Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Google menutup layanan Terjemahan di China

by

Google Alphabet pada hari Senin mengatakan telah menutup layanan Google Translate di Cina daratan, dengan alasan penggunaan yang rendah.

Langkah ini menandai akhir dari salah satu produk terakhirnya yang tersisa di ekonomi terbesar kedua di dunia.

Situs web China daratan khusus untuk Google Terjemahan sekarang mengalihkan pengguna ke layanan versi Hong Kong. Namun, ini tidak dapat diakses dari daratan Cina.

Google telah memiliki hubungan yang penuh dengan pasar Cina. Raksasa teknologi AS itu menarik mesin pencarinya dari China pada 2010 karena penyensoran online yang ketat dari pemerintah. Layanan lainnya seperti Google Maps dan Gmail juga diblokir secara efektif oleh pemerintah China.

Akibatnya, pesaing lokal seperti mesin pencari Baidu dan media sosial dan raksasa game Tencent telah mendominasi lanskap internet China di berbagai bidang mulai dari pencarian hingga terjemahan.

Google memiliki kehadiran yang sangat terbatas di China akhir-akhir ini. Beberapa perangkat kerasnya termasuk smartphone dibuat di Cina. Tetapi The New York Times melaporkan bulan lalu bahwa Google telah mengalihkan beberapa produksi smartphone Pixel-nya ke Vietnam.

Perusahaan juga berusaha untuk membuat pengembang Cina membuat aplikasi untuk sistem operasi Android-nya secara global yang kemudian akan tersedia melalui Google Play Store, meskipun itu diblokir di Cina.

Pada tahun 2018, Google sedang menjajaki masuk kembali ke China dengan mesin pencarinya, tetapi akhirnya membatalkan proyek itu setelah mendapat reaksi keras dari karyawan dan politisi.

Bisnis Amerika telah terperangkap di tengah ketegangan yang berkelanjutan di bidang teknologi antara AS dan China. Washington terus mengkhawatirkan akses potensial China ke teknologi sensitif di berbagai bidang seperti kecerdasan buatan dan semikonduktor.

Sumber: CNBC

Mitigasi server zero-day Microsoft Exchange dapat dilewati

by

Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

  • Buka Manajer IIS.
  • Pilih Situs Web Default.
  • Di** Feature View**, klik URL Rewrite.
  • Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
  • Pilih** Permintaan Pemblokiran** dan klik OK.
  • Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
  • Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
  • Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

.*autodiscover\.json.*Powershell.*

Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

Selengkapnya: Bleeping Computer

Peretas yang Disponsori Negara Kemungkinan Mengeksploitasi MS Exchange 0-Day Melawan ~10 Organisasi

by

Microsoft pada hari Jumat mengungkapkan bahwa satu grup aktivitas pada Agustus 2022 mencapai akses awal dan melanggar server Exchange dengan merantai dua kelemahan zero-day yang baru diungkapkan dalam serangkaian serangan terbatas yang ditujukan pada kurang dari 10 organisasi secara global.

“Serangan ini menginstal web shell Chopper untuk memfasilitasi akses hands-on-keyboard, yang digunakan penyerang untuk melakukan pengintaian Active Directory dan eksfiltrasi data,” kata Microsoft Threat Intelligence Center (MSTIC) dalam analisis baru.

Persenjataan kerentanan diperkirakan akan meningkat dalam beberapa hari mendatang, Microsoft lebih lanjut memperingatkan, karena aktor jahat mengkooptasi eksploitasi ke dalam toolkit mereka, termasuk menyebarkan ransomware, karena “akses yang sangat istimewa yang diberikan sistem Exchange kepada penyerang.”

Raksasa teknologi itu mengaitkan serangan yang sedang berlangsung dengan tingkat kepercayaan menengah ke organisasi yang disponsori negara, menambahkan bahwa mereka sudah menyelidiki serangan ini ketika Zero Day Initiative mengungkapkan kelemahannya ke Microsoft Security Response Center (MSRC) awal bulan lalu pada 8-9 September 2022.

Kedua kerentanan telah secara kolektif dijuluki ProxyNotShell, karena fakta bahwa “itu adalah jalur yang sama dan pasangan SSRF/RCE” sebagai ProxyShell tetapi dengan otentikasi, menunjukkan tambalan yang tidak lengkap.

Masalah, yang dirangkai untuk mencapai eksekusi kode jarak jauh, tercantum di bawah ini:

  • CVE-2022-41040 (skor CVSS: 8,8) – Peningkatan Kerentanan Privilege Server Microsoft Exchange
  • CVE-2022-41082 (skor CVSS: 8,8) – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

Selengkapnya: The Hacker News

Membentuk Kembali Lanskap Ancaman: Serangan Siber Deepfake Ada di Sini

by

Sebuah studi baru tentang penggunaan dan penyalahgunaan deepfake oleh penjahat dunia maya menunjukkan bahwa semua elemen yang diperlukan untuk penggunaan teknologi secara luas telah tersedia dan tersedia di pasar bawah tanah dan forum terbuka.

Studi oleh Trend Micro menunjukkan bahwa banyak phishing yang mendukung deepfake, kompromi email bisnis (BEC), dan penipuan promosi telah terjadi dan dengan cepat membentuk kembali lanskap ancaman.

“Dari ancaman hipotetis dan bukti konsep, [serangan yang diaktifkan dengan pemalsuan palsu] telah pindah ke tahap di mana penjahat non-dewasa mampu menggunakan teknologi semacam itu,” kata Vladimir Kropotov, peneliti keamanan dengan Trend Micro dan penulis utama sebuah melaporkan topik yang dirilis vendor keamanan minggu ini.

‘Kami sudah melihat bagaimana deepfake diintegrasikan ke dalam serangan terhadap lembaga keuangan, penipuan, dan upaya untuk meniru politisi,’ katanya, menambahkan bahwa yang menakutkan adalah banyak dari serangan ini menggunakan identitas orang sungguhan – sering kali diambil dari konten yang mereka posting di media sosial. jaringan media.

Salah satu kesimpulan utama dari studi Trend Micro adalah ketersediaan alat, gambar, dan video untuk menghasilkan deepfake. Vendor keamanan menemukan, misalnya, bahwa beberapa forum, termasuk GitHub, menawarkan kode sumber untuk mengembangkan deepfake kepada siapa saja yang menginginkannya.

Demikian pula, gambar dan video berkualitas tinggi yang cukup dari individu biasa dan tokoh masyarakat tersedia bagi aktor jahat untuk dapat menciptakan jutaan identitas palsu atau untuk menyamar sebagai politisi, pemimpin bisnis, dan tokoh terkenal lainnya.

Selengkapnya: DARKReading

Platform CrowdStrike Falcon Mengidentifikasi Supply Chain Attack Melalui Installer Comm100 Chat yang disisipi Trojan

by

Memanfaatkan wawasan dari platform Falcon, tim CrowdStrike Falcon OverWatch™, CrowdStrike Falcon Complete™, dan CrowdStrike Intelligence mengonfirmasi bahwa serangan rantai pasokan melibatkan penginstal trojan untuk aplikasi Comm100 Live Chat.

Serangan ini terjadi setidaknya dari 27 September 2022 hingga 29 September 2022 pagi. File trojan diidentifikasi di organisasi di sektor industri, perawatan kesehatan, teknologi, manufaktur, asuransi, dan telekomunikasi di Amerika Utara dan Eropa.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan baru-baru ini pada pagi hari tanggal 29 September 2022. CrowdStrike Intelligence menilai dengan keyakinan moderat bahwa aktor yang bertanggung jawab atas aktivitas ini kemungkinan memiliki hubungan dengan Nexus dari China.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan. Pemasang ditandatangani pada 26 September 2022 pukul 14:54:00 UTC menggunakan sertifikat Comm100 Network Corporation yang valid.

CrowdStrike Intelligence dapat mengonfirmasi bahwa agen desktop Microsoft Windows 7+ dihosting di https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe yang tersedia hingga 29 September pagi adalah penginstal trojan. Comm100 telah merilis penginstal yang diperbarui (10.0.9).

Installer ini (SHA256 hash: ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86) adalah aplikasi Electron yang berisi backdoor JavaScript (JS) di dalam file main.js dari arsip Asar yang disematkan.

Backdoor mengunduh dan menjalankan skrip tahap kedua dari URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.

Selengkapnya: CrowdStrike

ZINC mempersenjatai perangkat lunak sumber terbuka

by

Dalam beberapa bulan terakhir, Microsoft telah mendeteksi berbagai kampanye rekayasa sosial menggunakan perangkat lunak sumber terbuka sah yang dipersenjatai oleh aktor yang kami lacak sebagai ZINC. Microsoft Threat Intelligence Center (MSTIC) mengamati aktivitas yang menargetkan karyawan di organisasi di berbagai industri termasuk media, pertahanan dan kedirgantaraan, serta layanan TI di AS, Inggris, India, dan Rusia.

Berdasarkan afiliasi perdagangan, infrastruktur, perkakas, dan akun yang diamati, MSTIC mengaitkan kampanye ini dengan kepercayaan tinggi kepada ZINC, kelompok yang disponsori negara yang berbasis di Korea Utara dengan tujuan yang berfokus pada spionase, pencurian data, keuntungan finansial, dan penghancuran jaringan.

Mulai Juni 2022, ZINC menggunakan taktik rekayasa sosial tradisional dengan awalnya terhubung dengan individu di LinkedIn untuk membangun tingkat kepercayaan dengan target mereka. Setelah koneksi berhasil, ZINC mendorong komunikasi berkelanjutan melalui WhatsApp, yang bertindak sebagai sarana pengiriman untuk muatan berbahaya mereka.

MSTIC mengamati ZINC mempersenjatai berbagai perangkat lunak sumber terbuka termasuk Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording untuk serangan ini. ZINC terpantau mencoba bergerak ke samping dan mengekstrak informasi yang dikumpulkan dari jaringan korban. Para aktor telah berhasil berkompromi dengan banyak organisasi sejak Juni 2022.

Kampanye yang sedang berlangsung terkait dengan PuTTY yang dipersenjatai juga dilaporkan oleh Mandiant awal bulan ini. Karena banyaknya penggunaan platform dan perangkat lunak yang digunakan ZINC dalam kampanye ini, ZINC dapat menimbulkan ancaman signifikan bagi individu dan organisasi di berbagai sektor dan wilayah.

Selengkapnya: Microsoft

Profil CISO Palsu di LinkedIn Targetkan Fortune 500s

by

Seseorang baru-baru ini membuat sejumlah besar profil LinkedIn palsu untuk peran Chief Information Security Officer (CISO) di beberapa perusahaan terbesar di dunia. Tidak jelas siapa di balik jaringan CISO palsu ini atau apa niat mereka. Tetapi identitas LinkedIn yang dibuat-buat membingungkan hasil mesin pencari untuk peran CISO di perusahaan besar, dan mereka diindeks sebagai Injil oleh berbagai sumber data-scarping.

Jika seseorang mencari LinkedIn untuk CISO dari raksasa energi Chevron, orang mungkin menemukan profil untuk Situs Victor, yang mengatakan bahwa dia berasal dari Westerville, Ohio dan merupakan lulusan Texas A&M University.

Profil LinkedIn untuk Victor Sites
Profil LinkedIn untuk Victor Sites

Tentu saja, Sites bukanlah CISO Chevron yang sebenarnya. Peran itu saat ini ditempati oleh Christopher Lukas dari Danville, California. Jika Anda bingung saat ini, Anda mungkin bertanya kepada Google siapa yang dianggap sebagai Chief Information Security Officer Chevron saat ini. Ketika KrebsOnSecurity melakukannya pagi ini, profil CISO palsu adalah hasil pencarian pertama yang dikembalikan (diikuti oleh profil LinkedIn untuk Chevron CISO asli).

Pada bulan Agustus perusahaan keamanan Mandiant (baru-baru ini diakuisisi oleh Google) mengatakan kepada Bloomberg bahwa peretas yang bekerja untuk pemerintah Korea Utara telah menyalin resume dan profil dari platform daftar pekerjaan terkemuka LinkedIn dan Memang, sebagai bagian dari skema rumit untuk mendapatkan pekerjaan di perusahaan cryptocurrency.

Tak satu pun dari profil yang terdaftar menanggapi permintaan komentar (atau menjadi koneksi). Dalam sebuah pernyataan yang diberikan kepada KrebsOnSecurity, LinkedIn mengatakan timnya secara aktif bekerja untuk menghapus akun palsu ini.

Selengkapnya: Krebs on Security

Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

by

Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

“Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

Selengkapnya: The Hacker News