News 207 - Naga Cyber Defense

Eksploitasi zero-day Microsoft Outlook RCE sekarang dijual seharga $400.000

January 31, 2022 by Eevee

Broker eksploitasi Zerodium telah mengumumkan kenaikan gaji menjadi 400.000 untuk kerentanan zero-day yang memungkinkan eksekusi kode jarak jauh (RCE) di klien email Microsoft Outlook.

Hadiah reguler Zerodium untuk kerentanan RCE di Microsoft Outlook untuk windows adalah $ 250.000, diharapkan “disertai dengan eksploitasi yang berfungsi penuh dan andal.”

Untuk $400.000, Zerodium sedang menunggu eksploitasi yang mencapai eksekusi kode jarak jauh tanpa interaksi apa pun, yang disebut ‘zero-klik’, ketika klien email Microsoft menerima atau mengunduh pesan.

Perusahaan tidak mengesampingkan hadiah untuk eksploitasi yang memerlukan email untuk dibuka atau dibaca, meskipun pengirimnya akan mendapatkan pembayaran yang lebih rendah dan tidak diungkapkan.

Zerodium juga mengingatkan bahwa saat ini ia menawarkan hingga $200.000 untuk eksploitasi yang mengarah ke eksekusi kode jarak jauh di Mozilla Thunderbird, jumlah yang sama yang ditawarkan sejak 2019.

Kondisi yang sama berlaku untuk pembayaran eksploitasi untuk Mozilla Thunderbird seperti dalam kasus Microsoft Outlook. RCE di klien email akan memberi penyerang akses ke semua akun yang tersedia.

Meskipun perusahaan tidak menentukan tanggal akhir untuk mengirimkan eksploitasi Microsoft Outlook tanpa klik, periodenya mungkin cukup lama.

Pembayaran reguler untuk eksploitasi dalam sistem manajemen konten sumber terbuka (CMS) paling populer adalah $100.000.

Saat ini, hanya WordPress, Mozilla Thunderbird, dan Microsoft Outlook yang terdaftar sebagai aktif di halaman dengan peningkatan hadiah sementara.

Penawaran sementara yang baru-baru ini kedaluwarsa adalah untuk RCE dan sandbox escape di Google Chrome (keduanya hingga $400.000), dan RCE di server VMware vCenter (hingga $150.000).

Sumber : Bleeping Computer

Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

January 31, 2022 by Eevee

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play tetapi tidak sebelum diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyambar data keuangan.

Pelaku ancaman mengembangkan aplikasi operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis open-source yang disuntikkan dengan add-on berbahaya.

Setelah diunduh, aplikasi menginstal trojan perbankan Vultur, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya yang ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utama untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan skala.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan upaya dari para aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama,” kata ThreatFabric saat itu.

Autentikator 2FA scam juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, kata tim Pradeo.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan itu menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini dimaksudkan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang canggih dan relatif baru yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan informasi keuangan penting lainnya,” kata laporan itu.

Sumber : Threat Post

Peretas Menggunakan Trik Registrasi Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

January 30, 2022 by Søren

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kumpulan infeksi.

Raksasa teknologi itu mengatakan serangan itu diwujudkan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk memanfaatkan kebijakan bawa perangkat Anda sendiri (BYOD) target dan memperkenalkan kebijakan mereka sendiri. perangkat jahat menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang sebagian besar berlokasi di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam laporan teknis yang diterbitkan minggu ini.

“Kredensial yang dicuri kemudian dimanfaatkan pada fase kedua, di mana penyerang menggunakan akun yang disusupi untuk memperluas pijakan mereka di dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.”

Kampanye dimulai dengan pengguna menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah diklik, mengarahkan penerima ke situs web jahat yang menyamar sebagai halaman masuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instance Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Selengkapnya: The Hacker News

Peretas mengambil alih akun CEO dengan aplikasi OAuth jahat

January 30, 2022 by Søren

Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.

Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.

Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.

OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.

Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.

Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.

Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.

Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.

Selengkapnya: Bleeping Computer

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

January 30, 2022 by Søren

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer

Microsoft: Windows membutuhkan setidaknya 8 jam online untuk pembaharuan yang berhasil

January 30, 2022 by Søren

Microsoft mengatakan bahwa perangkat Windows harus online setidaknya selama delapan jam untuk mendapatkan pembaruan terbaru dan memasangnya dengan benar setelah dirilis melalui Pembaruan Windows.

Jumlah waktu perangkat yang menjalankan Windows dihidupkan dan terhubung ke Pembaruan Windows dilacak oleh Microsoft sebagai ‘Konektivitas Pembaruan.’

Pengukuran ini mengkorelasikan kurangnya waktu terhubung yang cukup pada sistem dengan mengapa mereka tidak up-to-date sementara juga membuatnya lebih mudah untuk memahami mengapa beberapa perangkat tidak mungkin mendapatkan pembaruan yang dirilis baru-baru ini dengan sukses.

Menurut David Guyer, Manajer Program Microsoft untuk Pembaruan Windows di MEM, perangkat Windows memerlukan setidaknya 8 jam online untuk mendapatkan pembaruan terbaru dan berhasil menginstalnya.

“Salah satu hal paling berdampak yang kami jelajahi adalah berapa lama waktu yang dibutuhkan perangkat untuk dihidupkan dan terhubung ke Pembaruan Windows agar dapat berhasil menginstal pembaruan kualitas dan fitur,” kata Guyer.

“Apa yang kami temukan adalah bahwa perangkat yang tidak memenuhi jumlah waktu tertentu yang terhubung sangat kecil kemungkinannya untuk berhasil diperbarui. Secara khusus, data menunjukkan bahwa perangkat memerlukan minimal dua jam terhubung terus menerus, dan enam total jam terhubung setelah pembaruan dirilis. untuk memperbarui dengan andal.

“Ini memungkinkan pengunduhan yang berhasil dan penginstalan latar belakang yang dapat dimulai ulang atau dilanjutkan setelah perangkat aktif dan terhubung.”

Selengkapnya: Bleeping Computer

Malware Tersembunyi Hacker APT29 Rusia Tidak Terdeteksi Selama Bertahun-tahun

January 28, 2022 by Eevee Leave a Comment

Eksklusif: Peretas yang terkait dengan Dinas Intelijen Asing Federasi Rusia (SVR) melanjutkan serangan mereka pada jaringan beberapa organisasi setelah kompromi rantai pasokan SolarWinds menggunakan dua ancaman canggih yang baru-baru ini ditemukan.

Implan berbahaya adalah varian dari backdoor GoldMax untuk sistem Linux dan keluarga malware yang sama sekali baru yang sekarang dilacak oleh perusahaan cybersecurity CrowdStrike sebagai TrailBlazer.

Kedua ancaman telah digunakan dalam kampanye StellarParticle setidaknya sejak pertengahan 2019 tetapi diidentifikasi dua tahun kemudian, selama penyelidikan respons insiden.

Serangan StellarParticle telah dikaitkan dengan kelompok peretas APT29 telah menjalankan kampanye spionase cyber selama lebih dari 12 tahun dan juga dikenal sebagai CozyBear, The Dukes, dan Yttrium.

Mencuri cookie untuk bypass MFA

Dalam sebuah laporan yang dibagikan secara eksklusif dengan BleepingComputer, perusahaan cybersecurity CrowdStrike hari ini menjelaskan secara rinci taktik, teknik, dan prosedur terbaru (TTP) yang diamati dalam serangan cyber dari peretas yang disponsori negara Cozy Bear.

Sementara beberapa teknik agak umum saat ini, Cozy Bear telah menggunakannya jauh sebelum menjadi populer:

hopping kredensial
membajak Office 365 (O365) Service Principal dan Aplikasi
melewati autentikasi multi-faktor (MFA) dengan mencuri cookie browser
mencuri kredensial menggunakan Get-ADReplAccount

Credential hopping adalah tahap pertama serangan, memungkinkan aktor ancaman untuk masuk ke Office 365 dari server internal yang dijangkau peretas melalui sistem yang dihadapi publik yang dikompromikan.

CrowdStrike mengatakan bahwa teknik ini sulit dikenali di lingkungan dengan sedikit visibilitas ke dalam penggunaan identitas karena peretas dapat menggunakan lebih dari satu akun administrator domain.

Melewati MFA untuk mengakses sumber daya cloud dengan mencuri cookie browser telah digunakan sejak sebelum 2020. CrowdStrike mengatakan bahwa APT29 tetap low profile setelah mendekripsi cookie otentikasi, kemungkinan offline, dengan menggunakan ekstensi Editor Cookie untuk Chrome untuk memutar ulang; mereka menghapus ekstensi setelah itu.

Hal ini memungkinkan mereka untuk bergerak lateral di jaringan dan mencapai tahap berikutnya dari serangan, menghubungkan ke penyewa O365 korban untuk tahap berikutnya dari serangan.

Laporan CrowdStrike menjelaskan langkah-langkah yang diambil APT29 untuk mencapai kegigihan dalam posisi yang memungkinkan mereka membaca email dan file SharePoint atau OneDrive dari organisasi yang dikompromikan.

Selengkapnya: Bleepingcomputer

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

January 28, 2022 by Eevee

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

Protokol Penemuan Layanan Sederhana (SSDP),
Connection-less Lightweight Directory Access Protocol (CLDAP),
Sistem Nama Domain (DNS),
Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Mencuri cookie untuk bypass MFA

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Cookies Settings