Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

NVIDIA merilis pembaruan driver GPU untuk memperbaiki 29 kerentanan

by

NVIDIA telah merilis pembaruan keamanan untuk driver tampilan GPU untuk Windows, yang berisi perbaikan untuk kelemahan tingkat tinggi yang dapat dieksploitasi oleh pelaku ancaman untuk melakukan, antara lain, eksekusi kode dan eskalasi hak istimewa.

Pembaruan keamanan terbaru membahas 25 kerentanan pada driver GPU Windows dan Linux, sementara tujuh kelemahan dikategorikan sebagai tingkat keparahan tinggi.

Dua kerentanan paling kritis adalah:

  • CVE-2022-34669 : Masalah pada lapisan mode pengguna driver Windows Nvidia yang dapat dimanfaatkan oleh penyerang yang tidak memiliki hak istimewa untuk mengakses atau memodifikasi code execution, privilege escalation, information disclosure, data tampering, dan denial of service.
  • CVE-2022-34671 : Masalah pada lapisan mode pengguna yang dieksploitasi dari jarak jauh pada driver GPU Windows yang memungkinkan pengguna biasa yang tidak memiliki hak untuk menyebabkan penulisan di luar batas, berpotensi menyebabkan eksekusi kode, eskalasi hak istimewa, pengungkapan informasi , perusakan data, dan penolakan layanan.

CVE-2022-34671 memiliki peringkat keparahan yang lebih rendah meskipun rentan terhadap serangan jaringan karena kompleksitasnya yang tinggi, membuat kemungkinan eksploitasinya kecil.

Namun, cacat CVE-2022-34669 lebih bermanfaat bagi peretas dan pengembang malware yang sudah memiliki akses ke perangkat Windows dan sedang mencari cara untuk meningkatkan hak istimewa mereka atau mengeksekusi kode.

Driver GPU dan perangkat keras berjalan dengan hak istimewa yang lebih tinggi di OS, jadi mengeksploitasi kerentanan pada driver memberikan hak istimewa tingkat tinggi yang sama untuk kode atau perintah jahat.

Mempertimbangkan popularitas produk NVIDIA, ada kemungkinan besar untuk menemukan driver GPU yang rentan pada komputer yang ditargetkan, memungkinkan penyerang mengeksploitasi kekurangan ini untuk mendapatkan hak istimewa yang lebih besar dan menyebar lebih jauh di jaringan.

Versi driver NVIDIA yang memperbaiki kerentanan ini adalah sebagai berikut:

Pengguna Linux harus berkonsultasi dengan tabel versi driver GPU ini sebagai gantinya:

Pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis dengan mengunduh versi driver terbaru yang tersedia untuk model GPU mereka dari pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

Sumber:

Peretas Mengeksploitasi Kerentanan RCE di Windows Internet Key Exchange

by

Kerentanan RCE kritis di Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” diduga dioperasikan oleh aktor ancaman berbahasa Mandarin yang tidak dikenal.

Mengenai Campanye
Kerentanan RCE kritis pada Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” dibunuh oleh aktor pisau berbahasa Mandarin yang tidak dikenal.

  • Sejak September, kampanye Bleed You telah menargetkan OS Windows, Server Windows, protokol Windows, dan layanan yang lemah atau rentan.
  • Tujuan akhir dari kampanye ini adalah untuk memfasilitasi serangan malware dan ransomware lebih lanjut serta pergerakan lateral di seluruh jaringan.
  • Kampanye ini menargetkan organisasi di ritel, konglomerat industri, pemerintah, layanan keuangan, layanan TI, dan industri e-niaga di AS, Inggris Raya, Australia, Kanada, Prancis, Jerman, Turki, Jepang, India, UEA, dan Israel.

Tentang kerentanan
Kerentanan ada pada kode tidak dikenal yang digunakan untuk menangani protokol IKEv1.

  • Ini mempengaruhi OS Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10, dan Windows 11.
  • Eksploitasinya dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Wawasan tambahan
Penyerang bertujuan untuk mengekstraksi informasi sensitif untuk keuntungan finansial, mendapatkan akses yang lebih tinggi, dan menyebabkan gangguan operasional.

  • Koneksi ditemukan antara kampanye Bleed You dan penjahat dunia maya Rusia.
  • Para peneliti mengamati bahwa peretas yang tidak dikenal juga membagikan tautan eksploit di forum bawah tanah.

Kiat keamanan
Penyerang secara aktif mengeksploitasi mesin Windows Server yang rentan melalui IKE dan AuthIP IPsec Keying Modules dengan mengekspor bug ini. Pengguna disarankan untuk menerapkan tambalan dan perbaikan sesegera mungkin untuk mengurangi keparahan eksploitasi kerentanan.

sumber : cyware social

Pelaku Ancaman Licik Menggunakan Domain ‘Tua’ untuk Menghindari Platform Keamanan

by

Pelaku ancaman canggih bernama ‘CashRewindo’ telah menggunakan domain ‘tua’ dalam kampanye maliklan global yang mengarah ke situs penipuan investasi.

Malvertising melibatkan injeksi kode JavaScript berbahaya di iklan digital dipromosikan oleh jaringan periklanan yang sah, mengarahkan pengunjung situs web ke laman yang menghosting formulir phishing, menjatuhkan malware, atau menjalankan penipuan.

Analis di Confiant telah melacak ‘CashRewindo’ sejak 2018, dan dapat ditemukan di Eropa, Amerika utara dan selatan, Asia, dan Afrika.

Global tetapi sangat ditargetkan
Setiap kampanye CashRewindo menargetkan audiens tertentu, sehingga halaman arahan dikonfigurasi untuk menampilkan penipuan atau halaman kosong atau tidak berbahaya untuk target yang tidak valid.

Laman landas dengan tombol ‘klik di sini’ (Confiant)

This is done by checking the timezone, device platform, and language used on the visitor’s system.

Users and devices outside the target audience clicking the embedded “Click Here” button will be redirected to an innocuous site.

Pengguna tersebut dibawa ke halaman scam dan akhirnya dialihkan ke platform investasi cryptocurrency palsu yang menjanjikan pengembalian investasi yang tidak realistis.

Confiant melaporkan bahwa selama 12 bulan, telah mencatat lebih dari 1,5 juta tayangan CashRewindo, terutama menargetkan perangkat Windows.

Platfrom yang Ditargetkan

20 lokasi paling bertarget teratas ditampilkan dalam tabel di bawah ini.

Penipuan investasi tersebar luas, tetapi biasanya, pelaku ancaman lebih memilih kuantitas daripada kualitas, mendorong situs palsu mereka yang dibuat dengan tergesa-gesa ke kumpulan besar pengguna dan menghosting platform penipuan di domain yang baru terdaftar yang akan segera offline.

CashRewindo mengikuti pendekatan berbeda yang membutuhkan lebih banyak pekerjaan tetapi secara signifikan meningkatkan peluang keberhasilan bagi pelaku ancaman.

sumber : bleeping computer

Tantangan TikTok ‘Invisible Body’ Dieksploitasi Untuk mendorong Malware

by

Peretas memanfaatkan tantangan TikTok yang sedang tren bernama ‘Tantangan Tak Terlihat’ untuk menginstal malware di ribuan perangkat dan mencuri kata sandi, akun Discord, dan, berpotensi, dompet cryptocurrency.

Tantangan TikTok yang baru dan sedang tren mengharuskan Anda memfilmkan diri Anda telanjang saat menggunakan filter “Tubuh Tak Terlihat” TikTok, yang menghapus tubuh dari video dan menggantinya dengan latar belakang buram.

Untuk memanfaatkan ini, pelaku ancaman membuat video TikTok yang mengklaim menawarkan filter “unfiltering” khusus untuk menghapus efek penyamaran tubuh TikTok dan mengekspos tubuh telanjang para TikToker.

perangkat lunak tersebut palsu dan menginstal malware “WASP Stealer (Discord Token Grabber)”, yang mampu mencuri akun Discord, kata sandi, dan kartu kredit yang disimpan di browser, dompet cryptocurrency, dan bahkan file dari komputer korban.

Video-video ini menerima lebih dari satu juta tampilan segera setelah diposting, dengan salah satu server Discord aktor ancaman mengumpulkan lebih dari 30.000 anggota.

Menargetkan tren TikTok
Pengguna TikTok yang sekarang ditangguhkan @learncyber dan @kodibtc membuat video untuk mempromosikan aplikasi perangkat lunak untuk “menghapus filter badan tak terlihat” yang ditawarkan di server Discord bernama “Space Unfilter.”

Pelaku ancaman telah memindahkan server Discord ini, tetapi Checkmarx menyatakan bahwa mereka memiliki sekitar 32.000 anggota pada satu titik.

Video TikTok yang diposting oleh penyerang (Checkmarx)

Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Serangan ini sangat sukses sehingga repositori jahat tersebut telah mencapai status “proyek GitHub yang sedang tren”, dan meskipun telah diganti namanya, saat ini memiliki 103 bintang dan 18 garpu

Paket jahat menyalin kode asli tetapi berisi modifikasi untuk menginstal malware WASP di host.

“Serangan ini menunjukkan lagi bahwa penyerang dunia maya telah mulai memusatkan perhatian mereka pada ekosistem paket sumber terbuka; Kami percaya tren ini hanya akan meningkat pada tahun 2023.”

Server Discord “Unfilter Space” dibuat offline, dengan pelaku ancaman mengklaim telah pindah ke server lain.

sumber : bleeping computer

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

by

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

Hampir 500 juta akun WhatsApp bocor secara online — apa yang harus dilakukan sekarang

by

Menerima panggilan atau pesan WhatsApp dari nomor yang tidak dikenal? Akun Anda bisa berisiko spam atau bahkan penipuan karena jutaan nomor telepon akun WhatsApp saat ini dijual di forum peretasan.

Seperti dilansir Cybernews (buka di tab baru), seseorang menjual database 2022 dari 487 juta nomor ponsel WhatsApp. Ini termasuk akun dari 84 negara seperti AS, Inggris, Rusia, Mesir, dan banyak lainnya. Rupanya ada 32 juta catatan AS termasuk serta 11 juta dari Inggris.

WhatsApp memiliki sekitar dua miliar pengguna aktif bulanan di seluruh dunia dan kebocoran ini membahayakan hampir setengah miliar pengguna.

Cybernews juga menunjukkan bahwa akun yang bocor semuanya milik pengguna WhatsApp aktif. Penjual dapat memperoleh nomor telepon dengan proses yang disebut scraping, yang mengacu pada pengumpulan informasi dalam skala besar – meskipun ini melanggar persyaratan layanan WhatsApp.

Penjual juga mengungkapkan bahwa mereka menjual data AS seharga $7.000. Perusahaan induk WhatsApp, Meta belum mengeluarkan pernyataan tentang kebocoran itu.Jenis informasi yang bocor dalam hal ini, nomor telepon pengguna WhatsApp, terutama digunakan untuk serangan phishing, penipuan atau untuk mengirim spam.

Jika Anda adalah pengguna WhatsApp aktif, waspadalah terhadap nomor tak dikenal yang mencoba mengirimi Anda pesan atau menghubungi Anda di platform.

Selengkapnya: tom’s guide

Cyber-Mercenaries Menargetkan Pengguna Android dengan Aplikasi VPN Palsu

by

Grup peretasan bayaran mendistribusikan aplikasi berbahaya melalui situs web SecureVPN palsu yang memungkinkan aplikasi Android diunduh dari Google Play, kata para peneliti di Eset.

Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang
Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang

Dijuluki “Bahamut,” peneliti dari perusahaan keamanan siber menemukan setidaknya delapan versi spyware. Aplikasi tersebut digunakan sebagai bagian dari kampanye jahat yang menggunakan versi Trojan dari dua aplikasi yang sah – SoftVPN dan OpenVPN. Dalam kedua kasus, aplikasi dikemas ulang dengan spyware Bahamut.

“Tujuan utama dari modifikasi aplikasi adalah untuk mengekstrak data pengguna yang sensitif dan secara aktif memata-matai aplikasi perpesanan korban,” kata para peneliti.

Eksfiltrasi data sensitif dilakukan melalui keylogging, menyalahgunakan layanan aksesibilitas Android. Itu juga dapat secara aktif memata-matai pesan obrolan yang dipertukarkan melalui aplikasi perpesanan populer termasuk Signal, Viber, WhatsApp, Telegram, dan Facebook Messenger.

Vektor serangan awalnya yaitu pesan spearphishing dan aplikasi palsu, yang tujuannya adalah untuk mencuri informasi sensitif dari korbannya.

Aplikasi jahat dikirimkan melalui situs web thiscurevpn[.]com, spoof dari situs securevpn yang sebenarnya tetapi tidak memiliki konten atau gaya layanan SecureVPN yang sah (di domain securevpn.com).

Thiscurevpn[.]com terdaftar pada 27-01-2020, tetapi tanggal distribusi awal aplikasi SecureVPN palsu tidak diketahui.

Sejak distribusi spyware Bahamut melalui situs web dimulai, delapan versi spyware telah tersedia untuk diunduh.

  • SecureVPN_104.apk;
  • SecureVPN_105.apk;
  • SecureVPN_106.apk;
  • SecureVPN_107.apk;
  • SecureVPN_108.apk;
  • SecureVPN_109.apk;
  • SecureVPN_1010.apk;
  • SecureVPN_1010b.apk.

Selengkapnya: Data Breach Today

Ducktail Hacker Group Berkembang, Menargetkan Akun Bisnis Facebook

by

Operasi peretasan yang berbasis di Vietnam yang dijuluki “Ducktail” menargetkan individu dan perusahaan yang beroperasi di platform Iklan dan Bisnis Facebook.

Peneliti keamanan di WithSecure menemukan kampanye tersebut awal tahun ini dan menjelaskan perkembangan baru dalam sebuah nasihat yang diterbitkan sebelumnya hari ini.

“Kami tidak melihat tanda-tanda Ducktail akan segera melambat, tetapi melihat mereka berkembang pesat dalam menghadapi kemunduran operasional,” komentar peneliti WithSecure Mohammad Kazem Hassan Nejad.

“Sampai saat ini, tim operasional di belakang Ducktail tampaknya kecil, tetapi itu telah berubah.”

Selanjutnya, Ducktail telah melakukan upaya penghindaran pertahanan lanjutan dan berkelanjutan dengan mengubah format file dan kompilasi serta sertifikat tanda tangan.

Grup tersebut juga akan berinvestasi dalam pengembangan sumber daya dan perluasan operasional dengan mendirikan bisnis palsu lainnya di Vietnam dan mengikutsertakan afiliasi ke dalam operasi tersebut.

“Serangan Ransomware mendapat banyak perhatian, tetapi ancaman seperti Ducktail dapat menyebabkan kerugian finansial dan merek yang besar dan tidak boleh diabaikan,” jelas Paolo Palumbo, wakil presiden WithSecure.

“Dengan meningkatnya aktivitas, afiliasi baru, dan bisnis palsu, kami mengharapkan peningkatan insiden terkait Ducktail di masa mendatang.”

Untuk mempertahankan diri dari kampanye ini dan kampanye serupa, peneliti WithSecure telah merekomendasikan perusahaan untuk memastikan karyawan mereka memiliki akun terpisah untuk tujuan pribadi dan bisnis.

Selengkapnya: Info Security Magazine