skrip (SafeBreach)

“Script.ps1” terhubung ke server perintah dan kontrol penyerang (C2), mengirimkan ID korban ke operator, dan kemudian menunggu perintah yang diterima dalam bentuk terenkripsi AES-256 CBC.

Berdasarkan jumlah ID, analis SafeBreach menyimpulkan bahwa C2 pelaku ancaman telah mencatat 69 ID sebelumnya, yang kemungkinan merupakan perkiraan jumlah komputer yang dilanggar.

Skrip “Temp.ps1” mendekode perintah dalam respons, mengeksekusinya, lalu mengenkripsi dan mengunggah hasilnya melalui permintaan POST ke C2.

SafeBreach memanfaatkan ID korban yang dapat diprediksi dan membuat skrip yang dapat mendekripsi perintah yang dikirim ke masing-masing dari mereka.

Analis menemukan bahwa dua pertiga dari perintah adalah untuk mengekstrak data, dengan yang lain digunakan untuk enumerasi pengguna, daftar file, penghapusan file dan akun, dan enumerasi klien RDP.

Backdoor PowerShell ini adalah contoh karakteristik dari ancaman tersembunyi yang tidak diketahui yang digunakan dalam serangan terhadap sistem pengguna pemerintah, perusahaan, dan pribadi.

Pembela tidak hanya perlu diberi tahu tentang ancaman yang diketahui atau yang muncul, tetapi juga untuk memperhitungkan vektor yang tidak diketahui yang mungkin mampu melewati langkah-langkah keamanan dan pemindaian AV.

Sementara beberapa mesin AV dapat mendeteksi perilaku berbahaya secara heuristik dalam skrip PowerShell, pelaku ancaman terus mengembangkan kode mereka untuk melewati deteksi ini.

Cara terbaik untuk mencapai ini adalah dengan menerapkan pembaruan keamanan secepat mungkin, membatasi akses jarak jauh ke titik akhir, mengikuti prinsip hak istimewa paling rendah, dan memantau lalu lintas jaringan secara teratur.

Sumber: Bleeping Computer

Peretas mengkompromikan jaringan agen pemerintah Hong Kong selama setahun

by

Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.

Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.

Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.

Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.

Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.

Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:

  • menggunakan perpustakaan CryptoPP C++
  • penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
  • dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)

Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”

Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.

Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”

Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.

Sumber: Bleeping Computer

Pelanggaran data Microsoft mengekspos data pelanggan

by

Microsoft telah mengatakan bahwa beberapa informasi sensitif pelanggannya diekspos oleh server Microsoft yang salah konfigurasi yang dapat diakses melalui Internet.

Perusahaan mengamankan server setelah diberitahu tentang kebocoran pada 24 September 2022 oleh peneliti keamanan di perusahaan intelijen ancaman SOCRadar.

“Konfigurasi yang salah ini mengakibatkan potensi akses yang tidak diautentikasi ke beberapa data transaksi bisnis yang terkait dengan interaksi antara Microsoft dan calon pelanggan, seperti perencanaan atau implementasi potensial dan penyediaan layanan Microsoft,” ungkap perusahaan tersebut.

Menurut Microsoft, informasi yang terbuka mencakup nama, alamat email, konten email, nama perusahaan, dan nomor telepon, serta file yang ditautkan ke bisnis antara pelanggan yang terpengaruh dan Microsoft atau mitra resmi Microsoft.

Redmond menambahkan bahwa kebocoran itu disebabkan oleh “kesalahan konfigurasi yang tidak disengaja pada titik akhir yang tidak digunakan di seluruh ekosistem Microsoft” dan bukan karena kerentanan keamanan.

SOCRadar mengungkapkan bahwa data disimpan di Azure Blob Storage yang salah konfigurasi. Secara total, SOCRadar mengklaim dapat menautkan informasi sensitif ini ke lebih dari 65.000 entitas dari 111 negara yang disimpan dalam file tertanggal 2017 hingga Agustus 2022.

Perusahaan intel ancaman menambahkan bahwa, dari analisisnya, data yang bocor “termasuk dokumen Proof-of-Execution (PoE) dan Pernyataan Kerja (SoW), informasi pengguna, pesanan/penawaran produk, detail proyek, PII (Informasi Identifikasi Pribadi)) data, dan dokumen yang dapat mengungkapkan kekayaan intelektual.”

Microsoft menambahkan hari ini bahwa mereka percaya SOCRadar “sangat melebih-lebihkan ruang lingkup masalah ini” dan “angkanya.”

Lebih lanjut, Redmond mengatakan bahwa keputusan SOCRadar untuk mengumpulkan data dan membuatnya dapat dicari menggunakan portal pencarian khusus “bukan demi memastikan privasi atau keamanan pelanggan dan berpotensi mengekspos mereka pada risiko yang tidak perlu.”

Portal pencarian kebocoran data SOCRadar bernama BlueBleed yang memungkinkan perusahaan untuk menemukan apakah info sensitif mereka juga terpapar dengan data yang bocor.

Selain apa yang ditemukan di dalam server Microsoft yang salah konfigurasi, BlueBleed juga memungkinkan pencarian data yang dikumpulkan dari lima ember penyimpanan publik lainnya.

Di server Microsoft saja, SOCRadar mengklaim telah menemukan 2,4 TB data yang berisi informasi sensitif, dengan lebih dari 335.000 email, 133.000 proyek, dan 548.000 pengguna yang terpapar ditemukan saat menganalisis file yang bocor hingga sekarang.

Berdasarkan analisis SOCRadar, file-file ini berisi email pelanggan, dokumen SOW, penawaran produk, karya POC (Proof of Concept), detail ekosistem mitra, faktur, detail proyek, daftar harga produk pelanggan, dokumen POE, pesanan produk, dokumen pelanggan yang ditandatangani, komentar internal untuk pelanggan, strategi penjualan, dan dokumen aset pelanggan.

Sumber: Bleeping Computer