News 364 - Naga Cyber Defense

FireEye mengungkapkan adanya pelanggaran keamanan pada perusahannya

December 9, 2020 by Mally

FireEye, salah satu perusahaan keamanan terbesar dunia, mengatakan telah diretas dan bahwa “aktor ancaman yang sangat canggih” mengakses jaringan internal dan mencuri alat peretasan yang digunakan FireEye untuk menguji jaringan pelanggannya.

Dalam siaran persnya hari ini, CEO FireEye Kevin Mandia mengatakan pelaku ancaman juga mencari informasi terkait beberapa pelanggan pemerintah perusahaan.

Mandia menggambarkan penyerang sebagai “aktor ancaman yang sangat canggih, yang disiplin, terlatih dalam keamanan operasional, dan tekniknya membuat kami percaya bahwa itu adalah serangan yang disponsori negara.”

“Serangan ini berbeda dari puluhan ribu insiden yang kami tanggapi selama bertahun-tahun,” tambahnya.

FireEye mengatakan penilaiannya telah dikonfirmasi oleh Microsoft, yang dibawa oleh perusahaan untuk membantu menyelidiki pelanggaran tersebut.

Biro Investigasi Federal juga diberi tahu dan saat ini membantu perusahaan FireEye.

Karena FireEye yakin para penyerang mendapatkan alat pengujian penetrasi khusus, perusahaan sekarang membagikan indikator kompromi (IOC) dan countermeasues di akun GitHub-nya. Data dari GitHub akan membantu perusahaan lain mendeteksi jika peretas menggunakan alat curian dari FireEye untuk membobol jaringan mereka.

Sumber: ZDNet

Kerentanan RCE Wormable Zero-Click di Microsoft Teams

December 8, 2020 by Mally

Bug zero-click remote code execution (RCE) di aplikasi desktop Microsoft Teams dapat memungkinkan seseorang untuk mengeksekusi kode arbitrary hanya dengan mengirim pesan obrolan yang dibuat khusus dan membahayakan sistem target.

Masalah ini dilaporkan ke pembuat Windows oleh Oskars Vegeris, seorang security engineer dari Evolution Gaming, pada 31 Agustus 2020, sebelum ditangani pada akhir Oktober.

“Tidak ada interaksi pengguna yang diperlukan, exploit dijalankan setelah melihat pesan chat,” Vegeris menjelaskan dalam laporan nya.

Hasilnya adalah “hilangnya kerahasiaan dan integritas total bagi pengguna akhir – akses ke obrolan pribadi, file, jaringan internal, kunci pribadi, dan data pribadi di luar MS Teams,” tambah peneliti.

Kabar buruknya lagi, RCE bersifat lintas platform – memengaruhi Microsoft Teams untuk Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764), dan web (teams.microsoft.com) – dan dapat dibuat worm-able, yang berarti dapat disebarkan dengan secara otomatis mengirim ulang muatan berbahaya ke saluran lain.

Ini bukan pertama kalinya kekurangan RCE diamati di Teams dan aplikasi perpesanan yang berfokus pada perusahaan.

Yang paling utama di antaranya adalah kerentanan RCE terpisah di Microsoft Teams (CVE-2020-17091) yang ditambal oleh perusahaan sebagai bagian dari Patch November 2020 pada Selasa bulan lalu.

Sumber: The Hacker News

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

December 8, 2020 by Mally

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Malware Android Iran “RANA” juga Memata-matai Pesan Instan

December 8, 2020 by Mally

Sebuah tim peneliti mengungkap kemampuan implan spyware Android yang sebelumnya dirahasiakan — yang dikembangkan oleh aktor ancaman Iran yang dikenai sanksi — yang memungkinkan penyerang memata-matai obrolan pribadi dari aplikasi pesan instan populer, memaksa koneksi Wi-Fi, dan menjawab panggilan otomatis dari nomor tertentu untuk tujuan menguping percakapan.

Pada bulan September, Departemen Keuangan AS menjatuhkan sanksi pada APT39 (alias Chafer, ITG07, atau Remix Kitten) – aktor ancaman Iran yang didukung oleh Kementerian Intelijen dan Keamanan (MOIS) negara itu – karena melakukan kampanye malware yang menargetkan para pembangkang Iran, wartawan, dan perusahaan internasional di sektor telekomunikasi dan perjalanan.

Bertepatan dengan sanksi tersebut, Federal Bureau of Investigation (FBI) merilis laporan analisis ancaman publik yang menjelaskan beberapa alat yang digunakan oleh Rana Intelligence Computing Company, yang beroperasi sebagai front untuk aktivitas cyber berbahaya yang dilakukan oleh grup APT39.

Secara resmi menghubungkan operasi APT39 ke Rana, FBI merinci delapan set malware terpisah dan berbeda yang sebelumnya tidak diungkapkan yang digunakan oleh grup untuk melakukan gangguan komputer dan aktivitas pengintaian, termasuk aplikasi spyware Android yang disebut “optimizer.apk” dengan kemampuan mencuri informasi dan akses jarak jauh.

Menurut peneliti Karlo Zanki, implan tidak hanya memiliki izin untuk merekam audio dan mengambil foto untuk keperluan pengawasan pemerintah, tetapi juga berisi fitur untuk menambahkan titik akses Wi-Fi khusus dan memaksa perangkat yang dikompromikan untuk terhubung dengannya.

Yang juga perlu diperhatikan adalah kemampuan untuk menjawab panggilan secara otomatis dari nomor telepon tertentu, sehingga memungkinkan pelaku ancaman untuk memanfaatkan percakapan sesuai permintaan.

Selain menampilkan dukungan untuk menerima perintah yang dikirim melalui pesan SMS, varian terbaru malware “optimizer” yang direferensikan oleh FBI menyalahgunakan layanan aksesibilitas untuk mengakses konten aplikasi pesan instan seperti WhatsApp, Instagram, Telegram, Viber, Skype, dan klien Telegram tidak resmi yang berbasis di Iran bernama Talaeii.

Sumber: The Hacker News

NSA: Peretas negara Rusia mengeksploitasi kerentanan VMware baru untuk mencuri data

December 8, 2020 by Mally

Badan Keamanan Nasional (NSA) AS memperingatkan bahwa pelaku ancaman yang disponsori negara Rusia mengeksploitasi kerentanan VMware yang baru-baru ini ditambal untuk mencuri informasi sensitif setelah menyebarkan web shell pada server yang rentan.

“NSA mendorong administrator jaringan Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB) untuk memprioritaskan mitigasi kerentanan pada server yang terkena dampak,” kata badan intelijen Departemen Pertahanan AS.

VMware merilis pembaruan keamanan untuk mengatasi bug keamanan pada 3 Desember setelah mengungkapkan kerentanan secara publik dua minggu lalu dan menyediakan solusi sementara yang sepenuhnya menghapus vektor serangan dan mencegah eksploitasi.

CVE-2020-4006 awalnya dinilai sebagai kerentanan keparahan kritis tetapi VMware telah menurunkan peringkat keparahan maksimumnya ke ‘Important’ setelah merilis tambalan dan membagikan bahwa eksploitasi memerlukan “kata sandi yang valid untuk akun admin konfigurator.”

Dalam serangan yang mengeksploitasi CVE-2020-4006, NSA mengamati pelaku ancaman yang terhubung ke antarmuka manajemen berbasis web yang terekspos dari perangkat yang menjalankan produk VMware yang rentan dan menyusup ke jaringan organisasi untuk memasang web shell menggunakan perintah injeksi.

Setelah memasang web shell, penyerang mencuri data sensitif menggunakan kredensial SAML untuk mendapatkan akses ke server Microsoft Active Directory Federation Services (ADFS).

Eksploitasi kerentanan yang berhasil juga memungkinkan penyerang untuk menjalankan perintah Linux pada perangkat yang disusupi yang dapat membantu mereka mendapatkan persistence.

Mendeteksi serangan ini menggunakan indikator berbasis jaringan tidak dapat dilakukan karena aktivitas berbahaya dilakukan setelah tersambung ke antarmuka manajemen web melalui jalur terenkripsi TLS.

Namun, pernyataan ‘exit’ yang diikuti dengan angka 3-digit seperti ‘exit 123’ yang ditemukan di /opt/vmware/horizon/workspace/logs/configurator.log di server merupakan indikasi bahwa aktivitas eksploitasi mungkin telah terjadi di perangkat.

Sumber: Bleeping Computer

Bug PlayStation Now memungkinkan situs menjalankan kode berbahaya di PC Windows

December 8, 2020 by Mally

Bug keamanan yang ditemukan di aplikasi cloud gaming PlayStation Now (PS Now) Windows memungkinkan penyerang untuk mengeksekusi kode arbitrary pada perangkat Windows yang menjalankan versi aplikasi yang rentan.

Kerentanan yang ditemukan oleh bug bounty hunter Parsia Hakimian memengaruhi PS Now versi 11.0.2 dan sebelumnya di komputer yang menjalankan Windows 7 SP1 atau yang lebih baru.

Hakimian melaporkan bug PS Now pada 13 Mei 2020, melalui program bug bounty resmi PlayStation di HackerOne. PlayStation mengatasi bug tersebut dan menandai laporan bug tersebut sebagai ‘Terselesaikan’ satu bulan kemudian, pada 25 Juni 2020.

Hakimian menemukan bahwa, masalah keamanan kritis memungkinkan penyerang yang tidak berkepentingan meluncurkan serangan eksekusi kode jarak jauh (RCE) dengan menyalahgunakan kelemahan injeksi kode.

Untuk berhasil mengeksploitasi bug RCE, penyerang harus membujuk pengguna PS NOW yang perangkatnya ingin mereka targetkan untuk membuka situs yang dibuat khusus menggunakan tautan jahat yang disediakan melalui email phishing, forum, saluran Discord, dll.

Sumber: Bleeping Computer

Lebih dari 20 juta ponsel Gionee diam-diam ditanami Trojan Horse untuk menghasilkan uang

December 7, 2020 by Mally

Baru-baru ini, Jaringan Dokumen Penghakiman China menerbitkan putusan tentang kontrol ilegal sistem informasi komputer yang ditemukan telah dieksekusi pada telepon Gionee.

Menurut rincian pengadilan, lebih dari 20 juta ponsel Gionee sengaja ditanami malware Trojan Horse melalui aplikasi antara Desember 2018 dan Oktober 2019. Aplikasi tersebut menjadi alat untuk mendapatkan keuntungan dari pengguna melalui iklan yang tidak diminta dan cara tidak sah lainnya.

Pengadilan memutuskan bahwa Beijing Baice Technology Co., Ltd. bersekongkol dengan tergugat Shenzhen Zhipu Technology Co., Ltd. (anak perusahaan Gionee) untuk menanamkan program Trojan Horse ke dalam ponsel Gionee melalui pembaruan aplikasi “Story Lock Screen”. Perangkat lunak ini secara otomatis diperbarui pada ponsel Gionee yang terpengaruh tanpa sepengetahuan pengguna menggunakan metode “Pull”.

Rincian pengadilan mengungkapkan bahwa dari Desember 2018 hingga Oktober 2019, Beijing Baice Company dan Shenzhen Zhipu Company berhasil melaksanakan “aktivitas pull” sebanyak 2,88 miliar kali.

Dalam hal pendapatan, perusahaan diperkirakan telah memperoleh RMB 27,85 juta dari bisnis “pull” Beijing Baice Company, sementara perkiraan biaya mereka berada pada 8,425 juta yuan.

Praktik ini umum terjadi di ponsel Cina murah menurut laporan yang diterbitkan pada bulan Agustus tahun ini yang mendeteksi malware di ponsel Infinix dan Tecno yang dapat mencuri uang pengguna.

Sumber: Gizmo China

DeathStalker APT Menambah Keseruan dengan Malware PowerPepper Malware

December 5, 2020 by Mally

Serangkaian teknik obfuscation memanas untuk hacking-for-hire operation. Kelompok ancaman persisten lanjutan (APT) DeathStalker memiliki senjata baru yang menarik: Backdoor yang sangat tersembunyi yang oleh para peneliti dijuluki PowerPepper, digunakan untuk memata-matai sistem yang ditargetkan.

DeathStalker menawarkan layanan tentara bayaran, spionase untuk disewa yang menargetkan sektor keuangan dan hukum, menurut para peneliti di Kaspersky. Mereka mencatat bahwa grup tersebut telah ada setidaknya sejak 2012 (pertama kali terlihat pada 2018), menggunakan serangkaian teknik, taktik, dan prosedur (TTP) yang relatif dasar dan menjual jasanya kepada penawar tertinggi. Namun, pada November, kelompok itu ditemukan menggunakan implan malware baru, dengan taktik obfuscation yang berbeda.

“DeathStalker telah memanfaatkan beberapa jenis malware dan rantai pengiriman selama bertahun-tahun, dari Python dan Janicab berbasis VisualBasic, hingga Powersing berbasis PowerShell, melewati Evilnum berbasis JavaScript,” kata para peneliti dalam posting Kamis. “DeathStalker juga secara konsisten memanfaatkan teknik anti-deteksi dan penghindaran antivirus, serta rantai pengiriman yang rumit, yang akan menjatuhkan banyak file pada sistem file target.” Malware khusus ini menonjol, karena menaikkan level panas pada taktik obfuscation-nya.

sumber : ThreatPost

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings