Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

by

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

sumber : thehackernews.com

TV Rusia menyiarkan video palsu tentang Putin yang memerintahkan Darurat Militer di tengah laporan bahwa Ukraina sedang menyerang

by

Sebuah video palsu oleh Vladimir Putin, disiarkan Senin di beberapa bagian Rusia. Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.

Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.
Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.

Penayangan video tersebut disebabkan karena adanya laporan peretasan di daerah perbatasan yang tingkat kecemasannya sudah tinggi. Dikatakan oleh Putin palsu bahwa tentara Ukraina menginvasi Rusia dan dia memerintahkan darurat militer.

Sumber Rusia melaporkan peningkatan serangan Ukraina pada posisi di sepanjang garis depan pada hari Senin.

Ada hal janggal yang tampak dari video berjudul “Seruan darurat Presiden,” adalah adanya garis-garis dalam di alis berkerut pemimpin berusia 70 tahun itu tampak menghilang terlalu mulus saat ekspresinya berubah.

Beberapa stasiun TV dan radio di wilayah ini menayangkannya karena apa yang disebut pejabat Rusia sebagai peretasan; mereka tidak mengidentifikasi pelakunya.

Kegelisahan telah tumbuh di daerah perbatasan Rusia dalam beberapa pekan terakhir karena kelompok kecil militan bersenjata anti-Putin Rusia telah menyerbu melewati penjaga perbatasan, memaksa respons militer yang berat untuk mengusir mereka.

Pesan yang disampaikan oleh Putin palsu memperparah kecemasan tersebut.

Satelit AS juga mendeteksi pergerakan dan lebih banyak aktivitas dari pasukan Ukraina, The New York Times melaporkan. Hanya waktu yang akan menentukan apakah langkah ini merupakan bagian dari serangan balasan mereka untuk merebut kembali tanah yang dicuri.

Selengkapnya: INSIDER

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

by

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Lebih dari 400 juta Terinfeksi Spyware Android — Hapus Aplikasi Ini Sekarang!

by

Lebih dari 100 aplikasi Android dengan gabungan lebih dari 400 juta unduhan telah terinfeksi oleh jenis malware baru yang didistribusikan sebagai kit pengembangan perangkat lunak (SDK) untuk pengiklan.

Penemuan itu dilakukan oleh peneliti keamanan di Dr.Web yang menemukan modul spyware di dalam aplikasi yang terpengaruh yang mereka namai ‘SpinOk’.

Disebut spyware karena malware tersebut dapat mencuri data pribadi yang disimpan di ponsel Android terbaik dan mengirimkannya ke server jarak jauh yang dikendalikan oleh peretas di balik kampanye ini.

Pengembang aplikasi kemungkinan menambahkan modul SpinOk ke aplikasi mereka, karena tampaknya sah dan menggunakan minigame untuk memberi pengguna “hadiah harian” untuk membuat mereka tetap tertarik.

Sayangnya, SpinOk melakukan sejumlah aktivitas jahat di latar belakang saat memeriksa data sensor perangkat Android.

Berdasarkan laporan Dr.Web, pembuat virus mengklaim telah menemukan 101 aplikasi yang diunduh lebih dari 421 juta kali dari Google Play Store. Di bawah, Anda akan menemukan aplikasi yang terpengaruh dengan unduhan terbanyak, antara lain:
– Noizz dan Zapya – File Transfer, Share dengan 100 juta unduhan.
– vFly, MVBit, dan Biugo dengan 50 juta unduhan.
– Crazy Drop, Cashzine, dan Fizzo Novel dengan 10 juta unduhan.
– CashEM dan Tick dengan 5 juta unduhan.

Pengguna disarankan untuk segera menghapus aplikasi-aplikasi tersebut, meskipun sebagian besar aplikasi yang terpengaruh telah dihapus dari Play Store, belum semuanya.

SpinOk mampu melakukan sejumlah aktivitas jahat di latar belakang yang mencakup daftar file di direktori, mencari file tertentu, mengunggah file dari smartphone yang terinfeksi atau menyalin dan mengganti konten dari clipboard.

Masih belum jelas apakah penerbit aplikasi Android ini ditipu oleh distributor SDK trojan atau sengaja memasukkannya ke dalam aplikasi mereka. Seperti yang dicatat oleh BleepingComputer, jenis infeksi ini seringkali merupakan hasil dari serangan rantai pasokan dari pihak ketiga.

Agar tetap aman dari aplikasi yang buruk, pengguna harus berhati-hati saat mengunduh aplikasi baru meskipun berasal dari Google Play Store, mencoba untuk mencari ulasan eksternal, terutama ulasan video, perhatikan izin yang diperlukan aplikasi, dan sebagai perlindungan tambahan, pertimbangkan untuk menginstal salah satu aplikasi antivirus Android terbaik.

Selengkapnya: tom’s guide

Kekurangan Google Drive Memungkinkan Penyerang Mengeksfiltrasi Data Ruang Kerja Tanpa Jejak

by Leave a Comment

Para peneliti di tim dari Mitiga menemukan apa yang mereka sebut sebagai “kekurangan keamanan forensik” kunci dalam aplikasi produktivitas yang dihosting populer, yang muncul karena kurangnya pembuatan log untuk pengguna yang tidak memiliki lisensi perusahaan berbayar untuk Workspace. Dalam posting blog Mitiga yang diterbitkan 30 Mei, tim mencatat bahwa situasi tersebut membuat perusahaan terbuka terhadap ancaman orang dalam dan potensi kebocoran data lainnya.

Bagaimana Penyerang Dapat Mengeksploitasi Kekurangan Google Drive
Ada dua skenario utama di mana kurangnya visibilitas ini menimbulkan masalah, para peneliti menguraikan dalam posting mereka. Yang pertama adalah jika akun pengguna disusupi oleh aktor ancaman, baik dengan menjadi admin atau hanya dengan mendapatkan akses ke akun tersebut, tulis mereka.

“Aktor ancaman yang mendapatkan akses ke pengguna admin dapat mencabut lisensi pengguna, mengunduh semua file pribadi mereka, dan menetapkan ulang lisensi,” jelas mereka dalam postingan tersebut. Dalam hal ini, satu-satunya catatan log yang akan dihasilkan adalah aktivitas pencabutan dan penetapan lisensi, di bawah Admin Log Events, kata para peneliti.

Sementara itu, pelaku ancaman yang mendapatkan akses ke pengguna tanpa lisensi berbayar tetapi masih menggunakan drive pribadi organisasi dapat mengunduh semua file drive tanpa meninggalkan jejak apa pun, kata para peneliti.

Skenario ancaman kedua kemungkinan besar akan terjadi selama pelepasan karyawan, ketika pengguna korporat meninggalkan perusahaan dan dengan demikian lisensinya dicabut sebelum benar-benar menonaktifkan/menghapus karyawan tersebut sebagai pengguna Google, kata para peneliti.

Karyawan (atau pengguna mana pun yang tidak diberi lisensi berbayar) juga berpotensi mendownload file internal dari drive pribadinya atau Google Workspace pribadinya tanpa pemberitahuan apa pun karena kurangnya pencatatan log, menimbulkan ancaman orang dalam, atau berpotensi mengungkap data tersebut ke penyerang luar, mereka menambahkan. Pengguna yang masih menggunakan drive pribadi perusahaan juga dapat mengunduh drive ke Google Workspace pribadi tanpa catatan log apa pun, kata para peneliti.

“Apa pun itu, tanpa lisensi berbayar, pengguna masih dapat mengakses drive bersama sebagai penonton,” jelas mereka dalam postingan tersebut. “Seorang pengguna atau pelaku ancaman dapat menyalin semua file dari drive bersama ke drive pribadi mereka dan mengunduhnya.”

Bagaimana Perusahaan Dapat Menanggapi
Untungnya, ada beberapa langkah yang dapat diambil oleh organisasi yang menggunakan Google Workspace untuk memastikan bahwa masalah yang diuraikan oleh Mitiga tidak dieksploitasi, kata para peneliti. Ini termasuk mengawasi tindakan tertentu dalam fitur Peristiwa Log Admin mereka, seperti peristiwa tentang penugasan dan pencabutan lisensi, kata mereka.

“Jika peristiwa ini terjadi secara berurutan, itu bisa menunjukkan bahwa pelaku ancaman mencabut dan menetapkan kembali lisensi di lingkungan Anda,” tulis mereka dalam postingan tersebut. “Oleh karena itu, kami menyarankan untuk melakukan perburuan ancaman secara rutin di Google Workspace yang mencakup penelusuran aktivitas ini.

Organisasi juga dapat menambahkan peristiwa “salinan sumber” dalam perburuan ancaman untuk menangkap kasus di mana seorang karyawan atau aktor ancaman menyalin file dari drive bersama ke drive pribadi dan mengunduhnya dari sana, kata para peneliti.

Secara keseluruhan, organisasi “perlu memahami bahwa jika ada pengguna dengan lisensi gratis, pengguna tersebut dapat mengunduh atau menyalin data dari Google Drive pribadi organisasi dan tidak akan ada catatan aktivitas,” kata Aspir. “Berhati-hatilah terhadap pengguna di dalam perusahaan yang tidak memiliki lisensi berbayar.”

sumber : darkreading.com

Operasi Triangulasi: Perangkat iOS yang Ditargetkan dengan Malware yang Sebelumnya Tidak Dikenal

by

Perusahaan sedang melakukan pemantauan lalu lintas jaringan Wi-Fi yang khusus digunakan untuk perangkat seluler menggunakan Platform Pemantauan dan Analisis Terpadu Kaspersky (KUMA). Mereka menemukan adanya aktivitas mencurigakan yang dari beberapa ponsel iOS.

Mereka mengambil tindakan dengan membuat cadangan luring dari perangkat yang dimaksud, memeriksanya menggunakan mvt-ios Perangkat Verifikasi Seluler dan menemukan jejak penyusupan. Kampanye ini disebut “Operasi Triangulasi”.
KUMA,
Mengidentifikasi artefak tertentu dengan menggunakan garis waktu ini, menunjukkan adanya kompromi. Ini memungkinkan untuk memajukan penelitian dan untuk merekonstruksi urutan infeksi umum:
1. Perangkat iOS target menerima pesan melalui layanan iMessage, dengan lampiran berisi eksploit.
2. Tanpa interaksi pengguna apa pun, pesan tersebut memicu kerentanan yang mengarah pada eksekusi kode.
3. Kode di dalam eksploitasi mengunduh beberapa tahap berikutnya dari server C&C, mencakup eksploitasi tambahan untuk eskalasi hak istimewa.
4. Setelah berhasil dieksploitasi, muatan akhir diunduh dari server C&C, merupakan platform APT berfitur lengkap.
5. Pesan awal dan eksploit dalam lampiran dihapus

Garis waktu beberapa perangkat menunjukkan bahwa mereka mungkin terinfeksi ulang setelah melakukan boot ulang. Saat penulisan pada Juni 2023, serangan sedang berlangsung, dan versi terbaru dari perangkat yang berhasil ditargetkan adalah iOS 15.7.

Malware dapat diidentifikasi dengan andal jika perangkat jika perangkat disusupi meskipun menyertakan bagian kode yang didedikasikan khusus untuk menghapus jejak penyusupan.

Jika perangkat baru disiapkan dengan memigrasikan data pengguna dari perangkat lama, cadangan iTunes perangkat tersebut akan berisi jejak penyusupan yang terjadi pada kedua perangkat, dengan timestemps yang benar.

Tahapan metodologi forensik yang dilakukan peneliti dimulai dari persiapan dengan mencadangkan semua perangkat target potensial harus dicadangkan, instalasi MVT, opsional dengan mendekripsi cadangan, kemudian parsing cadangan menggunakan MVT, setelah itu memeriksa timeline.csv untuk indikator.

Aktivitas jaringan selama eksploitasi yaitu dapat diidentifikasi dengan urutan beberapa kejadian koneksi HTTPS untuk eksploitasi yang berhasil. Hal ini dapat ditemukan dalam data netflow yang diperkaya dengan informasi host DNS/TLS, atau dump PCAP.

Urutan eksploitasi jaringan, dump Wireshark
Urutan eksploitasi jaringan, dump Wireshark

Selengkapnya: SecureList

Kali Linux 2023.2 dirilis dengan 13 alat baru, citra HyperV pra-bangun

by

Kali Linux 2023.2, versi kedua 2023, sekarang tersedia dengan image Hyper-V pre-built dan tiga belas alat baru, termasuk kerangka kerja Evilginx untuk mencuri kredensial dan cookie sesi.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

  • VM image baru untuk Hyper-V – dengan “Enhanced Session Mode”
  • Xfce audio stack update: memasukan PipeWire – Audio yang lebih baik untuk desktop default Kali
  • i3 desktop overhaul – i3-gaps merged with i3
  • Desktop updates – Hashing mudah di Xfce
  • GNOME 44 – bump versi Gnome Shell
  • Pembaruan ikon dan menu – Aplikasi dan ikon baru di menu
  • New tools – As always, various new packages added

How to get Kali Linux 2023.2
Untuk mulai menggunakan Kali Linux 2023.2, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.

Bagi yang mengupdate dari versi sebelumnya, Anda bisa menggunakan perintah berikut untuk mengupgrade ke versi terbaru.

echo “deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware” | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -vrbi /etc/skel/. ~/

[ -f /var/run/reboot-required ] && sudo reboot -f

Anda dapat melihat complete channelog untuk Kali 2023.2 di situs web Kali.

Security.txt sekarang wajib untuk situs web pemerintah Belanda

by

Standar keamanan wajib berlaku untuk semua pemerintah, seperti pemerintah nasional, provinsi, kotamadya, dan dewan air. Organisasi lain di sektor publik sangat disarankan untuk menerapkan standar tersebut, menurut Digital Trust Center organisasi siber pemerintah.

Kewajiban tersebut berasal dari Forum Standardisasi Pemerintah Pusat dan sejalan dengan Government Information Security Baseline (BIO). Pedoman ini menetapkan bahwa organisasi pemerintah harus memiliki prosedur untuk menerima dan menangani laporan kerentanan.

File security.txt di server web berisi informasi kontak untuk melakukan kontak jika ada kerentanan yang ditemukan di server tersebut. Tujuannya agar, misalnya, para hacker etis dapat segera menghubungi orang atau departemen yang tepat untuk mengatasi kerentanan tersebut.

Akibatnya, kerentanan harus diselesaikan lebih cepat dan penjahat dunia maya memiliki lebih sedikit peluang.

Digital Trust Center hopes that the standard will also be adopted by the business community. The standard is already being used to warn businesses more quickly in the event of serious cyber threats. The more companies embrace the standard, the faster communication can go.

The number of Dutch domain names with a security.txt file now stands at more than 88,000.

pengningkatan kewajiban untuk mengadaptasi Security.txt dikarenakan peningkatan serangan siber yang terjadi di dunia ini, dari berbagai jenis bentuk seperti malware, vulnerability, phishing, dan berbagai macam lainnya.

sumber : netherlands