Vulnerability

Magecart threat actor rolls out convincing modal forms

April 29, 2023 by Coffee Bean

Untuk menjerat korban baru, penjahat sering kali merancang skema yang berusaha terlihat serealistis mungkin. Karena itu, tidak setiap hari kita melihat salinan palsu melebihi karya aslinya.

Saat menindaklanjuti kampanye skimmer kartu kredit Magecart yang sedang berlangsung, kami hampir tertipu oleh formulir pembayaran yang terlihat sangat bagus sehingga kami pikir itu asli. Pelaku ancaman menggunakan logo asli dari toko yang disusupi dan menyesuaikan elemen web yang dikenal sebagai modal untuk membajak halaman checkout dengan sempurna.

Meskipun teknik memasukkan bingkai atau lapisan bukanlah hal baru, hal yang luar biasa di sini adalah skimmer terlihat lebih asli daripada halaman pembayaran asli. Kami dapat mengamati beberapa situs yang lebih disusupi dengan pola yang sama menggunakan modal yang dibuat khusus dan curang.

Skimmer dan kampanye terkait ini merupakan salah satu serangan Magecart paling aktif yang telah kami lacak dalam beberapa bulan terakhir.

selengkapnya : malwarebytes.com

Bagaimana Microsoft Menamai Aktor Ancaman

April 28, 2023 by Coffee Bean

Microsoft telah beralih ke taksonomi penamaan baru untuk aktor ancaman yang selaras dengan tema cuaca. Dengan taksonomi baru, kami bermaksud untuk memberikan kejelasan yang lebih baik kepada pelanggan dan peneliti keamanan lainnya yang telah berhadapan dengan data intelijen ancaman dalam jumlah yang sangat banyak dan menawarkan cara yang lebih terorganisir, jelas, dan mudah untuk mereferensikan pelaku ancaman sehingga organisasi dapat memprioritaskan dan melindungi dengan lebih baik diri.

In our new taxonomy, a weather event or family name represents one of the above categories. In the case of nation-state actors, we have assigned a family name to a country of origin tied to attribution, like Typhoon indicates origin or attribution to China. For other actors, the family name represents a motivation. For example, Tempest indicates financially motivated actors. Threat actors within the same weather family are given an adjective to distinguish actor groups with distinct tactics, techniques, and procedures (TTPs), infrastructure, objectives, or other identified patterns. For groups in development, where there is a newly discovered, unknown, emerging, or developing cluster of threat activity, we use a temporary designation of Storm and a four-digit number, allowing us to track it as a unique set of information until we can reach high confidence about the origin or identity of the actor behind the operation.

selengkapnya : learn.microsoft.com

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Coffee Bean

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

April 27, 2023 by Flamango

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

Security expert menemukan bug besar di Google Cloud

April 26, 2023 by Coffee Bean

Security expert SADA mengklain telah menemukan kerentanan di Google Cloud Platform yang telah ditambal oleh raksasa teknolog tersebut.

Dikenal sebagai Asset Key Theft, kerentanan berpotensi memungkinkan pelaku encaman untuk mencuri kunci pribadi akun layanan Google Cloud. Dalam sebuah pernyataan (dibuka di tab baru), SADA mengatakan percaya bahwa cacat tersebut “akan member penyerang metode yang gigih dan andal untuk menyelahgunakan lingkungan Google CLoud.”

Sada memberi tahu Google tentang masalah ini dalam bisnis cloud hosting-nya melalui program hadiah Bug Hunters, di mana peneliti dapat memberi tahu raksasa teknologi itu tentang kekurangan yang mereka temukan dalam produknya dengan cara yang aman dan terjamin.

SADA percaya bahwa masalah ini kritis “karena kesamaan izin dengan alat kemanan cloud pihaj ketiga, seperti alat Cloud Security Posture Management (CSPM), untuk mengumpulkan data inventris cloud dari API.\

Cacat itu ditemukan di Google Cloud Platform API yang dikenal sebagai Cloud Asset Inventory API. Kerentanan ini memengaruhi semua pengguna Google Cloud yang telah mengaktifkan API ini dan yang memiliki izin cloudasset.assets.searchAllResources di lingkungan Google Cloud yang berlaku.

selengkapnya : techradar.com

Negara Lima Mata merilis panduan baru tentang keamanan siber kota pintar

April 21, 2023 by Søren

Panduan baru, Praktik Terbaik Cybersecurity untuk Kota Cerdas, ingin meningkatkan kesadaran di antara komunitas dan organisasi yang menerapkan teknologi kota pintar bahwa teknologi bermanfaat ini juga dapat memiliki potensi kerentanan. Kolaborasi antara negara-negara Lima Mata (Australia, Kanada, Selandia Baru, Inggris, dan AS), ini menyarankan masyarakat untuk mempertimbangkan menjadi kota pintar untuk menilai dan memitigasi risiko keamanan siber yang menyertai teknologi tersebut.

Apa yang membuat kota pintar menarik bagi penyerang adalah data yang dikumpulkan dan diproses. Karena sistem bertenaga AI digunakan untuk mengintegrasikan data ini, ini harus diberi perhatian khusus saat memeriksa kerentanan.

Panduan ini berfokus pada tiga bidang: perencanaan dan desain yang aman, manajemen risiko rantai pasokan yang proaktif, dan ketahanan operasional.

Ketika berencana untuk mengintegrasikan teknologi kota pintar ke dalam sistem infrastruktur, masyarakat harus menyertakan pandangan ke depan yang strategis dan proses manajemen risiko keamanan siber yang proaktif. Teknologi baru harus diintegrasikan dengan hati-hati ke dalam sistem warisan. Fitur pintar atau terhubung harus aman menurut desainnya. Masyarakat harus menyadari bahwa infrastruktur lama mungkin memerlukan desain ulang untuk menerapkan sistem kota pintar dengan aman.

Organisasi yang menerapkan teknologi kota pintar harus menerapkan prinsip hak istimewa terkecil di seluruh lingkungan jaringannya. Ini berarti meninjau konfigurasi default dan yang ada bersama dengan panduan yang lebih keras dari vendor untuk memastikan bahwa perangkat keras dan perangkat lunak hanya diizinkan untuk mengakses sistem dan data yang diperlukan untuk menjalankan fungsinya.

Organisasi-organisasi ini harus memahami lingkungan mereka dan dengan hati-hati mengelola komunikasi di antara subnetwork, termasuk subnetwork baru yang saling terhubung yang menghubungkan sistem infrastruktur.

Selengkapnya: CSO ASEAN

Memecah Pipa Bernama Docker Secara SISTEM

April 21, 2023 by Coffee Bean

Kami menemukan dan melaporkan beberapa kerentanan eskalasi hak istimewa di dalam Docker Desktop untuk Windows:

Penghapusan file sewenang-wenang yang dapat dimanfaatkan untuk peningkatan hak istimewa penuh: CVE-2022-37326, dan CVE-2022-38730.
Timpa file sewenang-wenang: CVE-2022-31647 dan CVE-2022-34292.

Kami mematuhi pedoman pengungkapan yang bertanggung jawab, dan Docker menangani pemberitahuan dengan cepat dan efisien.

Anggota DaemonJSON menyimpan nilai path untuk file daemon.json (file konfigurasi daemon Docker), dan anggota Settings adalah kelas yang berisi semua bidang (Lampiran A) yang ada di dalam file daemon JSON.

Pertama-tama mari kita jelaskan mengapa anggota Pengaturan tidak relevan bagi kami. Setelah panggilan ke _windowsDockerDaemon.Start (Gambar 1), ada urutan pemanggilan fungsi di mana argumen pengaturan diteruskan ke tiga fungsi: RewriteOptions, GetServiceEnv, dan TryToStartService (Gambar 2).

Tapi meskipun diteruskan sebagai argumen, itu hanya digunakan dalam metode GetServiceEnv dan hanya untuk bidang Proxy (Gambar 3).

Kami memahami bahwa kami tidak dapat memengaruhi setelan argumen untuk memanipulasi layanan. Kami melanjutkan ke argumen berikutnya yang dikontrol oleh kami dan memeriksa argumen daemonOptions, dan dari fungsi RewriteOptions, kami memahami bahwa itu digunakan sebagai parameter untuk file switch –config di dockerd (lihat cuplikan kode di bawah), yang berarti kami mengontrol pengaturan dockerd.

Untungnya, bidang JSON daemon Docker didokumentasikan di Docker, dan Anda dapat melihat banyak opsi di sana (Lampiran B). Satu hal yang akan Anda perhatikan adalah bahwa ada dua versi terpisah – satu untuk Linux dan satu lagi untuk Windows – yang dapat menimbulkan masalah ketika ada bidang yang seharusnya hanya berfungsi di Linux atau Windows.

selengkapnya : cyberark.com

Maret 2023 memecahkan rekor serangan ransomware dengan 459 insiden

April 20, 2023 by Coffee Bean

Maret 2023 adalah bulan paling produktif yang dicatat oleh analis keamanan siber dalam beberapa tahun terakhir, dengan mencatat 459 serangan, meningkat 91% dari bulan sebelumnya dan 62% dibandingkan Maret 2022.

Menurut NCC Group, yang menyusun laporan berdasarkan statistik yang diperoleh dari pengamatannya, alasan bulan lalu memecahkan semua rekor serangan ransomware adalah CVE-2023-0669.

Aktivitas Maret 2023 melanjutkan tren kenaikan yang diamati oleh NCC Group sejak awal tahun (Januari dan Februari), dengan jumlah insiden peretasan dan kebocoran data tertinggi yang tercatat dalam tiga tahun terakhir.

Grafik serangan ransomware bulanan, biru tua: 2022, biru muda: 2023 (NCC Group)

Clop melakukan 129 serangan yang tercatat bulan lalu, memuncaki grafik NCC Group dengan geng ransomware paling aktif untuk pertama kalinya dalam sejarah operasionalnya.

Grup ransomware lain yang memiliki aktivitas relatif signifikan selama Maret 2023 adalah Royal ransomware, BlackCat (ALPHV), Bianlian, Play, Blackbasta, Stormous, Medusa, dan Ransomhouse.

Menutup lonjakan aktivitas ransomware (NCC Group)

Lonjakan aktivitas yang terekam pada bulan Maret 2023 menyoroti pentingnya menerapkan pembaruan keamanan sesegera mungkin, mengurangi celah keamanan yang berpotensi tidak diketahui seperti nol hari dengan menerapkan tindakan tambahan dan memantau lalu lintas jaringan dan log untuk aktivitas yang mencurigakan.

selengkapnya : bleepingcomputer.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings