News 12 - Naga Cyber Defense

Banyak Situs Salesforce Publik Membocorkan Data Pribadi

April 29, 2023 by Mally

Salesforce Community adalah produk perangkat lunak berbasis cloud yang banyak digunakan yang memudahkan organisasi membuat situs web dengan cepat. Pelanggan dapat mengakses situs web Komunitas Salesforce dengan dua cara: Akses terotentikasi (memerlukan login), dan akses pengguna tamu (tidak perlu login). Fitur akses tamu memungkinkan pengguna yang tidak diautentikasi untuk melihat konten dan sumber daya tertentu tanpa perlu masuk.

Namun, terkadang administrator Salesforce secara keliru memberikan akses kepada pengguna tamu ke sumber daya internal, yang dapat menyebabkan pengguna yang tidak sah mengakses informasi pribadi organisasi dan menyebabkan potensi kebocoran data.

Hingga dihubungi oleh reporter ini pada hari Senin, negara bagian Vermont memiliki setidaknya lima situs Komunitas Salesforce terpisah yang memungkinkan akses tamu ke data sensitif, termasuk program Bantuan Pengangguran Pandemi yang mengungkap nama lengkap pemohon, nomor Jaminan Sosial, alamat, nomor telepon , email, dan nomor rekening bank.

Data itu kemudian dijual di forum kejahatan dunia maya teratas. Associated Press melaporkan bahwa pelanggaran DC Health Link juga merupakan hasil dari kesalahan manusia, dan mengatakan penyelidikan mengungkapkan penyebabnya adalah server DC Health Link yang “salah dikonfigurasi untuk mengizinkan akses ke laporan di server tanpa otentikasi yang tepat.”

Salesforce mengatakan paparan data bukanlah hasil dari kerentanan yang melekat pada platform Salesforce, tetapi hal itu dapat terjadi ketika izin kontrol akses pelanggan salah dikonfigurasi.

selengkapnya : krebsonsecurity

Magecart threat actor rolls out convincing modal forms

April 29, 2023 by Mally

Untuk menjerat korban baru, penjahat sering kali merancang skema yang berusaha terlihat serealistis mungkin. Karena itu, tidak setiap hari kita melihat salinan palsu melebihi karya aslinya.

Saat menindaklanjuti kampanye skimmer kartu kredit Magecart yang sedang berlangsung, kami hampir tertipu oleh formulir pembayaran yang terlihat sangat bagus sehingga kami pikir itu asli. Pelaku ancaman menggunakan logo asli dari toko yang disusupi dan menyesuaikan elemen web yang dikenal sebagai modal untuk membajak halaman checkout dengan sempurna.

Meskipun teknik memasukkan bingkai atau lapisan bukanlah hal baru, hal yang luar biasa di sini adalah skimmer terlihat lebih asli daripada halaman pembayaran asli. Kami dapat mengamati beberapa situs yang lebih disusupi dengan pola yang sama menggunakan modal yang dibuat khusus dan curang.

Skimmer dan kampanye terkait ini merupakan salah satu serangan Magecart paling aktif yang telah kami lacak dalam beberapa bulan terakhir.

selengkapnya : malwarebytes.com

Klon Android Minecraft dengan unduhan 35 juta menginfeksi pengguna dengan adware

April 29, 2023 by Mally

Satu set 38 game peniru Minecraft di Google Play perangkat yang terinfeksi dengan adware Android ‘HiddenAds’ untuk secara diam-diam memuat iklan di latar belakang untuk menghasilkan pendapatan bagi operator.

Minecraft adalah game sandbox populer dengan 140 juta pemain aktif bulanan, yang telah dicoba untuk dibuat ulang oleh banyak penerbit game.

Game mirip Minecraft yang menyembunyikan adware diunduh oleh sekitar 35 juta pengguna Android di seluruh dunia, terutama dari Amerika Serikat, Kanada, Korea Selatan, dan Brasil.

Para pengguna tersebut tidak memperhatikan aktivitas adware jahat yang dilakukan di latar belakang, karena mereka dapat memainkan game seperti yang dijanjikan. Selain itu, kemungkinan kepanasan, peningkatan data jaringan, atau konsumsi baterai yang disebabkan oleh memuat banyak iklan dapat dianggap disebabkan oleh game.

Kumpulan adware ditemukan oleh Tim Riset Seluler McAfee, anggota Aliansi Pertahanan Aplikasi yang dibuat untuk melindungi Google Play dari semua jenis ancaman.

Meskipun aplikasi adware tidak dianggap berbahaya bagi pengguna, aplikasi ini dapat mengurangi kinerja perangkat seluler, meningkatkan masalah privasi, dan bahkan berpotensi membuat celah keamanan yang dapat membuat pengguna terkena infeksi yang lebih buruk.

Pengguna Android harus memeriksa laporan McAfee untuk daftar lengkap aplikasi yang terpengaruh dan menghapusnya secara manual jika belum dihapus.

selengkapnya : bleepingcomputer.com

Bagaimana Microsoft Menamai Aktor Ancaman

April 28, 2023 by Mally

Microsoft telah beralih ke taksonomi penamaan baru untuk aktor ancaman yang selaras dengan tema cuaca. Dengan taksonomi baru, kami bermaksud untuk memberikan kejelasan yang lebih baik kepada pelanggan dan peneliti keamanan lainnya yang telah berhadapan dengan data intelijen ancaman dalam jumlah yang sangat banyak dan menawarkan cara yang lebih terorganisir, jelas, dan mudah untuk mereferensikan pelaku ancaman sehingga organisasi dapat memprioritaskan dan melindungi dengan lebih baik diri.

In our new taxonomy, a weather event or family name represents one of the above categories. In the case of nation-state actors, we have assigned a family name to a country of origin tied to attribution, like Typhoon indicates origin or attribution to China. For other actors, the family name represents a motivation. For example, Tempest indicates financially motivated actors. Threat actors within the same weather family are given an adjective to distinguish actor groups with distinct tactics, techniques, and procedures (TTPs), infrastructure, objectives, or other identified patterns. For groups in development, where there is a newly discovered, unknown, emerging, or developing cluster of threat activity, we use a temporary designation of Storm and a four-digit number, allowing us to track it as a unique set of information until we can reach high confidence about the origin or identity of the actor behind the operation.

selengkapnya : learn.microsoft.com

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Mally

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Aspen Dental, Korban Terbaru Dalam Rangkaian Serangan Siber Terhadap Penyedia Layanan Kesehatan

April 28, 2023 by Mally

Aspen Dental mengkonfirmasi sebagai korban serangan siber pada hari Rabu.

Juru bicara Aspen Dental mengatakan bahwa Grup Aspen sementara mengalami dampak buruk yang mempengaruhi kemampuan untuk mengakses sistem penjadwalan dan aplikasi bisnis lainnya untuk Aspen Dental.

Beruntungnya, tim TI mereka dapat menemukan masalah ini lebih awal dan telah bekerja dengan rajin untuk membuat sistem kembali online secepat dan seaman mungkin.

Ron Sanders, mantan direktur Florida Center for Cybersecurity, mengatakan bahwa bagi peretas, perusahaan di industri medis adalah sasaran empuk bagi penjahat dunia maya karna industri tersebut seringkali memiliki nama pasien, alamat, nomor telepon, nomor jaminan sosial, dan informasi kartu kredit.

Hal ini tampaknya dibuktikan dengan adanya data pelanggaran perawatan kesehatan yang telah mengungkap 385 juta catatan pasien dari tahun 2010 hingga 2022 berdasarkan laporan bulan lalu dari healthcaredive.com.

Juru bicara Aspen Dental mengatakan bahwa perusahaan tidak memiliki alasan untuk percaya bahwa data pasien telah dikompromikan, tetapi penyelidikan masih dalam tahap awal, dan beberapa kantor di seluruh negeri telah melihat pasien sementara pihaknya menangani masalah ini.

Selengkapnya: FOX13

Microsoft Edge Membocorkan Situs yang Pengguna Kunjungi ke Bing

April 28, 2023 by Mally

Browser Microsoft Edge tampaknya mengirimkan URL yang Anda kunjungi ke situs web Bing API-nya. Pengguna Reddit pertama kali memperhatikan masalah privasi Edge minggu lalu, bahwa versi terbaru Microsoft Edge mengirimkan permintaan ke bingapis(.)com dengan URL lengkap dari hampir setiap halaman yang di navigasikan.

Microsoft Edge sekarang memiliki fitur pembuat ikuti yang diaktifkan secara default, tampaknya bertujuan untuk memberi tahu Bing saat pengguna berada di halaman tertentu. Namun tampaknya tidak berfungsi dengan benar, alih-alih mengirimkan hampir setiap domain yang pengguna kunjungi ke Bing.

Microsoft memiliki filter master (tersedia di sini) untuk fitur follow kreator ini, yang mencakup domain seperti Pornhub tempat URL diblokir agar tidak dikirim ke situs Bing API. Sepertinya, untuk setiap URL yang sebelumnya tidak dicentang yang Anda kunjungi, URL tersebut meneruskannya ke bingapis.com, yang memiliki implikasi privasi yang sangat besar, terutama jika fungsi ini diaktifkan secara default.

Fitur "Follow Creators" Microsoft Edge. Gambar: Reddit (Leopeva64) — Fitur “Follow Creators” Microsoft Edge. Gambar: Reddit (Leopeva64)

Microsoft belum memberikan tanggapan lebih lanjut dan mereka saat ini sedang menyelidiki masalah tersebut dan mungkin akan menambal masalah ini. Disarankan bagi pengguna untuk mematikan fitur “follow creators” di Microsoft Edge.

Selengkapnya: The Verge

Peretas Cina menggunakan varian malware Linux baru untuk spionase

April 27, 2023 by Mally

Peretas menyebarkan varian malware Linux baru dalam serangan cyberespionage, seperti varian PingPull baru dan backdoor yang sebelumnya tidak berdokumen yang dilacak sebagai ‘Sword2033.’

PingPull adalah RAT (trojan akses jarak jauh) yang pertama kali didokumentasikan oleh Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium yang disponsori negara China, juga dikenal sebagai Alloy Taurus. Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina.

Unit 42 terus memantau kampanye spionase ini dan hari ini melaporkan bahwa pelaku ancaman China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Unit 42 juga menemukan pintu belakang ELF baru yang berkomunikasi dengan server perintah dan kontrol yang sama (C2) dengan PingPull.

Ini adalah alat yang lebih sederhana dengan fungsi yang lebih mendasar seperti mengunggah file pada sistem yang dilanggar, mengekstraksi file, dan menjalankan perintah dengan “; echo \n” ditambahkan padanya.

Perintah gema menambahkan data acak pada log eksekusi, mungkin untuk membuat analisis lebih menantang atau mengaburkan aktivitasnya.

Unit 42 menemukan sampel Sword2023 kedua yang terkait dengan alamat C2 berbeda yang menyamar sebagai militer Afrika Selatan.

Sampel yang sama ditautkan ke alamat Soft Ether VPN, produk yang diketahui digunakan oleh Gallium dalam operasinya.

Peta C2 Gallium berdasarkan komunikasi malware (Unit 42)

Sebagai kesimpulan, Gallium terus menyempurnakan persenjataannya dan memperluas jangkauan targetnya menggunakan varian Linux baru dari PingPull dan backdoor Sword2023 yang baru ditemukan.

Organisasi harus mengadopsi strategi keamanan yang komprehensif untuk melawan ancaman canggih ini secara efektif daripada hanya mengandalkan metode deteksi statis.

selengkapnya : bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings