Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Bahaya dalam Diam: Satu dari Lima Domain Lama Berbahaya, Berisiko, atau Tidak Aman

by

Jumlah domain yang tidak aktif berbahaya terus meningkat, dan seperti yang diperingatkan oleh para peneliti, sekitar 22,3% domain yang berusia strategis menimbulkan beberapa bentuk bahaya.

Ini adalah realisasi yang mengejutkan analis ketika terungkap bahwa aktor ancaman SolarWinds mengandalkan domain yang terdaftar bertahun-tahun sebelum kegiatan jahat mereka dimulai.

Berdasarkan itu, upaya dalam mendeteksi domain berbahaya telah meningkat.

Sebuah laporan dari Unit42 Palo Alto Networks mengungkapkan temuan para peneliti mereka setelah melihat puluhan ribu domain setiap hari sepanjang September 2021.

Mereka menyimpulkan bahwa sekitar 3,8% langsung berbahaya, 19% mencurigakan, dan 2% tidak aman untuk lingkungan kerja.

Mengapa membiarkan domain menua

Tujuan di balik mendaftarkan domain jauh sebelum aktor ancaman akan menggunakannya adalah untuk membuat “catatan bersih” yang akan mencegah sistem deteksi keamanan merusak keberhasilan kampanye jahat.

Biasanya, domain yang baru terdaftar (NRD) lebih cenderung berbahaya, sehingga solusi keamanan memperlakukan mereka sebagai mencurigakan dan memiliki lebih banyak kesempatan untuk menandainya.

Namun, Unit42 menjelaskan dalam laporannya bahwa domain yang berusia strategis tiga kali lebih mungkin berbahaya daripada NRD.

Dalam beberapa kasus, domain ini tetap tidak aktif selama dua tahun sebelum lalu lintas DNS mereka tiba-tiba meningkat 165 kali, menunjukkan peluncuran serangan.

Tanda-tanda “telur ular”

Tanda yang jelas dari domain berbahaya adalah lonjakan mendadak dalam lalu lintasnya. Layanan yang sah yang mendaftarkan domain mereka dan meluncurkan layanan berbulan-bulan atau bertahun-tahun kemudian menunjukkan pertumbuhan lalu lintas secara bertahap.

Domain yang tidak ditakdirkan untuk penggunaan yang sah umumnya memiliki konten yang tidak lengkap, dikloning, atau umumnya dipertanyakan. Seperti yang diharapkan, rincian pendaftar WHOIS juga hilang.

DGA menelurkan situs web hosting konten yang mencurigakan

Tanda lain yang jelas dari domain yang sengaja sudah tua yang dimaksudkan untuk digunakan dalam kampanye berbahaya adalah generasi subdomain DGA.

DGA (algoritma generasi domain) adalah metode yang mapan untuk menghasilkan nama domain dan alamat IP yang unik untuk berfungsi sebagai titik komunikasi C2 baru. Tujuannya adalah untuk menghindari deteksi dan blocklists.

Dengan melihat elemen DGA saja, detektor Palo Alto mengidentifikasi dua domain yang mencurigakan setiap hari, menelurkan ratusan ribu subdomain pada hari aktivasinya.

Selengkapnya: Bleepingcomputer

Pemindai Microsoft Defender Log4j memicu peringatan positif palsu

by

Microsoft Defender for Endpoint saat ini menampilkan peringatan “sensor tampering” yang ditautkan ke pemindai Microsoft 365 Defender yang baru digunakan perusahaan untuk proses Log4j.

Peringatan ditampilkan pada sistem Windows Server 2016 dan memperingatkan “kemungkinan gangguan sensor dalam memori terdeteksi oleh Microsoft Defender for Endpoint” yang dibuat oleh proses OpenHandleCollector.exe.

Sementara perilaku proses Pembela ini ditandai sebagai berbahaya, tidak ada yang perlu dikhawatirkan karena ini adalah positif palsu, seperti yang diungkapkan oleh Tomer Teller, Manajer PM Grup Utama di Microsoft, Enterprise Security Posture.

Microsoft saat ini sedang menyelidiki masalah Microsoft 365 Defender ini dan sedang mengerjakan perbaikan yang harus segera diberikan perusahaan ke sistem yang terpengaruh.

Pembela untuk peringatan positif palsu Titik akhir (Arjen Furster)

“Ini adalah bagian dari pekerjaan yang kami lakukan untuk mendeteksi instance Log4J pada disk. Tim sedang menganalisis mengapa hal itu memicu peringatan (tentu saja tidak),” Teller menjelaskan.

Seperti yang dibagikan Microsoft pada hari Selasa, pemindai Log4j yang baru digunakan ini diluncurkan dengan dasbor portal Log4j Microsoft 365 Defender terkonsolidasi baru untuk manajemen ancaman dan kerentanan.

Dasbor baru dirancang untuk membantu pelanggan mengidentifikasi dan memulihkan file, perangkat lunak, dan perangkat yang terkena serangan yang mengeksploitasi kerentanan Log4j.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya, termasuk yang menandai dokumen Office sebagai muatan malware Emotet, yang menunjukkan perangkat jaringan terinfeksi Cobalt Strike, dan yang lain menandai pembaruan Chrome sebagai backdoor PHP.

Sumber : Bleeping Computer

Perusahaan Fintech yang terkena peretasan Log4j menolak untuk membayar uang tebusan $ 5 juta

by

Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.

“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Hampir 2 juta data pelanggan ONUS disiapkan untuk dijual di forum

Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Detektor Logam Garrett Walk-Through Dapat Diretas dari Jarak Jauh

by

Sejumlah kelemahan keamanan telah ditemukan dalam komponen jaringan di Detektor Logam Garrett yang memungkinkan penyerang jarak jauh untuk melewati persyaratan otentikasi, merusak konfigurasi detektor logam, dan bahkan mengeksekusi kode arbitrer pada perangkat.

“Seorang penyerang dapat memanipulasi modul ini untuk memantau statistik dari detektor logam dari jarak jauh, seperti apakah alarm telah dipicu atau berapa banyak pengunjung yang telah melewatinya,” kata Cisco Talos “Mereka juga dapat membuat perubahan konfigurasi, seperti mengubah tingkat sensitivitas perangkat, yang berpotensi menimbulkan risiko keamanan bagi pengguna yang mengandalkan detektor logam ini.”

Peneliti keamanan Talos Matt Wiseman telah dikreditkan dengan menemukan dan melaporkan kerentanan ini pada 17 Agustus 2021. Patch telah dirilis oleh vendor pada 13 Desember 2021.

Kekurangannya terletak pada Garrett iC Module, yang memungkinkan pengguna untuk berkomunikasi dengan detektor logam seperti Garrett PD 6500i atau Garrett MZ 6100 menggunakan komputer melalui jaringan, baik kabel maupun nirkabel. Hal ini memungkinkan pelanggan untuk mengontrol dan memantau perangkat dari lokasi yang jauh secara real-time.

Daftar kerentanan keamanan di bawah ini :

  • CVE-2021-21901 (skor CVSS: 9,8), CVE-2021-21903 (skor CVSS: 9,8), CVE-2021-21905, dan CVE-2021-21906 (skor CVSS: 8,2) – Kerentanan buffer overflow berbasis stack yang dapat dipicu dengan mengirimkan paket berbahaya ke perangkat
  • CVE-2021-21902 (skor CVSS: 7.5) – Kerentanan bypass otentikasi yang berasal dari kondisi balapan yang dapat dipicu dengan mengirimkan urutan permintaan
  • CVE-2021-21904 (skor CVSS: 9.1), CVE-2021-21907 (skor CVSS: 4.9), CVE-2021-21908, dan CVE-2021-21909 (skor CVSS: 6.5) – Kerentanan traversal direktori yang dapat dieksploitasi dengan mengirimkan perintah yang dibuat khusus.

Eksploitasi yang berhasil dari kelemahan yang disebutkan di atas dalam iC Module CMA versi 5.0 memungkinkan penyerang untuk membajak sesi pengguna yang diautentikasi, membaca, menulis, atau menghapus file arbitrer pada perangkat, dan lebih buruk lagi, menyebabkan eksekusi kode jarak jauh.

Sumber : The Hacker News

Pengguna LastPass Memperingatkan Kata Sandi Utama Mereka Dikompromikan

by

Banyak pengguna LastPass melaporkan bahwa kata sandi utama mereka telah dikompromikan setelah menerima peringatan email bahwa seseorang mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak dikenal.

Pemberitahuan email juga menyebutkan bahwa upaya login telah diblokir karena dibuat dari lokasi yang tidak dikenal di seluruh dunia.

“Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali,” peringatan login memperingatkan.

“LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Apakah ini kamu?”

Laporan kata sandi master LastPass yang dikompromikan mengalir melalui beberapa situs media sosial dan platform online, termasuk Twitter, Reddit, dan Hacker News (laporan asli dari Greg Sadetsky).

Notifikasi LastPass

Namun, pengguna yang menerima peringatan ini telah menyatakan bahwa kata sandi mereka unik untuk LastPass dan tidak digunakan di tempat lain. BleepingComputer telah bertanya kepada LastPass tentang masalah ini tetapi belum menerima jawaban.

Sementara LastPass tidak berbagi rincian mengenai bagaimana aktor ancaman di balik upaya isian kredensial ini, peneliti keamanan Bob Diachenko mengatakan dia baru-baru ini menemukan ribuan kredensial LastPass saat melalui log malware Redline Stealer.

Pengguna LastPass disarankan untuk mengaktifkan autentikasi multifaktor untuk melindungi akun mereka bahkan jika kata sandi utama mereka dikompromikan.

Dua tahun lalu, pada September 2019, LastPass memperbaiki kerentanan keamanan dalam ekstensi Chrome pengelola kata sandi yang dapat memungkinkan aktor ancaman mencuri kredensial yang terakhir digunakan untuk masuk ke situs.

Selengkapnya: Bleepingcomputer

Malware RedLine Menunjukkan Mengapa Kata Sandi Tidak Boleh Disimpan di Browser

by Leave a Comment

Malware pencuri informasi RedLine menargetkan browser web populer seperti Chrome, Edge, dan Opera, menunjukkan mengapa menyimpan kata sandi Anda di browser adalah ide yang buruk.

Malware ini adalah komoditas pencuri informasi yang dapat dibeli dengan harga sekitar $ 200 di forum kejahatan cyber dan digunakan tanpa memerlukan banyak pengetahuan atau usaha.

Namun, sebuah laporan baru oleh AhnLab ASEC memperingatkan bahwa kenyamanan menggunakan fitur auto-login pada browser web menjadi masalah keamanan besar yang mempengaruhi organisasi dan individu.

Dalam contoh yang disajikan oleh para analis, seorang karyawan jarak jauh kehilangan kredensial akun VPN kepada aktor RedLine Stealer yang menggunakan informasi tersebut untuk meretas jaringan perusahaan tiga bulan kemudian.

Meskipun komputer yang terinfeksi memiliki solusi anti-malware yang diinstal, ia gagal mendeteksi dan menghapus RedLine Stealer.

Malware ini menargetkan file ‘Login Data’ yang ditemukan di semua browser web berbasis Chromium dan merupakan database SQLite di mana nama pengguna dan kata sandi disimpan.

Kredensial yang tersimpan di dalam sebuah file database

Ketika pengguna menolak untuk menyimpan kredensial mereka di browser, sistem manajemen kata sandi masih akan menambahkan entri untuk menunjukkan bahwa situs web tertentu “masuk daftar hitam.”

Sementara aktor ancaman mungkin tidak memiliki kata sandi untuk akun “daftar hitam” ini, tapi hal itu mengindikasi bahwa akun tersebut ada, memungkinkan mereka untuk melakukan isian kredensial atau serangan rekayasa sosial / phishing.

Fitur-fitur RedLine Stealer

Setelah mengumpulkan kredensial yang dicuri, aktor ancaman menggunakannya dalam serangan lebih lanjut atau mencoba memonetisasinya dengan menjualnya di pasar web gelap.

Contoh betapa populernya RedLine bagi peretas adalah munculnya pasar web gelap ‘2easy’, di mana setengah dari semua data yang dijual dicuri menggunakan malware ini.

Kasus lain baru-baru ini dari distribusi RedLine adalah kampanye spamming formulir kontak situs web yang menggunakan file Excel XLL yang mengunduh dan menginstal malware pencurian kata sandi.

Sepertinya RedLine ada di mana-mana sekarang, dan alasan utama di balik ini adalah efektivitasnya dalam mengeksploitasi celah keamanan yang tersedia secara luas yang ditolak oleh browser web modern.

Apa yang harus dilakukan sebagai gantinya

Menggunakan browser web Anda untuk menyimpan kredensial login Anda menggoda dan nyaman, tetapi hal itu berisiko bahkan tanpa infeksi malware.

Dengan demikian, aktor lokal atau jarak jauh dengan akses ke mesin Anda dapat mencuri semua kata sandi Anda dalam hitungan menit.

Sebaliknya, akan lebih baik menggunakan pengelola kata sandi khusus yang menyimpan semuanya di lemari besi terenkripsi dan meminta kata sandi utama untuk membukanya.

Selain itu, Anda harus mengonfigurasi aturan khusus untuk situs web sensitif seperti portal e-banking atau halaman web aset perusahaan, yang memerlukan input kredensial manual.

Akhirnya, aktifkan autentikasi multi-faktor di mana pun ini tersedia, karena langkah tambahan ini dapat menyelamatkan Anda dari insiden pengambilalihan akun bahkan jika kredensial Anda telah dikompromikan.

Sumber: Bleepingcomputer

Malware Flagpro Baru Terkait dengan Peretas yang Didukung Negara China

by

Kelompok spionase cyber BlackTech APT (advanced persistent threat) telah terlihat menargetkan perusahaan Jepang menggunakan malware baru yang oleh para peneliti disebut ‘Flagpro’.

Aktor ancaman menggunakan Flagpro pada tahap awal serangan untuk pengintaian jaringan, untuk mengevaluasi lingkungan target, dan untuk mengunduh malware tahap kedua dan mengeksekusinya.

Melanggar jaringan perusahaan

Rantai infeksi dimulai dengan email phishing yang dibuat untuk organisasi target, berpura-pura menjadi pesan dari mitra yang dapat dipercaya. Email ini membawa lampiran ZIP atau RAR yang dilindungi kata sandi yang berisi file Microsoft Excel (. XLSM) dicampur dengan makro berbahaya. Menjalankan kode ini membuat executable di direktori startup, Flagpro.

Pada eksekusi pertamanya, Flagpro terhubung ke server C2 melalui HTTP dan mengirimkan rincian ID sistem yang diperoleh dengan menjalankan perintah OS hardcoded.

Sebagai tanggapan, C2 dapat mengirim kembali perintah tambahan atau muatan tahap kedua yang dapat dijalankan Flagpro.

Komunikasi antara keduanya dikodekan dengan Base64, dan ada juga penundaan waktu yang dapat dikonfigurasi antara koneksi untuk menghindari menciptakan pola operasi yang dapat diidentifikasi.

Menurut sebuah laporan oleh NTT Security, Flagpro telah dikerahkan terhadap perusahaan Jepang selama lebih dari setahun, setidaknya sejak Oktober 2020. Sampel terbaru yang bisa diambil para peneliti adalah mulai Juli 2021.

Entitas yang ditargetkan berasal dari berbagai sektor, termasuk teknologi pertahanan, media, dan komunikasi.

Flagpro v2.0

Pada titik tertentu dalam analisis mereka, para peneliti NTT melihat versi baru Flagpro, yang secara otomatis dapat menutup dialog yang relevan untuk membangun koneksi eksternal yang dapat mengungkapkan kehadirannya kepada korban.

“Dalam implementasi Flagpro v1.0, jika dialog berjudul “Windows セキュリティ” ditampilkan ketika Flagpro mengakses ke situs eksternal, Flagpro secara otomatis mengklik tombol OK untuk menutup dialog,” jelas laporan Keamanan NTT.

“Penanganan ini juga bekerja ketika dialog ditulis dalam bahasa Cina atau Inggris. Ini menunjukkan targetnya ada di Jepang, Taiwan, dan negara-negara berbahasa Inggris.”

Selengkapnya: Bleepingcomputer

Log4j 2.17.1 memperbaiki bug eksekusi kode jarak jauh baru

by

Apache telah merilis versi Log4j lainnya, 2.17.1 memperbaiki kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan di 2.17.0, dilacak sebagai CVE-2021-44832.

Eksploitasi massal kerentanan Log4Shell asli (CVE-2021-44228) oleh aktor ancaman dimulai sekitar 9 Desember, ketika eksploitasi PoC untuknya muncul di GitHub. Mengingat penggunaan Log4j yang luas di sebagian besar aplikasi Java, Log4Shell segera berubah menjadi mimpi buruk bagi perusahaan dan pemerintah di seluruh dunia.

Sementara risiko kritis yang ditimbulkan oleh eksploitasi Log4Shell asli adalah yang terpenting, varian kerentanan yang lebih ringan muncul di versi Log4j, termasuk 2.15 dan 2.16—yang sebelumnya diyakini telah sepenuhnya ditambal.

Tapi sekarang kerentanan kelima—cacat RCE, dilacak sebagai CVE-2021-44832 telah ditemukan di 2.17.0, dengan patch yang diterapkan pada rilis terbaru 2.17.1 yang sudah keluar. Dinilai ‘Sedang’ dalam tingkat keparahan dan diberi skor 6,6 pada skala CVSS, kerentanan berasal dari kurangnya kontrol tambahan pada akses JDNI di log4j.

“Terkait dengan CVE-2021-44832 di mana penyerang dengan izin untuk mengubah file konfigurasi logging dapat membuat konfigurasi berbahaya menggunakan JDBC Appender dengan sumber data yang mereferensikan URI JNDI yang dapat mengeksekusi kode jarak jauh.”

Pakar keamanan Kevin Beaumont menyebut contoh itu sebagai “pengungkapan Log4j yang gagal” selama liburan. kerentanan keamanan memikat pelaku ancaman untuk melakukan pemindaian berbahaya dan aktivitas eksploitasi, seperti yang terlihat dari kebocoran eksploitasi Log4Shell pada 9 Desember.

Marc Rogers, VP cybersecurity di Okta pertama kali mengungkapkan pengenal kerentanan (CVE-2021-44832) dan bahwa eksploitasi bug bergantung pada pengaturan log4j non-default di mana konfigurasi sedang dimuat dari server jauh.

Hingga saat ini, kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman mulai dari peretas yang didukung negara hingga geng ransomware dan lainnya untuk menyuntikkan penambang Monero ke sistem yang rentan.

Geng ransomware Conti terlihat mengincar server VMWare vCenter yang rentan. Sedangkan, penyerang yang melanggar platform kripto Vietnam ONUS melalui log4shell menuntut uang tebusan $5 juta.

Pengguna Log4j harus segera meningkatkan ke rilis terbaru 2.17.1 (untuk Java 8). Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan juga diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer