News 244 - Naga Cyber Defense

Pemerintah Memperingatkan Iran Menargetkan Kelemahan Microsoft dan Fortinet untuk Menanam Ransomware

November 20, 2021 by Søren

Badan keamanan siber AS, Inggris, dan Australia mendesak organisasi infrastruktur untuk menambal kerentanan dalam produk Microsoft dan Fortinet yang menurut mereka digunakan peretas yang terkait dengan Iran dalam serangan ransomware.

“FBI dan CISA telah mengamati bahwa kelompok APT (Advanced Persistent Threat) yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang termasuk menyebarkan ransomware,” ungkap nasihat yang dikeluarkan bersama oleh agensi pada hari Rabu.

Aktivitas siber Iran sebelumnya lebih terkait erat dengan permainan kekuatan regional dan tujuan geopolitiknya. Para pejabat memperkirakan operasi spionase dan bersiap untuk serangan balasan setelah pemerintahan Trump menarik diri dari perjanjian nuklir yang ditengahi oleh Presiden Barack Obama dan membunuh seorang jenderal top Iran, misalnya. Tetapi September lalu, FBI dan CISA memperingatkan bahwa Iran kemungkinan akan mulai menggunakan kemampuan mereka untuk memperbaiki situasi keuangannya melalui operasi ransomware.

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” bunyi nasihat itu. “FBI, CISA, [Pusat Keamanan Siber Australia] dan [Pusat Keamanan Siber Nasional Inggris] menilai para pelaku berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu.”

Kerentanan Fortinet dan Microsoft Exchange yang ditandai di penasihat semuanya terdaftar dalam katalog ratusan kerentanan yang diketahui sedang dieksploitasi secara aktif. CISA merilis katalog tepat dua minggu lalu bersama dengan arahan operasional yang mengikat dan tenggat waktu untuk menambalnya.

Selengkapnya: Nextgov

Bug XSS berbahaya di halaman ‘Tab Baru’ Google Chrome melewati fitur keamanan

November 19, 2021 by Winnie the Pooh

Tim Chromium telah menambal kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang menjalankan kode JavaScript arbitrer di halaman ‘Tab Baru’ Chrome.

Menurut utas diskusi dan bukti konsep di portal bug Chromium, penyerang dapat mengeksploitasi bug dengan mengirimkan file HTML ke korban yang berisi skrip cross-site request forgery (CSRF), yang mengirimkan snippet kode JavaScript berbahaya sebagai permintaan pencarian ke Google.

Saat pengguna membuka file, skrip CSRF berjalan dan kueri disimpan dalam riwayat pencarian browser. Saat berikutnya pengguna membuka Halaman Tab Baru dan mengklik bilah pencarian Google, kode berbahaya akan berjalan.

Yang mengkhawatirkan, jika korban masuk ke akun Google mereka saat membuka file berbahaya, permintaan akan disimpan ke riwayat pencarian akun mereka dan dipicu di perangkat lain tempat akun Google mereka masuk.

Ashish Dhone, peneliti yang menemukan bug tersebut, memiliki rekam jejak berburu bug XSS di aplikasi web dan seluler Google. “Saya ingin menemukan XSS di Chrome, maka perburuan saya dimulai dengan aplikasi desktop Google Chrome,” katanya kepada The Daily Swig.

“Saya sedang mencari fungsionalitas markup HTML di mana XSS dapat dieksekusi. Setelah menghabiskan berjam-jam, entah bagaimana saya menemukan bahwa di halaman Tab Baru, kueri pencarian yang disimpan tidak dibersihkan dan kemudian saya dapat menjalankan [uXSS]”.

Serangan UXSS mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS dan mengeksekusi kode berbahaya.

Dhone mengambil hadiah bug bounty sebesar $ 1.000 untuk penemuan serta beberapa pelajaran penting tentang keamanan browser. “Selalu periksa fitur dan fungsionalitas di mana markup HTML digunakan – di sinilah sebagian besar serangan XSS dapat ditemukan dan dieksploitasi,” katanya.

Selengkapnya: Portswigger

Google Mengeluarkan Peringatan Untuk 2 Miliar Pengguna Chrome

November 19, 2021 by Eevee

Google mengungkapkan 25 kerentanan baru telah ditemukan dalam dua minggu terakhir. Ini menilai tujuh di antaranya sebagai ancaman tingkat ‘Tinggi’. Pengguna Linux, macOS, dan Windows semuanya terpengaruh dan perlu mengambil tindakan segera.

Chrome mengalami masalah lebih lanjut setelah banyak laporan dari pengguna bahwa versi baru (96) memutus akses ke situs-situs utama seperti Instagram, Twitter, Discord, dan lainnya. Pengguna menerima pesan: “Ada yang tidak beres. Coba muat ulang.” Saat halaman dimuat ulang, elemen kunci seperti gambar, video yang disematkan, dan halaman yang dirender dengan warna yang salah sering kali hilang.

Beberapa solusi telah dicoba dan menonaktifkan fitur penyematan baru yang diperkenalkan di Chrome 96. Pada tahap ini, tidak diketahui apakah Google dapat menerapkan perbaikan dari jarak jauh tanpa harus merilis Chrome versi baru. Hal tersebut membuat pengguna Chrome dalam posisi yang sulit dengan pilihan menunggu dan meninggalkan kerentanan keamanan yang diketahui di browser (detail di bawah) atau memperbarui dan berpotensi merusak pengalaman menjelajah mereka.

Google saat ini membatasi informasi tentang peretasan ini untuk mengulur waktu bagi pengguna Chrome untuk meningkatkan versi. Akibatnya, melihat ancaman tingkat tinggi baru, kami hanya memiliki informasi berikut untuk melanjutkan:

High – CVE-2021-38007: ype Kebingungan di V8. Dilaporkan oleh Polaris Feng dan SGFvamll di Singular Security Lab pada 2021-09-29
High – CVE-2021-38008: Gunakan setelah gratis di media. Dilaporkan oleh Marcin Towalski dari Cisco Talos pada 2021-10-26
High – CVE-2021-38009: Implementasi yang tidak tepat dalam cache. Dilaporkan oleh Luan Herrera (@lbherrera_) pada 2021-10-16

Selengkapnya : Bleeping Computer

Peretasan ini mengikuti pola yang sudah dikenal, dengan eksploitasi ‘Use-After-Free’ (UAF). Eksploitasi UAF yang berhasil mencapai 10x pada bulan September dan Oktober dan telah menjadi penyebab beberapa peretasan ‘zero-day’ juga. Kerentanan UAF adalah eksploitasi memori yang dibuat saat program gagal menghapus penunjuk ke memori setelah dibebaskan.

Eksploitasi Chrome V8 juga marak pada tahun 2021 bersama dengan kekurangan buffer overflow Heap. V8 adalah mesin JavaScript open-source yang digunakan oleh Google Chrome dan browser web berbasis Chromium seperti Microsoft Edge, Opera, Amazon Silk, Brave, Yandex dan Vivaldi.

Untuk memeriksa apakah Anda dilindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda terdaftar sebagai 96.0.4664.45 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, pastikan Anda memeriksa versi baru secara teratur.

Ingat: setelah memperbarui, Anda harus me-restart browser Anda untuk dilindungi. Langkah ini sering diabaikan. Merupakan penghargaan bagi Google bahwa perbaikan untuk serangan tingkat tinggi secara konsisten dirilis dalam beberapa hari setelah penemuan mereka, tetapi mereka hanya efektif jika miliaran pengguna kemudian memulai ulang browser mereka.

Selengkapnya : Forbes

Sebagian besar penyedia layanan eksploitasi SS7 di Dark Web adalah scammers

November 19, 2021 by Eevee

Kerentanan protokol telepon seluler Signaling System 7 (SS7) adalah sesuatu yang diperingatkan oleh para peneliti keamanan pada tahun 2016, dan hanya butuh satu tahun sebelum serangan pertama yang mengeksploitasinya diamati. Pemerintah mengeksploitasi kelemahan SS7 untuk melacak individu di luar negeri, dan peretas menggunakannya untuk membajak Telegram dan akun email.

Celah keamanan SS7 dapat dimanfaatkan untuk mencegat atau meneruskan panggilan, kode 2FA, mencari perangkat, SMS palsu, dan banyak lagi. Analis di SOS Intelligence telah mencari di web gelap untuk penyedia layanan eksploitasi SS7 dan menemukan 84 domain bawang unik yang mengklaim menawarkannya.

Setelah mempersempit hasil menjadi yang tampaknya masih aktif, mereka hanya mendapatkan empat berikut:

Penjelajah SS7
Penjelajah ONLINE SS7
Peretasan SS7
Pasar Rubah Gelap

Situs web Pasar Rubah Gelap
Sumber: Intelijen SOS

Dengan menganalisis data topologi jaringan untuk situs-situs ini, para peneliti menemukan bahwa beberapa di antaranya relatif terisolasi, tidak memiliki banyak tautan masuk.

Ini bukan indikasi yang baik tentang keandalan dan kredibilitas situs dan biasanya merupakan indikasi platform scamming yang baru saja disiapkan.

Apalagi, situs SS7 Hack tampaknya disalin dari situs clearnet yang dibuat pada tahun 2021, sehingga terlihat seperti scam.

Halaman pembelian layanan Dark Fox Market
Sumber: Intelijen SOS

Pada platform Dark Fox Market, yang mengenakan biaya $180 untuk setiap nomor telepon yang ditargetkan, para peneliti menemukan video demo yang sama yang diunggah oleh pengguna Rusia di YouTube pada tahun 2016.

Ini kemungkinan besar dicuri dari YouTube dan tidak memiliki relevansi dengan platform Dark Fox Market, yang bagaimanapun juga tidak menawarkan layanan eksploitasi SS7 yang berfungsi.

Terlepas dari semua itu, dengan menganalisis dompet cryptocurrency yang disediakan dari platform ini, SOS Intelligence menemukan bahwa para scammer menghasilkan banyak uang.

Layanan eksploitasi SS7 nyata disembunyikan, hal di atas tidak berarti bahwa tidak ada layanan eksploitasi SS7 di web gelap tetapi yang sebenarnya tersembunyi di balik forum peretasan khusus dan pasar seperti World Market.

Posting WorldMarket menawarkan layanan exploit SS7
Sumber: KELA

Pelaku ancaman yang canggih memiliki akses ke data ponsel melalui afiliasi atau operasi mereka sendiri, sehingga mereka tidak perlu mencari penyedia layanan exploit SS7.

Selengkapnya : Bleeping Computer

Mengapa Netflix Hampir Tidak Pernah Down

November 19, 2021 by Winnie the Pooh

Ketika ratusan ribu orang di seluruh dunia demam Squid Game Netflix bulan lalu, penonton mungkin telah menerima sesuatu yang cukup luar biasa secara cuma-cuma. Netflix tidak menyerah di bawah permintaan yang belum pernah terjadi sebelumnya untuk drama dystopian yang akan menjadi judul paling sukses hingga saat ini — bahkan ketika layanan lain telah berjuang untuk menjaga produk mereka tetap kokoh dalam keadaan yang tidak terlalu menuntut.

Disney Plus mengalami crash pada hari pertama karena perangkat lunaknya tidak dapat menangani permintaan yang besar (dan kemudian down lagi di bawah permintaan untuk WandaVision). HBO Max sangat rusak secara fundamental sehingga kepemimpinannya sendiri telah mengakui bahwa aplikasi itu berantakan. Bahkan Instagram, yang fitur Stories-nya menjadikannya semacam layanan streaming dengan sendirinya, sering mengalami crash sehingga mulai memberi tahu penggunanya saat mengalami gangguan.

Keberanian layanan, rekayasa di balik aplikasi itu sendiri, adalah dasar dari kesuksesan setiap streamer, dan Netflix telah menghabiskan 10 tahun terakhir membangun jaringan server yang luas yang disebut Open Connect untuk menghindari adanya kendala pada streaming modern. Ini adalah hal yang memungkinkan Netflix untuk menyajikan pengalaman yang jauh lebih andal daripada pesaingnya dan tidak goyah ketika sekitar 111 juta pengguna menonton Squid Game selama minggu-minggu awal layanan.

Open Connect adalah jaringan distribusi konten internal Netflix yang dibuat khusus untuk menayangkan acara TV dan filmnya.

Tanpa sistem seperti Open Connect atau CDN (content delivery networks) pihak ketiga, permintaan konten oleh ISP harus “melalui titik peering dan mungkin transit empat atau lima jaringan lain hingga sampai ke asal, atau tempat yang menampung kontennya,” kata Will Law, kepala arsitek teknik media di Akamai, jaringan pengiriman konten utama, kepada The Verge. Itu tidak hanya memperlambat pengiriman, tetapi juga mahal karena ISP mungkin harus membayar untuk mengakses konten tersebut.

“Kami, Open Connect, membawa salinan Bridgerton di titik terdekat ke penyedia layanan internet Anda — dalam beberapa kasus, tepat di dalam jaringan penyedia layanan internet Anda — dan itu pada dasarnya menghindari beban penyedia layanan internet untuk mendapatkan dan mentransfernya melalui semua server di internet ke Anda,” kata Haspilaire kepada The Verge.

Dan mereka ada di mana-mana. Saat ini, Netflix mengatakan memiliki 17.000 server yang tersebar di 158 negara, dan perusahaan tersebut mengatakan bahwa pihaknya berencana untuk terus memperluas jaringan pengiriman kontennya.

Hal yang paling diperhatikan Netflix adalah memberikan pengalaman menonton yang baik terlepas dari seberapa buruk ISP Anda.

Untuk melakukan itu, Netflix secara efektif mengirimkan tiga salinan dari masing-masing judulnya ke servernya, masing-masing dengan tingkat kualitas yang berbeda. Jika ISP Anda kewalahan atau internet Anda berhenti sejenak, sistem dapat menukar judul dengan versi bitrate yang lebih rendah, membantu Anda mempertahankan streaming tanpa gangguan.

Netflix kemudian mengacak video di sekitar servernya berdasarkan apa yang diharapkan untuk mendapatkan perhatian paling besar. Open Connect memiliki dua jenis server: flash, yang menangani pengiriman lebih cepat, dan storage, yang menampung hingga 350 TB data. Jika sesuatu yang tersimpan di server storage menjadi populer, Netflix akan memindahkan judul itu ke server flash.

Open Connect adalah salah satu pendorong di balik layar terbesar di balik kemampuan Netflix untuk bekerja sebaik yang dilakukannya selama pandemi. Tetapi ada banyak bagian lain yang membuat Netflix jauh di depan dari para pesaingnya.

Selengkapnya: The Verge

SynapseML sumber terbuka Microsoft untuk mengembangkan saluran AI

November 19, 2021 by Winnie the Pooh

Microsoft pada hari Rabu kemarin mengumumkan rilis SynapseML (sebelumnya MMLSpark), sebuah library open source yang dirancang untuk menyederhanakan pembuatan pipeline machine learning.

Dengan SynapseML, pengembang dapat membangun sistem “skala dan cerdas” untuk memecahkan tantangan di seluruh domain, termasuk analitik teks, terjemahan, dan pemrosesan ucapan, kata Microsoft.

“Selama lima tahun terakhir, kami telah bekerja untuk meningkatkan dan menstabilkan perpustakaan SynapseML untuk beban kerja produksi. Pengembang yang menggunakan Azure Synapse Analytics akan senang mengetahui bahwa SynapseML sekarang tersedia secara umum di layanan ini dengan dukungan perusahaan [di Azure Synapse Analytics],” Engineer perangkat lunak Microsoft Mark Hamilton menulis dalam sebuah posting blog.

Seperti yang dijelaskan Microsoft di situs web proyek, SynapseML memperluas Apache Spark, mesin sumber terbuka untuk pemrosesan data skala besar, dalam beberapa arah baru: “[Alat di SynapseML] memungkinkan pengguna untuk membuat model yang kuat dan sangat skalabel yang mencakup beberapa [ pembelajaran mesin] ekosistem.

SynapseML juga menghadirkan kemampuan jaringan baru ke ekosistem Spark. Dengan proyek HTTP on Spark, pengguna dapat menyematkan layanan web apa pun ke dalam model SparkML mereka dan menggunakan kluster Spark mereka untuk alur kerja jaringan yang masif.”

SynapseML juga memungkinkan pengembang untuk menggunakan model dari ekosistem pembelajaran mesin yang berbeda melalui Open Neural Network Exchange (ONNX), kerangka kerja dan runtime yang dikembangkan bersama oleh Microsoft dan Facebook. Dengan integrasi, pengembang dapat mengeksekusi berbagai model pembelajaran klasik dan mesin hanya dengan beberapa baris kode.

Selengkapya: Venturebeat

Geng ransomware Rusia mulai berkolaborasi dengan peretas China

November 19, 2021 by Eevee

Beberapa aktivitas tidak biasa muncul di forum cybercrime berbahasa Rusia, di mana peretas tampaknya menjangkau rekan-rekan China untuk berkolaborasi. Upaya untuk merekrut aktor ancaman Tiongkok ini terlihat di forum peretasan RAMP.

Menurut laporan Flashpoint, pengguna tingkat tinggi dan administrator RAMP sekarang secara aktif mencoba berkomunikasi dengan anggota forum baru dalam bahasa Mandarin. Forum tersebut memiliki sekitar 30 pendaftaran pengguna baru yang tampaknya berasal dari China

Para peneliti menyatakan penyebab yang paling mungkin adalah bahwa geng ransomware Rusia berusaha membangun aliansi dengan aktor China untuk meluncurkan serangan siber terhadap target AS, memperdagangkan kerentanan, atau bahkan merekrut bakat baru untuk operasi Ransomware-as-a-Service (RaaS) mereka. Inisiatif ini dimulai oleh admin RAMP yang dikenal sebagai Kajit, baru-baru ini mengaku menghabiskan beberapa waktu di China dan dapat berbicara bahasa tersebut.

Dalam RAMP versi sebelumnya, dia telah mengisyaratkan bahwa dia akan mengundang aktor ancaman China ke forum, yang tampaknya sedang berlangsung.

Namun, peretas Rusia yang mencoba berkolaborasi dengan aktor ancaman China tidak terbatas pada forum peretasan RAMP karena Flashpoint juga telah melihat kolaborasi serupa di forum peretasan XSS.

“Pada tangkapan layar di bawah, pengguna XSS “hoffman” menyapa dua anggota forum yang menyatakan diri mereka sebagai orang Cina,” jelas penelitian baru oleh Flashpoint.

Posting di forum peretasan XSS
Sumber: Flashpoint

Bulan lalu, seorang admin RAMP yang dikenal sebagai ‘Oranye’ atau ‘boriselcin’ dan yang menjalankan situs “Groove”, menerbitkan sebuah posting yang menyerukan para pelaku ancaman untuk menyerang AS.

Aktor Groove mengklaim bahwa operasi itu palsu sejak awal dan dibuat untuk menjebak dan memanipulasi media dan peneliti keamanan. Peneliti keamanan dari McAfee dan Intel 471 percaya bahwa ini kemungkinan hanya pelaku ancaman yang mencoba menutupi fakta bahwa upaya pelaku ransomware-as-a-service tidak berjalan sesuai rencana.

Namun, operasi ransomware Conti baru-baru ini diposting ke forum RAMP untuk merekrut afiliasi dan membeli akses awal ke jaringan. Geng tersebut mengatakan bahwa mereka biasanya hanya bekerja dengan peretas yang berbahasa Rusia, tetapi membuat pengecualian untuk pelaku ancaman yang berbahasa China untuk menghormati admin RAMP.

“Iklan ini dalam bahasa Rusia, karena kami hanya bekerja dengan penutur bahasa Rusia. TAPI, untuk menghormati admin, kami akan membuat pengecualian untuk pengguna berbahasa Sino dan bahkan menerjemahkan pesan ini dalam bahasa Mandarin (Anda bahkan dapat menggandakannya dalam bahasa Mandarin dan Canotonese!)”- Operasi ransomware Conti.

Conti bersedia bekerja dengan aktor ancaman berbahasa Mandarin
Sumber: BleepingComputer melalui analis ancaman anonim

Dengan demikian, tampaknya forum RAMP secara aktif mengundang aktor ancaman berbahasa China untuk berpartisipasi dalam percakapan dan serangan.

RAMP didirikan musim panas lalu oleh anggota inti geng ransomware Babuk asli, yang bertujuan untuk berfungsi sebagai tempat baru untuk membocorkan data berharga yang dicuri dari serangan siber dan merekrut afiliasi ransomware.

Kasus penting dari kebocoran semacam itu terjadi pada bulan September ketika admin RAMP memposting 498.908 kredensial Fortinet VPN untuk mengakses 12.856 perangkat di berbagai jaringan perusahaan.

Meskipun banyak dari kredensial ini sudah tua, peneliti keamanan menyatakan bahwa banyak kredensial yang masih valid dan memungkinkan forum RAMP membangun reputasi di lapangan.

Flashpoint melaporkan bahwa RAMP telah mencapai iterasi ketiga, menggunakan domain .onion baru dan mengharuskan semua pengguna sebelumnya untuk mendaftar ulang.

Selengkapnya : Bleeping Computer

Web Server Polri Diretas oleh Peretas Brasil

November 18, 2021 by Winnie the Pooh

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

Nama
Tempat tanggal lahir
Satker
Pangkat
Status pernikahan
Jabatan
Alamat
Pangkat terakhir
Agama
Golongan darah
Suku
pen_umum_terakhir
pen_polri_terakhir
pen_jurusan_terakhir
pen_jenjang_terakhir
rehab_no_putusan
rehab_tanggal_putusan_sidang
rehab_id_jenis_pelanggaran
id_propam
s_tgl_hukuman_selesai
s_tgl_hukuman_mulai
s_tgl_rehab_mulai
s_tgl_rehab_selesai
s_tgl_binlu_mulai
s_tgl_binlu_selesai
email
no_hp.[]

Sumber: Cyberthreat.id

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings