Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Hacker Menggunakan Trik Baru Untuk Serangan Phishing

by

Penjahat dunia maya menggunakan email phishing yang dibuat secara unik untuk menginfeksi korban dengan malware — dan mereka melakukannya dengan bereksperimen dengan metode baru untuk mengirimkan muatan berbahaya.

Menurut analisis oleh Proofpoint, telah terjadi peningkatan penyerang dunia maya yang mencoba mengirimkan malware menggunakan dokumen OneNote, buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi perkantoran Microsoft 365.

Email phishing, yang pertama kali dikirim selama Desember 2022, dengan jumlah yang meningkat secara signifikan pada Januari 2023, berusaha mengirimkan salah satu dari beberapa muatan malware yang berbeda, termasuk AsyncRAT, Redline, AgentTesla, dan Doubleback, yang semuanya dirancang untuk mencuri informasi sensitif dari korban, termasuk username dan password.

Peneliti Proofpoint juga mencatat bahwa kelompok penjahat dunia maya yang mereka lacak sebagai TA577 juga mulai memanfaatkan OneNote dalam kampanye untuk menghadirkan Qbot.

Para peneliti memperingatkan bahwa kemungkinan kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir — dan lebih banyak kelompok ancaman dunia maya cenderung mengadopsi teknik ini untuk berhasil mengirimkan kampanye phishing dan malware.

“Proofpoint semakin mengamati lampiran OneNote digunakan untuk mengirimkan malware. Berdasarkan penelitian kami, kami yakin banyak pelaku ancaman menggunakan lampiran OneNote dalam upaya untuk melewati deteksi ancaman,” kata peneliti.

walaupun serangan phishing adalah alat yang efektif untuk penjahat dunia maya, jatuhnya korban tidak bisa dihindari. Proofpoint menyarankan bahwa organisasi harus menggunakan filter spam yang kuat yang mencegah pesan ini masuk ke kotak masuk orang, dan bahwa organisasi harus mendidik pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.

Sumber : zdnet.com

Serangan Ransomware EsxiaArgs Besar-besaran Menargetkan Server VMware ESXi di Seluruh Dunia

by

Admin, penyedia hosting, dan Tim Tanggap Darurat Komputer Prancis (CERT-FR) memperingatkan bahwa penyerang secara aktif menargetkan server VMware ESXi yang belum ditambal terhadap kerentanan eksekusi kode jarak jauh berusia dua tahun untuk menyebarkan ransomware.

Dilacak sebagai CVE-2021-21974, kelemahan keamanan disebabkan oleh masalah limpahan tumpukan di layanan OpenSLP yang dapat dimanfaatkan oleh pelaku ancaman yang tidak diautentikasi dalam serangan dengan kompleksitas rendah.

“Seperti penyelidikan saat ini, kampanye serangan ini tampaknya mengeksploitasi kerentanan CVE-2021-21974, yang tambalannya telah tersedia sejak 23 Februari 2021,” kata CERT-FR.

“Sistem yang saat ini ditargetkan adalah hypervisor ESXi dalam versi 6.x dan sebelum 6.7.”

Untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui.

CERT-FR sangat menyarankan untuk menerapkan tambalan sesegera mungkin tetapi menambahkan bahwa sistem yang tidak ditambal juga harus dipindai untuk mencari tanda-tanda kompromi.

CVE-2021-21974 memengaruhi sistem berikut:

  • ESXi versions 7.x prior to ESXi70U1c-17325551
  • ESXi versions 6.7.x prior to ESXi670-202102401-SG
  • ESXi versions 6.5.x prior to ESXi650-202102101-SG

Ransomware ESXiArgs baru
Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).

Sementara pelaku ancaman di balik serangan ini mengklaim telah mencuri data, satu korban melaporkan di forum BleepingComputer bahwa itu tidak terjadi dalam insiden mereka.

“Penyelidikan kami telah menentukan bahwa data belum disusupi. Dalam kasus kami, mesin yang diserang memiliki lebih dari 500 GB data tetapi penggunaan harian biasa hanya 2 Mbps. Kami meninjau statistik lalu lintas selama 90 hari terakhir dan tidak menemukan bukti data keluar transfer,” kata admin.

Korban juga menemukan catatan tebusan bernama “ransom.html” dan “How to Restore Your Files.html” pada sistem yang terkunci. Yang lain mengatakan bahwa catatan mereka adalah file teks biasa.

ESXiArgs ransom note (BleepingComputer)

Michael Gillespie dari ID Ransomware saat ini sedang melacak ransomware dengan nama ‘ESXiArgs,’ tetapi mengatakan kepada BleepingComputer bahwa hingga kami dapat menemukan sampel, tidak ada cara untuk menentukan apakah ia memiliki kelemahan dalam enkripsi.

BleepingComputer memiliki topik dukungan khusus di mana orang melaporkan pengalaman mereka dengan serangan ini.

Jika Anda memiliki informasi baru atau salinan malware, beri tahu kami agar peneliti dapat menganalisis kelemahannya.

Ini adalah cerita yang berkembang dan akan diperbarui dengan info baru saat tersedia …

sumber : bleepingcomputer

Cyberattack Mengirim Perdagangan Derivatif Kembali ke Tahun 1980-an

by

Toko-toko derivatif, yang terbiasa menghabiskan ratusan miliar dolar dalam perdagangan setiap hari, mendapati diri mereka berada di era yang sangat berbeda minggu ini: masa lalu memproses kesepakatan secara manual.

Tidak hanya perusahaan kekurangan staf yang memadai untuk menghadapi krisis, tetapi banyak pekerja terlalu muda untuk mengetahui cara mempertahankan operasi. Itu juga kedua kalinya hanya dalam satu minggu pasar utama direndahkan. Kesalahan manusia di New York Stock Exchange memicu perubahan harga yang hebat pada awal perdagangan pada 24 Januari.

Bank dan perusahaan keuangan lainnya sering melabeli risiko dunia maya sebagai salah satu yang paling mereka takuti — karena keterkaitan sistem keuangan berpotensi memperbesar konsekuensi dari serangan apa pun. Kedua insiden tersebut juga menggarisbawahi betapa pentingnya proses perdagangan yang mendasari pipa ledeng, dan betapapun canggihnya, kerentanan mengintai.

Serangan Dikonfirmasi
ditemukan oleh taipan Italia Andrea Pignataro — lebih dari lima jam untuk mengonfirmasi serangan oleh geng ransomware Rusia LockBit, menurut korespondensi dari ION yang dilihat oleh Bloomberg.
StoneX Financial mengatakan sedang mengambil “langkah-langkah alternatif” untuk menghapus perdagangan dan memprioritaskan kontrak yang kedaluwarsa. Grup Marex terpaksa memberikan nilai transaksi “indikatif” kepada klien di akun mereka.

kehebatan teknologi mereka.

Ketika sistem ION turun, tim pembuat kode di salah satu pialang London berebut untuk membangun sistem ad-hoc mereka sendiri untuk mencocokkan perdagangan klien, dan mereka menjalankannya dalam beberapa jam, menurut satu orang yang mengetahui masalah tersebut.

selengkapnya : bloomberg.com

CEO Google Menjanjikan Fitur AI Menyaingi ChatGPT

by

Google juga menghadapi tekanan dari ChatGPT, yang diluncurkan akhir tahun lalu oleh OpenAI yang didukung Microsoft. Bisnis utama Google adalah pencarian web, dan perusahaan tersebut telah lama disebut-sebut sebagai pelopor AI. Tetapi produk AI generatif seperti ChatGPT dapat menimbulkan ancaman bagi seluruh model pencarian internet, karena dapat memberikan jawaban kreatif untuk pertanyaan yang lebih rumit.

Microsoft dilaporkan sedang mempertimbangkan untuk menambahkan fungsionalitas ChatGPT ke dalam mesin pencarinya sendiri, Bing. Ancaman tertinggal di AI bahkan dilaporkan telah mendorong pendiri Google Larry Page dan Sergey Brin untuk menaruh perhatian langsung pada upaya bertahun-tahun setelah mereka mengundurkan diri dari pekerjaan sehari-hari di perusahaan pada tahun 2019.

Selain menggembar-gemborkan peningkatan pencarian yang akan datang, perusahaan juga mengatakan bahwa mulai kuartal pertama, itu akan mengubah struktur pelaporan keuangan untuk segmen kecerdasan buatan DeepMind sehingga beralih ke Google, bukan segmen Taruhan Lain yang mencakup pembayaran jangka panjang. proyek seperti mobil self-driving dan investasi modal ventura.

Pichai juga mengatakan perusahaan juga akan menyediakan “alat baru” dan API untuk pengembang, pembuat, dan mitra untuk “memberdayakan mereka untuk menemukan kemungkinan baru dengan AI. Dia menambahkan, “model-model ini sangat luar biasa untuk menyusun, membangun, dan meringkas.”

Tetapi Pichai juga memperingatkan bahwa itu perlu ditingkatkan secara perlahan, dengan mengatakan dia memandang penggunaan bahasa yang besar masih dalam “masa-masa awal”.

selengkapnya : cnbc.com

Varian Spyware Gamaredon Baru yang Didukung Rusia Menargetkan Pihak Berwenang Ukraina

by

Pusat Perlindungan Siber Negara (SCPC) Ukraina telah memanggil aktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon atas serangan siber yang ditargetkan pada otoritas publik dan infrastruktur informasi penting di negara tersebut.

Ancaman gigih tingkat lanjut, juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.

Tujuan serangan lebih diarahkan pada spionase dan pencurian informasi daripada sabotase, catat agensi tersebut. SCPC juga menekankan evolusi taktik grup yang “terus-menerus” dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar, menyebut Gamaredon sebagai “ancaman dunia maya utama”.

Rantai serangan dimulai dengan email spear-phishing yang membawa arsip RAR yang, ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara – file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell.

Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh software yang mengklaim dapat mendeteksi komputer yang terinfeksi.

Namun, setelah meluncurkan file – skrip batch Windows bernama “Protector.bat” – itu mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.

CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern – sebuah cluster aktivitas yang di masa lalu memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.

Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi.

sumber : thehackernews

Cisco Memperbaiki Bug yang Memugkinkan Persistensi Backdoor di Antara Reboot

by

Cisco telah merilis pembaruan keamanan minggu ini untuk mengatasi vulnerability tingkat tinggi di lingkungan hosting aplikasi Cisco IOx yang dapat dieksploitasi dalam serangan injeksi perintah.

Security flaw (CVE-2023-20076) disebabkan oleh sanitasi parameter yang tidak lengkap yang diteruskan selama proses aktivasi aplikasi. Itu ditemukan dan dilaporkan oleh peneliti keamanan Sam Quinn dan Kasimir Schulz dengan Trellix Advanced Research Center.

Eksploitasi yang berhasil dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna memungkinkan pelaku ancaman terautentikasi dari jarak jauh untuk menjalankan perintah dengan izin root pada sistem operasi yang mendasarinya.

“Seorang penyerang dapat mengeksploitasi vulnerability ini dengan menyebarkan dan mengaktifkan aplikasi di lingkungan hosting aplikasi Cisco IOx dengan file payload aktivasi buatan,” Cisco menjelaskan dalam penasihat keamanan yang diterbitkan pada hari Rabu.

Perusahaan mengatakan vulnerability mempengaruhi perangkat Cisco yang menjalankan software IOS XE, tetapi hanya jika mereka tidak mendukung buruh pelabuhan asli.

Selain perangkat berbasis IOS XE yang dikonfigurasi dengan IOx, daftar perangkat yang terpengaruh juga mencakup router ISR Industri Seri 800, modul komputasi CGR1000, gateway komputasi industri IC3000, router industri WPAN IR510, dan titik akses Cisco Catalyst (COS-AP).

Perusahaan juga mengonfirmasi bahwa flaw CVE-2023-20076 tidak memengaruhi sakelar Seri Catalyst 9000, perangkat lunak iOS XR dan NX-OS, atau produk Meraki.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan tidak menemukan bukti bahwa kerentanan ini dieksploitasi secara liar.

Pada bulan Januari, Cisco memperingatkan pelanggan tentang kerentanan bypass otentikasi kritis (CVE-2023-20025) dengan kode eksploit publik yang memengaruhi beberapa model router VPN akhir masa pakainya.

Satu minggu kemudian, Censys menemukan lebih dari 20.000 router Cisco RV016, RV042, RV042G, dan RV082 yang belum ditambal terhadap CVE-2023-20025 dan terkena serangan.

sumber : bleepingcomputer

Vulnerability Dapat Mengarah ke DoS, Eksekusi Kode

by Leave a Comment

F5 memperingatkan tentang vulnerability string format tingkat keparahan tinggi di BIG-IP yang dapat memungkinkan penyerang yang diautentikasi menyebabkan kondisi denial-of-service (DoS) dan berpotensi mengeksekusi kode arbitrer.

Dilacak sebagai CVE-2023-22374, cacat keamanan berdampak pada iControl SOAP, API terbuka yang memungkinkan komunikasi antar sistem, yang berjalan sebagai root.

Antarmuka SOAP dapat diakses dari jaringan, baik melalui port manajemen BIG-IP dan/atau alamat IP mandiri, dan dibatasi untuk akun administratif.

Namun, perusahaan cybersecurity menjelaskan, penyerang tidak dapat membaca memori kecuali mereka memiliki akses ke syslog.

Penyerang dapat merusak layanan dengan menggunakan penentu ‘%s’, dan dapat menggunakan penentu ‘%n’ untuk menulis data arbitrer ke sembarang penunjuk di tumpukan, yang berpotensi menyebabkan eksekusi kode jarak jauh, kata perusahaan keamanan siber.

Menurut penasehat F5, penyerang yang ingin mengeksploitasi kelemahan untuk eksekusi kode pertama-tama harus mengumpulkan informasi tentang lingkungan yang menjalankan komponen yang rentan. Namun, hanya bidang kontrol, bukan bidang data, yang diekspos oleh bug ini.

vulnerability berdampak pada BIG-IP versi 13.1.5, 14.1.4.6 hingga 14.1.5, 15.1.5.1 hingga 15.1.8, 16.1.2.2 hingga 16.1.3, dan 17.0.0. Saat ini tidak ada tambalan yang tersedia untuk vulnerability tersebut, tetapi F5 mengatakan perbaikan terbaru teknik tersedia.

Karena cacat hanya dapat dieksploitasi oleh pengguna yang diautentikasi, akses ke API SOAP iControl harus dibatasi untuk pengguna tepercaya.

CVE-2023-22374 memiliki skor CVSS 7,5 untuk sistem BIG-IP dalam mode penerapan standar, dan skor CVSS 8,5 untuk instans IP-BIG dalam mode aplikasi.

BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX, dan Traffix SDC tidak terpengaruh.

KeePass membantah kerentanan yang memungkinkan pencurian kata sandi secara diam-diam

by

Tim pengembangan di balik perangkat lunak manajemen kata sandi open-source KeePass memperdebatkan apa yang digambarkan sebagai kerentanan yang baru ditemukan yang memungkinkan penyerang untuk secara diam-diam mengekspor seluruh database dalam teks biasa.

KeePass adalah pengelola kata sandi sumber terbuka yang sangat populer yang memungkinkan Anda mengelola kata sandi menggunakan basis data yang disimpan secara lokal, daripada yang dihosting di cloud, seperti LastPass atau Bitwarden.

Kerentanan baru sekarang dilacak sebagai CVE-2023-24055, dan memungkinkan pelaku ancaman dengan akses tulis ke sistem target untuk mengubah file konfigurasi KeePass XML dan menyuntikkan pemicu berbahaya yang akan mengekspor database, termasuk semua nama pengguna dan kata sandi dalam teks jelas.

Setelah ini dilaporkan dan diberi CVE-ID, pengguna meminta tim pengembangan di belakang KeePass untuk menambahkan permintaan konfirmasi sebelum ekspor basis data senyap seperti yang dipicu melalui file konfigurasi yang dimodifikasi secara berbahaya atau menyediakan versi aplikasi yang datang tanpa fitur ekspor .

Sementara tim CERT Belanda dan Belgia juga telah mengeluarkan penasehat keamanan mengenai CVE-2023-24055, tim pengembangan KeePass berpendapat bahwa ini tidak boleh diklasifikasikan sebagai kerentanan karena penyerang dengan akses tulis ke perangkat target juga dapat memperoleh informasi yang terkandung dalam database KeePass melalui cara lain.

Faktanya, halaman “Masalah Keamanan” di Pusat Bantuan KeePass telah menjelaskan masalah “Akses Tulis ke File Konfigurasi” setidaknya sejak April 2019 sebagai “sebenarnya bukan kerentanan keamanan KeePass.”

Selengkapnya: Bleeping Computer