News 178 - Naga Cyber Defense

Tombol ‘Bungkam’ di aplikasi konferensi mungkin tidak benar-benar mematikan suara mikrofon Anda

April 17, 2022 by Søren

Sebuah studi baru menunjukkan bahwa menekan tombol bisu pada aplikasi konferensi video populer (VCA) mungkin tidak benar-benar berfungsi seperti yang Anda pikirkan, dengan aplikasi masih mendengarkan di mikrofon Anda.

Lebih khusus lagi, dalam perangkat lunak yang dipelajari, menekan mute tidak mencegah transmisi audio ke server aplikasi, baik secara terus-menerus atau berkala.

Karena aktivitas ini tidak didokumentasikan dalam kebijakan privasi terkait, pengguna memiliki pemahaman yang buruk tentang cara kerja sistem bisu, dengan salah berasumsi bahwa input audio terputus saat mereka mengaktifkannya.

Kesalahpahaman ini tercermin dalam studi tahap pertama, yang berkisar pada survei 223 pengguna VCA tentang harapan mereka saat menekan mute.

Sebagian besar (77,5%) responden merasa aplikasi tidak dapat terus mengakses mikrofon dan mungkin mengumpulkan data saat mode bisu aktif.

Studi ini dilakukan oleh tim peneliti di University of Wisconsin-Madison dan Loyola University di Chicago, yang menerbitkan makalah tentang hasil mereka.

Sebagai bagian dari penelitian, para peneliti melakukan analisis biner runtime menyeluruh dari aplikasi yang dipilih untuk menentukan jenis data yang dikumpulkan setiap aplikasi dan apakah data tersebut merupakan risiko privasi.

Aplikasi yang diuji dalam fase penelitian ini adalah Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet, dan Discord.

Selengkapnya: Bleeping Computer

CISA memerintahkan agensi untuk memperbaiki VMware, bug Chrome yang dieksploitasi secara aktif

April 17, 2022 by Søren

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sembilan kelemahan keamanan ke daftar bug yang dieksploitasi secara aktif, termasuk cacat eskalasi hak istimewa VMware dan Google Chrome zero-day yang dapat digunakan untuk eksekusi kode jarak jauh.

Kerentanan VMware (CVE-2022-22960) telah ditambal pada tanggal 6 April, dan memungkinkan penyerang untuk meningkatkan hak istimewa untuk melakukan root pada server yang rentan karena izin yang tidak tepat dalam skrip dukungan.

Chrome zero-day juga disertakan dalam katalog CISA’s Known Exploited Vulnerabilities (KEV), bug yang dilacak sebagai CVE-2022-1364 dan memungkinkan eksekusi kode jarak jauh karena kelemahan kebingungan tipe V8.

Semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus menambal sistem mereka terhadap bug keamanan ini setelah ditambahkan ke daftar KEV CISA menurut arahan operasional yang mengikat November (BOD 22-01).

Mereka diberi waktu tiga minggu untuk mengurangi kekurangan hingga 6 Mei untuk memastikan bahwa upaya eksploitasi yang sedang berlangsung akan diblokir.

CISA menambahkan tujuh kerentanan keamanan lainnya ke katalognya hari ini, semuanya disalahgunakan dalam serangan yang sedang berlangsung.

CVE Table

Pada hari Kamis, CISA juga menambahkan bug eksekusi kode jarak jauh VMware kritis (CVE-2022-22954), sekarang digunakan dalam serangan untuk menyebarkan muatan cryptominer.

Selengkapnya: Bleeping Computer

Penyerang melepaskan ransomware LockBit di komputer pemerintah AS

April 17, 2022 by Søren

Temuan baru dari perusahaan keamanan siber Sophos menunjukkan beberapa metode yang digunakan oleh peretas dalam hal mengeksploitasi celah di perangkat federal. Satu serangan yang disorot dalam laporan tersebut menemukan bahwa kelompok ransomware menghabiskan setidaknya lima bulan untuk menyisir file dan sistem badan pemerintah regional AS sebelum menyebarkan serangan LockBit ke komputer yang terpengaruh.

“Ini adalah serangan yang sangat kacau,” kata Andrew Brandt, peneliti keamanan utama di Sophos. “Bekerja sama dengan target, peneliti Sophos mampu membangun gambaran yang dimulai dengan apa yang tampak seperti penyerang pemula yang membobol server, mengaduk-aduk jaringan dan menggunakan server yang dikompromikan ke Google, kombinasi versi bajakan dan gratis dari peretas dan alat admin yang sah untuk digunakan dalam serangan mereka.”

Serangan yang tidak terampil tetapi efektif kemudian mencoba menggunakan perangkat lunak manajemen TI untuk menghindari deteksi, melalui penggunaan alat seperti ScreenConnect dan AnyDesk, yang biasanya digunakan untuk tujuan akses jarak jauh. Kemudian ditemukan oleh Sophos bahwa dalam pengaturan sistem itu sendiri, tim TI membiarkan port RDP terbuka di firewall untuk akses publik ke server, memungkinkan penyusupan oleh kelompok peretasan yang bersangkutan.

Setelah akses jarak jauh diaktifkan, ransomware LockBit kemudian disebarkan pada sistem dengan memanfaatkan kerentanan sistem. Pihak-pihak jahat berusaha untuk menutupi jejak mereka setelah selesai dengan menghapus file log, tetapi Sophos dapat merekonstruksi langkah-langkah yang diambil agar peretasan terjadi, karena diduga telah dilakukan oleh penyerang cyber yang tidak canggih.

Selengkapnya; Tech Republic

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

April 15, 2022 by Winnie the Pooh

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

April 15, 2022 by Winnie the Pooh

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki penggunaan zero-day dalam serangan

April 15, 2022 by Winnie the Pooh

Google telah merilis Chrome 100.0.4896.127 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang secara aktif digunakan oleh pelaku ancaman dalam serangan.

Sementara Google menyatakan bahwa pembaruan Chrome ini akan diluncurkan dalam beberapa minggu ke depan, pengguna dapat langsung menerimanya dengan masuk ke menu Chrome > Help > About Google Chrome.

Karena bug ini dieksploitasi secara aktif dalam serangan, sangat disarankan agar Anda melakukan pemeriksaan manual untuk pembaruan baru dan meluncurkan kembali browser untuk menerapkannya.

Bug zero-day yang diperbaiki dilacak sebagai CVE-2022-1364 dan merupakan tipe kelemahan kebingungan tingkat keparahan tinggi di mesin JavaScript Chrome V8.

Sementara tipe kelemahan kebingungan umumnya menyebabkan browser crash setelah eksploitasi yang berhasil dengan membaca atau menulis memori di luar batas buffer, penyerang juga dapat mengeksploitasinya untuk mengeksekusi kode arbitrer.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, namun tidak memberikan rincian lebih lanjut mengenai bagaimana serangan ini dilakukan.

Segera perbarui browser Google Chrome Anda.

Selengkapnya: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

April 15, 2022 by Winnie the Pooh

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Infostealer ZingoStealer baru menjatuhkan lebih banyak malware, cryptominers

April 15, 2022 by Winnie the Pooh

Malware pencuri informasi baru yang disebut ZingoStealer telah ditemukan dengan fitur pencurian data yang kuat dan kemampuan untuk memuat payload tambahan atau menambang Monero.

Malware baru ini dibuat dan dirilis secara gratis oleh sekelompok pelaku ancaman bernama “Haskers Gang,” yang baru-baru ini berusaha menjual kode sumbernya seharga $500.

Segera setelah para peneliti di Cisco Talos melihat penawaran itu, ZingoStealer berpindah tangan dan dipindahkan ke aktor ancaman baru yang akan melakukan upaya pengembangan.

ZingoStealer pertama kali muncul di komunitas kejahatan dunia maya pada Maret 2022, dipromosikan di saluran berbahasa Rusia sebagai pencuri info yang “siap pakai,” yang kuat dalam bentuk .NET yang dapat dieksekusi.

Hanya dengan 300 rubel, bernilai sekitar $3,64, pengguna juga dapat membeli opsi bawaan yang menampilkan crypter obfuscation (melalui ExoCrypt) untuk meningkatkan ketahanan terhadap deteksi AV.

Sejauh ini, ZingoStealer telah terlihat menginfeksi komputer melalui celah perangkat lunak, dan cheat video game yang dipromosikan di YouTube, tetapi vektor infeksi dapat bervariasi setiap saat.

Semua info yang dicuri disimpan di folder “C:\Users\AppData\Local\GinzoFolder”, di-zip, dan dieksfiltrasi ke server operator.

ZingoStealer juga memiliki malware penambangan cryptocurrency XMRig untuk menggunakan komputer korban untuk keuntungan finansial langsung.

Fitur ini ditambahkan dalam rilis terbaru, dan menggunakan PowerShell untuk menambahkan pengecualian yang diperlukan pada Windows Defender dan menjalankan penambang.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings