Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Android menyusup ke 60 aplikasi Google Play dengan 100 juta pemasangan

by

Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.

Komponen malware jahat adalah bagian dari perpustakaan pihak ketiga yang digunakan oleh semua enam puluh aplikasi yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.

Beberapa aplikasi yang terpengaruh adalah:

  • L.POINT with L.PAY
  • Swipe Brick Breaker
  • Money Manager Expense & Budget
  • GOM Player
  • LIVE Score, Real-Time Score
  • Pikicast
  • Compass 9: Smart Compass
  • GOM Audio – Music, Sync lyrics
  • LOTTE WORLD Magicpass
  • Infinite Slice
  • Bounce Brick Breaker
  • Korea Subway Info: Metroid
  • SomNote

Banyak aplikasi yang terpengaruh dibersihkan oleh pengembang mereka, yang menghapus perpustakaan yang melanggar, dan aplikasi yang tidak merespons tepat waktu dihapus dari Google Play karena tidak mematuhi kebijakan toko.

Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.

“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer.

“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”

Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.

Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan mereka masih menyimpan perpustakaan berbahaya itu tinggi.

selengkapnya : bleepingcomputer.com

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

by

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

by

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

NSA, A.S., dan Mitra Internasional Menerbitkan Panduan tentang Mengamankan Teknologi Berdasarkan Rancangan dan Kelalaian

by

Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) bermitra dengan badan keamanan siber mitra internasional untuk mendorong produsen teknologi menciptakan produk yang dirancang dengan aman dan aman secara default.

Kelompok sembilan lembaga tersebut telah menerbitkan Lembar Informasi Keamanan Siber, “Menggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan-oleh-Desain dan Default,” untuk meningkatkan kesadaran dan memfasilitasi percakapan internasional tentang prioritas utama, investasi, dan keputusan yang diperlukan untuk memproduksi teknologi yang aman, terjamin, dan tangguh.

Dalam laporan baru, agensi menyoroti pentingnya memprioritaskan keamanan di seluruh siklus hidup produk untuk mengurangi kemungkinan insiden keamanan. Prinsip-prinsip tersebut memastikan produk teknologi dibuat dan dikonfigurasi dengan cara yang melindungi terhadap pelaku dunia maya jahat yang mendapatkan akses ke perangkat, data, dan infrastruktur yang terhubung.

NSA dan mitranya merekomendasikan produsen teknologi dan eksekutif organisasi untuk memprioritaskan penerapan prinsip-prinsip yang dirancang dengan aman dan standar yang diuraikan dalam laporan tersebut.

Selain rekomendasi yang tercantum dalam laporan, lembaga penulis mendorong penggunaan Secure Software Development Framework (SSDF), juga dikenal sebagai SP 800-218 Institut Nasional Standar dan Teknologi (NIST). SSDF membantu produsen perangkat lunak menjadi lebih efektif dalam menemukan dan menghapus kerentanan dalam perangkat lunak yang dirilis, mengurangi dampak potensial dari eksploitasi kerentanan, dan mengatasi akar penyebab kerentanan untuk mencegah terulangnya kembali di masa mendatang.

sumber : nsa.gov

KFC, pemilik Pizza Hut mengungkapkan Pelanggaran Data setelah Serangan Ransomware

by

Nyam! Brands, pemilik merek dari rantai makanan cepat saji KFC, Pizza Hut, dan Taco Bell, mengirimkan surat pemberitahuan pelanggaran data ke sejumlah individu yang informasi pribadinya dicuri dalam serangan ransomware 13 Januari.

Yum! Brands mengungkapkan bahwa penyerang telah mencuri informasi pribadi beberapa individu, termasuk nama, nomor SIM, dan nomor kartu identitas lainnya. Sementara penyelidikan yang sedang berlangsung belum menemukan bukti bahwa data yang dicuri telah digunakan untuk pencurian atau penipuan identitas.

Ini terjadi setelah perusahaan mengatakan bahwa meskipun beberapa data dicuri dari jaringannya, tidak ada bukti bahwa penyerang mengeksfiltrasi informasi pelanggan apa pun.

Sebagai akibat langsung dari serangan ransomware bulan Januari, Yum! Brands terpaksa menutup sekitar 300 restoran di Inggris Raya karena berdampak pada sistem TI tertentu yang mengakibatkan penutupan kurang dari 300 restoran di satu pasar selama satu hari.

Nyam! Merek dan anak perusahaannya mengoperasikan atau mewaralabakan lebih dari 55.000 restoran di 155 negara dan wilayah dengan bantuan sekitar 36.000 karyawan di seluruh dunia.

Klarifikasi Yum! mengatakan bahwa perusahaan tidak menemukan bukti bahwa pelanggan terpengaruh oleh pelanggaran data ini.

Perusahaan juga belum mengungkapkan jumlah total karyawan yang datanya dicuri selama serangan ransomware.

Selengkapnya: BleepingComputer

82% Pemimpin Cyber Setuju Bahwa Mereka Dapat Mengurangi Sebagian dari Semua Kerusakan

by

Dalam penelitian tersebut, Forrester Consulting mengungkapkan beberapa temuan yang membuka mata dari tekanan yang dihadapi para pemimpin dunia maya saat ini hingga dampak kekurangan bakat dunia maya, antara lain:

  • Tim siber menghadapi tekanan yang semakin besar dari pemimpin senior: 84% responden setuju bahwa tim keamanan siber merasakan tekanan yang meningkat untuk bersiap menghadapi serangan siber berikutnya.
  • Ancaman dunia maya semakin sulit dihentikan: 72% setuju lanskap ancaman semakin menantang.
  • Pelaporan tidak konsisten: Pemimpin senior harus membagikan kesiapan pelanggaran dan hasil respons insiden ke tingkat yang lebih tinggi, tetapi kurang dari 60% melakukannya hari ini. Selain itu, lebih dari setengah (55%) setuju bahwa tim keamanan siber mereka tidak memiliki data yang diperlukan untuk menunjukkan kesiapan dalam menanggapi ancaman siber dengan tepat.
  • Tim tidak diperlengkapi secara strategis untuk mempertahankan ketahanan dunia maya: Kurang dari sepertiga (32%) percaya bahwa organisasi mereka memiliki strategi formal untuk memastikan ketahanan dunia maya.
  • Kekurangan bakat mengancam ketahanan siber: 83% responden menganggap tim keamanan siber mereka kekurangan staf, dan 94% mengalami setidaknya satu tantangan manajemen bakat dengan tim keamanan siber.
  • Tim keamanan siber dapat mengurangi risiko dengan mengadopsi pendekatan modern untuk meningkatkan keterampilan: 64% responden setuju bahwa metode pelatihan keamanan siber tradisional (mis., sertifikasi, kursus pelatihan video, instruksi kelas) tidak cukup untuk memastikan ketahanan siber. Memanfaatkan pendekatan yang berpusat pada orang yang efektif, seperti simulasi langsung, dan pelatihan serta peningkatan keterampilan online yang progresif dan sejalan dengan jalur karier dapat meningkatkan kemampuan tim keamanan siber dan, pada gilirannya, ketahanan siber organisasi mereka.

Studi ini merekomendasikan bahwa untuk mengurangi kekurangan staf dan kurangnya keterampilan dunia maya internal, “perusahaan harus mengevaluasi kembali praktik perekrutan untuk merekrut dan menguji karyawan berpotensi tinggi” dan “berinvestasi dalam budaya yang memanfaatkan pendekatan berpusat pada orang yang efektif, seperti simulasi langsung, dan pelatihan online yang selaras dengan jalur karier yang progresif dan peningkatan keterampilan untuk meningkatkan kemampuan tim keamanan siber mereka dan, pada gilirannya, ketahanan dunia maya organisasi mereka.”

selengkapnya : digitalisationworld.com

Kodi Mengungkapkan Pelanggaran Data Setelah Database Forum Untuk Dijual Secara Online

by

Yayasan Kodi telah mengungkapkan pelanggaran data setelah peretas mencuri basis data forum MyBB organisasi yang berisi data pengguna dan pesan pribadi dan berusaha menjualnya secara online.

Kodi adalah pemutar media, penyelenggara, dan suite streaming sumber terbuka lintas platform, yang mendukung beragam add-on pihak ketiga yang memungkinkan pengguna untuk mengakses konten dari berbagai sumber atau menyesuaikan pengalaman mereka.

Forum Kodi yang sekarang ditutup memiliki sekitar 401.000 anggota yang menggunakannya untuk membahas streaming media, bertukar tip, menawarkan dukungan, berbagi add-on baru, dan lebih banyak lagi dalam 3 juta postingan.

Tim Kodi mengatakan mereka mengungkapkan pelanggaran tersebut setelah mengetahui bahwa peretas menjual database yang dicuri secara online.

Basis data Kodi untuk dijual di forum peretasan yang dilanggar

Penjualnya, Amius, mengaku menjual database dump pada 15 Februari 2023, berisi informasi untuk 400.314 anggota forum Kodi, termasuk informasi untuk “banyak reseller iptv”.

Penjual menerima penawaran secara pribadi melalui Telegram, jadi tidak ada informasi tentang biaya database.

Situs Pelanggaran ditutup setelah pendiri dan pemiliknya, Pompompurin, ditangkap oleh FBI.

Basis data yang dicuri berisi semua posting forum publik, posting forum staf, pesan pribadi yang dikirim antara pengguna, dan data anggota forum, termasuk nama pengguna, alamat email, dan kata sandi terenkripsi (hash dan salted) yang dihasilkan oleh perangkat lunak MyBB (v1.8.27).

Sementara admin lain yang dikenal sebagai Baphomet berusaha menjaga agar situs tetap beroperasi, mereka kemudian menutupnya karena takut penegak hukum memiliki akses ke server.

selengkapnya : bleepingcomputer.com

Admin Windows memperingatkan untuk menambal bug MSMQ QueueJumper yang kritis

by

Peneliti dan pakar keamanan memperingatkan tentang kerentanan kritis dalam layanan middleware Windows Message Queuing (MSMQ) yang ditambal oleh Microsoft selama Patch Tuesday bulan ini dan mengekspos ratusan ribu sistem untuk diserang.

MSMQ tersedia di semua sistem operasi Windows sebagai komponen opsional yang menyediakan aplikasi dengan kemampuan komunikasi jaringan dengan “pengiriman pesan terjamin”, dan dapat diaktifkan melalui PowerShell atau Panel Kontrol.

Cacat (CVE-2023-21554) memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh pada server Windows yang tidak ditambal menggunakan paket MSMQ berbahaya yang dibuat khusus dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Redmond juga telah melampirkan tag “eksploitasi lebih mungkin” ke CVE-2023-21554, mengingat bahwa “menyadari contoh masa lalu dari jenis kerentanan yang dieksploitasi,” yang menjadikannya “target yang menarik bagi penyerang.”

“Dengan demikian, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukan ini dengan prioritas yang lebih tinggi,” Microsoft memperingatkan.

Peneliti keamanan Wayne Low dari FortiGuard Lab Fortinet dan Haifei Li dari Check Point Research dikreditkan karena melaporkan kelemahan tersebut ke Microsoft.

Meskipun Microsoft telah mengatasi bug ini dan 96 kelemahan keamanan lainnya sebagai bagian dari April Patch Tuesday, Microsoft juga menyarankan admin yang tidak dapat segera menggunakan patch untuk menonaktifkan layanan Windows MSMQ (jika memungkinkan) untuk menghapus vektor serangan.

Organisasi yang tidak dapat langsung menonaktifkan MSMQ atau menerapkan patch Microsoft juga dapat memblokir koneksi 1801/TCP dari sumber yang tidak tepercaya menggunakan aturan firewall.

selengkapnya : bleepingcomputer.com