Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Versi malware RedLine baru menyebar sebagai penghitung stat Omicron palsu

by

Varian baru pencuri info RedLine didistribusikan melalui email menggunakan aplikasi penghitung statistik Omicron COVID-19 palsu sebagai iming-iming.

RedLine adalah malware komoditas tersebar luas yang dijual ke penjahat dunia maya seharga beberapa ratus USD. Ini memasok pasar web gelap dengan lebih dari setengah kredensial pengguna yang dicuri dijual ke aktor ancaman lainnya.

RedLine menargetkan kredensial akun pengguna yang disimpan di browser, kata sandi VPN, detail kartu kredit, cookie, konten IM, kredensial FTP, data dompet cryptocurrency, dan informasi sistem.

Varian baru telah menambahkan beberapa poin informasi untuk dieksfiltrasi, seperti:

  • Nama kartu grafis
  • Produsen BIOS, kode identifikasi, nomor seri, tanggal rilis, dan versi
  • Pabrikan disk drive, model, total head, dan tanda tangan
  • Informasi prosesor (CPU) seperti ID unik, ID prosesor, pabrikan, nama, kecepatan clock maks, dan informasi motherboard
  • Data ini diambil pada eksekusi pertama dari iming-iming “Omicron Stats.exe”, yang membongkar malware dan memasukkannya ke dalam vbc.exe.

Aplikasi tambahan yang ditargetkan oleh varian RedLine baru adalah browser web Opera GX, OpenVPN, dan ProtonVPN.

Versi RedLine sebelumnya menargetkan Opera biasa, tetapi GX adalah edisi khusus “berfokus pada gamer” yang semakin populer.

Selain itu, malware sekarang mencari folder Telegram untuk menemukan gambar dan riwayat percakapan dan mengirimnya kembali ke server pelaku ancaman.

Terakhir, sumber daya Discord lokal diperiksa lebih ketat untuk menemukan dan mencuri token akses, log, dan file database.

Varian RedLine baru mencari log Discord
Sumber: Fortinet

Saat menganalisis kampanye baru, para peneliti menemukan alamat IP di Inggris Raya yang berkomunikasi dengan server perintah dan kontrol melalui layanan pesan Telegram.

Para korban tersebar di 12 negara, dan serangan tidak terfokus pada organisasi atau individu tertentu.

“Varian ini menggunakan 207[.]32.217.89 sebagai server C2-nya melalui port 14588. IP ini dimiliki oleh 1gservers,” jelas laporan Fortinet

Sumber : Bleeping Computer

Ransomware Night Sky Menggunakan Bug Log4j untuk Meretas Server VMware Horizon

by

Geng ransomware Night Sky telah mulai mengeksploitasi kerentanan CVE-2021-44228 yang kritis di perpustakaan penebangan Log4j, juga dikenal sebagai Log4Shell, untuk mendapatkan akses ke sistem VMware Horizon.

Aktor ancaman menargetkan mesin rentan yang terpapar di web publik dari domain yang meniru perusahaan yang sah, beberapa di antaranya di sektor teknologi dan cybersecurity.

Serangan dimulai pada awal Januari

Terlihat pada akhir Desember 2021 oleh peneliti keamanan MalwareHunterTeam, ransomware Night Sky berfokus pada penguncian jaringan perusahaan. Ini telah mengenkripsi beberapa korban, meminta tebusan $ 800.000 dari salah satu dari mereka.

Pada hari Senin, Microsoft menerbitkan peringatan tentang kampanye baru dari aktor yang berbasis di China yang dilacaknya sebagai DEV-0401 untuk mengeksploitasi kerentanan Log4Shell pada sistem VMware Horizon yang terpapar di internet, dan menyebarkan ransomware Night Sky.

VMware Horizon digunakan untuk virtualisasi desktop dan aplikasi di cloud, memungkinkan pengguna untuk mengaksesnya dari jarak jauh melalui klien khusus atau browser web.

Ini juga merupakan solusi bagi administrator untuk manajemen yang lebih baik, kepatuhan keamanan, dan otomatisasi di seluruh armada sistem virtual.

VMware telah menambal produk Log4Shell in Horizon dan menyediakan solusi untuk pelanggan yang tidak dapat menginstal versi baru yang berisi perbaikan (2111, 7.13.1, 7.10.3). Namun, beberapa perusahaan belum menerapkan perbaikan.

Perusahaan menambahkan bahwa kelompok ini dikenal karena menyebarkan keluarga ransomware lainnya di masa lalu, seperti LockFile, AtomSilo, dan Rook.

Serangan sebelumnya dari aktor ini juga mengeksploitasi masalah keamanan dalam sistem yang menghadap internet seperti Confluence (CVE-2021-26084) dan server Exchange di tempat (CVE-2021-34473 – ProxyShell). Hal ini diyakini bahwa Night Sky adalah kelanjutan dari operasi ransomware tersebut.

Hubungan dengan rook ransomware telah ditetapkan. Setelah merekayasa balik malware, Jiří Vinopal – analis forensik di CERT Republik Ceko, menemukan bahwa Night Sky adalah garpu dari ransomware Rook.

Microsoft mencatat bahwa operator ransomware Night Sky mengandalkan server perintah dan kontrol yang meniru domain yang digunakan oleh perusahaan yang sah seperti perusahaan cybersecurity Sophos, Trend Micro, perusahaan teknologi Nvidia dan Rogers Corporation.

Vektor serangan yang menarik

Log4Shell adalah vektor serangan yang menarik bagi peretas negara-bangsa dan penjahat dunia maya karena komponen Log4J open-source hadir dalam berbagai sistem dari puluhan vendor.

Mengeksploitasi bug untuk mencapai eksekusi kode tanpa otentikasi membutuhkan upaya minimum. Aktor ancaman dapat memulai panggilan balik atau permintaan ke server berbahaya yang lewat hanya perlu mengunjungi situs atau mencarinya untuk string tertentu untuk menyebabkan panggilan balik server ke lokasi berbahaya.

Kelemahan keamanan dapat dimanfaatkan dari jarak jauh pada mesin rentan yang terpapar di internet publik atau dari jaringan lokal, oleh musuh lokal untuk bergerak secara lateral ke sistem internal yang sensitif.

Salah satu geng ransomware “top-tier” pertama yang mengintegrasikan Log4Shell dalam serangan mereka adalah Conti, yang menunjukkan minat di dalamnya sebagai jalan serangan potensial pada 12 Desember, hanya tiga hari setelah eksploitasi proof-of-concept (PoC) pertama menjadi publik.

Geng ransomware lain, pendatang baru bernama Khonsari, mulai memanfaatkan eksploitasi pada hari berikutnya PoC muncul di GitHub.

Pada hari-hari setelah pengungkapannya, beberapa aktor ancaman mulai memanfaatkan bug Log4j. Yang pertama mengambil keuntungan adalah penambang cryptocurrency, dengan peretas yang didukung negara dan geng ransomware mengikutinya.

Sumber: Bleepingcomputer

FIN7 Mengirimkan USB Sticks Berbahaya untuk Menjatuhkan Ransomware

by

Geng ransomware mengirimkan drive USB berbahaya, menyamar sebagai Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) dan / atau Amazon untuk menargetkan industri transportasi, asuransi dan pertahanan untuk infeksi ransomware, FBI memperingatkan pada hari Jumat.

Dalam peringatan keamanan yang dikirim ke organisasi, FBI mengatakan bahwa FIN7 – alias Carbanak atau Navigator Group, geng cybercrime yang terkenal dan termotivasi secara finansial di balik malware backdoor Carbanak – adalah pihak yang bersalah.

FIN7 telah ada setidaknya sejak 2015. Awalnya, geng membuat reputasinya dengan mempertahankan akses terus-menerus di perusahaan target dengan malware backdoor kustom, dan untuk menargetkan point-of-sale (PoS) sistem dengan perangkat lunak skimmer. Ini sering menargetkan restoran santai, kasino dan hotel. Tetapi pada tahun 2020, FIN7 juga masuk ke permainan ransomware / eksfiltrasi data, dengan kegiatannya melibatkan REvil atau Ryuk sebagai muatan.

FBI mengatakan bahwa selama beberapa bulan terakhir, FIN7 telah mengirimkan perangkat USB berbahaya ke perusahaan AS, dengan harapan bahwa seseorang akan mencolokkan drive, menginfeksi sistem dengan malware dan dengan demikian mengaturnya untuk serangan ransomware di masa depan.

“Sejak Agustus 2021, FBI telah menerima laporan beberapa paket yang berisi perangkat USB ini, dikirim ke bisnis AS di industri transportasi, asuransi, dan pertahanan,” kata fbi dalam peringatan keamanan.

Infeksi BadUSB yang Dikirim Siput

“Paket-paket itu dikirim menggunakan Layanan Pos Amerika Serikat dan Layanan Paket Amerika Serikat,” tambah FBI.

Para penyerang menyemburkan paket, menyamarkan mereka sebagai terkait pandemi atau sebagai barang dari Amazon, biro itu mengatakan: “Ada dua variasi paket – yang meniru HHS sering disertai dengan surat-surat yang merujuk pedoman COVID-19 yang disertakan dengan USB; Dan mereka yang meniru Amazon tiba di kotak hadiah dekoratif yang berisi surat terima kasih palsu, kartu hadiah palsu dan USB.

Yang pasti, paket berisi perangkat USB bermerek LilyGO.

FBI mengatakan bahwa perangkat mengeksekusi serangan BadUSB. Serangan BadUSB mengeksploitasi kerentanan yang melekat pada firmware USB yang memungkinkan aktor jahat untuk memprogram ulang perangkat USB sehingga dapat bertindak sebagai perangkat antarmuka manusia – yaitu, sebagai keyboard USB berbahaya yang dimuat dengan penekanan tombol yang dieksekusi secara otomatis. Setelah pemrograman ulang, USB dapat digunakan untuk diam-diam mengeksekusi perintah atau menjalankan program jahat pada komputer korban.

Serangan terbaru ini adalah salinan karbon dari serangan 2020, ketika FBI juga mengeluarkan peringatan publik yang menyebut FIN7 sebagai pelakunya.

Cara Mengalahkan Kembali Tongkat BadUSB

Karl Sigler, manajer riset keamanan senior Trustwave SpiderLabs, mengatakan kepada Threatpost pada hari Senin bahwa pelatihan kesadaran keamanan yang sedang berlangsung “harus mencakup jenis serangan dan memperingatkan agar tidak menghubungkan perangkat aneh ke komputer Anda.”

Perangkat lunak perlindungan endpoint juga dapat membantu mencegah serangan ini, katanya.

“Serangan ini dipicu oleh stik USB yang meniru keyboard USB, sehingga perangkat lunak perlindungan titik akhir yang dapat memantau akses ke command shell harus mengurus sebagian besar masalah,” kata Sigler melalui email.

Untuk sistem penting yang tidak memerlukan aksesori USB, pemblokir port USB fisik dan berbasis perangkat lunak juga dapat membantu mencegah serangan ini, Sigler menambahkan.

Untuk bagiannya, ACA Group telah menciptakan akronim “CAPs” untuk merujuk pada kebersihan standar yang harus dipantau secara aktif oleh semua organisasi untuk mencegah serangan ransomware. CAPs mengacu pada Konfigurasi, Akses dan Patching, dengan kesadaran karyawan dan pendidikan lagi dianggap penting juga. CAPs mengacu pada:

Manajemen konfigurasi – Kurangi jumlah titik masuk yang dapat digunakan penyerang untuk mendapatkan akses ke sistem Anda. Banyak serangan berhasil karena ada kesalahan konfigurasi pada perangkat keamanan, konfigurasi cloud dan sebagainya.

Akses – Kurangi jumlah titik akses internal untuk penyerang yang telah memasuki sistem Anda.

Patching – Mengurangi kemungkinan serangan terjadi melalui titik yang tidak diketahui atau masuk, dasar dalam memperbaiki dan kerentanan keamanan dan bug lainnya.

Sumber: Threatpost

Microsoft: Kerentanan HTTP Windows kritis baru dapat di-worm

by

Microsoft telah menambal kelemahan kritis yang ditandai sebagai wormable dan ditemukan berdampak pada desktop dan server versi Windows terbaru, termasuk Windows 11 dan Windows Server 2022.

Bug, dilacak sebagai CVE-2022-21907 dan ditambal selama Patch Tuesday bulan ini, ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol untuk memproses permintaan HTTP oleh server web Windows Internet Information Services (IIS). .

Eksploitasi yang berhasil memerlukan pelaku ancaman untuk mengirim paket yang dibuat dengan jahat ke server Windows yang ditargetkan, yang menggunakan HTTP Protocol Stack yang rentan untuk memproses paket.

Microsoft merekomendasikan pengguna untuk memprioritaskan penambalan kelemahan ini pada semua server yang terpengaruh karena ini dapat memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi kode arbitrer dari jarak jauh dalam serangan dengan kompleksitas rendah dan “dalam kebanyakan situasi,” tanpa memerlukan interaksi pengguna.

Pada beberapa versi Windows (yaitu, Windows Server 2019 dan Windows 10 versi 1809), fitur Dukungan Trailer HTTP yang berisi bug tidak diaktifkan secara default.

Menurut Microsoft, kunci registri Windows berikut harus dikonfigurasi pada dua versi Windows ini untuk memperkenalkan kerentanan:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

“EnableTrailerSupport”=dword:00000001

Menonaktifkan fitur Dukungan Trailer HTTP akan melindungi sistem yang menjalankan dua versi, tetapi mitigasi ini tidak berlaku untuk rilis Windows lain yang terpengaruh.

Dalam dua tahun terakhir, Microsoft telah menambal beberapa bug wormable lainnya, berdampak pada Windows DNS Server (juga dikenal sebagai SIGRed), platform Remote Desktop Services (RDS) (alias BlueKeep), dan protokol Server Message Block v3 (alias SMBGhost) .

Redmond juga mengatasi kerentanan Windows HTTP RCE lainnya pada Mei 2021 (dilacak sebagai CVE-2021-31166 dan juga ditandai sebagai wormable), di mana peneliti keamanan merilis kode eksploitasi demo yang dapat memicu layar biru kematian.

Namun, pelaku ancaman belum mengeksploitasinya untuk membuat malware yang dapat menginfeksi yang mampu menyebar di antara sistem rentan yang menjalankan perangkat lunak Windows yang rentan.

Sumber : Bleeping Computer

Microsoft memperbaiki bug Office yang kritis, menunda pembaruan keamanan macOS

by

Microsoft telah mengatasi kerentanan Office yang sangat parah yang dapat membuat penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Dilacak sebagai CVE-2022-21840, merupakan bug eksekusi kode jarak jauh (RCE) yang dapat dieksploitasi penyerang tanpa hak istimewa pada perangkat yang ditargetkan sebagai bagian dari serangan kompleksitas rendah yang memerlukan interaksi pengguna.

Agar berhasil mengeksploitasi kerentanan kritis ini, penyerang harus mengelabui target mereka agar membuka dokumen Office yang dibuat khusus yang dikirimkan menggunakan tautan yang dibagikan melalui pesan instan atau email.

Untungnya, Microsoft mengatakan bahwa panel pratinjau Outlook tidak dapat digunakan sebagai vektor serangan dalam upaya eksploitasi yang menargetkan kerentanan ini.

Namun, itu dapat dieksploitasi melalui panel pratinjau Windows Explorer sebagaimana dikonfirmasi oleh analis kerentanan CERT/CC Will Dormann.

Ini menyiratkan bahwa eksploitasi dimungkinkan tanpa harus mengelabui calon korban untuk membuka file Office yang dibuat dengan jahat, tetapi, sebaliknya, hanya harus memilihnya di jendela Explorer dengan panel pratinjau diaktifkan.

Meskipun Redmond telah merilis pembaruan keamanan untuk Microsoft 365 Apps for Enterprise dan versi Windows dari Microsoft Office, perusahaan masih mengerjakan patch yang mengatasi kerentanan pada macOS.

Pengguna Mac yang menjalankan Microsoft Office LTSC untuk Mac 2021 dan Microsoft Office 2019 untuk Mac diberitahu bahwa mereka harus menunggu lebih lama untuk mendapatkan patch CVE-2022-21840.

Microsoft juga telah gagal untuk segera merilis patch macOS untuk Excel zero-day yang dieksploitasi secara aktif pada bulan November, bug bypass fitur keamanan parah yang memungkinkan eksploitasi lokal dari penyerang yang tidak diautentikasi dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Menurut pembaruan info CVE, Redmond mengeluarkan pembaruan keamanan untuk Microsoft Office untuk Mac satu minggu kemudian, menyarankan pengguna untuk menyebarkan tambalan agar produk mereka dilindungi dari serangan liar.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5009566 dirilis dengan perbaikan keamanan

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5009566 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug yang diketahui.

KB5009566 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Januari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan kumulatif hari ini dengan membuka Start > Settings > Windows Update dan klik’Check for Updates’.

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5009566 secara manual dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5009566, Windows 11 akan mengubah build number menjadi 22000.434.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft tidak memiliki banyak informasi tentang bug apa yang diperbaiki. Ini mungkin karena masih dalam periode liburan, dan semoga kita akan melihat daftar perbaikan yang lebih rinci dalam beberapa bulan mendatang.

Selengkapnya: Bleeping Computer

Microsoft January 2022 Patch Tuesday memperbaiki 6 zero-day, 97 kerentanan keamanan

by

Microsoft merilis Patch Tuesday bulan Januari 2022 yang memperbaiki enam kerentanan zero-day dan total 97 kerentanan.

Microsoft telah memperbaiki 97 kerentanan (tidak termasuk 29 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan sembilan diklasifikasikan sebagai Kritis dan 88 sebagai Penting.

Microsoft juga menyertakan perbaikan untuk enam kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak satupun dari mereka yang dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday Januari 2022 adalah:

  • CVE-2021-22947 – Open Source Curl Remote Code Execution Vulnerability
  • CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
  • CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability
  • CVE-2022-21836 – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability

Kerentanan Curl dan Libarchive telah diperbaiki oleh pengelolanya tetapi perbaikan tersebut tidak ditambahkan ke Windows hingga hari ini.

Namun, karena banyak dari zero-day ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna Windows disarankan untuk melakukan update sesegera mungkin.

Selengkapnya: Bleeping Computer

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer