News 360 - Naga Cyber Defense

Kritikus muncul setelah Github menghapus kode eksploitasi untuk kerentanan Exchange

March 13, 2021 by Winnie the Pooh

Github telah memicu badai api setelah repositori berbagi kode milik Microsoft menghapus eksploitasi bukti konsep untuk kerentanan kritis di Microsoft Exchange yang telah menyebabkan sebanyak 100.000 infeksi server dalam beberapa minggu terakhir.

ProxyLogon adalah nama yang diberikan peneliti untuk empat kerentanan Exchange yang diserang di alam liar dan kode yang mengeksploitasinya. Para peneliti mengatakan bahwa Hafnium, sebuah grup peretas yang disponsori negara yang berbasis di China, mulai mengeksploitasi ProxyLogon pada bulan Januari, dan dalam beberapa minggu, lima APT lainnya — kependekan dari grup ancaman persisten tingkat lanjut — mengikutinya. Sampai saat ini, tidak kurang dari 10 APT telah menggunakan ProxyLogon untuk menargetkan server di seluruh dunia.

Pada hari Rabu, seorang peneliti menerbitkan apa yang diyakini sebagai eksploitasi bukti-konsep (PoC) pertama yang berfungsi untuk kerentanan. Berbasis di Vietnam, peneliti juga menerbitkan postingan di Medium yang menjelaskan cara kerja exploit. Dengan beberapa penyesuaian, peretas akan memiliki sebagian besar dari apa yang mereka butuhkan untuk meluncurkan RCE mereka sendiri di alam liar, kata keamanan untuk eksploitasi eksekusi kode jarak jauh.

Menerbitkan eksploitasi PoC untuk kerentanan yang ditambal adalah praktik standar di antara peneliti keamanan. Ini membantu mereka memahami cara kerja serangan sehingga mereka dapat membangun pertahanan yang lebih baik. Kerangka peretasan Metasploit open source menyediakan semua alat yang dibutuhkan untuk mengeksploitasi puluhan ribu eksploitasi yang ditambal dan digunakan oleh topi hitam dan topi putih.

Dalam beberapa jam setelah PoC ditayangkan, Github menghapusnya. Pada hari Kamis, beberapa peneliti mengomel tentang penghapusan tersebut. Kritikus menuduh Microsoft menyensor konten yang sangat penting bagi komunitas keamanan karena merugikan kepentingan Microsoft. Beberapa kritikus berjanji untuk menghapus sebagian besar karya mereka di Github sebagai tanggapan.

selengkapnya : Arstechnica

Microsoft mengatakan peretas yang mencari tebusan memanfaatkan kelemahan server

March 13, 2021 by Winnie the Pooh

WASHINGTON (Reuters) – Peretas yang mencari tebusan mulai memanfaatkan kelemahan yang baru-baru ini diungkapkan dalam perangkat lunak server email Microsoft yang banyak digunakan, kata perusahaan itu Kamis pagi – peningkatan serius yang dapat menandakan gangguan digital yang meluas.

Pengungkapan, awalnya dibuat di Twitter oleh manajer program keamanan Microsoft Corp Phillip Misner dan kemudian dikonfirmasi oleh perusahaan yang berbasis di Redmond, Washington, adalah realisasi dari kekhawatiran yang telah menjalar melalui komunitas keamanan selama berhari-hari.

Sejak 2 Maret, ketika Microsoft mengumumkan penemuan kerentanan serius dalam perangkat lunak Exchange-nya, para ahli telah memperingatkan bahwa hanya masalah waktu sebelum geng ransomware mulai menggunakannya untuk mengguncang organisasi di internet.

Meskipun celah keamanan yang diumumkan oleh Microsoft telah diperbaiki, organisasi di seluruh dunia telah gagal untuk menambal perangkat lunak mereka, membiarkannya terbuka untuk dieksploitasi. Para ahli mengaitkan kecepatan lambat dari banyak pembaruan pelanggan sebagian dengan kompleksitas arsitektur Exchange dan kurangnya keahlian. Di Jerman saja, para pejabat mengatakan bahwa hingga 60.000 jaringan tetap rentan.

Semua jenis peretas telah mulai memanfaatkan lubang tersebut – satu perusahaan keamanan baru-baru ini menghitung 10 kelompok peretasan terpisah menggunakan kekurangannya – tetapi operator ransomware termasuk yang paling ditakuti.

selengkapnya : Reuters

F5 mendesak pelanggan untuk menambal bug RCE pre-auth BIG-IP yang penting

March 12, 2021 by Winnie the Pooh

F5 Networks, penyedia terkemuka perlengkapan jaringan perusahaan, telah mengumumkan empat kerentanan eksekusi kode jarak jauh (RCE) kritis yang memengaruhi sebagian besar versi perangkat lunak BIG-IP dan BIG-IQ.

F5 BIG-IP perangkat lunak dan pelanggan perangkat keras termasuk pemerintah, perusahaan Fortune 500, bank, penyedia layanan internet, dan merek konsumen (termasuk Microsoft, Oracle, dan Facebook), dengan perusahaan mengklaim bahwa “48 dari Fortune 50 mengandalkan F5”.

Empat kerentanan kritis yang tercantum di bawah ini juga mencakup cacat keamanan RCE pre-auth (CVE-2021-22986) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada perangkat BIG-IP yang disusupi:

CVE-2021-22986: iControl REST unauthenticated remote command execution (9.8/10)
CVE-2021-22987: Appliance Mode TMUI authenticated remote command execution
CVE-2021-22991: TMM buffer-overflow (9.0/10)
CVE-2021-22992: Advanced WAF/ASM buffer-overflow (9.0/10)

Eksploitasi yang berhasil dari kerentanan BIG-IP RCE yang kritis dapat menyebabkan gangguan sistem penuh, termasuk intersepsi lalu lintas aplikasi pengontrol dan perpindahan lateral ke jaringan internal.

F5 juga menerbitkan peringatan keamanan pada tiga kerentanan RCE lainnya (dua tinggi dan satu medium, dengan peringkat keparahan CVSS antara 6,6 dan 8,8), memungkinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sistem sewenang-wenang.

Tujuh kerentanan diperbaiki dalam versi BIG-IP berikut: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, dan 11.6.5.3.

Sumber: Bleeping Computer

Malware trojan ini sekarang menjadi masalah keamanan terbesar Anda

March 12, 2021 by Winnie the Pooh

Malware Trickbot telah meningkat untuk mengisi celah yang ditinggalkan oleh penghapusan botnet Emotet, dengan jumlah penjahat yang lebih tinggi beralih ke sana untuk mendistribusikan serangan malware.

Emotet adalah botnet malware paling produktif dan berbahaya di dunia sebelum diganggu oleh operasi penegakan hukum internasional pada Januari tahun ini.

Sementara gangguan Emotet merupakan pukulan bagi penjahat dunia maya, mereka dengan cepat beradaptasi dan sekarang Trickbot telah menjadi bentuk malware yang paling umum.

Trickbot menawarkan banyak kemampuan yang sama dengan Emotet, memberikan penjahat dunia maya sarana untuk mengirimkan malware tambahan ke mesin yang disusupi – dan menurut analisis kampanye malware oleh peneliti keamanan siber di Check Point, itu sekarang menjadi malware yang paling umum didistribusikan di dunia.

Pertama kali didistribusikan pada tahun 2016, Trickbot telah lama berada di sana dengan bentuk malware paling produktif, tetapi dengan tindakan keras terhadap Emotet, dengan cepat menjadi cara yang lebih populer bagi penjahat untuk mendistribusikan kampanye serangan dunia maya pilihan mereka secara luas.

Tetapi Trickbot bukanlah satu-satunya ancaman malware bagi organisasi dan kampanye kriminal dunia maya lainnya juga telah membantu mengisi celah yang ditinggalkan oleh gangguan Emotet.

selengkapnya : ZDNET

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

March 12, 2021 by Winnie the Pooh

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Ransomware DEARCRY baru menargetkan Server Microsoft Exchange

March 12, 2021 by Winnie the Pooh Leave a Comment

Ransomware baru bernama ‘DEARCRY’ menargetkan server Microsoft Exchange, dengan satu korban menyatakan bahwa mereka terinfeksi melalui kerentanan ProxyLogon.

Sejak Microsoft mengungkapkan awal bulan ini bahwa pelaku ancaman membahayakan server Microsoft Exchange menggunakan kerentanan ProxyLogon zero-day yang baru, kekhawatiran yang signifikan adalah ketika pelaku ancaman akan menggunakannya untuk menyebarkan ransomware.

Menurut Michael Gillespie, pembuat situs identifikasi ransomware ID-Ransomware, mulai tanggal 9 Maret, pengguna mulai mengirimkan catatan tebusan baru dan jenis file terenkripsi ke sistemnya.

Setelah meninjau kiriman, Gillespie menemukan bahwa pengguna mengirimkan hampir semuanya dari server Microsoft Exchange.

Menurut Advanced Intel’s Vitali Kremez, ketika diluncurkan, ransomware DearCry akan mencoba mematikan layanan Windows bernama ‘msupdate’. Tidak diketahui ini layanan apa, tetapi tampaknya bukan layanan Windows yang sah.

Ransomware sekarang akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .CRYPT pada nama file.

Gillespie memberi tahu BleepingComputer bahwa ransomware menggunakan AES-256 + RSA-2048 untuk mengenkripsi file dan menambahkan ‘DEARCRY!’ string ke awal setiap file yang dienkripsi.

Sayangnya, ransomware tampaknya tidak memiliki kelemahan yang memungkinkan korban untuk memulihkan file mereka secara gratis.

Sumber: Bleeping Computer

Serangan Phishing Google reCAPTCHA Palsu Mencuri Kata Sandi Office 365

March 11, 2021 by Winnie the Pooh

Pengguna Microsoft menjadi sasaran ribuan email phishing, dalam serangan berkelanjutan yang bertujuan untuk mencuri kredensial Office 365 mereka.

Penyerang menambahkan kesan legitimasi pada kampanye dengan memanfaatkan sistem Google reCAPTCHA palsu dan halaman landing domain level teratas yang menyertakan logo perusahaan korban.

Menurut peneliti, setidaknya 2.500 email semacam itu tidak berhasil dikirim ke karyawan tingkat senior di sektor perbankan dan TI, selama tiga bulan terakhir. Email pertama kali membawa penerima ke halaman sistem Google reCAPTCHA palsu.

Google reCAPTCHA adalah layanan yang membantu melindungi situs web dari spam dan penyalahgunaan, dengan menggunakan tes Turing untuk membedakan antara manusia dan bot (dengan meminta pengguna untuk mengeklik hidran kebakaran dari serangkaian gambar, misalnya).

Setelah korban “lulus” tes reCAPTCHA, mereka kemudian diarahkan ke halaman arahan phishing, yang meminta kredensial Office 365 mereka.

Email phishing berpura-pura menjadi email otomatis dari alat komunikasi terpadu korban, yang mengatakan bahwa mereka memiliki lampiran pesan suara. Yang lain memberi tahu penerima email untuk “MENINJAU DOKUMEN AMAN”.

Peneliti menemukan berbagai halaman phishing yang terkait dengan kampanye, yang dihosting menggunakan domain level teratas umum seperti .xyz, .club, dan .online.

Selengkapnya: The Threat Post

Peringatan pada Dunia tentang Bom Waktu yang Berdetak

March 11, 2021 by Winnie the Pooh

Secara global, ratusan ribu organisasi yang menjalankan server email Exchange dari Microsoft baru saja diretas secara massal, termasuk setidaknya 30.000 korban di Amerika Serikat. Setiap server yang diretas telah dipasang kembali dengan pintu belakang “web shell” yang memberi orang jahat itu kendali jarak jauh, kemampuan untuk membaca semua email, dan akses mudah ke komputer korban lainnya. Para peneliti sekarang berlomba untuk mengidentifikasi, menyiagakan dan membantu para korban, dan semoga mencegah kekacauan lebih lanjut.

Pakar keamanan sekarang mencoba untuk memperingatkan dan membantu para korban ini sebelum peretas jahat meluncurkan apa yang disebut oleh banyak orang dengan campuran rasa takut dan antisipasi sebagai “Tahap 2,” ketika orang jahat mengunjungi kembali semua server yang diretas ini dan menyemai mereka dengan ransomware atau peretasan tambahan alat untuk merayapi lebih dalam ke jaringan korban.

Pakar keamanan sekarang berusaha mati-matian untuk menjangkau puluhan ribu organisasi korban dengan satu pesan: Apakah Anda telah menambal atau telah diretas, segera buat cadangan semua data yang disimpan di server tersebut.

Setiap sumber yang saya bicarakan tentang insiden ini mengatakan bahwa mereka sepenuhnya mengharapkan penjahat dunia maya yang bermotivasi keuntungan untuk menerkam korban dengan menyebarkan ransomware secara massal. Mengingat bahwa begitu banyak grup yang sekarang memiliki web shell pintu belakang terpasang, akan mudah untuk melepaskan ransomware pada banyak dari mereka sekaligus. Selain itu, server Exchange yang disusupi dapat menjadi pintu virtual ke seluruh jaringan korban.

selengkapnya : KrebsOnSecurity

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings