Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

sLoad geng malware kembali: Microsoft mendeteksi dengan cepat versi 2.0 yang dirubah

by

Raksasa teknologi Microsoft telah mendeteksi aktivitas berbahaya pada bulan Desember oleh geng malware, yang dikenal sebagai sLoad.

Namun pada awal bulan ini perusahaan mengungkapkan bahwa sLoad malware telah kembali dengan versi 2.0, yang disebut Starslord. Meskipun versi baru tidak menunjukkan perubahan besar-besaran, kecepatan peluncuran versi malware baru menunjukkan seberapa cepat geng tersebut beroperasi.

Malware sLoad ini telah ada selama bertahun-tahun. Ini adalah apa yang seseorang sebut sebagai “malware downloader” atau “malware dropper” yang memiliki empat tujuan utama untuk dipenuhi yaitu:

  • Menginfeksi sistem Windows,
  • Mengumpulkan informasi tentang sistem yang terinfeksi
  • Mengirim semua informasi ke server perintah dan kontrol (C&C)
  • Menunggu instruksi untuk mengunduh dan memasang muatan malware kedua

Microsoft mengatakan bahwa sLoad adalah salah satu dari sedikit malware downloader yang ada karena tingkat kecanggihan yang tidak diperlukan dan penggunaan teknik yang tidak standar.

Setelah sebelumnya tertangkap oleh Microsoft, geng sLoad mengubah kode mereka dan mengubah beberapa hal, mengeluarkan versi baru 2.0 tahun ini.

SLoad v2.0 masih berfungsi sebagai malware downloader untuk kelompok kriminal lainnya, kata Microsoft. Tapi ada satu hal yang telah diubah oleh aktor ancaman. Sekarang alih-alih menggunakan skrip VB selama proses infeksi, versi baru menggunakan skrip WSF.

Sumber: IBTimes

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

by

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

FBI memperingatkan serangan vishing yang mencuri rekening perusahaan

by

Biro Investigasi Federal (FBI) telah mengeluarkan peringatan pemberitahuan tentang serangan vishing yang sedang berlangsung yang mencoba mencuri akun dan kredensial perusahaan untuk akses jaringan dan eskalasi hak istimewa dari AS dan karyawan yang berbasis internasional.

Vishing (juga dikenal sebagai phishing suara) adalah serangan manipulasi psikologis di mana penyerang meniru entitas tepercaya selama panggilan suara untuk membujuk target mereka agar mengungkapkan informasi sensitif seperti kredensial perbankan atau login.

Menurut TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Jumat [PDF], pelaku ancaman menggunakan platform Voice over Internet Protocol (VoIP) (alias layanan telepon IP) untuk menargetkan karyawan perusahaan di seluruh dunia, mengabaikan tingkat korporat mereka.

“Selama Covid-19 shelter-in-place and social distancing, banyak perusahaan harus cepat beradaptasi dengan perubahan lingkungan dan teknologi,” kata PIN. “Dengan pembatasan ini, akses jaringan dan eskalasi hak istimewa mungkin tidak sepenuhnya dipantau.”

selengkapnya : BleepingComputer

Singapura memperketat pedoman pertahanan siber untuk sektor jasa keuangan

by

Singapura telah merevisi pedoman saat ini tentang manajemen risiko teknologi untuk lembaga keuangan untuk memasukkan, antara lain, “pengawasan yang kuat” atas kemitraan mereka dengan penyedia layanan pihak ketiga untuk memastikan kerahasiaan data.

Dirinci di bawah Pedoman Manajemen Risiko Teknologi, revisi dilakukan untuk mengimbangi teknologi yang muncul dan pergeseran dalam lanskap ancaman saat ini, kata Otoritas Moneter Singapura (MAS) dalam sebuah pernyataan.

Penggunaan penyedia layanan pihak ketiga, misalnya, kemungkinan besar akan disediakan menggunakan TI dan mungkin melibatkan data rahasia pelanggan yang disimpan oleh penyedia layanan. Kegagalan sistem apa pun pada pelanggaran keamanan dari pihak penyedia ini dapat berdampak buruk bagi pelanggan dan operasi lembaga keuangan.

Pedoman tersebut menyoroti kebutuhan untuk menilai dan mengelola eksposur perusahaan terhadap risiko teknologi yang mungkin memengaruhi kerahasiaan dan ketersediaan sistem dan data TI di penyedia layanan pihak ketiga, sebelum perjanjian kontrak atau kemitraan dibuat.

Selain itu, lembaga keuangan harus menetapkan proses untuk memungkinkan “analisis dan pembagian tepat waktu” intelijen ancaman siber di dalam sektor tersebut dan melakukan latihan untuk menguji pertahanan siber mereka, melalui simulasi taktik dan prosedur serangan dunia nyata.

Sumber: ZDNet

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Ransomware sekarang menjadi perhatian keamanan siber terbesar untuk CISO

by

Ransomware adalah masalah keamanan siber terbesar yang dihadapi bisnis, menurut mereka yang bertanggung jawab menjaga keamanan organisasi dari peretasan dan serangan siber.

Sebuah survei terhadap kepala petugas keamanan informasi (CISO) dan kepala petugas keamanan (CSO) oleh cybersecurity Proofpoint menemukan bahwa ransomware sekarang dipandang sebagai ancaman keamanan siber utama bagi organisasi mereka selama tahun depan.

Hampir setengah – 46% – CSO dan CISO yang disurvei mengatakan bahwa ransomware atau bentuk pemerasan lainnya oleh pihak luar merupakan ancaman keamanan siber terbesar.

Selain skema pelatihan dan kesadaran, organisasi dapat membantu melindungi dari ransomware dan serangan lainnya dengan menerapkan patch keamanan saat dirilis, mencegah peretas mengeksploitasi kerentanan yang diketahui.

Menggunakan perlindungan tambahan seperti autentikasi dua faktor di seluruh organisasi juga dapat membantu mencegah serangan yang merusak dengan mempersulit peretas untuk bergerak di sekitar jaringan, bahkan jika mereka memiliki kredensial yang benar.

sumber : ZDNET

Microsoft: Bagaimana ‘zero trust’ dapat melindungi dari serangan peretasan yang canggih

by

Berbagai teknik yang digunakan oleh peretas SolarWinds sangat canggih namun dalam banyak hal juga biasa dan dapat dicegah, menurut Microsoft.

Untuk mencegah serangan di masa mendatang dengan tingkat kecanggihan yang serupa, Microsoft merekomendasikan organisasi untuk mengadopsi “mentalitas zero trust”, yang menyangkal asumsi bahwa segala sesuatu di dalam jaringan TI aman. Artinya, organisasi harus menganggap pelanggaran dan secara eksplisit memverifikasi keamanan akun pengguna, perangkat endpoint, jaringan, dan sumber daya lainnya.

Seperti yang dicatat oleh direktur keamanan identitas Microsoft, Alex Weinert dalam sebuah posting blog, tiga vektor serangan utama adalah akun pengguna yang disusupi, akun vendor yang disusupi, dan perangkat lunak vendor yang disusupi.

Ribuan perusahaan terkena dampak pelanggaran SolarWinds yang diungkapkan pada pertengahan Desember. Vendor keamanan AS Malwarebytes kemarin mengatakan bahwa mereka juga dilanggar oleh peretas yang sama tetapi tidak melalui pembaruan Orion yang tercemar.

Menurut Weinert, para penyerang mengeksploitasi celah dalam “verifikasi eksplisit” di setiap vektor serangan utama.

“Saat akun pengguna disusupi, teknik yang dikenal seperti password spray, phishing, atau malware digunakan untuk membobol kredensial pengguna dan memberi penyerang akses kritis ke jaringan pelanggan,” tulis Weinert.

Dalam kasus di mana aktor berhasil, Weinert mencatat bahwa akun vendor dengan hak istimewa tidak memiliki perlindungan tambahan seperti otentikasi multi-faktor (MFA), pembatasan rentang IP, kepatuhan perangkat, atau tinjauan akses.

MFA adalah kontrol penting, karena akun dengan hak istimewa tinggi yang disusupi dapat digunakan untuk memalsukan token SAML guna mengakses sumber daya cloud.

“Prinsip pertama Zero Trust adalah memverifikasi secara eksplisit – pastikan Anda memperluas verifikasi ini ke semua permintaan akses, bahkan dari vendor dan terutama yang berasal dari lingkungan lokal.”

Sumber: ZDNet

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

by

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer