News 327 - Naga Cyber Defense

12 Cacat Keamanan Teratas Peretas Mata-mata Rusia Memanfaatkan di Alam Liar

May 9, 2021 by Winnie the Pooh

Operator dunia maya yang berafiliasi dengan Badan Intelijen Luar Negeri Rusia (SVR) telah mengubah taktik mereka sebagai tanggapan atas pengungkapan publik sebelumnya tentang metode serangan mereka, menurut sebuah nasihat baru yang diterbitkan bersama oleh badan-badan intelijen dari Inggris dan AS Jumat.

Ini termasuk penyebaran alat sumber terbuka yang disebut Sliver untuk mempertahankan akses mereka ke korban yang disusupi serta memanfaatkan kelemahan ProxyLogon di server Microsoft Exchange untuk melakukan aktivitas pasca-eksploitasi.

Perkembangan tersebut mengikuti atribusi publik dari aktor terkait SVR ke serangan rantai pasokan SolarWinds bulan lalu. Musuh juga dilacak di bawah moniker yang berbeda, seperti Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear, dan Yttrium.

Atribusi tersebut juga disertai dengan laporan teknis yang merinci lima kerentanan yang digunakan oleh kelompok APT29 SVR sebagai titik akses awal untuk menyusup ke AS dan entitas asing.

CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 – Synacor Zimbra Collaboration Suite
CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 – Citrix Application Delivery Controller and Gateway
CVE-2020-4006 – VMware Workspace ONE Access

Menurut NCSC, tujuh kerentanan lagi telah ditambahkan ke dalam campuran, sambil mencatat bahwa APT29 kemungkinan besar “dengan cepat” mempersenjatai kerentanan publik yang baru-baru ini dirilis yang dapat memungkinkan akses awal ke target mereka.

CVE-2019-1653 – Cisco Small Business RV320 and RV325 Routers
CVE-2019-2725 – Oracle WebLogic Server
CVE-2019-7609 – Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 – Oracle WebLogic Server
CVE-2021-21972 – VMware vSphere
CVE-2021-26855 – Microsoft Exchange Server

selengkapnya : thehackernews.com

Google ingin mengaktifkan otentikasi multi-faktor secara default

May 7, 2021 by Winnie the Pooh

Google berusaha untuk mendorong semua penggunanya untuk mulai menggunakan otentikasi dua faktor (2FA), yang dapat memblokir penyerang mengambil kendali atas akun mereka menggunakan kredensial yang disusupi atau menebak kata sandi mereka.

“Kami akan segera mulai secara otomatis mendaftarkan pengguna di 2SV jika akun mereka dikonfigurasi dengan benar,” seperti yang diungkapkan Mark Risher, Direktur Pengelolaan Produk, Identitas, dan Keamanan Pengguna Google hari ini.

Langkah ini dimaksudkan untuk meningkatkan keamanan akun pengguna Google dengan menghapus “satu ancaman terbesar” yang memudahkan peretasan: sandi yang sulit diingat dan, lebih buruk lagi, mudah dicuri melalui pembobolan data dan phishing.

Pada proses pertama ini, perusahaan akan meminta pengguna yang sudah terdaftar di 2FA (alias Verifikasi 2 Langkah atau 2SV) untuk mengonfirmasi identitas mereka dengan mengetuk perintah Google di ponsel cerdas mereka setiap kali mereka masuk.

Untuk mendaftar dalam autentikasi dua faktor untuk Akun Google Anda sekarang, kunjungi tautan ini dan klik tombol “Memulai” untuk menambahkan lapisan keamanan ekstra dan memblokir penyerang agar tidak mendapatkan akses ke data Anda.

Selengkapnya: Bleeping Computer

Fasilitas Riset Terkena Ransomware Setelah Siswa Menginstal Software Bajakan

May 7, 2021 by Winnie the Pooh

Berhati-hatilah saat menggunakan software bajakan. Seorang siswa di sebuah lembaga penelitian bio-molekuler yang tidak disebutkan namanya di Eropa secara tidak sengaja membuka pintu untuk serangan ransomware pada organisasi tersebut setelah menginstal sebuah perangkat lunak yang sudah di “crack”, menurut firma keamanan Sophos.

Lembaga penelitian telah melakukan penelitian COVID-19 dan memiliki kemitraan erat dengan universitas lokal, memungkinkan mahasiswa untuk terhubung ke jaringan internal fasilitas melalui klien akses jarak jauh dari Citrix. Sayangnya, seorang siswa dengan akses ke jaringan mengunduh perangkat lunak bajakan, yang membantu mengekspos fasilitas penelitian ke serangan itu.

Menurut Sophos, siswa yang tidak disebutkan namanya itu “menginginkan salinan pribadi dari perangkat lunak visualisasi data yang telah mereka gunakan untuk bekerja”. Namun, satu lisensi untuk perangkat lunak dapat menghabiskan biaya ratusan dolar per tahun. Hasilnya, siswa tersebut mencari versi “crack” dari produk perangkat lunak untuk digunakan pada laptop Windows.

“Namun, file tersebut sebenarnya adalah malware murni dan upaya penginstalan segera memicu peringatan keamanan dari Windows Defender”, kata Sophos.

Tiga belas hari setelah perangkat lunak bajakan dipasang, sambungan protokol desktop jarak jauh yang misterius dibuat ke lembaga penelitian menggunakan kredensial masuk siswa. “Sepuluh hari setelah koneksi ini dibuat, ransomware Ryuk diluncurkan,” tambah Sophos.

Selengkapnya: PCmag

Linux Foundation meluncurkan proyek infrastruktur pertanian open source

May 7, 2021 by Winnie the Pooh

Linux Foundation telah membuka tutup pada proyek infrastruktur digital open source baru yang ditujukan untuk industri pertanian. AgStack Foundation, sebutan proyek baru ini akan dikenal, dirancang untuk mendorong kolaborasi di antara semua pemangku kepentingan utama dalam ruang pertanian global, yang mencakup bisnis swasta, pemerintah, dan akademisi.

Seperti halnya hampir semua industri lain dalam beberapa tahun terakhir, telah terjadi transformasi digital yang berkembang di seluruh sektor pertanian yang telah mengantarkan perangkat baru yang terhubung untuk petani dan berbagai AI dan alat otomatis untuk mengoptimalkan pertumbuhan tanaman dan menghindari hambatan kritis, seperti kekurangan tenaga kerja. Teknologi open source membawa manfaat tambahan dari data dan alat yang dapat digunakan kembali oleh pihak mana pun secara gratis, menurunkan penghalang untuk masuk dan membantu menjaga perusahaan agar tidak terkunci pada perangkat lunak berpemilik yang dioperasikan oleh segelintir pemain besar.

Didirikan pada tahun 2000, Linux Foundation adalah konsorsium nirlaba yang mendukung dan mempromosikan pertumbuhan komersial Linux dan teknologi sumber terbuka lainnya. Organisasi ini menyelenggarakan berbagai proyek individu yang mencakup hampir setiap sektor dan aplikasi, termasuk otomotif, jaringan nirkabel, dan keamanan.

AgStack Foundation akan difokuskan untuk mendukung pembuatan dan pemeliharaan infrastruktur digital gratis dan khusus sektor untuk aplikasi dan data terkait. Ini akan bersandar pada teknologi yang ada dan standar pertanian; data dan model publik; dan proyek sumber terbuka lainnya, seperti Kubernetes, Hyperledger, Open Horizon, Postgres, dan Django, menurut sebuah pernyataan.

selengkapnya : venturebeat.com

Kerentanan modem memungkinkan peretas mendengarkan panggilan Anda di jutaan ponsel Android

May 7, 2021 by Winnie the Pooh

Google dan pabrikan Android lainnya mencoba untuk tetap memantau keamanan perangkat keras dan perangkat lunak, pada berbagai tingkat intensitas. Tetapi kerentanan di Qualcomm SoC yang banyak digunakan yang diungkapkan oleh Check Point Research hari ini sangat mengkhawatirkan. Secara teoritis, itu dapat memungkinkan aplikasi jahat untuk menambal perangkat lunak untuk chip modem MSM Qualcomm, memberinya akses ke riwayat panggilan dan teks atau bahkan kemampuan untuk merekam percakapan.

Rincian masalah Check Point sangat teknis. Tetapi untuk membuatnya dalam istilah awam, kerentanan ditemukan dalam koneksi antara lapisan perangkat lunak Qualcomm Modem Interface (QMI) dari modem dan layanan debugger, memungkinkannya untuk secara dinamis menambal perangkat lunak dan melewati mekanisme keamanan yang biasa. Aplikasi pihak ketiga standar tidak memiliki hak keamanan untuk mengakses QMI, tetapi jika aspek Android yang lebih kritis disusupi, serangan ini dapat digunakan.

Dengan kerentanan yang mereka temukan, para peneliti menentukan bahwa aplikasi berbahaya dapat mendengarkan dan merekam panggilan telepon aktif, mendapatkan catatan panggilan dan SMS, atau bahkan membuka kunci kartu SIM. Check Point memperkirakan bahwa perangkat lunak QMI yang dianggap rentan hadir di sekitar 40% smartphone, dari vendor termasuk Samsung, Google, LG, OnePlus, Xiaomi, dan banyak lagi.

Meskipun metode untuk serangan ini dijelaskan secara luas, informasi khusus yang diperlukan dirahasiakan dari laporan untuk mencegah siapa pun dengan mudah menduplikasi proses tersebut. Sampai sekarang, tidak ada indikasi bahwa metode serangan ini benar-benar digunakan “di alam liar”.

selengkapnya : www.androidpolice.com

Penyebaran Crypto-Stealer Baru bernama ‘Panda’ melalui Discord

May 6, 2021 by Winnie the Pooh

Pencuri informasi baru lainnya – Panda Stealer – sedang disebarkan melalui kampanye spam di seluruh dunia.

Pada hari Selasa, peneliti Trend Micro mengatakan bahwa mereka pertama kali melihat pencuri baru pada bulan April. Gelombang terbaru kampanye spam memiliki dampak terbesar di Australia, Jerman, Jepang, dan AS.

Email spam menyamar sebagai permintaan kutipan bisnis untuk memikat korban agar mengklik file Excel yang berbahaya. Para peneliti menemukan 264 file yang mirip dengan Panda Stealer di VirusTotal, dengan beberapa di antaranya dibagikan oleh pelaku ancaman di Discord.

Namun, pelaku ancaman juga dapat menggunakan Discord untuk berbagi build Panda Stealer satu sama lain, kata Trend Micro.

Setelah Panda merasa nyaman, ia mencoba untuk meningkatkan detail seperti private keys dan transaksi sebelumnya dari dompet cryptocurrency, termasuk Bytecoin (BCN), Dash (DASH), Ethereum (ETH) dan Litecoin (LTC).

Selain mencuri dompet, ia juga dapat mengambil kredensial dari aplikasi, termasuk NordVPN, Telegram, Discord, dan Steam. Panda juga dapat mengambil tangkapan layar dari komputer yang terinfeksi dan menghapus data dari peramban, termasuk cookies dan kata sandi.

Panda Stealer adalah tweak dari malware Collector Stealer, juga dikenal sebagai DC Stealer, yang telah ditemukan dijual di forum bawah tanah dan melalui Telegram hanya dengan $ 12.

Selengkapnya: Threat Post

Aplikasi Office 365 yang Berbahaya Adalah Orang Dalam Terbaik

May 6, 2021 by Winnie the Pooh

Penipu yang menargetkan pengguna Microsoft Office 365 semakin beralih ke tautan khusus yang mengarahkan pengguna ke halaman masuk email organisasi mereka sendiri. Setelah pengguna masuk, tautan tersebut meminta mereka untuk memasang aplikasi berbahaya yang memberi penyerang akses yang terus-menerus dan bebas kata sandi ke email dan file pengguna mana pun, yang keduanya kemudian dijarah untuk meluncurkan malware dan penipuan phishing melawan orang lain.

Serangan ini dimulai dengan tautan email yang ketika diklik memuat bukan situs phishing tetapi halaman masuk Office 365 pengguna yang sebenarnya – baik itu di microsoft.com atau domain perusahaan mereka. Setelah masuk, pengguna mungkin melihat prompt yang terlihat seperti ini:

Aplikasi berbahaya ini memungkinkan penyerang untuk melewati otentikasi multi-faktor, karena mereka disetujui oleh pengguna setelah pengguna tersebut telah masuk. Selain itu, aplikasi akan tetap ada di akun Office 365 pengguna tanpa batas waktu hingga dihapus, dan akan bertahan bahkan setelah akun melakukan reset kata sandi.

Minggu ini, vendor keamanan pesan Proofpoint menerbitkan beberapa data baru saat muncul aplikasi Office 365 yang berbahaya ini, mencatat bahwa persentase tinggi pengguna Office akan jatuh ke skema ini.

Ryan Kalember, wakil presiden eksekutif strategi keamanan siber Proofpoint, mengatakan 55 persen pelanggan perusahaan telah menghadapi serangan aplikasi berbahaya ini pada satu titik atau lainnya.

Selengkapnya: Krebs On Security

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings