News 340 - Naga Cyber Defense

Geng Ransomware Terkenal Mengklaim Telah Mencuri Desain Produk Apple

April 21, 2021 by Winnie the Pooh

Penjahat dunia maya mengklaim telah mencuri blueprints dari beberapa produk terbaru Apple dan sekarang mencoba memeras raksasa teknologi tersebut dengan mengancam akan menerbitkan dokumen tersebut secara online.

Pada hari Selasa, geng ransomware REvil secara terbuka mengklaim bahwa mereka telah meretas Quanta Computer, pemasok pihak ketiga di Taiwan yang memiliki kemitraan dengan lebih dari selusin perusahaan teknologi besar AS, termasuk Apple, Dell, Hewlett-Packard, Blackberry, dan beberapa lainnya.

Quanta, yang merupakan salah satu produsen laptop terbesar di dunia, bekerja untuk merakit produk Apple berdasarkan desain yang dipasok oleh perusahaan Cupertino, yang berarti ada dasar logis untuk klaim pencurian tersebut.

Di “situs kebocoran” REvil (di mana geng memposting sampel data yang dicuri untuk mengancam perusahaan yang ditargetkan agar memenuhi tuntutan pemerasan), peretas memposting sejumlah blueprints produk, waktu rilisnya bertepatan dengan peluncuran produk Spring Loaded yang sangat dinantikan pada hari Selasa.

Geng tersebut menuntut Apple “membeli kembali” dokumen yang dicuri “sebelum 1 Mei”, atau “semakin banyak file akan ditambahkan [ke situs kebocoran] setiap hari”. BleepingComputer melaporkan bahwa geng tersebut memeras Quanta sebesar $ 50 juta — memberi perusahaan batas waktu 27 April untuk membayar dugaan data yang dicuri.

Selengkapnya: Gizmodo

Google merilis Chrome 90 dengan HTTPS secara default dan perbaikan keamanan

April 20, 2021 by Winnie the Pooh

Google baru saja merilis Chrome versi 90, membawa pembaruan privasi yang secara otomatis menambahkan HTTPS ke URL ketika tersedia.

Insinyur Chrome menandai fitur HTTPS pada bulan Februari dan Google telah mengujinya di pratinjau Chrome 90 di saluran Canary dan Beta. Selain itu, Chrome 90 memblokir unduhan dari sumber HTTP jika URL lamannya adalah HTTPS.

Google menjelaskan dalam posting blog bulan lalu bahwa HTTPS default akan membantu saat pengguna mengetik “example.com”, bukan “https://example.com”. Chrome sebelumnya menggunakan http:// sebagai protokol default, tetapi sekarang default ke https://. secara teori hal ini mempercepat pemuatan halaman, karena Chrome terhubung langsung ke HTTPS tanpa perlu dialihkan dari http:// ke https://.

Chrome 90 juga menghadirkan kontrol ‘On / Off’ pertama untuk Kotak Pasir Privasi Google, yang termasuk sebagai bagian dari desainnya, pengganti pengenal FLoC Google yang kontroversial untuk cookie pihak ketiga yang telah dinonaktifkan oleh browser saingan Brave dan Vivaldi.

Selain pembaruan ini, Chrome 90 menyertakan 37 perbaikan keamanan. Peneliti eksternal melaporkan enam masalah dengan tingkat keparahan tinggi, 10 masalah dengan tingkat keparahan sedang, dan tiga masalah dengan tingkat keparahan rendah.

Rilis Chrome ini juga dikirimkan dengan pembuat enkode AV1 dengan dukungan yang lebih baik untuk aplikasi konferensi video WebRTC, seperti Duo, Meet, dan Webex. Google mencatat bahwa AV1 menawarkan kemampuan berbagi layar yang lebih baik daripada VP9 dan codec lainnya. Ini juga memungkinkan video untuk pengguna di jaringan bandwidth rendah, misalnya pada 30kbps dan lebih rendah.

Sumber : ZDnet

Protokol BGP Yang Tidak Dikonfigurasikan Oleh VODAFONE Mempengaruhi 20.000 Jaringan Global Di Internet

April 20, 2021 by Winnie the Pooh

BGPMon Cisco telah mencatat adanya pembajakan jalur perutean jaringan yang tidak disebabkan secara sengaja, tetapi secara serius memengaruhi beberapa jaringan MNC terkenal.

Pembajakan terjadi karena beberapa kesalahan konfigurasi protokol BGP oleh Vodafone India yang memengaruhi 20.000 jaringan secara global. Mari kita pahami tentang pembajakan ini dengan lebih mendalam.

Menurut Wikipedia, “Border Gateway Protocol (BGP) adalah protokol gateway eksterior standar yang dirancang untuk bertukar informasi perutean dan jangkauan di antara sistem otonom (AS) di Internet”.

Oleh karena itu, Sistem Otonom ini harus menyimpan catatan informasi perutean yang mereka ketahui di internet dan mengiklankannya dengan bijak sehingga AS lain dapat bertukar informasi perutean dengan mereka. Jika sistem Otonom ini menyebarkan informasi perutean yang salah, maka seluruh jaringan berada dalam bahaya.

Sistem otonom Vodafone India Limited dengan nomor ASN AS55410 secara keliru mengiklankan 30.000 awalan (prefixes) atau rute BGP, ketika mereka tidak melakukannya, menyebabkan internet membanjiri jaringan ini dengan lalu lintas yang tidak dimaksudkan untuk melewatinya. Kesalahan ini memengaruhi 20.000 awalan dari jaringan otonom global termasuk Google yang diidentifikasi oleh pakar BGP Anurag Bhatia.

Selengkapnya: Ethical Debuggers

Kerentanan eksekusi kode jarak jauh di alat penggoreng pintar Cosori

April 20, 2021 by Winnie the Pooh

Cisco Talos baru-baru ini menemukan dua kerentanan eksekusi kode di alat penggoreng pintar Cosori.

Cosori Smart Air Fryer adalah alat dapur berkemampuan WiFi yang memasak makanan dengan berbagai metode dan pengaturan. Pengguna juga dapat menggunakan fitur Wi-Fi perangkat untuk memulai dan berhenti memasak, mencari panduan resep, dan memantau status memasak.

2 kerentanan yang ditemukan adalah TALOS-2020-1216 (CVE-2020-28592) dan TALOS-2020-1217 (CVE-2020-28593), kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk memasukkan kode dari jarak jauh ke dalam perangkat.

Ini secara hipotetis memungkinkan attacker untuk mengubah suhu, waktu memasak dan pengaturan pada penggoreng udara, atau memulainya tanpa sepengetahuan pengguna. Attacker harus memiliki akses fisik ke alat penggorengan agar beberapa kerentanan ini dapat bekerja.

Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan paket yang dibuat khusus ke perangkat yang berisi objek JSON unik, yang memungkinkan mereka mengeksekusi arbitrary code.

Talos menguji dan mengonfirmasi bahwa Cosori Smart 5.8-Quart Air Fryer CS158-AF, versi 1.1.0 dapat dieksploitasi oleh kerentanan ini.

Selengkapnya: Cisco Talos

Lazarus Group Menggunakan Taktik Baru untuk Menghindari Deteksi

April 20, 2021 by Winnie the Pooh

Peneliti keamanan dengan Malwarebytes telah mengamati aktor ancaman persisten tingkat lanjut yang berafiliasi dengan Korea Utara, Lazarus Group, menggunakan teknik baru untuk mengirimkan malware sambil menghindari alat keamanan.

Lazarus dikenal karena mengembangkan keluarga malware khusus dan menggunakan taktik baru. Salah satu metode terbarunya melibatkan penyematan file Aplikasi HTML (HTA) berbahaya dalam file zlib terkompresi, dalam file PNG.

Selama waktu proses, file PNG diubah menjadi format file BMP. Karena file BMP tidak dikompresi, mengubah dari PNG ke BMP secara otomatis mendekompresi objek zlib berbahaya. Peneliti menyebut ini cara cerdas untuk menghindari deteksi. Karena objek berbahaya dikompresi di dalam gambar PNG, ini melewati deteksi statis.

Serangan ini kemungkinan besar dimulai dengan kampanye phishing yang mengirimkan email dengan file berbahaya yang dilampirkan. Saat dibuka, file meminta penampilnya untuk mengaktifkan makro.

Melakukan ini akan menghasilkan kotak pesan; mengeklik ini akan memuat umpan phishing terakhir – formulir partisipasi untuk pameran di kota di Korea Selatan. Dokumen dipersenjatai dengan makro yang dijalankan saat dibuka.

Baca postingan blog lengkap untuk informasi lebih lanjut.

Selengkapnya: Dark Reading

Google Alerts terus menjadi sarang penipuan dan malware

April 20, 2021 by Winnie the Pooh

Google Alerts terus menjadi sarang penipuan dan malware yang semakin disalahgunakan pelaku ancaman untuk mempromosikan situs web berbahaya.

Meskipun Google Alerts telah lama disalahgunakan, BleepingComputer melihat peningkatan aktivitas yang signifikan selama beberapa minggu terakhir.

Misalnya, saya menggunakan Google Alerts untuk memantau berbagai istilah yang terkait dengan serangan cyber, insiden keamanan, malware, dll. Dalam satu Google Alert tertentu, hampir setiap artikel baru yang dibagikan dengan saya hari ini oleh layanan menyebabkan situs web scam atau berbahaya, dengan dua dari mereka ditunjukkan di bawah ini.

Saat Anda membuka peringatan ini, alih-alih dibawa ke halaman web yang sah, Anda dialihkan melalui serangkaian situs sampai Anda mendarat di satu situs yang mempromosikan malware, situs dewasa palsu, aplikasi kencan palsu, game dewasa, giveaway dan penipuan undian, dan unwanted browser extensions.

Untuk menipu Google agar berpikir bahwa mereka adalah situs yang sah dan bukan penipuan, pelaku ancaman menggunakan teknik black hat search engine optimization (SEO) yang disebut ‘cloaking’.

Cloaking adalah ketika sebuah situs web menampilkan konten yang berbeda kepada pengunjung.

Penyelubungan ini memungkinkan situs web terlihat seperti teks biasa atau posting blog biasa saat spider mesin pencari Google mengunjungi halaman tersebut tetapi melakukan pengalihan berbahaya saat pengguna mengunjungi situs dari pengalihan Google.

Selengkapnya: Bleeping Computer

Jutaan penjelajah web menjadi sasaran satu grup malvertising

April 20, 2021 by Winnie the Pooh

Peretas telah menyusupi lebih dari 120 server iklan selama setahun terakhir dalam kampanye yang sedang berlangsung yang menampilkan iklan berbahaya di puluhan juta, mungkin ratusan juta, perangkat saat mereka mengunjungi situs yang, menurut penampilan luar, tidak berbahaya.

Malvertising adalah praktik menayangkan iklan kepada orang-orang saat mereka mengunjungi situs web tepercaya. Iklan tersebut menyematkan JavaScript yang secara diam-diam mengeksploitasi kekurangan perangkat lunak atau mencoba mengelabui pengunjung agar memasang aplikasi yang tidak aman, membayar biaya dukungan komputer yang curang, atau melakukan tindakan berbahaya lainnya.

Menyusupi ekosistem iklan dengan menyamar sebagai pembeli yang sah membutuhkan sumber daya. Pertama, scammer harus menginvestasikan waktu untuk mempelajari cara kerja pasar dan kemudian menciptakan entitas yang memiliki reputasi yang dapat dipercaya.

Pendekatan ini juga membutuhkan pembayaran uang untuk membeli ruang untuk menjalankan iklan berbahaya. Itu bukan teknik yang digunakan oleh grup periklanan berbahaya yang oleh perusahaan keamanan Confiant disebut sebagai Tag Barnakle.

“Tag Barnakle, di sisi lain, mampu melewati rintangan awal ini sepenuhnya dengan langsung menuju jugular — kompromi massal infrastruktur penayangan iklan,” tulis peneliti Confiant Eliya Stein dalam posting blog yang diterbitkan Senin.

Selama setahun terakhir, Tag Barnakle telah menginfeksi lebih dari 120 server yang menjalankan Revive, aplikasi sumber terbuka untuk organisasi yang ingin menjalankan server iklannya sendiri daripada mengandalkan layanan pihak ketiga. Jumlah 120 itu dua kali lipat dari jumlah server yang terinfeksi Revive Confiant yang ditemukan tahun lalu.

Setelah meretas server iklan, Tag Barnakle memuat muatan berbahaya di dalamnya. Untuk menghindari deteksi, grup tersebut menggunakan sidik jari sisi klien untuk memastikan hanya sejumlah kecil target paling menarik yang menerima iklan berbahaya. Server yang mengirimkan muatan sekunder ke target tersebut juga menggunakan teknik penyelubungan untuk memastikan bahwa mereka juga terbang di bawah radar.

Selengkapnya: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings