Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft Menyelidiki Klaim Pelanggaran oleh Geng Pemerasan

by

Microsoft sedang menyelidiki klaim bahwa kelompok peretasan yang berfokus pada pemerasan yang sebelumnya membahayakan perusahaan besar seperti Ubisoft dan Nvidia telah memperoleh akses ke sistem internal Microsoft, menurut sebuah pernyataan dari perusahaan.

Kelompok peretas, yang menggunakan nama sendiri LAPSUS$, telah berhasil menembus gelombang perusahaan baru-baru ini. LAPSUS$ terkadang membuat permintaan tebusan yang tidak biasa dari para korbannya, termasuk meminta Nvidia untuk membuka kunci aspek kartu grafisnya agar lebih cocok untuk menambang cryptocurrency. Kelompok tersebut sejauh ini tidak membuat tuntutan publik terhadap Microsoft.

Pada hari Minggu, LAPSUS$ memposting tangkapan layar yang tampaknya merupakan akun pengembang internal Microsoft ke saluran Telegram mereka. Tangkapan layar tampaknya berasal dari akun Azure DevOps, produk yang ditawarkan Microsoft yang memungkinkan pengembang berkolaborasi dalam proyek.

Proyek khusus yang ditampilkan di tangkapan layar termasuk “Bing_UX,” yang berpotensi merujuk pada pengalaman pengguna mesin pencari Bing Microsoft; “Bing-Source,” menunjukkan akses ke kode sumber mesin pencari; dan “Cortana,” asisten cerdas Microsoft. Bagian lain termasuk “mscomdev,” “microsoft,” dan “msblox,” menunjukkan siapa pun yang mengambil tangkapan layar mungkin memiliki akses ke repositori kode lain juga.

Apakah Anda tahu hal lain tentang pelanggaran ini atau yang lainnya? Kami akan senang mendengar dari Anda. Menggunakan telepon atau komputer non-kerja, Anda dapat menghubungi Joseph Cox dengan aman di Signal di +44 20 8133 5190, Wickr di josephcox, atau mengirim email ke joseph.cox@vice.com.

Tak lama setelah memposting tangkapan layar, administrator saluran Telegram LAPSUS$ menghapus gambar tersebut.

Awal bulan ini, grup tersebut mengatakan di saluran Telegramnya bahwa mereka sedang mencari karyawan di dalam perusahaan yang bersedia bekerja dengan mereka, termasuk Microsoft.

SCREENSHOT YANG DIUPLOAD OLEH LAPSUS$. GAMBAR: TELEGRAM.

Sejak Desember, kelompok tersebut telah melanggar Kementerian Kesehatan Brasil, sejumlah perusahaan Brasil dan Portugis, dan kemudian Nvidia dan Samsung masing-masing pada bulan Februari dan Maret, menurut garis waktu serangan LAPSUS yang diterbitkan oleh perusahaan keamanan siber Silent Push. Kelompok itu juga tampaknya mengambil pujian karena melanggar Ubisoft bulan ini.

Selama beberapa serangannya, kelompok tersebut meminta pembayaran sebagai imbalan untuk tidak membocorkan data internal yang telah dicuri dari para korban. Dalam kasus NVIDIA, para peretas menuntut agar perusahaan membuka sumber driver GPU-nya dan menghapus batasan pada kartu 30-seri di sekitar penambangan Ethereum, The Verge melaporkan pada saat itu. Di grup Telegramnya, LAPSUS$ juga mengklaim bahwa NVIDIA, atau seseorang yang bekerja atas namanya, meretas serangan dan mencoba mengenkripsi materi yang dicuri. Kelompok tersebut akhirnya membocorkan beberapa data NVIDIA serta data yang dicuri dari Samsung.

LAPSUS$ mungkin juga bertanggung jawab atas peretasan raksasa game Electronic Arts, meskipun peretas tidak menggunakan nama LUPSUS$ sampai setelah Motherboard mengungkapkan pelanggaran itu Juni lalu. Dalam posting selanjutnya di forum bawah tanah, seorang pengguna menulis “kredit sebenarnya adalah untuk LAPSUS$, kami akan membocorkan lebih banyak barang.”

Dalam email ke Motherboard, Stefano De Blasi, analis riset ancaman siber di perusahaan keamanan siber Digital Shadows, menunjukkan dua hal yang membuat LAPSUS$ berbeda dari geng pemerasan biasa. Pertama, kelompok tersebut tidak pernah benar-benar menyebarkan ransomware, melainkan mengekstrak data dan menggunakannya untuk memeras target. Ini memungkinkan grup untuk bergerak lebih diam-diam, kata De Blasi. De Blasi juga menunjuk pada kehadiran interaktif LAPSUS$ di Telegram, dan khususnya pesan grup dengan pengikutnya.

Sumber : Vice

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

by

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Sumber : @darktracer_int (twitter)

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Kerentanan OpenSSL dapat ‘dipersenjatai,’ kata direktur cyber NSA

by

Kerentanan kriptografi dalam algoritma modular Tonelli Shanks, yang digunakan di perpustakaan kriptografi populer OpenSSL, dapat menyebabkan serangan penolakan layanan dan “pasti dapat dijadikan senjata” di lingkungan ancaman saat ini, menurut seorang pejabat NSA.

Bug ditemukan oleh dua karyawan Google, peneliti keamanan Tavis Ormandy dan insinyur perangkat lunak David Benjamin, dan sedang dilacak di bawah CVE-2022-0778 memengaruhi fungsi BN_mod_sqrt() di OpenSSL, yang digunakan untuk menghitung akar kuadrat modular dan mem-parsing sertifikat yang menggunakan enkripsi kunci publik kurva eliptik.

Proses ini dapat dieksploitasi jika penyerang mengirimkan sertifikat dengan parameter kurva rusak, sehingga memicu loop tak terbatas dalam program dan mengarah ke penolakan layanan.

“Karena penguraian sertifikat terjadi sebelum verifikasi tanda tangan sertifikat, proses apa pun yang mem-parsing sertifikat yang disediakan secara eksternal dapat dikenakan serangan penolakan layanan,” kata OpenSSL dalam penasihat keamanan 15 Maret. “Loop tak terbatas juga dapat dicapai saat mem-parsing kunci pribadi yang dibuat karena dapat berisi parameter kurva eliptik eksplisit.”

Bug dapat dieksploitasi di klien TLS yang menggunakan sertifikat server, server TLS yang menggunakan sertifikat klien, penyedia hosting yang mengambil sertifikat atau kunci pribadi dari pelanggan mereka, otoritas yang mengurai permintaan sertifikasi dari pelanggan mereka dan “apa pun yang mem-parsing parameter kurva elips ASN.1 .” Ini memengaruhi OpenSSL versi 1.02, 1.1.1, dan 3.0, yang semuanya telah ditambal.

OpenSSL adalah komponen inti dari sistem berbasis Unix dan Linux, dan juga dibundel ke dalam aplikasi perangkat lunak yang berjalan di Windows. Kerentanan tersebut mendapat teguran dari pejabat keamanan siber NSA, yang memperingatkan para pembela HAM agar tidak tertipu oleh peringkat (relatif) tingkat keparahan yang rendah dan segera ditambal.

“Dengan kondisi ancaman internet saat ini, rekomendasikan untuk segera menambal CVE-2022-0778… Cacat ini memungkinkan serangan DOS pra-otentikasi pada OpenSSL,” Rob Joyce, direktur direktorat keamanan siber NSA, menulis Senin di Twitter. “Saya tahu itu ‘hanya’ diberi peringkat 7,5 [dari 10], tapi pasti bisa dijadikan senjata.”

Paul Ducklin, seorang peneliti keamanan di Sophos, mencatat bahwa itu “ironis” karena kerentanan tampaknya mengeksploitasi kesalahan dalam program atau aplikasi yang dengan benar mengikuti praktik terbaik untuk koneksi aman, sementara gagal memengaruhi program dan aplikasi yang menggunakan protokol yang kurang aman. .

Ducklin mencatat bahwa sementara bug itu kurang serius daripada kerentanan yang dapat dieksploitasi yang memungkinkan penyerang untuk menginstal malware secara diam-diam pada perangkat korban, itu perlu diperhatikan karena dapat menunjukkan adanya kekurangan dan bug tambahan yang tidak diketahui di tempat lain yang sedikit diketahui tetapi pustaka perangkat lunak yang umum digunakan seperti Log4J dan Heartbleed, kerentanan OpenSSL lainnya telah menunjukkan potensi dampak berbasis luas pada pengguna.

Sumber : https://www.scmagazine.com/analysis/application-security/openssl-vulnerability-can-definitely-be-weaponized-nsa-cyber-director-says

Bug BIOS Dell Baru Mempengaruhi Jutaan Inspiron, Vostro, XPS, Sistem Alienware

by

Lima kelemahan keamanan baru telah diungkapkan di BIOS Dell yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode pada sistem yang rentan, bergabung dengan kerentanan firmware seperti yang baru-baru ini ditemukan di InsydeH2O Insyde Software dan HP Unified Extensible Firmware Interface (UEFI).

Dilacak sebagai CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420, dan CVE-2022-24421, kerentanan tingkat tinggi diberi peringkat 8,2 dari 10 pada sistem penilaian CVSS.

“Eksploitasi aktif dari semua kerentanan yang ditemukan tidak dapat dideteksi oleh sistem pemantauan integritas firmware karena keterbatasan pengukuran Trusted Platform Module (TPM),” perusahaan keamanan firmware Binarly, yang menemukan tiga kelemahan terakhir, mengatakan dalam sebuah tulisan- ke atas.

“Solusi pengesahan kesehatan perangkat jarak jauh tidak akan mendeteksi sistem yang terpengaruh karena keterbatasan desain dalam visibilitas waktu proses firmware.”

Semua kelemahan terkait dengan kerentanan validasi input yang tidak tepat yang memengaruhi Mode Manajemen Sistem (SMM) firmware, yang secara efektif memungkinkan penyerang terotentikasi lokal untuk memanfaatkan interupsi manajemen sistem (SMI) untuk mencapai eksekusi kode arbitrer.

Mode Manajemen Sistem mengacu pada mode CPU tujuan khusus dalam mikrokontroler x86 yang dirancang untuk menangani fungsi di seluruh sistem seperti manajemen daya, kontrol perangkat keras sistem, pemantauan termal, dan kode yang dikembangkan pabrikan lainnya.

Setiap kali salah satu dari operasi ini diminta, non-maskable interrupt (SMI) dipanggil saat runtime, yang mengeksekusi kode SMM yang diinstal oleh BIOS. Mengingat bahwa kode SMM dijalankan pada tingkat hak istimewa tertinggi dan tidak terlihat oleh sistem operasi yang mendasarinya, metode ini membuatnya siap untuk disalahgunakan untuk menyebarkan implan firmware persisten.

Sejumlah produk Dell, termasuk Alienware, Inspiron, Vostro line-up, dan Edge Gateway 3000 Series, terpengaruh, dengan pabrikan PC yang bermarkas di Texas merekomendasikan pelanggan untuk mengupgrade BIOS mereka pada “kesempatan paling awal.”

“Kegagalan ini merupakan konsekuensi langsung dari kompleksitas basis kode atau dukungan untuk komponen lama yang kurang mendapat perhatian keamanan, tetapi masih banyak digunakan di lapangan. Dalam banyak kasus, kerentanan yang sama dapat diperbaiki melalui beberapa iterasi, dan tetap saja, kompleksitas permukaan serangan meninggalkan celah terbuka untuk eksploitasi jahat.”

Sumber : The Hacker News

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

by

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

  • Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

Serangan Browser-in-the Browser (BITB) Baru Membuat Phishing Hampir Tidak Terdeteksi

by

Teknik phishing baru yang disebut serangan browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu domain yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.

Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan opsi masuk tunggal (SSO) pihak ketiga yang disematkan di situs web seperti “Masuk dengan Google” (atau Facebook, Apple, atau Microsoft ).

Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.

“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan itu pada dasarnya tidak dapat dibedakan,” kata mrd0x_ dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”

Meskipun metode ini secara signifikan mempermudah pemasangan kampanye manipulasi psikologis yang efektif, perlu diperhatikan bahwa calon korban perlu dialihkan ke domain phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.

“Tapi begitu mendarat di situs web milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.

Sumber : The Hacker News

Security BUKAN Hanya Hacking!

by

Sebagian alasan mengapa banyak wanita tidak memasuki bidang ini adalah karena kesalahpahaman umum tentang apa yang sebenarnya dilakukan oleh para profesional keamanan.

Orang-orang menonton Mr. Robot atau terhubung dengan praktisi yang hanya memposting tentang peretasan, sehingga mempromosikan persepsi bahwa pilihan karir dunia maya terlarang karena keahlian itu diperlukan untuk masuk.

Sebagai praktisi, kami menghabiskan banyak waktu kami untuk mencoba MENGHENTIKAN peretas, cracker, script kiddies, dll. dari memengaruhi aset penting atau merusak situs web dan menyebabkan kerusakan reputasi. Ini mungkin mengejutkan banyak orang, tetapi kami juga melakukan banyak membaca dan meneliti dan mengutuk dan menggaruk-garuk kepala, semuanya bukan untuk menjadi Sony atau Target berikutnya.

Apakah kita perlu memahami bagaimana peretas beroperasi dan bagaimana mereka melakukan apa yang mereka lakukan? Sangat. Apakah kita perlu menjadi peretas yang hebat untuk mencapai tujuan itu? Tentu saja tidak.

Faktanya, banyak dari kita yang tidak berhasil sama sekali, namun berhasil merancang sistem dan solusi yang dapat dipertahankan yang mampu menggagalkan dan membingungkan peretas. JADI, adegan dari Mr. Robot bukanlah hal yang biasa…setidaknya bagi kebanyakan dari kita.

Ada beberapa yang tugas utamanya adalah “meretas dengan tujuan” – kami menyebut orang-orang itu sebagai penguji penetrasi atau “pena” dan mereka menghabiskan siang dan malam mereka mencari kerentanan dan eksploitasi dalam sistem dan mengeksploitasinya sejauh yang diizinkan oleh keterlibatan.

Mereka dapat dikenali dari lingkaran hitam yang mengelilingi mata mereka dan gumaman mereka yang tak henti-hentinya tentang bir dan pizza. Mereka kemudian NAMUN (dan inilah bagian integralnya) bekerja dengan perusahaan yang mereka tembus untuk membantu mereka memperbaiki masalah sehingga peretas yang lebih jahat tidak akan memasukkan mereka ke dalam berita.

Selengkapnya: Keirsten Brager

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

by

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry