Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Lebih dari 1.800 Aplikasi Android dan iOS Ditemukan Membocorkan Kredensial AWS Hard-Coded

by

Para peneliti telah mengidentifikasi 1.859 aplikasi di Android dan iOS yang berisi kredensial Amazon Web Services (AWS) hard-coded, yang menimbulkan risiko keamanan besar.

“Lebih dari tiga perempat (77%) aplikasi berisi token akses AWS yang valid yang memungkinkan akses ke layanan cloud AWS pribadi,” tim Threat Hunter Symantec, bagian dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.

Menariknya, sedikit lebih dari 50% aplikasi ditemukan menggunakan token AWS yang sama dengan yang ditemukan di aplikasi lain yang dikelola oleh pengembang dan perusahaan lain, yang menunjukkan kerentanan rantai pasokan.

Kredensial ini biasanya digunakan untuk mengunduh sumber daya yang sesuai yang diperlukan untuk fungsi aplikasi serta mengakses file konfigurasi dan mengautentikasi ke layanan cloud lainnya.

Lebih buruk lagi, 47% dari aplikasi yang diidentifikasi berisi token AWS valid yang memberikan akses lengkap ke semua file pribadi dan bucket Amazon Simple Storage Service (S3) di cloud. Ini termasuk file infrastruktur, dan cadangan data, antara lain.

Dalam satu contoh yang ditemukan oleh Symantec, sebuah perusahaan B2B yang tidak disebutkan namanya yang menawarkan platform intranet dan komunikasi yang juga menyediakan perangkat pengembangan perangkat lunak seluler (SDK) kepada pelanggannya memiliki kunci infrastruktur cloud yang tertanam di SDK untuk mengakses layanan terjemahan.

Hal ini mengakibatkan terbukanya semua data pribadi pelanggannya, yang mencakup data perusahaan dan catatan keuangan milik lebih dari 15.000 perusahaan menengah hingga besar.

“Alih-alih membatasi token akses hard-code untuk digunakan dengan layanan cloud terjemahan, siapa pun yang memiliki token memiliki akses penuh tanpa batas ke semua layanan cloud AWS perusahaan B2B,” catat para peneliti.

Selain itu ditemukan juga lima aplikasi perbankan iOS yang mengandalkan AI Digital Identity SDK yang sama yang berisi kredensial cloud, yang secara efektif membocorkan lebih dari 300.000 informasi sidik jari pengguna.

Perusahaan keamanan siber mengatakan telah memberi tahu organisasi tentang masalah yang ditemukan di aplikasi mereka.

Perkembangan ini terjadi ketika para peneliti dari CloudSEK mengungkapkan bahwa 3.207 aplikasi seluler mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.

Sumber: The Hackernews

AS memerintahkan Nvidia untuk menghentikan penjualan chip AI teratas ke China

by

Perancang chip Nvidia Corp (NVDA.O) mengatakan pada hari Rabu bahwa AS menyuruh mereka untuk menghentikan mengekspor dua chip komputasi teratas untuk artificial intelligence ke China.

Pengumuman tersebut menandakan eskalasi besar dari tindakan keras AS terhadap kemampuan teknologi China saat ketegangan menggelembung atas nasib Taiwan, di mana chip untuk Nvidia dan hampir setiap perusahaan chip besar lainnya diproduksi.

Saham Nvidia turun 6,6% setelah beberapa jam. Perusahaan mengatakan larangan tersebut, yang mempengaruhi chip A100 dan H100 yang dirancang untuk mempercepat tugas pembelajaran mesin, dapat mengganggu penyelesaian pengembangan H100, chip unggulan yang diumumkan tahun ini.

Saham saingannya Advanced Micro Devices Inc (AMD.O) turun 3,7% setelah beberapa jam. Seorang juru bicara AMD mengatakan kepada Reuters bahwa pihaknya telah menerima persyaratan lisensi baru yang akan menghentikan chip kecerdasan buatan MI250 untuk diekspor ke China, tetapi diyakini chip MI100-nya tidak akan terpengaruh. AMD mengatakan tidak percaya aturan baru akan berdampak material pada bisnisnya.

Nvidia mengatakan para pejabat AS mengatakan kepadanya bahwa aturan baru “akan mengatasi risiko bahwa produk dapat digunakan, atau dialihkan ke, ‘penggunaan akhir militer’ atau ‘pengguna akhir militer’ di China.”

Departemen Perdagangan AS tidak akan mengatakan kriteria baru apa yang telah ditetapkan untuk chip AI yang tidak dapat lagi dikirim ke China tetapi mengatakan sedang meninjau kebijakan dan praktik terkait China untuk “menjaga teknologi canggih dari tangan yang salah.

Kementerian luar negeri China menanggapi pada hari Kamis dengan menuduh Amerika Serikat berusaha memaksakan “blokade teknologi” di China, sementara kementerian perdagangannya mengatakan tindakan seperti itu akan merusak stabilitas rantai pasokan global.

Ini bukan pertama kalinya AS bergerak untuk menghentikan pasokan chip perusahaan China. Pada tahun 2020, pemerintahan mantan presiden Donald Trump melarang pemasok menjual chip yang dibuat menggunakan teknologi AS kepada raksasa teknologi Huawei tanpa lisensi khusus.

Tanpa chip Amerika dari perusahaan seperti Nvidia dan AMD, organisasi China tidak akan mampu melakukan jenis komputasi canggih yang digunakan untuk pengenalan gambar dan ucapan, di antara banyak tugas lainnya dengan biaya yang efektif.

Pengenalan gambar dan pemrosesan bahasa alami adalah hal biasa dalam aplikasi konsumen seperti ponsel cerdas yang dapat menjawab pertanyaan dan menandai foto. Mereka juga memiliki kegunaan militer seperti menjelajahi citra satelit untuk senjata atau pangkalan dan menyaring komunikasi digital untuk tujuan pengumpulan intelijen.

Nvidia mengatakan telah membukukan $400 juta dalam penjualan chip yang terpengaruh kuartal ini ke China yang bisa hilang jika perusahaan memutuskan untuk tidak membeli produk Nvidia alternatif. Dikatakan pihaknya berencana untuk mengajukan pengecualian terhadap aturan tersebut.

Stacy Rasgon, seorang analis keuangan di Bernstein, mengatakan pengungkapan itu mengisyaratkan bahwa sekitar 10% dari penjualan pusat data Nvidia berasal dari China dan bahwa pukulan terhadap penjualan kemungkinan “terkelola” untuk Nvidia.

Nvidia pekan lalu memperkirakan penurunan tajam pendapatan untuk kuartal saat ini di belakang industri game yang lebih lemah. Dikatakan pihaknya memperkirakan penjualan kuartal ketiga turun 17% dari periode yang sama tahun lalu.

Sumber: Reuters

Peretas Menggunakan ModernLoader untuk Menginfeksi Sistem dengan Stealers dan Cryptominers

by

Sebanyak tiga kampanye yang berbeda tetapi terkait antara Maret dan Juni 2022 telah ditemukan mengirimkan berbagai malware, termasuk ModernLoader, RedLine Stealer, dan Cryptominers (penambang cryptocurrency) ke sistem yang disusupi.

“Para aktor menggunakan PowerShell, .NET assemblies, dan file HTA dan VBS untuk menyebar ke seluruh jaringan yang ditargetkan, akhirnya menjatuhkan malware lain, seperti trojan SystemBC dan DCRat, untuk mengaktifkan berbagai tahap operasi mereka,”

Implan berbahaya yang dimaksud, ModernLoader, dirancang untuk memberi penyerang kendali jarak jauh atas mesin korban, yang memungkinkan musuh menyebarkan malware tambahan, mencuri informasi sensitif, atau bahkan menjerat komputer dalam botnet.

Cisco Talos mengaitkan infeksi tersebut dengan aktor ancaman yang sebelumnya tidak berdokumen tetapi berbahasa Rusia, mengutip penggunaan alat yang tersedia. Target potensial termasuk pengguna Eropa Timur di Bulgaria, Polandia, Hongaria, dan Rusia.

Rantai infeksi yang ditemukan oleh perusahaan keamanan siber melibatkan upaya untuk mengkompromikan aplikasi web yang rentan seperti WordPress dan CPanel untuk mendistribusikan malware melalui file yang menyamar sebagai kartu hadiah Amazon palsu.

Payload tahap pertama adalah file Aplikasi HTML (HTA) yang menjalankan skrip PowerShell yang dihosting di server command-and-control (C2) untuk memulai penyebaran muatan intertim yang pada akhirnya menyuntikkan malware menggunakan teknik yang disebut proses pengosongan.

Digambarkan sebagai trojan akses jarak jauh .NET sederhana, ModernLoader (alias Avatar bot) dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menjalankan perintah arbitrer, atau mengunduh dan menjalankan file dari server C2, memungkinkan musuh mengubah modul secara real- waktu.

Investigasi Cisco juga menemukan dua kampanye sebelumnya pada Maret 2022 dengan modus operandi serupa yang memanfaatkan ModerLoader sebagai komunikasi malware C2 utama dan menyajikan malware tambahan, termasuk XMRig, RedLine Stealer, SystemBC, DCRat, dan pencuri token Discord.

“Kampanye ini menggambarkan seorang aktor bereksperimen dengan teknologi yang berbeda,” kata Svajcer. “Penggunaan alat yang sudah jadi menunjukkan bahwa aktor memahami TTP yang diperlukan untuk kampanye malware yang sukses tetapi keterampilan teknis mereka tidak cukup berkembang untuk sepenuhnya mengembangkan alat mereka sendiri.”

Sumber: The Hackernews

Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

by

Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

  • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
  • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

    • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

    Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

    Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

    Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

    Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

    Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

    Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

    Sumber : Bleeping Computer

Peretas menyembunyikan malware di gambar teleskop James Webb

by

Kampanye malware berbasis Golang yang terus-menerus dijuluki GO#WEBBFUSCATOR telah memanfaatkan gambar lapangan yang diambil dari Teleskop Luar Angkasa James Webb (JWST) NASA sebagai iming-iming untuk menyebarkan muatan berbahaya pada sistem yang terinfeksi.

Perkembangan tersebut, diungkapkan oleh Securonix, menunjuk pada adopsi Go yang berkembang di antara para pelaku ancaman, mengingat dukungan lintas platform bahasa pemrograman, yang secara efektif memungkinkan operator untuk memanfaatkan basis kode umum untuk menargetkan sistem operasi yang berbeda.

Go binari juga memiliki manfaat tambahan dari analisis rendering dan rekayasa balik yang sulit dibandingkan dengan malware yang ditulis dalam bahasa lain seperti C++ atau C#, belum lagi memperpanjang upaya analisis dan deteksi.

Email phishing yang berisi lampiran Microsoft Office bertindak sebagai titik masuk untuk rantai serangan yang, ketika dibuka, mengambil makro VBA yang dikaburkan, yang, pada gilirannya, dijalankan secara otomatis jika penerima mengaktifkan makro.

Eksekusi hasil makro dalam unduhan file gambar “OxB36F8GEEC634.jpg” yang tampaknya merupakan gambar First Deep Field yang ditangkap oleh JWST tetapi, ketika diperiksa menggunakan editor teks, sebenarnya adalah muatan yang dikodekan Base64.

“Kode [makro] yang dideobfuscate mengeksekusi [perintah] yang akan mengunduh file bernama OxB36F8GEEC634.jpg, gunakan certutil.exe untuk mendekodekannya menjadi biner (msdllupdate.exe) dan akhirnya, jalankan,” peneliti Securonix D. Iuzvyk , T. Peck, dan O. Kolesnikov berkata.

Biner, Windows 64-bit yang dapat dieksekusi dengan ukuran 1.7MB, tidak hanya dilengkapi untuk terbang di bawah radar mesin antimalware, tetapi juga dikaburkan melalui teknik yang disebut gobfuscation, yang menggunakan alat obfuscation Golang secara publik tersedia di GitHub.

Pustaka gobfuscate sebelumnya telah didokumentasikan seperti yang digunakan oleh aktor di belakang ChaChi, trojan akses jarak jauh yang digunakan oleh operator ransomware PYSA (alias Mespinoza) sebagai bagian dari perangkat mereka, dan kerangka kerja perintah-dan-kontrol (C2) Sliver.

Komunikasi dengan server C2 difasilitasi melalui kueri dan respons DNS terenkripsi, memungkinkan malware untuk menjalankan perintah yang dikirim oleh server melalui Prompt Perintah Windows (cmd.exe). Domain C2 untuk kampanye dikatakan telah didaftarkan pada akhir Mei 2022.

Keputusan Microsoft untuk memblokir makro secara default di seluruh aplikasi Office telah menyebabkan banyak musuh mengubah kampanye mereka dengan beralih ke file LNK dan ISO jahat untuk menyebarkan malware. Masih harus dilihat apakah aktor GO#WEBBFUSCATOR akan menggunakan metode serangan serupa.

Sumber: The Hackernews

Laporan Bitdefender mengidentifikasi Nama Domain dan Trojan Android teratas

by

Pada bulan Juli, Bitdefender mengidentifikasi 205 keluarga ransomware sebagai bagian dari Debrief Ancaman Bitdefender Agustus perusahaan.

Bitdefender’s August Bitdefender Threat Debrief (BDTD) adalah seri bulanan yang bertujuan untuk menganalisis berita ancaman, tren, dan penelitian dari bulan sebelumnya. Pada bulan Juli, peneliti Bitdefender melihat deteksi ransomware, bukan infeksi, dan menghitung total kasus, bukan seberapa signifikan dampak infeksi secara moneter.

Ransomware

Analis Bitdefender mengidentifikasi 205 kelompok ransomware pada bulan Juli, dengan jumlah kelompok ransomware yang terdeteksi bervariasi setiap bulan tergantung pada kampanye ransomware saat ini di berbagai negara. WannaCry adalah keluarga ransomware yang paling banyak terdeteksi, terhitung 37 persen. Robin berada di urutan kedua dengan 20 persen.

Para analis mendeteksi ransomware dari 151 negara dalam kumpulan datanya bulan ini karena ransomware terus menjadi ancaman yang menyentuh hampir seluruh dunia. Banyak serangan ransomware terus menjadi oportunistik, dan ukuran populasi berkorelasi dengan jumlah deteksi. Amerika Serikat adalah yang paling terkena dampak ransomware, terhitung 24 persen, diikuti oleh Brasil 17 persen dan India 14 persen.

Trojan Android

Perusahaan solusi keamanan siber global juga menganalisis 10 Trojan teratas yang menargetkan Android yang telah dilihat perusahaan dalam telemetrinya selama bulan Juli.

Downloader.DN, aplikasi yang dikemas ulang yang diambil dari Google app store dan dibundel dengan adware agresif, adalah Trojan terbesar yang menargetkan Android sebesar 43 persen. Berikutnya adalah malware SMSSend.AYE (33 persen) yang mencoba mendaftar sebagai aplikasi SMS default saat pertama kali dijalankan dengan meminta persetujuan pengguna.

Sumber: Cybersecurity Connect

Google Memperluas Bug Bounty ke Proyek Open Source-nya

by

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

  • Kerentanan yang mengarah pada kompromi rantai pasokan
  • Masalah desain yang menyebabkan kerentanan produk
  • Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

Ekstensi Chrome dengan 1,4 juta pemasangan mencuri data penjelajahan

by

Analis ancaman di McAfee menemukan lima ekstensi Google Chrome yang mencuri aktivitas penelusuran pengguna yang telah diunduh lebih dari 1,4 juta kali.

Tujuan dari ekstensi jahat adalah untuk memantau saat pengguna mengunjungi situs web e-niaga dan untuk mengubah cookie pengunjung agar tampak seolah-olah mereka datang melalui tautan perujuk. Untuk ini, penulis ekstensi mendapatkan biaya afiliasi untuk setiap pembelian di toko elektronik.

Lima ekstensi berbahaya yang ditemukan oleh peneliti McAfee adalah sebagai berikut:

  • Netflix Party (mmnbenehknklpbendgmgneaignppnbe) – 800.000 unduhan
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 unduhan
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 unduhan
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 unduhan
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 unduhan
Empat dari ekstensi berbahaya (McAfee)

Kelima ekstensi yang ditemukan oleh McAfee memiliki perilaku yang serupa. Manifes aplikasi web (file “manifest.json”), yang menentukan bagaimana ekstensi harus berperilaku pada sistem, memuat skrip multifungsi (B0.js) yang mengirimkan data penelusuran ke domain yang dikontrol penyerang (“langhort[.] com”).

Data dikirimkan melalui permintaan POST setiap kali pengguna mengunjungi URL baru. Info yang menjangkau penipu termasuk URL dalam bentuk base64, ID pengguna, lokasi perangkat (negara, kota, kode pos), dan URL rujukan yang disandikan.

Jika situs web yang dikunjungi cocok dengan entri apa pun pada daftar situs web yang pembuat ekstensinya memiliki afiliasi aktif, server akan merespons B0.js dengan salah satu dari dua kemungkinan fungsi.

Yang pertama, “Result[‘c’] – passf_url “, memerintahkan skrip untuk memasukkan URL yang disediakan (tautan rujukan) sebagai iframe di situs web yang dikunjungi.

Yang kedua, “Result[‘e’] setCookie”, memerintahkan B0.js untuk memodifikasi cookie atau menggantinya dengan cookie yang disediakan jika ekstensi telah diberikan izin terkait untuk melakukan tindakan ini.

Untuk menghindari deteksi, analisis, dan untuk membingungkan peneliti atau pengguna yang waspada, beberapa ekstensi menampilkan penundaan 15 hari sejak pemasangannya sebelum mulai mengirimkan aktivitas browser.

Pada saat penulisan ini, “Full Page Screenshot Capture – Screenshotting” dan “FlipShope – Price Tracker Extension” masih tersedia di Toko Web Chrome.

Kedua ekstensi Netflix Party telah dihapus dari toko, tetapi ini tidak menghapusnya dari browser web, jadi pengguna harus mengambil tindakan manual untuk mencopot pemasangannya.

Sumber: Bleeping Computer