Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Bug di Firefox, Chrome, Edge Memungkinkan Pembajakan Sistem Jarak Jauh

by

Pembuat browser Chrome, Firefox, dan Edge mendesak pengguna untuk menambal kerentanan kritis yang jika dieksploitasi memungkinkan peretas untuk membajak sistem yang menjalankan perangkat lunak tersebut.

Kerentanan Mozilla Firefox (CVE-2020-16044) terpisah dari bug yang dilaporkan di mesin browser Google Chromium, yang digunakan di browser Google Chrome dan browser Edge versi terbaru Microsoft.

Pada hari Kamis, Cybersecurity and Infrastructure Security Agency (CISA) mendesak pengguna browser Firefox Mozilla Foundation untuk menambal bug, dilacak sebagai CVE-2020-16044, dan dinilai sebagai kritis. Kerentanan tersebut diklasifikasikan sebagai bug use-after-free dan terkait dengan cara Firefox menangani cookie browser dan jika dieksploitasi memungkinkan peretas untuk mendapatkan akses ke komputer, ponsel, atau tablet yang menjalankan perangkat lunak browser.

Yang terkena dampak adalah versi browser Firefox yang dirilis sebelum Firefox desktop 84.0.2 yang baru-baru ini dirilis, edisi Firefox Android 84.1.3, dan juga versi Firefox ESR 78.6.1 perusahaan Mozilla.

Bug Browser Chromium Berdampak pada Chrome dan Edge

Juga pada hari Kamis, CISA mendesak pengguna Windows, macOS, dan Linux dari browser Chrome Google untuk menambal bug penulisan di luar batas (CVE-2020-15995) yang memengaruhi versi 87.0.4280.141 saat ini. Peringatan CISA-bug menyatakan bahwa pembaruan ke versi terbaru browser Chrome akan “mengatasi kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh”.

Karena browser Edge terbaru Microsoft didasarkan pada mesin browser Google Chromium, Microsoft juga mendesak penggunanya untuk memperbarui ke versi 87.0.664.75 terbaru dari browser Edge-nya.

sumber : Threatpost

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

by

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Kerentanan zero-day Windows PsExec mendapat micropatch gratis

by

Micropatch gratis yang memperbaiki kerentanan local privilege escalation (LPE) di alat manajemen Microsoft Windows PsExec sekarang tersedia melalui platform 0patch.

PsExec adalah pengganti telnet yang sepenuhnya interaktif yang memungkinkan admin sistem menjalankan program pada sistem jarak jauh. Alat PsExec juga diintegrasikan dan digunakan oleh alat perusahaan untuk meluncurkan file executable dari jarak jauh di komputer lain.

Zero-day PsExec ini disebabkan oleh kerentanan named pipe hijacking (juga dikenal sebagai named pipe squatting) yang memungkinkan penyerang mengelabui PsExec agar membuka kembali named pipe yang dibuat dengan jahat dan memberinya izin Sistem Lokal.

Setelah berhasil mengeksploitasi bug, pelaku ancaman akan dapat menjalankan proses sewenang-wenang sebagai Sistem Lokal yang secara efektif memungkinkan mereka untuk mengambil alih mesin.

Peneliti malware Tenable, David Wells, menemukan kerentanan tersebut dan mengungkapkannya kepada publik pada 9 Desember 2020, 90 hari setelah memberitahu Microsoft dan mereka gagal untuk menambal bug tersebut.

Saat meneliti kerentanan dan membuat bukti konsep, Wells dapat mengonfirmasi bahwa zero-say memengaruhi beberapa versi Windows dari Windows XP hingga Windows 10.

Di bawah ini adalah demo video yang menunjukkan bagaimana micropatch yang dirilis oleh 0patch mencegah eksploitasi zero-day ini pada sistem Windows yang menjalankan PsExec.

Sumber: Bleeping Computer

FBI memperingatkan Egregor ransomware yang memeras bisnis di seluruh dunia

by

Biro Investigasi Federal AS (FBI) telah mengirimkan peringatan peringatan keamanan kepada perusahaan sektor swasta bahwa operasi ransomware Egregor secara aktif menargetkan dan memeras bisnis di seluruh dunia.

FBI mengatakan dalam TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Rabu bahwa Egregor mengklaim telah menyerang dan membahayakan lebih dari 150 korban sejak agensi tersebut pertama kali mengamati aktivitas jahat ini pada September 2020.

Email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP) yang tidak aman atau Virtual Private Networks adalah beberapa vektor serangan yang digunakan oleh aktor Egregor untuk mendapatkan akses dan bergerak secara lateral dalam jaringan korban mereka.

Egregor menggunakan Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner, dan AdFind untuk eskalasi hak istimewa dan pergerakan jaringan lateral.

FBI juga membagikan daftar langkah-langkah mitigasi yang direkomendasikan yang akan membantu mempertahankan diri dari serangan Egregor:

  • Cadangkan data penting secara offline.
  • Pastikan salinan data penting ada di cloud atau di hard drive eksternal atau perangkat penyimpanan.
  • Amankan cadangan Anda dan pastikan data tidak dapat diakses untuk modifikasi atau penghapusan dari sistem tempat data berada.
  • Instal dan perbarui perangkat lunak anti-virus atau anti-malware secara teratur di semua host.
  • Hanya gunakan jaringan yang aman dan hindari menggunakan jaringan Wi-Fi publik.
  • Gunakan otentikasi dua faktor dan jangan klik pada lampiran atau tautan yang tidak diminta dalam email.
  • Prioritaskan penambalan produk dan aplikasi akses jarak jauh yang dapat diakses publik, termasuk kerentanan RDP terbaru (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
  • Tinjau file .bat dan .dll yang mencurigakan, file dengan data pengintaian (seperti file .log), dan alat eksfiltrasi.
  • Konfigurasikan RDP secara aman dengan membatasi akses, menggunakan otentikasi multi-faktor atau kata sandi yang kuat.

Sumber: Bleeping Computer

Penulis malware Linux menggunakan crypter Ezuri Golang agar tidak terdeteksi

by

Beberapa pembuat malware menggunakan crypter “Ezuri” dan loader memori untuk membuat kode mereka tidak terdeteksi oleh produk antivirus.

Menurut laporan yang dirilis oleh AT&T Alien Labs, beberapa pelaku ancaman menggunakan Ezuri crypter untuk mengemas malware mereka dan menghindari deteksi antivirus.

Meskipun malware Windows telah diketahui menyebarkan taktik serupa, pelaku ancaman sekarang menggunakan Ezuri untuk menyusup ke lingkungan Linux juga.

Ditulis dalam Go, Ezuri bertindak sebagai crypter dan loader untuk binari ELF (Linux). Menggunakan AES, Ezuri mengenkripsi kode malware dan, pada dekripsi, mengeksekusi muatan berbahaya secara langsung di dalam memori tanpa menghasilkan file apa pun di disk.

Sampel malware yang biasanya terdeteksi oleh sekitar 50% mesin antivirus di VirusTotal, menghasilkan 0 deteksi saat dienkripsi dengan Ezuri, pada saat penelitian AT&T.

Bahkan saat ini, seperti yang diamati oleh BleepingComputer, sampel yang dikemas dalam Ezuri memiliki tingkat deteksi kurang dari 5% pada VirusTotal.

Selama beberapa bulan terakhir, Caspi dan Martinez mengidentifikasi beberapa pembuat malware yang mengemas sampel mereka dengan Ezuri.

Ini termasuk grup kejahatan siber, TeamTnT, yang aktif setidaknya sejak April 2020.

Sumber: Bleeping Computer

Geng Ryuk Ransomware diperkirakan telah menghasilkan lebih dari $150 juta dari serangan ransomware

by

Operator ransomware Ryuk diyakini telah mendapatkan Bitcoin senilai lebih dari $150 juta dari pembayaran tebusan setelah adanya gangguan di perusahaan di seluruh dunia.

Dalam laporan bersama yang diterbitkan hari ini, perusahaan ancaman intel, Advanced Intelligence dan perusahaan keamanan siber HYAS mengatakan mereka melacak pembayaran ke 61 alamat Bitcoin yang sebelumnya dikaitkan dan terkait dengan serangan ransomware Ryuk.

Apa yang menurut kedua perusahaan aneh adalah bahwa sementara kelompok ransomware lain biasanya menggunakan pertukaran yang kurang dikenal untuk menguangkan dana, Ryuk mengubah Bitcoin menjadi mata uang fiat nyata menggunakan akun di dua portal kripto yang sangat terkenal, seperti Binance dan Huobi, sebagian besar kemungkinan menggunakan identitas yang dicuri.

Sumber: AdvIntel

Angka terakhir datang dari Februari 2020, ketika pejabat FBI berbicara di konferensi keamanan RSA. Pada saat itu, FBI mengatakan bahwa Ryuk sejauh ini merupakan geng ransomware paling menguntungkan yang aktif, telah menghasilkan lebih dari $61,26 juta dari pembayaran tebusan antara Februari 2018 dan Oktober 2019, berdasarkan keluhan yang diterima oleh FBI Internet Crime Complaint. Pusat.

Sumber: FBI

Dengan laporan hari ini dan angka $150 juta, jelas bahwa Ryuk telah mempertahankan posisinya di puncak, setidaknya, untuk saat ini.

Sumber: ZDNet

Serangan side-channel baru dapat memulihkan kunci enkripsi dari kunci keamanan Google Titan

by

Duo peneliti keamanan Prancis telah menemukan kerentanan yang memengaruhi chip yang digunakan di dalam Google Titan dan kunci keamanan perangkat keras YubiKey.

Kerentanan memungkinkan pelaku ancaman untuk memulihkan kunci enkripsi utama yang digunakan oleh kunci keamanan perangkat keras untuk menghasilkan token kriptografi untuk operasi otentikasi dua faktor (2FA).

Setelah diperoleh, kedua peneliti keamanan tersebut mengatakan bahwa kunci enkripsi, kunci privat ECDSA, akan memungkinkan pelaku ancaman untuk mengkloning Titan, YubiKey, dan kunci lainnya untuk melewati prosedur 2FA.

Dalam laporan PDF 60 halaman, Victor Lomne dan Thomas Roche, peneliti NinjaLab yang berbasis di Montpellier, menjelaskan seluk-beluk serangan tersebut, yang juga dilacak sebagai CVE-2021-3011.

Untuk mengeksploitasi kunci keamanan Google Titan atau Yubico, penyerang harus terlebih dahulu mendapatkan kunci keamanan tersebut.

Biasanya, jenis serangan ini berada di luar jangkauan peretas biasa, tetapi peneliti keamanan memperingatkan bahwa pelaku ancaman tertentu, seperti badan intelijen tiga huruf, biasanya memiliki kemampuan untuk melakukan ini.

Mengenai tipe apa saja yang rentan, para peneliti mengatakan mereka menguji serangan mereka pada chip NXP A7005a, yang saat ini digunakan untuk model kunci keamanan berikut:

  • Kunci Keamanan Google Titan (semua versi)
  • Yubico Yubikey Neo
  • Feitian FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21
  • Feitian FIDO NFC USB-C / K40

Sumber: ZDNet

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

by

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet