Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

Situs WordPress 600K dipengaruhi oleh kerentanan RCE plugin kritis

by

Essential Addons for Elementor, plugin WordPress populer yang digunakan di lebih dari satu juta situs, telah ditemukan memiliki kerentanan eksekusi kode jarak jauh (RCE) kritis di versi 5.0.4 dan yang lebih lama.

Cacat memungkinkan pengguna yang tidak diautistik untuk melakukan serangan inklusi file lokal, seperti file PHP, untuk mengeksekusi kode di situs.

“Kerentanan inklusi file lokal ada karena cara data input pengguna digunakan di dalam PHP termasuk fungsi yang merupakan bagian dari fungsi ajax_load_more dan ajax_eael_product_gallery,” jelas peneliti PatchStack yang menemukan kerentanan.

Satu-satunya prasyarat untuk serangan ini adalah agar situs tersebut mengaktifkan widget “galeri dinamis” dan “galeri produk” sehingga tidak ada pemeriksaan token yang ada.

Dua upaya patching gagal

Peneliti Wai Yan Muo Thet menemukan kerentanan pada 25 Januari 2022, dan pengembang plugin sudah tahu tentang keberadaannya pada saat itu.

Bahkan, penulis telah merilis versi 5.0.3 untuk mengatasi masalah ini dengan menerapkan fungsi “sanitize_text_field” pada data input pengguna. Namun, sanitasi ini tidak mencegah masuknya muatan lokal.

Upaya kedua adalah versi 5.0.4, yang menambahkan fungsi “sanitize_file_name” dan berusaha untuk menghapus karakter khusus, titik,garis miring, dan apa pun yang dapat digunakan untuk mengesampingkan langkah sanitasi teks.

Ini adalah versi yang diuji patchstack dan menemukan rentan, sehingga mereka memberitahu pengembang bahwa perbaikan tidak mengurangi masalah cukup.

Akhirnya, penulis merilis versi 5.0.5 yang menerapkan fungsi “realpath” PHP, mencegah resolusi pathname berbahaya.

Memperbarui dan mengurangi

Versi ini dirilis minggu lalu, pada tanggal 28 Januari 2022, dan saat ini hanya diinstal sekitar 380.000 kali menurut statistik unduhan WordPress.

Dengan plugin yang diinstal di lebih dari 1 juta situs WordPress, itu berarti ada lebih dari 600 ribu situs yang belum menerapkan pembaruan keamanan.

Jika Anda termasuk di antara banyak yang menggunakan Essential Addons untuk Elementor, Anda bisa mendapatkan versi terbaru dari sini atau menerapkan pembaruan langsung dari dasbor WP.

Untuk mencegah aktor memanfaatkan kelemahan inklusi file lokal bahkan ketika mereka tidak dapat dikurangi secara langsung, ikuti langkah-langkah ini:

  • Simpan jalur file Anda dalam database yang aman dan berikan ID untuk setiap orang.
  • Gunakan file allowlist yang diverifikasi dan aman dan abaikan yang lainnya.
  • Jangan sertakan file di server web yang dapat dikompromikan, tetapi gunakan database sebagai gantinya.
  • Buat server mengirim header unduhan secara otomatis alih-alih mengeksekusi file di direktori tertentu.

Sumber: Bleepingcomputer

Apa yang Baru di Chrome 98, Tersedia Sekarang

by

Kami memulai Februari 2022 dengan rilis baru Google Chrome. Versi 98 dari browser populer membawa “Panduan Privasi” baru untuk memeriksa beberapa pengaturan penting, emoji yang lebih bersih, dan alat tangkapan layar baru. Mari kita lihat.

Panduan Privasi


Salah satu fitur baru terbesar di Chrome 98 disebut “Panduan Privasi.” Ini masih tersembunyi di balik bendera, tetapi tampaknya hampir siap untuk primetime. Panduan Privasi adalah alat yang membantu Anda memeriksa privasi dan keamanan browser Anda.

Tersedia di desktop dan seluler dengan bendera chrome://flags/#privacy-review, Panduan Privasi dapat ditemukan di pengaturan “Keamanan &Privasi”. Ini adalah tur berpemandu yang bagus melalui beberapa pengaturan yang memungkinkan Anda untuk mengunci privasi Anda. Anda tidak perlu pergi berburu untuk pilihan sendiri.

Emoji yang lebih bagus


Chrome 98 menerapkan satu set baru COLRv1 Color Gradient Vector Fonts. Apa artinya itu bagi Anda adalah emoji yang dapat menskalakan lebih baik dan datang dalam ukuran filer yang lebih kecil. Ini sebagian besar berkat beralih ke format vektor dari PNG. Ini bukan sesuatu yang akan Anda perhatikan dengan emoji kecil, tetapi ketika Anda memperbesar, Anda dapat melihat peningkatan yang cukup besar. Check it out untuk diri sendiri dengan website ini.

Ambil Screenshot di Browser


Tidak sulit untuk mengambil tangkapan layar dengan Windows atau Mac, tetapi memang memerlukan pemotongan bagian dari jendela browser yang mungkin tidak ingin Anda sertakan. Chrome 98 membuat ini lebih mudah dengan alat screenshot built-in.

Ketika Anda mengklik ikon berbagi di bilah alamat Anda akan melihat opsi “Screenshot” baru. Selain itu, Chrome untuk Android sedang menguji kemampuan untuk menambahkan emoji ke tangkapan layar. Hal ini dapat ditemukan dengan memungkinkan bendera chrome://flags/#lightweight-reactions-android. Ini menambahkan tombol “Tambahkan Emosi” baru ke menu berbagi.

Aplikasi Web Yang Lebih Baik Menjadi Stabil


Google sedang menguji bar teratas yang lebih “asli” untuk aplikasi web di Chrome 97 dan sekarang stabil di Chrome 98. Bar atas lebih baik memanfaatkan ruang yang tersedia untuk hal-hal seperti bilah pencarian. Dibutuhkan lebih sedikit ruang secara keseluruhan dan hanya terlihat sedikit lebih bagus. Anda dapat mengujinya dengan menginstal situs demo ini sebagai aplikasi.

Apa lagi yang baru?

Google sekarang merilis setiap versi Chrome setiap empat minggu, yang berarti fitur heboh besar tidak sering. Namun, masih banyak yang terjadi di bawah permukaan. Anda dapat membaca tentang banyak perubahan ini di situs pengembang Google serta di blog Chromium. Kami akan menyoroti beberapa perubahan di sini:

  • Chrome 98 memungkinkan Anda menentukan apakah window.open() meluncurkan jendela baru atau tab baru.
  • Uji Coba Baru untuk Pengambilan Wilayah, API untuk memotong trek video pengambilan sendiri.
  • Back / forward cache (atau bfcache) adalah optimasi browser baru yang memungkinkan navigasi kembali / maju instan.
  • Panel Lighthouse sekarang menjalankan Lighthouse 9.

Cara Memperbarui Google Chrome

Chrome akan secara otomatis menginstal pembaruan pada perangkat Anda saat tersedia. Untuk segera memeriksa dan menginstal pembaruan yang tersedia, klik ikon menu tiga titik dan klik Bantuan > Tentang Google Chrome.

Sumber: How-To Geek

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

by

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer

Pengadilan memerintahkan situs web untuk berhenti menyematkan Google Font karena pelanggaran GDPR

by

Pengadilan Jerman dari Munich telah memerintahkan pemilik situs web untuk membayar denda sebesar €100 karena memigrasikan data pribadi pengguna. Pemilik telah memanfaatkan alamat IP pengguna melalui perpustakaan Google Fonts tanpa persetujuan pengguna.

Sesuai putusan, pengungkapan alamat IP penggugat secara tidak sah oleh situs web anonim ke Google adalah pelanggaran privasi pengguna, yang memungkinkan pemilik situs web untuk berkolaborasi dengan pihak ketiga untuk mengidentifikasi orang di balik alamat IP tersebut.

Alamat IP dinamis mewakili data pribadi untuk operator situs web karena, secara abstrak, ia memiliki sarana hukum yang dapat digunakan secara wajar untuk, dengan bantuan pihak ketiga, yaitu otoritas yang berwenang dan penyedia akses Internet, mengidentifikasi orang tersebut. bersangkutan berdasarkan IP yang disimpan untuk menentukan alamat

Font Google adalah layanan penyematan dari perpustakaan Google, yang memungkinkan pengembang untuk memasukkan font Google ke dalam aplikasi Android dan Situs Web hanya dengan referensi yang sama dari stylesheet.

Pelanggaran GDPR oleh Google Font
Sesuai GDPR, apa pun yang menyempit ke individu termasuk alamat IP, ID iklan, Cookie, data Lokasi, dan sebagainya dianggap sebagai PII, sehingga membuat bisnis yang mengumpulkan data ini diberitahukan kepada pengguna dan mendapatkan persetujuan mereka untuk mengumpulkan sama.

Putusan tersebut juga mengatakan bahwa Google Font juga dapat digunakan meskipun tidak ada koneksi ke server Google tetapi alamat IP tetap dapat ditransmisikan ke Google. Dan inilah mengapa Font harus di-host secara lokal alih-alih menyematkan dan menyertakan Google dalam operasinya.

Pengadilan juga memerintahkan pemilik situs web untuk membagikan data yang telah dikumpulkan, disimpan, dan diproses selama ini. Pemilik situs web harus membagikan detail ini dengan pengguna secara langsung. Keputusan ini dibuat beberapa minggu setelah Otoritas Perlindungan Data Austria (DSB) memutuskan bahwa Google Analytics yang digunakan oleh NetDoktor, situs web yang berfokus pada kesehatan, melanggar peraturan GDPR karena mengekspor data pengunjung ke server Google di AS, sehingga membuka jalan bagi pengawasan AS.

Juga tuntutan hukum baru-baru ini yang diajukan oleh empat jaksa agung AS terhadap layanan pelacakan lokasi Google adalah pengawasan lebih lanjut pada privasi Google. Mengingat raksasa teknologi ini telah beberapa kali menjadi pusat perhatian GPDR, kasing Google Font ini bisa jadi hanya permulaan.

Sumber :The Cyber Security Times

Pengguna Android memperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus

by

Pengguna Android diperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus yang dapat membahayakan data ponsel.

Beberapa aplikasi berbeda dapat digunakan untuk mengambil pesan yang dihapus.

Tetapi WAMR tampaknya mengambil data yang dihapus dari WhatsApp, Facebook Messenger, dan platform lainnya. Karena enkripsi pada perangkat Android, WAMR tidak dapat mengakses pesan secara langsung.

Sebagai gantinya, aplikasi menggunakan riwayat pemberitahuan Anda untuk membaca pesan dan membuat cadangan pesan, menurut informasi dari Google App store.

Aplikasi WAMR akan mendeteksi pesan yang dihapus dan kemudian menampilkan pemberitahuan kepada Anda.

Media tambahan, termasuk gambar, video, gif animasi, audio, catatan suara, dokumen, stiker, juga dapat dipulihkan dari pesan.

Namun, aplikasi ini mencatat bahwa ini bukan cara resmi untuk memulihkan pesan yang dihapus, dan memperingatkan bahwa itu dapat menghadapi batasan berdasarkan aplikasi tempat data pesan berada, atau bahkan dari sistem operasi Android.

ketika anda menginstal aplikasi WAMR, beberapa izin harus diberikan agar dapat beroperasi di perangkat Android Anda. Izin ini dapat membahayakan data dari aplikasi lain di ponsel Anda.

Koran Keamanan Informasi melaporkan bahwa riwayat pencarian internet dan daftar kontak termasuk di antara data yang dapat diakses oleh aplikasi WAMR.

Outlet tersebut juga melaporkan bahwa terlepas dari potensi risiko keamanan, aplikasi WAMR telah diunduh lebih dari 10 juta kali.

Memilih untuk mengunduh aplikasi seperti WAMR yang dapat membahayakan data dan keamanan di ponsel Anda adalah risiko yang harus dipertimbangkan dengan cermat.

Sumber : NEW YORK POST

Pembaruan force-install QNAP setelah ransomware DeadBolt mencapai 3.600 perangkat

by

QNAP memaksa-update perangkat Network Attached Storage (NAS) pelanggan dengan firmware yang berisi pembaruan keamanan terbaru untuk melindungi terhadap ransomware DeadBolt, yang telah mengenkripsi lebih dari 3.600 perangkat.

Pada hari Selasa, BleepingComputer melaporkan operasi ransomware baru bernama DeadBolt yang mengenkripsi perangkat QNAP NAS yang terpapar internet di seluruh dunia.

Aktor ancaman mengklaim menggunakan kerentanan zero-day untuk meretas perangkat QNAP dan mengenkripsi file menggunakan ransomware DeadBolt, yang menambahkan ekstensi .deadbolt ke nama file.

Ransomware juga akan menggantikan halaman login HTML biasa dengan catatan tebusan yang menuntut 0,03 bitcoin, senilai sekitar $ 1.100, untuk menerima kunci dekripsi dan memulihkan data.

Geng ransomware DeadBolt juga mencoba menjual rincian lengkap dari dugaan kerentanan zero-day ke QNAP untuk 5 Bitcoin, senilai $ 185.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi semua korban yang terkena dampak dan memberikan informasi tentang dugaan zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

Meskipun tidak mungkin QNAP akan memberikan permintaan pemerasan, banyak pengguna dalam topik forum dukungan DeadBolt kami telah melaporkan berhasil membayar ransomware untuk memulihkan file mereka.

QNAP memaksa-update firmware pada perangkat NAS

Keesokan harinya, QNAP mulai memperingatkan pelanggan untuk mengamankan perangkat NAS mereka yang terpapar Internet terhadap DeadBolt dengan memperbarui ke versi perangkat lunak QTS terbaru, menonaktifkan UPnP, dan menonaktifkan penerusan port.

Malam itu, QNAP mengambil tindakan yang lebih drastis dan memperbarui firmware untuk semua perangkat NAS pelanggan ke versi 5.0.0.1891, firmware universal terbaru yang dirilis pada 23 Desember 2021.

Pembaruan ini juga mencakup banyak perbaikan keamanan, tetapi hampir semuanya terkait dengan Samba, yang tidak mungkin terkait dengan serangan ini.

Pemilik QNAP dan admin TI mengatakan kepada BleepingComputer bahwa QNAP memaksa pembaruan firmware ini pada perangkat bahkan jika pembaruan otomatis dinonaktifkan.

Namun, pembaruan ini tidak berjalan tanpa hambatan, karena beberapa pemilik menemukan bahwa koneksi iSCSI mereka ke perangkat tidak lagi berfungsi setelah pembaruan.

“Hanya berpikir saya akan memberikan semua orang kepala-up. Beberapa QNAPS kami kehilangan koneksi ISCSI tadi malam. Setelah seharian bermain-main dan menarik rambut kami keluar, kami akhirnya menemukan itu karena pembaruan. Itu belum melakukannya untuk semua QNAPs yang kami kelola tetapi kami akhirnya menemukan resolusinya,” kata seorang pemilik QNAP di Reddit.

“Dalam “Storage &Snapshots > ISCSI &Fiber Channel” klik kanan pada Alias Anda (IQN) pilih “Ubah Portal Jaringan >” dan pilih adaptor yang Anda gunakan untuk ISCSI.

Pengguna lain yang telah membeli kunci dekripsi, dan sedang dalam proses dekripsi, menemukan bahwa pembaruan firmware juga menghapus ransomware executable dan layar tebusan yang digunakan untuk memulai dekripsi. Hal ini mencegah mereka dari melanjutkan proses dekripsi setelah perangkat selesai memperbarui.

“Biasanya saya bertanya apakah saya ingin memperbarui, tetapi sekarang itu tidak bertanya kepada saya. Saya hanya berdiri diam saat dekripsi sedang berlangsung dan kemudian saya mendengar bunyi bip dari NAS, dan ketika saya melihat ke dalam menu, itu bertanya kepada saya apakah saya ingin memulai ulang sekarang untuk pembaruan untuk diselesaikan, “seorang pemilik yang kesal memposting di topik dukungan DeadBolt BleepingComputer.

“Saya menekan TIDAK tetapi mengabaikan saya dan mulai menutup semua aplikasi untuk memulai ulang.”

Menanggapi banyak keluhan tentang QNAP yang memaksa pembaruan firmware, perwakilan dukungan QNAP menjawab, menyatakan itu untuk melindungi pengguna dari serangan ransomware DeadBolt yang sedang berlangsung.

Yang tidak jelas adalah mengapa pembaruan paksa ke firmware terbaru akan melindungi perangkat dari ransomware DeadBolt ketika QNAP awalnya mengatakan bahwa mengurangi paparan perangkat di Internet akan mengurangi serangan.

Salah satu kemungkinan adalah bahwa kerentanan yang lebih tua di QTS disalahgunakan untuk melanggar perangkat QNAP dan menginstal DeadBolt dan bahwa upgrade ke firmware ini patch kerentanan.

Pembaruan paksa datang terlambat

Sayangnya, langkah QNAP mungkin sudah terlambat karena peneliti keamanan CronUP dan anggota Intel Curated Germán Fernández menemukan bahwa DeadBolt telah mengenkripsi ribuan perangkat QNAP.

Mesin pencari perangkat internet Shodan melaporkan bahwa 1.160 perangkat QNAP NAS dienkripsi oleh DeadBolt. Censys, meskipun, melukiskan gambar yang jauh lebih suram, menemukan 3.687 perangkat sudah dienkripsi pada saat penulisan ini.

Baik Shodan dan Censys menunjukkan bahwa negara-negara teratas yang terkena dampak serangan ini adalah Amerika Serikat, Prancis, Taiwan, Inggris, dan Italia.

Untuk membuat keadaan menjadi lebih buruk, pemilik QNAP NAS sudah ditargetkan oleh operasi ransomware lainnya bernama Qlocker dan eCh0raix, yang terus-menerus memindai perangkat baru untuk dienkripsi.

Sumber: Bleepingcomputer

Hacker Menggunakan Trik Pendaftaran Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase berskala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kolam infeksi.

Raksasa teknologi itu mengatakan serangan itu dimanifestasikan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk mengambil keuntungan dari kebijakan bring-your-own-device (BYOD) target dan memperkenalkan perangkat nakal mereka sendiri menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang berlokasi terutama di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam sebuah laporan teknis yang diterbitkan minggu ini.

Kredensial yang dicuri kemudian dimanfaatkan pada tahap kedua, di mana penyerang menggunakan akun yang dikompromikan untuk memperluas pijakan mereka dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.

Kampanye dimulai dengan pengguna yang menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah mengklik, mengarahkan penerima ke situs web nakal yang menyamar sebagai halaman login untuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instans Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Dengan menghubungkan perangkat yang dikendalikan penyerang ke jaringan, teknik baru membuatnya layak untuk memperluas pijakan penyerang, diam-diam memperbanyak serangan, dan bergerak lateral di seluruh jaringan yang ditargetkan.

“Untuk meluncurkan gelombang kedua, para penyerang memanfaatkan kotak surat yang dikompromikan pengguna yang ditargetkan untuk mengirim pesan berbahaya ke lebih dari 8.500 pengguna, baik di dalam maupun di luar organisasi korban,” kata Microsoft. Email menggunakan umpan undangan berbagi SharePoint sebagai badan pesan dalam upaya untuk meyakinkan penerima bahwa file ‘Pembayaran.pdf’ yang dibagikan adalah sah.”

Perkembangan ini terjadi ketika serangan rekayasa sosial berbasis email terus menjadi cara paling dominan untuk menyerang perusahaan untuk mendapatkan entri awal dan menjatuhkan malware pada sistem yang dikompromikan.

Awal bulan ini, Netskope Threat Labs mengungkapkan kampanye jahat yang dikaitkan dengan grup OceanLotus yang melewati deteksi berbasis tanda tangan dengan menggunakan jenis file non-standar seperti file arsip web (. MHT) lampiran untuk menyebarkan informasi-mencuri malware.

Selain mengaktifkan MFA, menerapkan praktik terbaik seperti kebersihan kredensial yang baik dan segmentasi jaringan dapat “meningkatkan ‘biaya’ bagi penyerang yang mencoba menyebar melalui jaringan.”

“Praktik terbaik ini dapat membatasi kemampuan penyerang untuk bergerak secara lateral dan membahayakan aset setelah intrusi awal dan harus dilengkapi dengan solusi keamanan canggih yang memberikan visibilitas di seluruh domain dan mengkoordinasikan data ancaman di seluruh komponen perlindungan,” tambah Microsoft.

Sumber: The Hacker News