News 172 - Naga Cyber Defense

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

May 11, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Peretas sekarang menyembunyikan malware di Windows Event Logs

May 10, 2022 by Eevee

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer

Microsoft Menyarankan Uninstal Update Opsional Windows 11

May 9, 2022 by Eevee

Microsoft menyarankan pengguna Windows 11 untuk menghapus pembaruan terbaru. Laporan menunjukkan pembaruan, yang bersifat opsional, menyebabkan berbagai aplikasi mogok. Masalah meliputi interaksi antara pembaruan dan .Net Framework yang merupakan bagian dari Windows. Saat ini tidak jelas aplikasi mana yang terpengaruh oleh masalah ini, uninstal adalah satu-satunya solusi yang layak.

Pembaruan yang dimaksud adalah KB5012643, yang dirilis pada 25 April. Ini adalah pembaruan kumulatif untuk sistem operasi dengan banyak perubahan kecil. Ada bagian berlabel “Masalah yang diketahui dengan pembaruan ini.” Di bagian itu mengatakan dapat menyebabkan beberapa aplikasi .Net Framework 3.5 berhenti bekerja. Microsoft mengatakan, “Aplikasi yang terpengaruh menggunakan komponen opsional tertentu di .NET Framework 3.5, seperti komponen Windows Communication Foundation (WCF) dan Windows Workflow (WWF).” .Net Framework ada di mana-mana di Windows, dan digunakan oleh berbagai pengembang aplikasi sebagai basis kode yang dapat digunakan. Beberapa dari aplikasi tersebut sekarang akan macet atau gagal dibuka dengan pembaruan ini diinstal. Catatan Windows terbaru, pembaruan ini hanya tersedia untuk pengguna dengan Windows 11 21H2.

Untuk menghapus pemutakhiran ini, ikuti langkah-langkah berikut:

Dari menu mulai temukan Windows Update Settings.
Dari jendela itu klik View Update History.
Klik Uninstall Update.
Temukan KB5012643 dan klik uninstall.

Jika gagal, Anda juga dapat mencoba Mengaktifkan .NET Framework 3.5 di Kontrol Panel. Jika Anda seorang admin TI atau pengguna tingkat lanjut, Anda juga dapat mengaktifkannya melalui prompt perintah. Berikut perintahnya:

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

Sumber: Extreme Tech

Setiap pengguna Google Chrome harus mengklik tombol ini sekarang

May 9, 2022 by Eevee

Jadi, di mana tombol Pemeriksaan keamanan? Cara termudah untuk menemukannya adalah dengan mengetikkan ini ke bilah alamat Anda dan tekan enter:

chrome://settings/safetyCheck

Atau, Anda dapat masuk ke Pengaturan dan klik Keamanan dan Privasi lalu klik Periksa sekarang di sisi kanan di bawah Pemeriksaan Keamanan.

Tombol pemeriksaan keamanan ada di sana. Mengkliknya melakukan empat hal:

Memeriksa pembaruan Google Chrome
Memeriksa apakah ada sandi tersimpan Anda yang telah disusupi
Memeriksa apakah Penjelajahan Aman diaktifkan, dan memberi Anda tautan untuk mengubah pengaturan ini
Memeriksa ekstensi berbahaya (bukan ide yang buruk mengingat bencana terbaru dengan The Great Suspender)

Menjalankan pemeriksaan Keamanan Google Chrome

Jika Anda menginginkan lebih banyak perlindungan, Anda dapat mengaktifkan Peningkatan perlindungan di bawah Penjelajahan Aman, dan itu akan memberi Anda keamanan yang jauh lebih besar, tetapi itu melibatkan persetujuan agar data penjelajahan Anda dikirim ke Google.

Sumber: ZDnet

Peneliti keamanan: Begini cara peretas Lazarus memulai serangannya

May 9, 2022 by Eevee

Grup peretasan Lazarus adalah salah satu ancaman keamanan siber teratas dari Korea Utara, baru-baru ini menarik perhatian pemerintah AS karena pencurian cryptocurrency besar-besaran.

Sekarang para peneliti di NCCGroup telah mengumpulkan beberapa alat dan teknik yang digunakan peretas Lazarus baru-baru ini, termasuk rekayasa sosial di LinkedIn, mengirim pesan ke target kontraktor pertahanan AS di WhatsApp, dan menginstal pengunduh berbahaya LCPDot.

Pada bulan Februari, para peneliti di Qualys menemukan kelompok yang menyamar sebagai kontraktor pertahanan Lockheed Martin, menggunakan namanya sebagai iming-iming untuk peluang kerja dalam dokumen Word yang dicampur. Dokumen berisi makro berbahaya untuk menginstal malware dan mengandalkan Tugas Terjadwal untuk bertahan di sistem.

Lazarus secara historis telah menggunakan LinkedIn sebagai jaringan sosial pilihan untuk menghubungi para profesional dengan tawaran pekerjaan. Pada tahun 2020, para peneliti di F-Secure menemukan kelompok tersebut mencoba merekrut administrator sistem dengan dokumen phishing yang dikirim ke akun LinkedIn target mengenai perusahaan blockchain yang mencari sysadmin baru.

Pada bulan April, Departemen Keuangan AS menghubungkan Lazarus dengan pencurian $600 juta pada bulan Maret dari jaringan blockchain di belakang game play-to-earn Axie Finity.

Pada bulan yang sama, FBI, Cybersecurity and Infrastructure Security Agency, dan Treasury memperingatkan bahwa Lazarus saat ini berfokus pada pertukaran di industri blockchain dan cryptocurrency, menggunakan kampanye spear-phishing dan malware untuk mencuri cryptocurrency.

NCCGroup menemukan bahwa penggunaan profil Lockheed Martin palsu baru-baru ini untuk berbagi iklan pekerjaan dengan target bergantung pada dokumen yang dihosting di domain yang berusaha meniru situs rekrutmen yang berbasis di AS untuk lowongan pemerintah dan pertahanan.

Untuk melewati upaya Microsoft baru-baru ini untuk membatasi penggunaan makro dalam dokumen Office, situs web tersebut menghosting file ZIP yang berisi dokumen berbahaya yang digunakan untuk terhubung dengan server perintah dan kontrol Lazarus.

Microsoft pada bulan April memperkenalkan perilaku default Office baru yang memblokir makro VBA yang diperoleh dari internet dalam dokumen pada perangkat yang menjalankan Windows. Seorang pakar keamanan menyebutnya sebagai “pengubah permainan” karena prevalensi malware makro.

NCCGroup juga memperoleh sampel varian Lazarus dari LCPDot, pengunduh yang baru-baru ini dianalisis oleh Japan CERT, yang menghubungkannya dengan Lazarus.

Setelah mendaftarkan host yang disusupi dengan server perintah dan kontrol, pengunduh menerima muatan lain, mendekripsinya, dan kemudian memuatnya ke dalam memori.

NCCGroup mencantumkan beberapa domain yang mengindikasikan suatu organisasi telah disusupi oleh peretas.

Google pada bulan Maret merinci kampanye luas oleh kelompok terkait Lazarus yang menargetkan ratusan orang di seluruh sektor media dan teknologi dengan tawaran pekerjaan dalam email yang meniru perekrut dari Disney, Google, dan Oracle. Perusahaan analisis Blockchain Chainalysis memperkirakan peretas Korea Utara mencuri $400 juta dalam cryptocurrency pada tahun 2021.

Sumber: ZDnet

Penggunaan VPN meroket di Rusia selama invasi Ukraina

May 8, 2022 by Søren

Warga Rusia beralih ke jaringan pribadi virtual (VPN) berbondong-bondong dalam upaya untuk memotong pelaporan media yang dikendalikan negara tentang invasi ke negara tetangga Ukraina, kata laporan berita.

VPN – yang menyembunyikan identitas dan lokasi pengguna – diunduh di Rusia sebanyak ratusan ribu sehari setelah otoritas Rusia melancarkan tindakan keras terhadap media apa pun yang tidak mengikuti garis resmi perang, menurut The Washington Post.

Jutaan orang Rusia sekarang mendapatkan akses ke informasi di luar negeri dengan bantuan VPN, yang dapat menimbulkan masalah bagi pemerintah Presiden Rusia Vladimir Putin karena serangan terhadap Ukraina – yang digambarkan sebagai “operasi militer khusus” – mendekati bulan ketiga.

Lebih dari 1.000 situs internet telah dibatasi oleh otoritas Rusia – termasuk Facebook, Instagram, dan BBC News – sejak konflik dimulai, menurut survei oleh pelacak teknologi VPN.

“Kami tidak tahu apa yang terjadi di sekitar kami,” kata seorang pria bernama Konstantin seperti dikutip The Post. “Banyak orang di Rusia hanya menonton TV dan makan apa pun yang diberikan pemerintah kepada mereka. Aku ingin mencari tahu apa yang sebenarnya terjadi.”

Unduhan harian di Rusia dari 10 VPN paling populer melonjak dari sekitar 15.000 sebelum perang menjadi 475.000 pada bulan Maret, dan berlanjut dengan kecepatan hampir 300.000 per hari minggu ini, menurut data yang dikumpulkan untuk Post oleh perusahaan analitik Apptopia.

Selengkapnya: Aljazeera

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

May 7, 2022 by Søren

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Google bermitra dengan Asus IoT untuk menyebarkan ketersediaan perangkat keras AI pada perangkat Coral

May 6, 2022 by Eevee

Coral adalah platform Google untuk menambahkan AI pada perangkat dan kemampuan inferensi ke perangkat keras. Untuk membuatnya lebih banyak tersedia, terutama untuk kasus penggunaan Internet of Things, Google bermitra dengan Asus IoT.

Asus IoT adalah sub-merek Asus, dan Google ingin meningkatkan produksi, distribusi, dan dukungan untuk Coral dengan perjanjian ini.

Dengan pengalaman puluhan tahun di bidang manufaktur elektronik dalam skala global, ASUS IoT akan menyediakan Coral sumber daya untuk memenuhi tuntutan pertumbuhan kami sementara kami terus mengembangkan produk baru untuk komputasi tepi.

Ini akan membuat Asus IoT “menjadi saluran utama untuk penjualan, distribusi, dan dukungan” untuk Coral, dengan pelanggan mendapatkan “tim khusus untuk penjualan dan dukungan teknis” dalam prosesnya. Ini termasuk jaringan distribusi yang diperluas yang akan memungkinkan produk tersedia di lebih banyak negara.

ASUS IoT telah memiliki sejarah panjang dalam kolaborasi dengan Coral, menjadi mitra pertama yang merilis produk menggunakan Coral SoM ketika mereka meluncurkan papan pengembangan Tinker Edge T. ASUS IoT juga telah mengintegrasikan akselerator Coral ke dalam komputer edge cerdas kelas perusahaan mereka dan merupakan yang pertama merilis perangkat TPU multi Edge dengan Kartu PCIe AI Accelerator pemenang penghargaan.

Lini perangkat keras Coral memungkinkan AI untuk berjalan di perangkat, dan karenanya offline, tanpa perlu mengirim data ke cloud, yang memiliki keuntungan lebih cepat dan lebih aman. Ini dapat digunakan untuk deteksi objek, estimasi pose, segmentasi gambar, dan deteksi frase kunci.

Google menggunakannya untuk rangkaian kit ruang konferensi video Seri One (dengan Lenovo) untuk “penghilangan kebisingan saat berjalan”.

Dengan kemitraan Asus IoT-Coral ini, Google akan “mempertahankan kepemilikan merek dan portofolio produk” dan “berfokus untuk membangun generasi berikutnya dari fitur dan alat pelestarian privasi untuk komputasi saraf di edge.”

Sumber: 9TO5 Google

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings