Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kampanye Serangan Kelelahan MFA Saat Ini Menargetkan Pengguna Microsoft Office 365

by

Otentikasi Multi-faktor atau MFA (2FA) adalah cara terbaik untuk melindungi akun Office 365 Anda dari penyerang yang mencoba mendapatkan akses ke akun tersebut. Ada banyak opsi MFA termasuk SMS, One Time Passwords (OTP) dan pemberitahuan push dari aplikasi.

Namun dalam kasus ini, kami memeriksa Kelelahan MFA dengan berfokus pada vektor serangan saat ini—Push Notification Spamming. GoSecure Titan Labs mengidentifikasi vektor ancaman baru menggunakan serangan Kelelahan MFA berdasarkan penyelidikan terbaru.

Pelaku ancaman dikenal secara aktif menggunakan metode semacam ini untuk menembus akun Office 365 dan membahayakan seluruh organisasi. Karena mekanisme otentikasi berbasis aplikasi semakin diadopsi sebagai cara yang lebih aman untuk mengautentikasi pengguna (dibandingkan SMS atau panggilan telepon), kecenderungan ini diharapkan akan tumbuh di masa depan, bahkan didorong oleh Microsoft sendiri

Istilah “Kelelahan MFA” sendiri mengacu pada pemberitahuan atau permintaan yang berlebihan melalui aplikasi MFA, di beberapa akun, yang diterima pengguna pada siang hari untuk melakukan login atau menyetujui tindakan yang berbeda.

MFA dapat menggunakan beragam media untuk mengautentikasi pengguna, seperti pesan SMS atau panggilan telepon di mana pengguna mengotentikasi identitas mereka melalui nomor telepon yang telah dikonfigurasi sebelumnya. Pilihan lainnya adalah pemberitahuan push dari aplikasi. Ini adalah metode otentikasi yang akan kita fokuskan, karena memungkinkan penyerang melakukan serangan spam pemberitahuan push.

Teknik ini mengharuskan penyerang mengirimkan pemberitahuan push berulang kali saat mencoba masuk ke akun korban. Kredensial yang digunakan dapat diperoleh melalui pemaksaan kasar, penggunaan kembali kata sandi, atau penyemprotan. Setelah penyerang mendapatkan kredensial yang valid, mereka akan melakukan spam notifikasi push berulang kali hingga pengguna menyetujui upaya login dan memungkinkan penyerang mendapatkan akses ke akun.

Untungnya, jenis serangan ini dapat dideteksi langsung dari portal Azure dengan memeriksa Log Masuk. Kami sangat menyarankan agar profesional TI mengambil langkah-langkah berikut:

Buka pusat administrasi Azure Active Directory.
Di bawah Pemantauan, Anda akan menemukan Log Masuk, tempat informasi tentang masuk dan sumber daya pengguna dicatat.
Kemudian filter Status masuk dengan Kegagalan untuk mendapatkan daftar pemberitahuan push MFA ditolak.

Dari sini, mulailah menyelidiki setiap aktivitas satu per satu dengan membuka Detail Otentikasi.
Beberapa peristiwa harus dilihat sebagai pemberitahuan aplikasi Seluler di bawah kolom Metode Otentikasi.
Pemberitahuan push spam harus salah di bawah kolom Berhasil dan MFA ditolak; pengguna menolak otentikasi di bawah Detail hasil.

Cara Mengurangi Spamming Pemberitahuan Push

  • Mengonfigurasi Batas Layanan

    • Mengonfigurasi batas default layanan Multi-Factor Authentication. Batasan ini, baik default maupun maksimum, dapat ditemukan di dokumentasi Azure Resource Manager.

  • Masuk dengan Telepon

    • Menggunakan metode verifikasi masuk melalui telepon dari Microsoft Authenticator. Dalam skenario ini, nomor dua digit unik dihasilkan dan harus dikonfirmasi di kedua sisi. Ini sangat sulit bagi penyerang untuk berkompromi karena penyerang diperlihatkan nomor yang harus ditebak di telepon (yang tidak dapat diakses oleh penyerang). Hanya penyerang yang akan mengetahui nomornya dan untuk menyetujui akses, pengguna harus memilih nomor dari tiga opsi.

    Selengkapnya : Go Secure

Peretas Crypto Mencuri $36 Juta dari Akun Pensiun

by

Peretas Crypto mencuri hampir $36 juta dari akun pensiun IRA Financial Trust. Menurut Bloomberg, para peretas berhasil menguras $21 juta dalam bentuk bitcoin dan mengumpulkan $15 juta dalam Ethereum dari pelanggan IRA Financial Trust.

IRA Financial menemukan peretasan pada 9 Februari ketika itu memengaruhi beberapa pelanggan yang mengandalkan pertukaran crypto Gemini Trust Co. Menurut Chainalysis, platform data blockchain, dana tersebut terkait dengan aktivitas pencucian uang dan operasi dilakukan melalui layanan “mixer” Tornado.

Juru bicara IRA Financial mengatakan kepada Bloomberg, perusahaan sedang fokus menyelidiki kontrol keamanan terkait klaim tersebut. Adam Bergman, Pendiri IRA Financial Trust mentweet sebuah surat pada hari Sabtu yang mengatakan, perusahaan “telah mendeteksi aktivitas mencurigakan yang secara khusus melibatkan jumlah pelanggan yang sangat terbatas di bursa cryptocurrency Gemini. Saya sangat kecewa dengan apa yang terjadi, dan saya ingin meyakinkan Anda bahwa kami mengambil semua langkah yang tepat untuk mengatasi situasi ini termasuk keterlibatan ahli forensik pihak ketiga dan penegak hukum negara bagian dan federal.”

Pertukaran cryptocurrency Gemini menawarkan layanan ke akun IRA Finacial di Reddit mengatakan tidak mengelola keamanan sistem IRA Financial.

Sementara seseorang yang menjadi korban insiden peretasan mengatakan, “Saya diberitahu bahwa IRA Financial telah diretas pada 8 Februari. Akun saya ditautkan ke Gemini dan juga telah diretas,”

Namun yang lain menulis di Reddit. “Uang ditransfer dari akun Gemini saya ke seseorang secara acak. Saya telah menindaklanjuti dengan Gemini dan IRA Financial dan mereka mengatakan sedang mengerjakannya. Saya belum pernah mendengar ada orang lain yang terpengaruh oleh peretasan ini.”

Sumber : TechnoidHost

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

by

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Peretas bisa saja mencetak ‘Ether’ tanpa batas tetapi memilih hadiah bug $ 2 juta sebagai gantinya

by

Peretas “grey hat” gadungan menemukan cara untuk mengelabui solusi penskalaan Ethereum Optimism agar secara efektif mencetak Ether tanpa batas awal bulan ini.

Insinyur perangkat lunak Jay Freeman (yang menggunakan Saurik online) tidak memanfaatkan eksploitasi. Sebagai gantinya, dia melaporkan masalah tersebut ke tim pengembang Optimism, yang memberinya hadiah bug $2 juta.

Freeman mungkin paling dikenal karena karyanya di Cydia, toko aplikasi untuk iPhone yang sudah di-jailbreak. Namun, baru-baru ini dia mencari bug di blockchain.

Menurut perincian di situs web Freemans, ia menemukan kesalahan itu saat melihat apa yang disebut “protokol pembayaran nano.”

Mereka memungkinkan pengguna untuk mengirim sejumlah kecil crypto dengan sedikit biaya transaksi, meskipun dengan pengorbanan keamanan.

Mirip dengan jembatan blockchain seperti Wormhole, platform ini mencetak token Eter alternatif yang hanya ada di jaringan Optimism.

Pengguna pertama-tama mengunci ETH mereka di dalam kontrak pintar sebagai jaminan untuk menerima token mereka, yang berfungsi ganda sebagai IOU.

Token ini kemudian dapat ditransaksikan lebih cepat dan lebih murah dibandingkan dengan transaksi on-chain (hampir seketika), yang menjadikan Optimisme sebagai solusi “lapisan 2” (L2) potensial untuk menskalakan Ethereum.

Ketika pengguna Optimism ingin menguangkan IOU mereka, mereka harus menunggu satu minggu terlebih dahulu sebelum token Ether “asli” mereka dirilis.

Freeman menemukan kesalahan di bagian kode Optimism yang memaksa kontrak pintar untuk menghapus dirinya sendiri dan mengembalikan Eter terkait ke pengirim.

Fungsi “SELFDESTRUCT” Optimisme mengembalikan kripto ke pengirim tetapi tetap mempertahankan IOU Eter off-chain terkait. Ini dapat dieksploitasi untuk mengelabui kontrak pintar agar mengulang kesalahan — sehingga menghasilkan kripto “lapisan 2” yang tak terbatas.

Menariknya, Freeman mengatakan seseorang dari penjelajah blockchain Ethereum Etherscan telah menemukan bug sebelumnya, pada Malam Natal tahun lalu, tetapi mungkin tidak menyadari potensinya.

Freeman percaya bahwa sifat “taruhan tinggi” dari crypto berarti bug yang merusak keamanan tidak boleh disebarkan di tempat pertama.

Freeman mencatat bahwa dia terkadang “menolak” untuk membantu proyek-proyek blockchain dengan “masalah dasar desentralisasi atau keamanan,” sebagai prinsip inti dari teknologi yang “tidak dapat diabaikan.”

Sumber : Protos

Peretas GiveSendGo Bocorkan Nama Bocor, Data Pribadi Donatur untuk Protes ‘Freedom Convoy’

by

Peretas meretas situs penggalangan dana GiveSendGo semalam dan membocorkan nama dan detail pribadi donor untuk protes Konvoi Kebebasan Pengemudi Truk Ottawa.

Menurut situs web GiveSendGo, situs tersebut diretas beberapa jam setelah “dalam pemeliharaan,” dan dialihkan ke halaman yang dikendalikan oleh peretas. Halaman itu tidak dimuat sekarang, meskipun mengutuk para pengemudi truk yang turun ke ibu kota Kanada untuk menentang vaksinasi wajib COVID-19. Menyebabkan gangguan yang meluas pada lalu lintas dan perdagangan selama lebih dari seminggu.

Ada juga tautan yang ada di halaman yang ditautkan ke file yang berisi puluhan ribu catatan. Dilabeli sebagai “data donasi mentah” yang berisi rincian orang yang menyumbang ke Freedom Convoy.

Menurut Distributed Denial of Secrets, situs kebocoran nirlaba, menerima 30 megabyte informasi donor dari GiveSendGo. Ini termasuk nama yang dilaporkan sendiri, alamat email, kode ZIP, dan alamat IP. Situs ini terkenal karena menampung kumpulan data yang bocor yang melibatkan kelompok sayap kanan dan mengatakan akan memberikan data hanya kepada peneliti dan jurnalis.

Jacob Wells, pendiri GiveSendGo tidak dapat memberikan komentar atas insiden tersebut.

Ini bukan pertama kalinya GiveSendGo diretas, sebelumnya organisasi tersebut terpapar ke internet karena ember S3 yang dihosting Amazon menyimpan lebih dari seribu dokumen identitas,

GiveSendGo, yang berbasis di Boston, Massachusetts adalah layanan donasi utama untuk “Konvoi Kebebasan”. GoFundMe awal bulan lalu menghentikan kampanye crowdsourcing dan membekukan jutaan dolar dalam donasi, mengutip laporan polisi tentang kekerasan di Ottawa. Sementara pengadilan Kanada mengeluarkan perintah untuk menghentikan akses ke dana yang dikumpulkan oleh GiveSendGo, yang menurut perusahaan akan ditentang.

Sumber : TechnoidHost

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

by

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

by

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Google Chrome 98 update

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

Mod Dituduh Menambang Bitcoin, Virus Dihapus dari Steam

by

Selama beberapa hari terakhir, serangkaian mod untuk game strategi PC Cities: Skylines telah dihapus dari Steam setelah pengguna mulai khawatir bahwa mod tersebut berisi segala macam hal buruk, mulai dari keylogger hingga virus hingga perangkat lunak penambangan bitcoin.

Alarm dibunyikan oleh cerita NME ini dan posting Reddit berikutnya, menunjukkan bahwa pengunggah mod telah dilarang dan ada risiko serius bagi komputer pengguna. Seperti yang dijelaskan oleh cerita NME:

Pada tahun 2021, seorang modder dengan nama Chaos meluncurkan versi “desain ulang” dari mod yang disebut Harmony, sebuah proyek kerangka kerja vital yang diandalkan oleh sebagian besar mod di Cities: Skylines untuk berfungsi.

Chaos juga kemudian “mendesain ulang” beberapa mod populer untuk game tersebut, dan mencantumkan versi Harmony yang dimodifikasi sebagai unduhan inti – yang berarti bahwa pemain harus pergi dan mengunduhnya agar mod yang bergantung dapat berfungsi.

Namun, ditemukan bahwa pembaruan otomatis terkubur dalam versi Harmony ini, yang memungkinkan Chaos mengirimkan malware ke perangkat siapa pun yang mengunduhnya. Kode berbahaya lainnya digunakan untuk melumpuhkan kinerja mod lain, yang pada gilirannya menyebabkan pemain mengunduh lebih banyak mod Chaos karena diiklankan sebagai solusi untuk masalah ini. Ini ditemukan ketika beberapa modder yang terpengaruh yang, setelah menerima laporan kinerja yang lambat dari penggemar, menemukan kode berbahaya.

Sementara prospek yang menakutkan bagi setiap pengguna yang telah mengunduh mod individual, penyelidikan oleh Cities: Skylines developer Colossal Order menemukan bahwa meskipun mod itu sendiri tidak mengandung sesuatu yang serius seperti yang ditakutkan pertama kali, mereka masih dihapus dari Steam. Satu karena, seperti yang diklaim, itu bisa membiarkan pintu terbuka untuk mengunduh “perangkat lunak berbahaya”:

Kami baru-baru ini melarang beberapa mod dari Cities: Skylines Workshop dan ingin menjernihkan beberapa informasi yang salah seputar mod ini. Mod yang dimaksud, yang telah dilarang, adalah “Ekstensi Jaringan 3” dan “Pembaruan dari Github.”

Tidak ada keylogger, virus, perangkat lunak penambangan bitcoin, atau sejenisnya yang ditemukan di mod di Steam Workshop.

“Ekstensi Jaringan 3”, mod yang diduga mengandung malware, dilarang karena mendiskriminasi pengguna Steam tertentu. Pertama, itu memblokir daftar pendek pengguna Steam dari menggunakan mod, tetapi ini kemudian diubah untuk menyebabkan gameplay yang tampaknya bermasalah. Memblokir pengguna atau membuat batasan khusus untuk mereka melanggar Perjanjian Pelanggan Steam dan mengakibatkan mod dilarang.

Sumber : Kotaku