Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kekacauan verifikasi Twitter sekarang menjadi masalah keamanan siber

by

Penjahat dunia maya sudah memanfaatkan kekacauan verifikasi Twitter yang sedang berlangsung dengan mengirimkan email phishing yang dirancang untuk mencuri kata sandi pengguna tanpa disadari.

Kampanye email phishing mencoba untuk memikat pengguna Twitter agar memposting nama pengguna dan kata sandi mereka di situs web penyerang yang disamarkan sebagai formulir bantuan Twitter.

Email dikirim dari akun Gmail, dan tautan ke Google Documents dengan tautan lain ke Situs Google, yang memungkinkan pengguna meng-host konten web. Ini kemungkinan akan menciptakan beberapa lapisan kebingungan untuk mempersulit Google mendeteksi penyalahgunaan menggunakan alat pemindaian otomatisnya.

Tetapi halaman itu sendiri berisi bingkai yang disematkan dari situs lain, yang dihosting di host web Rusia Beget, yang meminta pegangan Twitter, kata sandi, dan nomor telepon pengguna cukup untuk mengkompromikan akun yang tidak menggunakan otentikasi dua faktor yang lebih kuat.

Google menghapus situs phishing beberapa saat setelah TechCrunch memberi tahu perusahaan.

Tangkapan layar email phishing yang dirancang untuk mencuri kredensial pengguna Twitter. Kredit Gambar: TechCrunch.

Kampanye ini tampak kasar, kemungkinan karena dengan cepat disatukan untuk memanfaatkan berita terbaru bahwa Twitter akan segera membebankan biaya bulanan kepada pengguna untuk fitur premium, termasuk verifikasi, serta kemungkinan yang dilaporkan untuk menghilangkan lencana terverifikasi dari pengguna Twitter yang tidak membayar.

Twitter belum membuat keputusan publik tentang masa depan program verifikasi, yang diluncurkan pada tahun 2009 untuk mengkonfirmasi keaslian akun Twitter tertentu, seperti tokoh masyarakat, selebriti dan pemerintah. Tapi itu jelas tidak menghentikan penjahat dunia maya bahkan di ujung yang berketerampilan lebih rendah dari mengambil keuntungan dari kurangnya informasi yang jelas dari Twitter sejak menjadi pribadi minggu ini setelah penutupan pengambilalihan $ 44 miliar Elon Musk.

Sumber: TechCrunch

Kerentanan OpenSSL Baru Akan Datang Bersiaplah untuk Menambal

by

Pada hari Selasa 1 November, antara pukul 1-5 sore UTC, versi baru dari seri OpenSSL 3.x yang diadopsi secara luas akan dirilis untuk konsumsi umum. Proyek OpenSSL mengungkapkan adanya kerentanan keamanan KRITIS baru yang diperbaiki pada patch ini.

Pemberitahuan lebih awal ini dirancang untuk memberikan sedikit waktu bagi organisasi dan individu untuk bersiap-siap menghadapi pembaruan penting yang akan datang. OpenSSL secara luas dianggap sebagai bagian dari infrastruktur penting internet antara lain menghasilkan sertifikat yang memungkinkan situs web dijalankan melalui HTTPS.

Pada saat penulisan, tampaknya hanya versi OpenSSL antara 3.0-> 3.0.6 yang terpengaruh, dan kerentanan keamanan kritis ini diperbaiki pada versi 3.0.7 mendatang. OpenSSL 3 diadopsi secara luas, tetapi survei saat ini menunjukkan bahwa itu masih jauh melebihi distribusi 1.x yang sebagian besar keluar dari LTS hari ini dan sepenuhnya setelah September 2023.

Namun, ada 62 paket pembungkus yang didistribusikan oleh ekosistem Java Open Source terbesar di dunia Maven Central yang mengemas ulang OpenSSL. Ini lebih sering dimasukkan ke proyek secara transitif atau diperlukan dari sistem oleh perangkat lunak. Memang, aplikasi apa pun yang menyediakan server web, atau menggunakan server web, dapat berjalan pada perangkat lunak server yang mengandalkan versi lama.

Kerentanan OpenSSL memiliki dampak yang luas yang bisa melupakan kerentanan Heartbleed terkenal yang memengaruhinya. Heartbleed memulai tren penamaan kerentanan keamanan dan secara luas dikreditkan telah memulai gerakan massal menuju kesadaran kerentanan keamanan di masyarakat umum.

Meskipun jumlah kode yang terpengaruh hari ini mungkin hanya menyentuh beberapa paket, kerentanan kritis seperti ini tidak pernah datang sendiri. Seringkali kelemahan serupa ditemukan kemudian baik terinspirasi oleh masalah asli atau menggunakan metodologi serupa. Menjalankan inventaris proaktif dari versi OpenSSL yang telah Anda instal dan mengidentifikasi sistem apa pun yang berjalan pada 3.x akan mempercepat upaya patching Anda.

Sama seperti kerentanan Text4shell minggu lalu, kerentanan keamanan terjadi terus-menerus di dunia open source dan beban tindakan terletak tepat pada pengadopsinya untuk bereaksi dengan cepat. Menurut laporan penelitian State of The Software Supply Chain, industri tidak pandai mengadopsi perbaikan dengan lebih dari 62% unduhan yang rentan dapat dihindari.

Sumber: Sonatype

Kerentanan keamanan siber ini paling populer di kalangan peretas saat ini – sudahkah Anda menambalnya?

by

Menurut analisis oleh peneliti keamanan siber di Digital Shadows, kerentanan yang paling sering dibahas di antara penjahat siber di forum bawah tanah selama tiga bulan terakhir adalah CVE-2017-11882 – kelemahan keamanan di Microsoft Office yang pertama kali diungkapkan pada 2017.

Ketika berhasil dieksploitasi, kerentanan ini memungkinkan penjahat cyber untuk mengeksekusi kode jarak jauh pada sistem Windows yang rentan, menyediakan cara bagi penyerang untuk menjatuhkan malware secara diam-diam ke mesin.

Kerentanan paling populer kedua selama periode pelaporan adalah Follina (CVE-2022-30190), kerentanan zero-day dengan tingkat keparahan tinggi di Microsoft Word, yang muncul tahun sebelumnya.

Follina memungkinkan penyerang untuk mengeksekusi kode jarak jauh dan menyebarkan malware untuk mendapatkan akses ke sistem; kerentanan telah dieksploitasi secara aktif oleh kelompok peretas yang didukung negara dan geng penjahat dunia maya. Patch tersedia untuk memperbaiki kerentanan ini.

Kerentanan paling populer ketiga adalah CVE-2022-2294, kerentanan zero-day di Google Chrome, pertama kali diungkapkan dan ditambal pada bulan Juli. Namun, banyak pengguna yang belum menerapkan pembaruan keamanan, sehingga tetap menjadi metode serangan populer untuk menargetkan pengguna Google Chrome.

Meskipun secara teratur menerapkan pembaruan keamanan untuk semua jenis perangkat lunak di seluruh jaringan perusahaan dapat menjadi tantangan, ini adalah salah satu hal terbaik yang dapat dilakukan bisnis untuk membantu melindungi jaringan dan pengguna mereka agar tidak menjadi korban serangan siber – terutama jika mereka berfokus pada menambal beberapa kerentanan yang paling sering dieksploitasi.

Selengkapnya: ZDNET

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Pengembang Genshin Impact mengalami pelanggaran data besar-besaran

by

Pengembang Genshin Impact HoYoverse telah mengalami pelanggaran data besar-besaran.

Selama akhir pekan, sejumlah besar informasi dibagikan secara online yang mengungkapkan detail karakter, misi, dan acara baru dari versi 3.3 hingga 3.8.

HoYoverse telah menandai postingan DMCA yang berisi informasi dari pelanggaran data, meskipun pembaruan di masa mendatang tentu saja dapat berubah.

Namun, banyak pembocor Genshin Impact telah menghapus posting mereka ketika data pengguna pribadi untuk beberapa penguji QA HoYoverse ditemukan sebagai bagian dari pelanggaran.

“Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini untuk keamanan,” kata leaker Ubatcha di Twitter. “Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli.”

Setelah pertimbangan lebih lanjut dengan teman-teman, saya memutuskan untuk menghapus SEMUA tweet saya mulai hari ini agar aman

Untuk memperjelas, saya tidak membenarkan metode apa pun di mana data diperoleh dan saya tidak terlibat dalam memperoleh atau mendistribusikan data asli

Seperti dilansir GamesRadar, ini adalah jumlah informasi yang dibuang secara ilegal yang hampir belum pernah terjadi sebelumnya, berjumlah sekitar 36 minggu konten untuk game layanan langsung yang dapat dimainkan secara gratis.

Ini menandai kebocoran profil tinggi lainnya, menyusul pelanggaran data di pengembang Grand Theft Auto Rockstar bulan lalu.

Sumber: EuroGamer

Mata-mata China Menggunakan Wasabi Wallet Mixer untuk Membayar Suap Bitcoin ke Agen Ganda FBI

by

Dokumen yang dirilis hari ini oleh Departemen Kehakiman AS menuduh bahwa petugas intelijen Republik Rakyat Tiongkok (RRT) membayar suap dalam Bitcoin kepada pegawai pemerintah AS, untuk mencuri dokumen dari Kantor Kejaksaan AS untuk Distrik Timur New York.

Dokumen-dokumen terkait dengan penyelidikan kriminal yang sedang berlangsung dan penuntutan terhadap perusahaan telekomunikasi yang berbasis di China yang diyakini sebagai Huawei. Namun, tidak diketahui oleh agen China, karyawan tersebut adalah agen ganda FBI.

Mata-mata RRC, Guochun He dan Zheng Wang, didakwa berusaha menghalangi penuntutan pidana perusahaan telekomunikasi, dan pencucian uang terkait dengan pembayaran suap Bitcoin senilai total $61.000. $41.000 dalam BTC dibayarkan kepada pegawai pemerintah AS pada November 2021, dan $ 20.000 lebih lanjut dalam Bitcoin dibayarkan pada Oktober 2022.

Analisis Elliptic tentang pembayaran Bitcoin yang dijelaskan dalam pengaduan pidana memberikan wawasan tentang penggunaan BTC oleh petugas intelijen China. Secara khusus, analitik blockchain mengungkapkan bahwa mata-mata China menggunakan Wasabi Wallet untuk menyembunyikan jejak transaksi mereka. Semua pembayaran suap dapat ditelusuri kembali ke Wasabi.

Analisis Elliptic menunjukkan bahwa semua pembayaran suap Bitcoin yang dilakukan oleh agen intelijen China berasal dari Wasabi Wallet.

Wasabi Wallet adalah contoh dompet privasi perangkat lunak yang digunakan untuk mencampur Bitcoin dari berbagai sumber, dan menyembunyikan asalnya.

Sifat yang sama dari aset digital yang membuatnya menarik bagi penjahat seperti resistensi sensor, nama samaran, dan kemudahan transfer lintas batas juga menjadikannya alat yang berharga bagi semua badan intelijen yang ingin mendanai operasi klandestin.

Pada tahun 2014, misalnya, Swiss Federal Intelligence Service (FIS) dilaporkan menggunakan Bitcoin untuk membayar sumber intelijen di luar negeri.

Sementara itu, badan intelijen militer Rusia, GRU, diduga menggunakan Bitcoin untuk membeli infrastruktur yang digunakan untuk meretas akun email karyawan dan sukarelawan kampanye presiden Hillary Clinton, serta sistem komputer Komite Kampanye Kongres Demokrat dan Komite Nasional Demokrat. Ini dilakukan untuk mencuri data yang digunakan untuk mencoba mempengaruhi pemilihan presiden AS 2016.

Sumber: Elliptic Connect

Kerentanan Berusia 22 Tahun Dilaporkan di Perpustakaan Database SQLite

by

Kerentanan tingkat tinggi telah diungkapkan di perpustakaan database SQLite, yang diperkenalkan sebagai bagian dari perubahan kode sejak Oktober 2000 dan dapat memungkinkan penyerang untuk merusak atau mengontrol program.

Dilacak sebagai CVE-2022-35737 (skor CVSS: 7,5), masalah berusia 22 tahun memengaruhi SQLite versi 1.0.12 hingga 3.39.1, dan telah diatasi dalam versi 3.39.2 yang dirilis pada 21 Juli 2022.

“CVE-2022-35737 dapat dieksploitasi pada sistem 64-bit, dan eksploitabilitas bergantung pada bagaimana program dikompilasi,” kata peneliti Trail of Bits Andreas Kellas dalam tulisan teknis yang diterbitkan hari ini.

“Eksekusi kode arbitrer dikonfirmasi ketika perpustakaan dikompilasi tanpa stack canaries, tetapi tidak dikonfirmasi ketika stack canary hadir, dan penolakan layanan dikonfirmasi dalam semua kasus.”

Diprogram dalam C, SQLite adalah mesin database yang paling banyak digunakan, disertakan secara default di Android, iOS, Windows, dan macOS, serta browser web populer seperti Google Chrome, Mozilla Firefox, dan Apple Safari.

Kerentanan yang ditemukan oleh Trail of Bits menyangkut bug overflow integer yang terjadi ketika input string yang sangat besar dilewatkan sebagai parameter ke implementasi SQLite dari fungsi printf, yang, pada gilirannya, menggunakan fungsi lain untuk menangani pemformatan string (“sqlite3_str_vappendf “).

Namun, persenjataan yang berhasil dari bank cacat pada prasyarat bahwa string berisi jenis substitusi format %Q, %q, atau %w, berpotensi menyebabkan crash program ketika data yang dikendalikan pengguna ditulis di luar batas tumpukan- buffer yang dialokasikan.

“Jika format string berisi ‘!’ karakter khusus untuk mengaktifkan pemindaian karakter unicode, maka dimungkinkan untuk mencapai eksekusi kode arbitrer dalam kasus terburuk, atau menyebabkan program hang dan loop (hampir) tanpa batas waktu,” jelas Kellas.

Kerentanan juga merupakan contoh skenario yang pernah dianggap tidak praktis beberapa dekade lalu mengalokasikan string 1GB sebagai input menjadi layak dengan munculnya sistem komputasi 64-bit.

Sumber: The Hackernews

Pengawas data Inggris mendenda konstruksi biz £ 4,4 juta untuk kebersihan infosec yang buruk

by

Pengawas data Inggris telah menampar bisnis konstruksi Interserve Group dengan potensi denda £ 4,4 juta ($ 4,98 juta) setelah serangan phishing yang berhasil oleh penjahat mengekspos data pribadi hingga 113.000 karyawan.

Kantor Komisaris Informasi mengatakan perusahaan yang berbasis di Berkshire gagal menerapkan kebersihan keamanan yang baik, peringatan yang hilang dan banyak lagi, dan karenanya dianggap telah melanggar undang-undang perlindungan data.

Dalam kasus klasik, salah satu anggota staf Interserve meneruskan email yang berisi kejahatan tersembunyi kepada seorang rekan, yang kemudian membukanya dan mengunduh konten, memungkinkan malware untuk melakukan tugasnya.

Anti-virus yang digunakan mengkarantina malware dan mengirimkan peringatan, tetapi Interserve “gagal menyelidiki aktivitas mencurigakan secara menyeluruh,” dan melakukan hal itu mungkin mengungkapkan bahwa pelaku jahat telah memperoleh akses ke sistem perusahaan.

Penjahat kemudian mengkompromikan 283 sistem dan 16 akun, dan menghapus instalan perangkat lunak AV. “Data pribadi hingga 113.000 karyawan saat ini dan mantan karyawan dienkripsi dan tidak tersedia,” kata ICO dalam sebuah pernyataan.

Penyelidikan selanjutnya oleh regulator data menemukan sejumlah kesalahan yang dibuat oleh Interserve termasuk tidak menanggapi peringatan awal dari aktivitas yang mencurigakan, menggunakan sistem dan protokol perangkat lunak yang sudah ketinggalan zaman, kurangnya pelatihan yang sesuai untuk staf, dan penilaian risiko yang tidak memadai. Ini, klaim ICO, pada akhirnya membuat bisnis rentan terhadap penjahat dunia maya.

ICO telah melayani Interserve dengan pemberitahuan niat dokumen hukum yang datang sebelum denda. Denda sementara adalah £4,4 juta dan setelah mempertimbangkan perwakilan dari Interserve, ICO memutuskan untuk tidak mengabaikannya.

John Edwards, Komisaris Informasi Inggris, mengatakan dalam sebuah pernyataan:

“Bisnis risiko dunia maya terbesar yang dihadapi bukan dari peretas di luar perusahaan mereka, tetapi dari rasa puas diri di dalam perusahaan mereka. Jika bisnis Anda tidak secara teratur memantau aktivitas mencurigakan dalam sistemnya dan gagal bertindak berdasarkan peringatan, atau tidak memperbarui perangkat lunak dan gagal memberikan pelatihan kepada staf, Anda dapat mengharapkan denda serupa dari kantor saya.

“Membiarkan pintu terbuka bagi penyerang cyber tidak pernah dapat diterima, terutama ketika berurusan dengan informasi paling sensitif dari orang-orang. Pelanggaran data ini berpotensi menyebabkan kerugian nyata bagi staf Interserve, karena membuat mereka rentan terhadap kemungkinan pencurian identitas dan penipuan keuangan. ”

Sumber: The Register