News 491 - Naga Cyber Defense

Apple mengirimkan 11 peringatan keamanan – dapatkan perbaikannya sekarang!

May 29, 2020 by Winnie the Pooh

Apple baru saja meluncurkan 11 email advisories yang merinci perbaikan keamanan terbarunya.

Yang membingungkan, beberapa pembaruan ini telah tersedia selama beberapa hari sebelumnya – versi terbaru iOS adalah 13,5, dan diumumkan secara resmi di halaman pembaruan Keamanan utama Apple pada 20 Mei 2020.

Bahkan, pembaruan yang terdaftar untuk iOS dan watchOS masih ditandai [2020-05-27T12: 00Z] dengan kata-kata “perincian segera tersedia”, meskipun Apple Security Advisories memiliki perincian lengkap.

Dan pembaruan Apple untuk produk-produk perangkat lunak non-mobile tercakup secara rinci dalam email Advisory, tetapi belum disebutkan sama sekali di halaman keamanan HT201222.

Pembaruan ini memperbaiki 63 kerentanan yang ditandai dengan CVE di 11 email advisory. Catat bahwa 11 dari kerentanan ini memengaruhi perangkat lunak tepat di seluruh produk seluler, Mac dan Windows Apple.

Untuk setiap bug yang ditambal, Apple mencantumkan kemungkinan dampaknya, Sophos telah memfilter semua dampak disini.

Jadi apa yang harus dilakukan? “Menambal lebih awal, menambal lebih sering.”

Bahkan jika Anda telah mengatur Mac atau iDevice Anda untuk diperbarui secara otomatis, pastikan Anda memeriksa secara teratur bahwa sistem Anda benar-benar terbaru:
– Pada Mac, buka System Preferences> Update Software.
– Pada iPhone atau iPad, buka Sistem> Umum> Pembaruan Perangkat Lunak.

Selengkapnya dapat dibaca pada tautan di bawah ini:

Source: Naked Security by Sophos

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

May 27, 2020 by Winnie the Pooh

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Bug Baru Android Yang Memungkinkan Malware Bertindak Seperti Aplikasi Legit Dan Mencuri Data Pengguna

May 27, 2020 by Winnie the Pooh

Peneliti keamanan telah menemukan kerentanan besar di hampir setiap versi Android, yang memungkinkan malware meniru aplikasi yang sah untuk mencuri kata sandi aplikasi dan data sensitif lainnya.

Kerentanan, yang dijuluki Strandhogg 2.0, mempengaruhi semua perangkat yang menjalankan Android 9.0 dan yang lebih lama. Ini adalah “kembaran jahat” dari bug sebelumnya dengan nama yang sama, menurut perusahaan keamanan Norwegia Promon, yang menemukan kedua kerentanan itu.

Strandhogg 2.0 berfungsi dengan menipu korban agar berpikir bahwa mereka memasukkan kata sandi pada aplikasi yang sah yang sebenarnya adalah jendela berbahaya. Strandhogg 2.0 juga dapat membajak izin aplikasi lain untuk menyedot data pengguna yang sensitif, seperti kontak, foto, dan melacak lokasi real-time korban.

Promon mengatakan bahwa mereka tidak memiliki bukti bahwa peretas telah menggunakan bug dalam kampanye peretasan aktif. Khawatir bug masih bisa disalahgunakan oleh peretas, Promon menunda merilis rincian bug sampai Google dapat memperbaiki kerentanan “kritis” ini.

Seorang korban harus mengunduh aplikasi jahat – yang disamarkan sebagai aplikasi normal – yang dapat mengeksploitasi kerentanan Strandhogg 2.0. Setelah terinstal dan ketika korban membuka aplikasi yang sah, aplikasi jahat dengan cepat membajak aplikasi dan menyuntikkan konten jahat di tempatnya, seperti jendela masuk palsu.

Ketika seorang korban memasukkan kata sandi mereka pada jendela palsu tersebut, kata sandi mereka akan dikirimkan ke server peretas. Aplikasi sebenarnya kemudian muncul seolah-olah login itu nyata.

Strandhogg 2.0 juga dapat membajak izin aplikasi lain yang memiliki akses ke kontak, foto, dan pesan korban dengan memicu permintaan izin.

Risiko untuk pengguna cenderung rendah, tetapi bukan tidak mungkin. Promon mengatakan memperbarui perangkat Android dengan pembaruan keamanan terbaru – sekarang – akan memperbaiki kerentanan. Pengguna disarankan untuk memperbarui perangkat Android mereka sesegera mungkin.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Crunch

Ribuan Sistem Perusahaan Terinfeksi Oleh Malware Blue Mockingbird Baru

May 27, 2020 by Winnie the Pooh

Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama Blue Mockingbird.

Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019. Para peneliti mengatakan Blue Mockingbird menyerang public-facing server yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.

Peretas mengeksploitasi kerentanan CVE-2019-18935 untuk menanam web shell di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan mengubah pengaturan server untuk mendapatkan (re)boot persistence.

Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).

Analis Red Canary mengatakan bahwa jika server IIS yang menghadap publik terhubung ke jaringan internal perusahaan, grup tersebut juga berupaya menyebar secara internal melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang tidak diamankan dengan maksimal.

Dalam wawancara email awal bulan ini, Red Canary mengatakan kepada ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya bahwa botnet setidaknya telah membuat 1.000 infeksi sejauh ini, hanya dari jarak pandang terbatas yang mereka miliki. Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya bahwa mereka aman berisiko terkena serangan.

Baca berita selengkapnya pada link di bawah ini:
Source: ZDNet | Red Canary

NullSweep: Mengapa Port Situs Web Ini Memindai saya?

May 26, 2020 by Winnie the Pooh Leave a Comment

Seorang Peneliti Keamanan, menulis dalam blog nya mengenai mengapa sebuah situs web melakukan port scanning terhadap pengunjungnya.

Port scan dapat memberikan informasi kepada sebuah situs web tentang perangkat lunak apa yang Anda jalankan. Daftar port terbuka memberikan tampilan aplikasi apa saja yang sedang berjalan.

Charlie Belmer, seorang Peneliti Keamanan mengatakan bahwa ia menemukan tingkah laku mencurigakan saat ia mengunjungi situs web eBay. Ia menemukan bahwa eBay akan melakukan pemindaian port (port scanning) pada perangkat seseorang saat mengunjungi situsnya.

Tidak hanya eBay, telah dilaporkan beberapa kali bahwa beberapa situs bank juga melakukan port scanning ke pengunjung.

Melihat daftar port yang eBay pindai, salah satunya mencari layanan VNC yang dijalankan pada host, yang merupakan hal yang sama yang dilaporkan pada situs bank.

VNC terkadang dijalankan sebagai bagian dari bot net atau virus sebagai cara untuk login dari jarak jauh ke komputer pengguna. Ada beberapa layanan malware yang memanfaatkan VNC untuk tujuan ini. Namun itu juga merupakan alat yang valid yang digunakan oleh administrator untuk akses jarak jauh ke mesin, atau oleh beberapa perangkat lunak pendukung end user.

Jadi apakah pemindaian port digunakan sebagai bagian dari infeksi atau bagian dari e-commerce atau “pemeriksaan keamanan” bank, itu jelas merupakan perilaku berbahaya dan mungkin jatuh pada sisi hukum yang salah.

Belmer mendorong pengguna untuk melakukan komplain kepada lembaga yang melakukan pemindaian port jika melihat perilaku seperti ini. Ia juga menyarankan untuk memasang ekstensi yang dapat mencoba untuk memblokir fenomena semacam ini di browser Anda.

Selengkapnya:
Source: NullSweep

Istilah “Access for sale” Di DarkWeb

May 26, 2020 by Winnie the Pooh

Positive Technologies Security dalam blog nya menjelaskan apa yang dimaksud dengan “access for sale” dan “ransomware partner program”, betapa berbahayanya ancaman ini, dan risiko yang ditimbulkannya bagi bisnis.

Definisi
“Access for sale” di darkweb adalah istilah umum, merujuk pada perangkat lunak, eksploitasi, kredensial, atau apa pun yang memungkinkan pengontrolan secara ilegal satu atau lebih komputer dari jarak jauh. Berhasil meretas situs web, server web, database, atau workstation berarti penyerang memiliki akses. Akses ini dapat ditransfer atau dijual ke pihak ketiga, seperti kunci rumah.

Pasar yang terus berkembang
Hanya satu atau dua tahun yang lalu, penjahat tampaknya lebih tertarik pada server individu. Akses ke mereka dijual di darkweb hingga $20 per pop.
Namun, mulai paruh kedua tahun 2019, telah terlihat peningkatan jumlah postingan di pasar peretas yang mengiklankan akses ke jaringan perusahaan lokal. Lalu pada akhir 2019, lebih dari 50 akses ke jaringan perusahaan besar dari seluruh dunia tersedia untuk dijual.

Pembeli kemudian dapat mengembangkan serangan terhadap sistem bisnis atau menyewa tim peretas yang lebih terampil yang dapat dengan cepat mendapatkan hak administrator domain dan menginfeksi server penting dengan malware.

Yang pertama menggunakan skema ini adalah operator ransomware, yang membeli akses dengan harga tetap dari satu grup penjahat dan kemudian merekrut penjahat lain untuk menginfeksi jaringan lokal dengan malware dengan imbalan sebagian besar dari tebusan korban. Di forum darkweb, ini dikenal sebagai “ransomware affiliate program.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: Positives Technologies Security

Ransomware Ragnar Locker Menyebar Sebagai Mesin Virtual Untuk Menghindari Deteksi Keamanan

May 26, 2020 by Winnie the Pooh

Metode serangan ransomware baru membawa penghindaran pertahanan (defense evasion) ke tingkat baru — disebarkan sebagai mesin virtual penuh pada setiap perangkat yang ditargetkan untuk menyembunyikan ransomware dari pandangan.

Dalam serangan yang baru-baru ini terdeteksi, ransomware Ragnar Locker dikerahkan di dalam mesin virtual Oracle VirtualBox Windows XP. Payload serangan adalah sebuah installer 122 MB dengan 282 MB image virtual di dalamnya — semua untuk menyembunyikan ransomware 49 kB yang dapat dieksekusi.

Aktor di belakang Ragnar Locker diketahui mencuri data dari jaringan yang ditargetkan sebelum meluncurkan ransomware, untuk memberi ancaman agar korban membayar.

Pada bulan April, para aktor di belakang Ragnar Locker menyerang jaringan Energias de Portugal (EDP) dan mengklaim telah mencuri 10 terabyte data perusahaan yang sensitif, menuntut pembayaran 1.580 Bitcoin (sekitar $ 11 juta AS) dan mengancam akan merilis data jika tebusan tidak dibayarkan.

Baca berita selengkapnya pada tautan di bawah:
Source: Sophos News | Naked Security Sophos

Pengembang Video Game Terkena Serangan Cyber Yang Berupaya Menjarah Uang Tunai Dalam Game

May 26, 2020 by Winnie the Pooh

Sebuah Perusahaan Pengembang video game sedang diserang oleh Grup Winnti yang berpotensi menjarah uang tunai dan hadiah dalam game.

Pada hari Rabu, perusahaan cybersecurity ESET merilis laporan tentang kelompok advanced persistent threat (APT), yang telah tertangkap melakukan serangan serupa di masa lalu.

Menurut tim, Grup Winnti telah menggunakan malware modular baru pada sistem beberapa pengembang game massively multiplayer online (MMO) yang berlokasi di Korea Selatan dan Taiwan.

Perusahaan, yang tidak disebutkan namanya, telah merancang game yang dimainkan oleh ribuan orang di seluruh dunia.

ESET mengatakan bahwa dalam setidaknya satu kampanye, aktor ancaman dapat mengkompromikan server orkestra build pengembang, yang memberi mereka kunci untuk sistem build otomatis.

Ini mungkin dapat menyebabkan executable video game yang dapat diunduh dibajak atau di-Trojanized, meskipun tim tidak dapat menemukan bukti dari bentuk serangan ini.

Alih-alih, kelompok itu tampaknya berfokus pada kompromi server pengembang game untuk “memanipulasi mata uang dalam game demi keuntungan finansial,” kata ESET.

Malware yang digunakan disebut PipeMon, sebuah pintu belakang (backdoor) modular yang menyamar sebagai perangkat print processing software.

Selengkapnya baca berita di bawah ini:
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings