Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Telah terjadi peningkatan besar dalam serangan phishing menggunakan add-in Microsoft Excel XLL

by

Gelombang serangan siber memanfaatkan file add-in Microsoft Excel untuk mengirimkan beberapa bentuk malware dalam kampanye yang dapat membuat bisnis rentan terhadap pencurian data, ransomware, dan kejahatan dunia maya lainnya.

Dirinci oleh para peneliti di HP Wolf Security, kampanye tersebut menggunakan file tambahan Microsoft Excel (XLL) berbahaya untuk menginfeksi sistem dan ada peningkatan serangan hampir enam kali lipat (588%) menggunakan teknik ini selama kuartal terakhir tahun 2021 dibandingkan dengan tiga bulan sebelumnya.

File add-in XLL sangat populer karena memungkinkan pengguna untuk menggunakan berbagai macam alat dan fungsi tambahan di Microsoft Excel. Tapi seperti makro, mereka adalah alat yang dapat dieksploitasi oleh penjahat cyber.

Serangan didistribusikan melalui email phishing berdasarkan referensi pembayaran, faktur, kutipan, dokumen pengiriman dan pesanan yang datang dengan dokumen Excel berbahaya dengan file tambahan XLL. Menjalankan file berbahaya meminta pengguna untuk menginstal dan mengaktifkan add-in, yang secara diam-diam akan menjalankan malware di mesin korban.

Keluarga malware yang diidentifikasi dikirim dalam serangan yang memanfaatkan file XLL termasuk Dridex, IcedID, BazaLoader, Agen Tesla, Raccoon Stealer, Formbook, dan Bitrat. Banyak dari bentuk malware ini dapat membuat pintu belakang ke sistem Windows yang disusupi, memberikan penyerang kemampuan untuk mengakses mesin dari jarak jauh, memantau aktivitas, dan mencuri data.

Selengkapnya: ZDNet

File teks CSV berbahaya yang digunakan untuk menginstal malware BazarBackdoor

by

Kampanye phishing baru menggunakan file teks CSV yang dibuat khusus untuk menginfeksi perangkat pengguna dengan malware BazarBackdoor.

File comma-separated values (CSV) adalah file teks yang berisi baris teks dengan kolom data yang dipisahkan oleh koma. Dalam banyak kasus, baris pertama teks adalah header, atau deskripsi, untuk setiap kolom.

Menggunakan CSV adalah metode populer untuk mengekspor data dari aplikasi yang kemudian dapat diimpor ke program lain sebagai sumber data, baik itu Excel, database, pengelola kata sandi, atau perangkat lunak penagihan.

Microsoft Excel memiliki fitur yang disebut Dynamic Data Exchange (DDE), yang dapat digunakan untuk menjalankan perintah yang outputnya dimasukkan ke dalam spreadsheet yang terbuka, termasuk file CSV.

Sayangnya, pelaku ancaman juga dapat menyalahgunakan fitur ini untuk menjalankan perintah yang dapat mengunduh dan menginstal malware pada korban yang tidak menaruh curiga.

Kampanye phishing baru yang ditemukan oleh peneliti keamanan Chris Campbell menginstal trojan BazarLoader/BazarBackdoor melalui file CSV berbahaya.

Email phishing berpura-pura menjadi “Saran Pengiriman Uang” dengan tautan ke situs jarak jauh yang mengunduh file CSV dengan nama yang mirip dengan ‘document-21966.csv.’

Untungnya, ketika file CSV ini dibuka di Excel, program akan melihat panggilan DDE dan meminta pengguna untuk “mengaktifkan pembaruan tautan otomatis”, yang ditandai sebagai masalah keamanan.

Sumber: Bleeping Computer

Bahkan jika mereka mengaktifkan fitur tersebut, Excel akan menunjukkan kepada mereka prompt lain yang mengonfirmasi apakah WMIC harus diizinkan untuk mulai mengakses data jarak jauh.

Sumber: Bleeping Computer

Jika pengguna mengonfirmasi kedua perintah tersebut, Microsoft Excel akan meluncurkan skrip PowerShell, DLL akan diunduh dan dijalankan, dan BazarBackdoor akan diinstal pada perangkat.

Selengkapnya: Bleeping Computer

Grup Peretasan ‘White Tur’ Meminjam Teknik Dari Beberapa APT

by

Seorang aktor ancaman baru yang terperinci telah diamati menggunakan berbagai teknik yang dipinjam dari beberapa aktor ancaman persisten tingkat lanjut (APT), tim intelijen ancaman dunia maya PwC melaporkan.

Dijuluki White Tur, advisory ini belum dikaitkan dengan geografi tertentu, meskipun tampaknya telah aktif setidaknya sejak 2017.

Sebagai bagian dari serangan yang diidentifikasi pada Januari 2021, grup tersebut mendaftarkan subdomain mail[.]mod[.]qov[.]rs untuk mengelabui kredensial login pegawai Kementerian Pertahanan Serbia.

Domain phishing memiliki sertifikat TLS menggunakan istilah ‘qov’, yang meniru kata ‘gov’. Teknik spoofing .gov sebelumnya digunakan oleh aktor APT seperti Sofacy yang terkait dengan Rusia (juga dikenal sebagai APT28).

White Tur juga terlihat menyalahgunakan proyek open source OpenHardwareMonitor untuk eksekusi payload. Untuk itu, ia menyuntikkan kode ke alat yang sah, menggunakan teknik yang sebelumnya digunakan oleh aktor ancaman ZINC yang berbasis di Korea Utara.

Pelaku ancaman juga diamati menggunakan paket pintu belakang sebagai DLL, yang memungkinkannya mengelola file, mengunggah dan mengunduh file, menjalankan perintah, dan mengatur waktu tidur malware. Ini, kata PwC, adalah “pintu belakang paling fungsional” di gudang senjata White Tur.

Selengkapnya: Security Week

Kerentanan keamanan SureMDM dapat menyebabkan Serangan Rantai Pasokan

by

Berbagai kerentanan keamanan telah diungkapkan dalam solusi 42 Gears SureMDM. Ini adalah solusi manajemen perangkat seluler yang dapat dimanipulasi oleh pelaku ancaman untuk melakukan serangan rantai pasokan.

Sebuah perusahaan Cybersecurity bernama Immersive Labs adalah yang pertama kali mengidentifikasi kerentanan dan telah menyebutkan rincian makalah mereka. 42 Gears telah merilis serangkaian pembaruan dari Nov 2021 hingga Jan 2022 untuk mengatasi berbagai kelemahan yang memengaruhi agen Linux dan konsol web mereka.

42 Gears adalah perusahaan manajemen perangkat seluler berbasis di India yang memiliki produk SureMDM yang mendukung manajemen lintas platform yang memungkinkan admin memantau, mengelola, mengontrol, dan mengamankan perangkat milik perusahaan, BYOD, dan COPE dari jarak jauh.

Sesuai informasi yang dibagikan oleh 42 Gears, SureMDM digunakan secara aktif oleh sekitar 10.000 organisasi di seluruh dunia.

Berikut ini adalah daftar kerentanan keamanan yang teridentifikasi:

  • SureMDM agent spoofing
  • SureMDM agent authentication bypass
  • SureMDM dashboard XSS
  • SureMDM agent remote code execution
  • SureMDM Linux agent command injection
  • SureMDM Linux agent remote code execution
  • SureMDM Linux agent default root credentials
  • SureMDM Linux agent local privilege escalation
  • SureMDM Linux Sensitive Information Disclosure

Dengan berbagai kerentanan ini, penyerang akan dapat menonaktifkan program keamanan dan menyebarkan muatan ke perangkat Linux, MacOS, dan Android dengan SureMDM sebagai katalis untuk operasi mereka, kata Kev Breen, Direktur Riset Ancaman di Immersive Labs. Dia juga menambahkan bahwa penyerang dapat mengeksploitasi semua kelemahan yang disebutkan di atas tanpa memiliki akun SureMDM.

Kerentanan ini nantinya dapat digabungkan untuk melakukan serangan rantai pasokan ketika pengguna masuk ke akun SureMDM mereka sehingga menginfeksi dan membahayakan semua perangkat yang dikelola dalam jaringan.

Selngkapnya: The Cybersecurity Times

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

Situs WordPress 600K dipengaruhi oleh kerentanan RCE plugin kritis

by

Essential Addons for Elementor, plugin WordPress populer yang digunakan di lebih dari satu juta situs, telah ditemukan memiliki kerentanan eksekusi kode jarak jauh (RCE) kritis di versi 5.0.4 dan yang lebih lama.

Cacat memungkinkan pengguna yang tidak diautistik untuk melakukan serangan inklusi file lokal, seperti file PHP, untuk mengeksekusi kode di situs.

“Kerentanan inklusi file lokal ada karena cara data input pengguna digunakan di dalam PHP termasuk fungsi yang merupakan bagian dari fungsi ajax_load_more dan ajax_eael_product_gallery,” jelas peneliti PatchStack yang menemukan kerentanan.

Satu-satunya prasyarat untuk serangan ini adalah agar situs tersebut mengaktifkan widget “galeri dinamis” dan “galeri produk” sehingga tidak ada pemeriksaan token yang ada.

Dua upaya patching gagal

Peneliti Wai Yan Muo Thet menemukan kerentanan pada 25 Januari 2022, dan pengembang plugin sudah tahu tentang keberadaannya pada saat itu.

Bahkan, penulis telah merilis versi 5.0.3 untuk mengatasi masalah ini dengan menerapkan fungsi “sanitize_text_field” pada data input pengguna. Namun, sanitasi ini tidak mencegah masuknya muatan lokal.

Upaya kedua adalah versi 5.0.4, yang menambahkan fungsi “sanitize_file_name” dan berusaha untuk menghapus karakter khusus, titik,garis miring, dan apa pun yang dapat digunakan untuk mengesampingkan langkah sanitasi teks.

Ini adalah versi yang diuji patchstack dan menemukan rentan, sehingga mereka memberitahu pengembang bahwa perbaikan tidak mengurangi masalah cukup.

Akhirnya, penulis merilis versi 5.0.5 yang menerapkan fungsi “realpath” PHP, mencegah resolusi pathname berbahaya.

Memperbarui dan mengurangi

Versi ini dirilis minggu lalu, pada tanggal 28 Januari 2022, dan saat ini hanya diinstal sekitar 380.000 kali menurut statistik unduhan WordPress.

Dengan plugin yang diinstal di lebih dari 1 juta situs WordPress, itu berarti ada lebih dari 600 ribu situs yang belum menerapkan pembaruan keamanan.

Jika Anda termasuk di antara banyak yang menggunakan Essential Addons untuk Elementor, Anda bisa mendapatkan versi terbaru dari sini atau menerapkan pembaruan langsung dari dasbor WP.

Untuk mencegah aktor memanfaatkan kelemahan inklusi file lokal bahkan ketika mereka tidak dapat dikurangi secara langsung, ikuti langkah-langkah ini:

  • Simpan jalur file Anda dalam database yang aman dan berikan ID untuk setiap orang.
  • Gunakan file allowlist yang diverifikasi dan aman dan abaikan yang lainnya.
  • Jangan sertakan file di server web yang dapat dikompromikan, tetapi gunakan database sebagai gantinya.
  • Buat server mengirim header unduhan secara otomatis alih-alih mengeksekusi file di direktori tertentu.

Sumber: Bleepingcomputer

Apa yang Baru di Chrome 98, Tersedia Sekarang

by

Kami memulai Februari 2022 dengan rilis baru Google Chrome. Versi 98 dari browser populer membawa “Panduan Privasi” baru untuk memeriksa beberapa pengaturan penting, emoji yang lebih bersih, dan alat tangkapan layar baru. Mari kita lihat.

Panduan Privasi


Salah satu fitur baru terbesar di Chrome 98 disebut “Panduan Privasi.” Ini masih tersembunyi di balik bendera, tetapi tampaknya hampir siap untuk primetime. Panduan Privasi adalah alat yang membantu Anda memeriksa privasi dan keamanan browser Anda.

Tersedia di desktop dan seluler dengan bendera chrome://flags/#privacy-review, Panduan Privasi dapat ditemukan di pengaturan “Keamanan &Privasi”. Ini adalah tur berpemandu yang bagus melalui beberapa pengaturan yang memungkinkan Anda untuk mengunci privasi Anda. Anda tidak perlu pergi berburu untuk pilihan sendiri.

Emoji yang lebih bagus


Chrome 98 menerapkan satu set baru COLRv1 Color Gradient Vector Fonts. Apa artinya itu bagi Anda adalah emoji yang dapat menskalakan lebih baik dan datang dalam ukuran filer yang lebih kecil. Ini sebagian besar berkat beralih ke format vektor dari PNG. Ini bukan sesuatu yang akan Anda perhatikan dengan emoji kecil, tetapi ketika Anda memperbesar, Anda dapat melihat peningkatan yang cukup besar. Check it out untuk diri sendiri dengan website ini.

Ambil Screenshot di Browser


Tidak sulit untuk mengambil tangkapan layar dengan Windows atau Mac, tetapi memang memerlukan pemotongan bagian dari jendela browser yang mungkin tidak ingin Anda sertakan. Chrome 98 membuat ini lebih mudah dengan alat screenshot built-in.

Ketika Anda mengklik ikon berbagi di bilah alamat Anda akan melihat opsi “Screenshot” baru. Selain itu, Chrome untuk Android sedang menguji kemampuan untuk menambahkan emoji ke tangkapan layar. Hal ini dapat ditemukan dengan memungkinkan bendera chrome://flags/#lightweight-reactions-android. Ini menambahkan tombol “Tambahkan Emosi” baru ke menu berbagi.

Aplikasi Web Yang Lebih Baik Menjadi Stabil


Google sedang menguji bar teratas yang lebih “asli” untuk aplikasi web di Chrome 97 dan sekarang stabil di Chrome 98. Bar atas lebih baik memanfaatkan ruang yang tersedia untuk hal-hal seperti bilah pencarian. Dibutuhkan lebih sedikit ruang secara keseluruhan dan hanya terlihat sedikit lebih bagus. Anda dapat mengujinya dengan menginstal situs demo ini sebagai aplikasi.

Apa lagi yang baru?

Google sekarang merilis setiap versi Chrome setiap empat minggu, yang berarti fitur heboh besar tidak sering. Namun, masih banyak yang terjadi di bawah permukaan. Anda dapat membaca tentang banyak perubahan ini di situs pengembang Google serta di blog Chromium. Kami akan menyoroti beberapa perubahan di sini:

  • Chrome 98 memungkinkan Anda menentukan apakah window.open() meluncurkan jendela baru atau tab baru.
  • Uji Coba Baru untuk Pengambilan Wilayah, API untuk memotong trek video pengambilan sendiri.
  • Back / forward cache (atau bfcache) adalah optimasi browser baru yang memungkinkan navigasi kembali / maju instan.
  • Panel Lighthouse sekarang menjalankan Lighthouse 9.

Cara Memperbarui Google Chrome

Chrome akan secara otomatis menginstal pembaruan pada perangkat Anda saat tersedia. Untuk segera memeriksa dan menginstal pembaruan yang tersedia, klik ikon menu tiga titik dan klik Bantuan > Tentang Google Chrome.

Sumber: How-To Geek

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

by

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer