Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer

Rekayasa sosial berjalan otomatis: bot robocall baru di Telegram dapat menipu Anda untuk memberikan kata sandi Anda

by

Saat ini, scammers tampaknya memiliki pekerjaan yang cocok untuk mereka karena jenis bot-for-hire baru mengambil alih dunia rekayasa sosial.

OTP Bot adalah jenis baru Telegram bot jahat yang dirancang untuk merobohkan korban yang tidak menaruh curiga dan menipu mereka agar memberikan kata sandi satu kali (OTP), yang kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank mereka. Lebih buruk lagi, basis pengguna bot model baru yang berkembang ini telah tumbuh ribuan dalam beberapa minggu terakhir.

Menurut peneliti CyberNews Martynas Vareikis, OTP Bot adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanan jahat kepada siapa pun yang bersedia membayar.

Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil kata sandi satu kali dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap, langsung ke jendela obrolan Telegram bot. “Bergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman, informasi tambahan ini dapat mencakup sesedikit alamat email korban,” kata Vareikis.

Bot itu sendiri dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada penjahat. Sementara itu, para penggunanya secara terbuka memamerkan keuntungan lima digit mereka dari menggeledah rekening bank target mereka.

Teknik penipuan paling populer yang digunakan oleh pelanggan Bot OTP disebut ‘penautan kartu’. Ini termasuk menghubungkan kartu kredit korban ke akun aplikasi pembayaran seluler mereka, dan kemudian menggunakannya untuk membeli kartu hadiah di toko fisik.

Selengkapnya: Cyber News

DeadRinger: APT China menyerang perusahaan telekomunikasi besar

by

Para peneliti telah mengungkapkan tiga kampanye spionase siber yang berfokus pada kompromi jaringan milik perusahaan telekomunikasi besar.

Pada hari Selasa, Cybereason Nocturnus menerbitkan laporan baru tentang penyerang cyber, diyakini bekerja untuk “kepentingan negara China” dan dikelompokkan dengan nama “DeadRinger.”

Menurut perusahaan keamanan siber tersebut, kampanye “yang sebelumnya tidak teridentifikasi” berpusat di Asia Tenggara — dan dengan cara yang mirip dengan bagaimana penyerang mengamankan akses ke korban mereka melalui vendor terpusat dalam kasus SolarWinds dan Kaseya, grup ini menargetkan perusahaan telekomunikasi.

Cybereason percaya serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan sponsor negara Tiongkok karena tumpang tindih dalam taktik dan teknik dengan APT Tiongkok lainnya yang diketahui.

Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan Microsoft Exchange Server — jauh sebelum dipublikasikan — penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial, pembuatan suar Cobalt Strike, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.

Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok pusat lain.

Selengkapnya: ZDNet

Serangan phishing baru ini ‘lebih licik dari biasanya’, Microsoft memperingatkan

by

Tim Intelijen Keamanan Microsoft telah mengeluarkan peringatan kepada pengguna dan admin Office 365 untuk waspada terhadap email phishing “licik” dengan alamat pengirim palsu.

Microsoft mengeluarkan peringatan setelah mengamati kampanye aktif yang menargetkan organisasi Office 365 dengan email yang meyakinkan dan beberapa teknik untuk melewati deteksi phishing, termasuk halaman phishing Office 365, hosting aplikasi web cloud Google, dan situs SharePoint yang disusupi yang mendesak korban untuk mengetikkan kredensial.

Phishing terus menjadi masalah rumit bagi bisnis untuk dibasmi, membutuhkan pelatihan kesadaran phishing yang diperbarui secara berkala dan solusi teknis, seperti otentikasi multi-faktor di semua akun – yang sangat direkomendasikan oleh Microsoft dan CISA.

Grup phishing menggunakan Microsoft SharePoint dalam nama tampilan untuk menarik korban agar mengklik tautan. Email tersebut berpura-pura sebagai permintaan “berbagi file” untuk mengakses “Laporan Staf”, “Bonus”, “Buku Harga”, dan konten lain yang dihosting di spreadsheet Excel yang seharusnya.

Sementara logo Microsoft yang meyakinkan berserakan di seluruh email, URL phishing utama bergantung pada sumber daya penyimpanan Google yang mengarahkan korban ke domain Google App Engine AppSpot – tempat untuk meng-host aplikasi web.

URL kedua disematkan dalam pengaturan pemberitahuan yang menautkan korban ke situs SharePoint yang disusupi. Kedua URL memerlukan masuk untuk membuka halaman terakhir, memungkinkan serangan melewati sandbox.

Selengkapnya: ZDNet

Google akan memblokir login di perangkat Android lama mulai September

by

Google mengirim email kepada pengguna Android untuk memberi tahu mereka bahwa, mulai akhir September, mereka tidak lagi dapat masuk ke akun Google mereka di perangkat yang menjalankan Android 2.3.7 (Gingerbread) dan yang lebih rendah.

“Sebagai bagian dari upaya berkelanjutan kami untuk menjaga keamanan pengguna kami, Google tidak akan lagi mengizinkan login di perangkat Android yang menjalankan Android 2.3.7 atau lebih rendah mulai 27 September 2021,” jelas Zak Pollack, Manajer Komunitas Bantuan Android.

“Jika Anda masuk ke perangkat setelah 27 September, Anda mungkin mendapatkan kesalahan nama pengguna atau sandi saat mencoba menggunakan produk dan layanan Google seperti Gmail, YouTube, dan Maps.”

Pengguna disarankan untuk memperbarui perangkat mereka ke versi Android yang lebih baru (3.0 atau lebih baru) sesegera mungkin sehingga mereka tidak akan kehilangan akses ke aplikasi dan layanan Google.

Mereka yang tidak dapat memperbarui ke versi Android yang lebih baru dapat mencoba masuk ke akun Google mereka menggunakan browser web yang akan memberi mereka cara alternatif untuk menggunakan layanan Google pada perangkat Android yang tidak didukung.

Selengkapnya: Bleeping Computer

Amazon Mendapat Rekor Denda Uni Eropa $888 Juta Karena Pelanggaran Data

by

Amazon.com Inc. menghadapi denda privasi Uni Eropa terbesar yang pernah ada setelah pengawas privasi utamanya menjatuhkan hukuman 746 juta euro ($ 888 juta) karena melanggar aturan perlindungan data yang ketat di blok tersebut.

CNPD, otoritas perlindungan data Luksemburg menampar Amazon dengan rekor denda dalam keputusan 16 Juli yang menuduh pengecer online memproses data pribadi yang melanggar Peraturan Perlindungan Data Umum UE, atau GDPR. Amazon mengungkapkan temuan itu dalam pengajuan peraturan pada hari Jumat, mengatakan keputusan itu “tidak berdasar.”

Keputusan itu mengakhiri penyelidikan yang dimulai oleh keluhan 2018 dari kelompok hak privasi Prancis La Quadrature du Net. Ia dengan hati-hati menyambut keputusan itu.

Amazon telah menarik perhatian dalam beberapa tahun terakhir untuk kumpulan besar data yang telah dikumpulkannya pada berbagai pelanggan dan mitra, termasuk pedagang independen yang menjual di pasar ritelnya, pengguna asisten digital Alexa, dan pembeli yang riwayat penelusuran dan pembeliannya menginformasikan apa Amazon menunjukkannya ke situs webnya.

Perusahaan mengatakan mengumpulkan data untuk meningkatkan pengalaman pelanggan, dan menetapkan pedoman yang mengatur apa yang dapat dilakukan karyawan dengannya. Beberapa anggota parlemen dan regulator telah menyuarakan keprihatinan bahwa perusahaan telah menggunakan apa yang diketahuinya untuk memberikan keuntungan yang tidak adil bagi dirinya sendiri di pasar.

Selengkapnya: Bloomberg

Sysadmin: Mengapa tidak memverifikasi bahwa tidak ada pintu belakang di setiap program yang Anda instal, dan dengan demikian menghindari drama dunia maya?

by

Setengah dari serangan rantai pasokan yang dilaporkan secara publik dilakukan oleh “kelompok APT terkenal”, menurut analisis oleh badan infosec UE ENISA, yang memperingatkan serangan digital semacam itu perlu mendorong “metode perlindungan baru.”

Juhan Lepassaar, direktur eksekutif ENISA, mengatakan dalam sebuah pernyataan: “Karena efek berjenjang dari serangan rantai pasokan, pelaku ancaman dapat menyebabkan kerusakan luas yang mempengaruhi bisnis dan pelanggan mereka sekaligus. Dengan praktik yang baik dan tindakan terkoordinasi di tingkat UE, Negara-negara Anggota akan dapat mencapai tingkat kemampuan yang sama untuk meningkatkan tingkat keamanan siber yang sama di UE.”

Studi open-source dimaksudkan sebagai primer pada serangan rantai pasokan, yang biasanya terdiri dari penargetan pemasok perangkat lunak B2B yang memiliki daftar pelanggan yang luas. Setelah pemasok dikompromikan, penyerang kemudian bergerak secara lateral ke jaringan pelanggan mereka, biasanya untuk mencuri data dan memeras para korban.

“Karakteristik tambahan dari serangan rantai pasokan melibatkan kompleksitas dalam menanganinya dan upaya yang diperlukan untuk mengurangi dan mengatasi serangan tersebut,” kata ENISA dalam laporannya.

ENISA mengkritik pemasok karena tidak mengetahui atau tidak mengakui di depan umum bagaimana mereka dikompromikan.

Laporan tersebut mencantumkan insiden rantai pasokan yang dipelajari oleh ENISA. Selain yang terkenal yang melibatkan Accellion, SolarWinds, dan Kaseya, itu juga mencantumkan ProjectWeb Fujitsu, emulator Android Bignox Noxplayer, dan banyak lagi.

Selengkapnya: The Register

HACKERS BERBAHASA RUSIA DITANGKAP DI POLANDIA ATAS SERANGAN JACKPOTTING ATM

by

Dengan dukungan Europol, pihak berwenang Polandia telah menangkap dua orang yang melakukan apa yang disebut serangan ‘Kotak Hitam’ terhadap ATM, di mana para penjahat menghubungkan perangkat elektronik ke mesin ATM dan memaksanya dari jarak jauh untuk mengeluarkan semua uangnya.

Kedua tersangka – keduanya warga negara Belarusia, ditangkap di Warsawa pada 17 Juli.

Penyelidikan menemukan bahwa para penjahat ini melakukan lusinan serangan ATM di setidaknya tujuh negara Eropa, mencuri uang tunai sekitar €230.000. Para penjahat selalu mengincar merek dan model ATM yang sama.

Para penjahat akan mendapatkan akses ke kabel ATM dengan mengebor lubang atau melelehkan bagian-bagiannya untuk menghubungkan mesin secara fisik ke laptop yang kemudian digunakan untuk mengirim perintah relai yang menyebabkan mesin mengeluarkan semua uangnya.

selengkapnya : www.europol.europa.eu

Tagged With: