News 474 - Naga Cyber Defense

Kampanye Duri Menyelundupkan Malware Melalui HTML dan JavaScript

August 19, 2020 by Winnie the Pooh

Sebuah kampanye aktif telah terlihat memanfaatkan penyelundupan HTML untuk mengirimkan malware, secara efektif melewati berbagai solusi keamanan jaringan, termasuk sandbox, proxy lama, dan firewall.

Krishnan Subramanian, peneliti keamanan di Menlo Security, mengatakan kepada Threatpost bahwa kampanye yang ditemukan pada hari Selasa yang dijuluki “Duri,” telah berlangsung sejak bulan Juli.

Cara kerjanya seperti ini: Penyerang mengirim tautan berbahaya kepada korban. Setelah mereka mengklik link tersebut, teknik blob JavaScript digunakan untuk menyelundupkan file berbahaya melalui browser ke pengguna endpoint (yaitu, penyelundupan HTML). Blob, yang berarti “Binary Large Objects” dan bertanggung jawab untuk menyimpan data, diimplementasikan oleh browser web.

Karena penyelundupan HTML bukan merupakan teknik baru – teknik ini telah digunakan oleh penyerang sejak lama, kata Subramanian – kampanye ini menunjukkan bahwa pelaku kejahatan terus mengandalkan metode serangan lama yang berhasil.

Pelajari lebih lanjut tentang serangan terbaru ini dan bagaimana perusahaan dapat melindungi diri dari serangan penyelundupan HTML, pada podcast Threatpost disini.

Baca laporan lengkapnya pada tautan di bawah ini;
Source: Menlo Security

Trojan IcedID Diperbarui dengan Dengan Taktik Baru Untuk Menghindari Deteksi Software Keamanan

August 19, 2020 by Winnie the Pooh

Aktor siber telah meningkatkan trojan perbankan yang telah banyak digunakan selama pandemi COVID-19 dengan fitur baru untuk membantunya menghindari deteksi dari perlindungan keamanan standar.

Menurut laporan baru oleh peneliti keamanan Juniper Networks, Paul Kimayong, penyerang telah menerapkan beberapa fitur baru – termasuk lampiran yang dilindungi katasandi, kebingungan kata kunci, dan kode makro minimalis – dalam kampanye phishing baru-baru ini menggunakan dokumen yang di-trojankan oleh trojan perbankan IcedID yang banyak digunakan.

Kampanye ini, yang ditemukan para peneliti pada bulan Juli, juga menggunakan dynamic link library (DLL) – library Microsoft yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program pada waktu yang bersamaan – sebagai pengunduh tahap kedua. Ini “menunjukkan” tingkat kedewasaan baru dari pelaku ancaman ini.

Versi terbaru IcedID yang diidentifikasi oleh tim Juniper sedang didistribusikan menggunakan akun bisnis yang disusupi dengan si penerimanya adalah pelanggan dari bisnis yang sama. Ini meningkatkan kemungkinan keberhasilan kampanye, karena pengirim dan penerima sudah memiliki hubungan bisnis yang mapan, kata Kimayong.

Berita selengkpanya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Organisasi Besar Terganggu Oleh Bug, Mereka Menghadapi Patch Raksasa yang Menumpuk

August 19, 2020 by Winnie the Pooh

Organisasi besar menemukan rata-rata 779.935 bug keamanan individu saat menjalankan pemindaian kerentanan rutin; dan selama enam bulan, rata-rata 28 persen dari kerentanan tersebut akan tetap ada. Hal ini membuat banyak dari organisasi ini berada dalam posisi tidak berdaya bagi penjahat siber, kata peneliti.

Itu menurut studi dari Ponemon Institute, The State of Vulnerability Management, yang mensurvei 1.800+ profesional TI di organisasi dengan lebih dari 1.000 karyawan. Survei tersebut menemukan bahwa rata-rata simpanan bug yang menumpuk untuk perusahaan-perusahaan ini berjumlah 57.555 kerentanan yang teridentifikasi.

Sudah jelas, aksi prioritas menjadi penting untuk manajemen kerentanan dalam skenario ini; namun, survei juga menemukan bahwa organisasi mengalami kesulitan dalam mencapainya. 57 persen responden penuh mengatakan organisasi mereka tidak tahu kerentanan mana yang menimbulkan risiko tertinggi bagi bisnis mereka. Dan hanya seperempat (25 persen) yang mengatakan bahwa mereka dapat memprioritaskan penambalan berdasarkan aset mana yang paling penting bagi bisnis.

Selain itu, survei tersebut menemukan bahwa sebagian besar organisasi tidak memiliki satu penglihatan pun dari siklus hidup manajemen kerentanan, termasuk penanganan pengecualian.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Worm Cryptojacking Menyebar Melalui Cloud AWS

August 19, 2020 by Winnie the Pooh

Worm cryptomining dari grup yang dikenal sebagai TeamTNT menyebar melalui cloud Amazon Web Services (AWS) dan mencuri kredensial. Setelah kredensial login diambil, malware masuk dan menyebarkan alat penambangan XMRig untuk menambang cryptocurrency Monero.

Menurut peneliti di Cado Security, worm juga menyebarkan sejumlah malware yang tersedia secara terbuka dan alat keamanan ofensif, termasuk “punk.py,” alat pasca eksploitasi SSH; alat pembersih log; rootkit Diamorphine; dan backdoor IRC Tsunami.

Mereka mengatakan, ini adalah ancaman pertama yang diamati di alam liar yang secara khusus menargetkan AWS untuk tujuan cryptojacking.

Karena semakin banyak bisnis yang menggunakan cloud dan kontainer, hal itu telah membuka lanskap serangan baru bagi penjahat siber melalui kesalahan konfigurasi. Meskipun demikian, ancaman cryptomining yang menargetkan Docker dan Kubernetes bukanlah hal baru. Namun, serangan yang berfokus pada AWS dalam rangkaian kampanye terbaru ini unik, kata peneliti Cado.

TeamTNT sangat produktif, dan terlihat pertama kali di awal tahun. Pada bulan April, Trend Micro mengamati grup yang menyerang kontainer Docker.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Google Mengatasi Kerentanan Kritis & Serius Yang Terkait Dengan 54 CVE Dalam Buletin Keamanan Android Bulan Ini.

August 18, 2020 by Winnie the Pooh

Google telah merilis patch yang menangani masalah dengan tingkat keparahan tinggi dalam komponen Framework-nya. Kerentanan tersebut jika dieksploitasi dapat mengaktifkan eksekusi kode jarak jauh (RCE) di perangkat seluler Android.

Secara keseluruhan, 54 kerentanan dengan tingkat keparahan tinggi telah ditambal sebagai bagian dari pembaruan keamanan Google bulan Agustus untuk sistem operasi Android.

Sebagai bagian dari ini, Qualcomm, yang chipnya digunakan di perangkat Android, menambal campuran kerentanan kritis yang terkait dengan 31 CVE.

Produsen perangkat Android biasanya menerapkan patch mereka sendiri untuk menangani pembaruan bersamaan atau setelah Buletin Keamanan Google rilis.

Samsung mengatakan dalam rilis pemeliharaan keamanan Agustus bahwa mereka merilis beberapa patch buletin keamanan Android, termasuk CVE-2020-3699 dan CVE-2020-3698, ke model utama Samsung.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Kerentanan Kubernetes Menempatkan Cluster pada Risiko Pengambilalihan (CVE-2020-8558)

August 18, 2020 by Winnie the Pooh

Peneliti di Unit 42 dari Palo Alto Networks minggu ini mengeluarkan peringatan keamanan yang memperingatkan bahwa kerentanan Kubernetes yang diungkapkan sebelumnya mungkin lebih parah daripada yang diperkirakan sebelumnya.

Masalah yang dikenal sebagai CVE-2020-8558 baru-baru ini ditemukan di kube-proxy, komponen jaringan node Kubernetes. Layanan internal node Kubernetes sering berjalan tanpa autentikasi ketika disetel sebagai default. Ternyata pada versi Kubernetes tertentu, kerentanan ini dapat mengekspos server api Kubernetes, yang memungkinkan penyerang mendapatkan kendali penuh atas cluster.

Masalah inti CVE-2020-8558 adalah layanan localhost, yang seharusnya hanya dapat diakses dari node itu sendiri, menjadi terekspos ke host di jaringan lokal dan ke pod yang berjalan di node.

Jen Miller-Osborn, wakil direktur intelijen ancaman untuk Unit 42, mengatakan layanan terikat localhost mengharapkan bahwa hanya proses lokal tepercaya yang dapat berinteraksi dengannya sehingga mereka sering tidak dikonfigurasi tanpa persyaratan otentikasi apa pun.

Meskipun patch telah dirilis untuk mengatasi masalah CVE-2020-8558, Miller-Osborn mengatakan beberapa versi lama Kubernetes tidak menonaktifkan api-server insecure-port, yang biasanya hanya dapat diakses dari dalam node master.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Unit 42

Eksploitasi Internet Explorer Dan Zero-day Windows Digunakan Dalam Operasi PowerFall

August 18, 2020 by Winnie the Pooh

Aktor ancaman tingkat lanjut mengeksploitasi salah satu dari dua kerentanan zero-day yang ditambal Microsoft pada hari Selasa dalam serangan yang ditargetkan awal tahun ini.

Aktor tersebut menggunakan dua kelemahan di Windows, keduanya tidak diketahui pada saat serangan, dalam upaya untuk mencapai eksekusi kode jarak jauh dan meningkatkan hak istimewa mereka pada mesin yang dikompromikan.

Upaya jahat itu terjadi pada bulan Mei dan menargetkan perusahaan Korea Selatan. Peneliti dari Kaspersky percaya bahwa ini mungkin operasi DarkHotel, grup peretas yang telah beroperasi selama lebih dari satu dekade.

Dijuluki “Operation PowerFall”, serangan tersebut mengandalkan kerentanan eksekusi kode jarak jauh (RCE) di Internet Explorer 11, sekarang dilacak sebagai CVE-2020-1380, dan celah keamanan di Windows GDI Print / Print Spooler API yang memungkinkan eskalasi hak istimewa, sekarang diidentifikasi sebagai CVE-2020-0986.

Boris Larin dari Kaspersky, yang menemukan dan melaporkan CVE-2020-1380 ke Microsoft pada 8 Juni, telah merilis kode proof-of-concept untuk memicu kerentanan bersamaan dengan penjelasan teknis untuk membantu memahaminya dengan lebih baik.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Avaddon Ransomware Meluncurkan Situs Kebocoran Data Untuk Memeras Korbannya

August 18, 2020 by Winnie the Pooh

Avaddon Ransomware baru hadir dalam kampanye spam besar-besaran yang menargetkan pengguna di seluruh dunia.

Avaddon diluncurkan pada awal bulan Juni dan secara aktif merekrut peretas dan distributor malware untuk menyebarkan ransomware dengan cara apa pun yang memungkinkan.

Avaddon ransomware ini juga adalah operasi kejahatan siber terbaru yang meluncurkan situs kebocoran data yang akan digunakan untuk mempublikasikan curian data korban yang tidak membayar permintaan tebusan.

Situs-situs ini dirancang untuk menakut-nakuti para korban agar membayar uang tebusan dengan ancaman bahwa file mereka akan bocor ke publik. Jika dirilis secara publik, data ini dapat mengungkap informasi keuangan, informasi pribadi karyawan, dan data klien, yang mengarah pada pelanggaran data.

Saat ini, hanya ada satu entri di situs mereka, di mana mereka membocorkan 3,5MB dokumen yang dicuri dari perusahaan konstruksi.

Penggunaan situs kebocoran data adalah taktik yang tidak pernah berhenti, dan korban harus menerima kenyataan pahit bahwa semua serangan ransomware sekarang sama dengan pelanggaran data.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings