News 70 - Naga Cyber Defense

Aplikasi dengan lebih dari 3 juta pemasangan membocorkan kunci API pencarian ‘Admin’

November 22, 2022 by Mally

Para peneliti menemukan 1.550 aplikasi seluler membocorkan kunci API Algolia. Dari aplikasi tersebut, 32 diantaranya mengungkapkan rahasia admin, termasuk 57 kunci admin, memberi penyerang cara untuk mengakses informasi pengguna yang sensitif atau mengubah catatan dan pengaturan indeks aplikasi.

Penemuan eksposur ini berasal dari perusahaan keamanan siber yang berbasis di Singapura, CloudSEK.

Algolia API (Application Program Interface) adalah platform berpemilik untuk mengintegrasikan mesin telusur dengan fitur penemuan dan rekomendasi di situs web dan aplikasi yang digunakan oleh lebih dari 11.000 perusahaan.

Sistem menggunakan lima kunci API untuk Admin, Penelusuran, Pemantauan, Penggunaan, dan Analitik. Dari kunci tersebut, hanya Penelusuran yang dimaksudkan untuk publik dan tersedia di kode front-end, membantu pengguna melakukan kueri penelusuran di aplikasi.

Kunci Pemantauan memberi admin gambaran sekilas tentang status kluster mereka, Penggunaan dan Analitik memberikan statistik penggunaan, sedangkan kunci Admin menawarkan akses ke empat layanan kunci API lainnya, serta yang berikut ini:

Telusuri/Hapus indeks
Tambah/Hapus catatan
Daftar indeks
Atur pengaturan indeks
Log akses
Atribut yang tidak dapat diperbaiki

Menyalahgunakan layanan di atas dapat mengekspos data yang berisi perangkat pengguna dan detail akses jaringan, statistik penggunaan, log pencarian, dan manipulasi informasi terkait.

Pemindai otomatis CloudSEK menemukan bahwa 1.550 aplikasi membocorkan kunci Algolia API dan ID aplikasi, mempertaruhkan akses tidak sah ke informasi internal.

32 aplikasi yang membocorkan kunci Admin API lebih kritis, karena mereka mengekspos penggunanya ke risiko kebocoran data dan database ke modifikasi berbahaya yang dapat menimbulkan kerugian bisnis.

Aplikasi yang memperlihatkan kunci Algolia Admin API memiliki sekitar 3.250.000, dengan beberapa aplikasi masing-masing memiliki lebih dari satu juta unduhan.

Kategori yang paling rentan terkena kunci adalah aplikasi belanja, yang diunduh secara kolektif sebanyak 2,3 juta kali. Sedangkan kategori lain termasuk aplikasi berita, makanan dan minuman, pendidikan, kebugaran, fotografi, gaya hidup, produktivitas, medis, dan aplikasi bisnis, diunduh secara kolektif lebih dari 950.000 kali.

Sumber: Bleeping Computer

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

November 21, 2022 by Mally

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Peretas ‘Mustang Panda’ Cina Secara Aktif Menargetkan Pemerintah di Seluruh Dunia

November 21, 2022 by Mally

Seorang aktor ancaman gigih terkenal yang dikenal sebagai Mustang Panda telah dikaitkan dengan serentetan serangan spear-phishing yang menargetkan sektor pemerintah, pendidikan, dan penelitian di seluruh dunia.

Sasaran utama intrusi dari Mei hingga Oktober 2022 termasuk negara-negara di kawasan Asia Pasifik seperti Myanmar, Australia, Filipina, Jepang, dan Taiwan, kata perusahaan keamanan siber Trend Micro dalam laporan Jumat.

Dalam beberapa kasus, pesan phishing dikirim dari akun email yang sebelumnya disusupi milik entitas tertentu, menunjukkan upaya yang dilakukan oleh aktor Mustang Panda untuk meningkatkan kemungkinan keberhasilan kampanyenya.

File arsip, ketika dibuka, dirancang untuk menampilkan dokumen iming-iming kepada korban, sambil secara diam-diam memuat malware di latar belakang melalui metode yang disebut sebagai pemuatan samping DLL.

Rantai serangan pada akhirnya mengarah pada pengiriman tiga keluarga malware – PUBLOAD, TONEINS, dan TONESHELL – yang mampu mengunduh muatan tahap berikutnya dan terbang di bawah radar.

TONESHELL, pintu belakang utama yang digunakan dalam serangan, diinstal melalui TONEINS dan merupakan pemuat kode shell, dengan versi awal implan terdeteksi pada September 2021, menunjukkan upaya berkelanjutan dari pihak pelaku ancaman untuk memperbarui persenjataannya.

“Begitu kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor masuk untuk gelombang penyusupan berikutnya. Strategi ini sebagian besar memperluas cakupan yang terpengaruh di wilayah yang terlibat.”

sumber : the hacker news

Akun Discord Anda Dapat Dicuri dari Ransomeware Baru

November 21, 2022 by Mally

Keluarga ransomware ‘AXLocker’ yang baru tidak hanya mengenkripsi file korban dan menuntut pembayaran uang tebusan, tetapi juga mencuri akun Discord dari pengguna yang terinfeksi.

Saat pengguna masuk ke Discord dengan kredensial mereka, platform mengirimkan kembali token autentikasi pengguna yang disimpan di komputer. Token ini kemudian dapat digunakan untuk masuk sebagai pengguna atau untuk mengeluarkan permintaan API yang mengambil informasi tentang akun terkait.

Pelaku ancaman biasanya mencoba mencuri token ini karena memungkinkan mereka untuk mengambil alih akun atau, lebih buruk lagi, menyalahgunakannya untuk serangan jahat lebih lanjut.

AxLocker adalah ancaman dua-dalam-satu
peneliti di cyble baru-baru ini menganalisis sampel ransomware AXLocker dan menemukan bahwa itu tidak hanya mengenkripsi file tetapi juga mencuri token perselisihan korban

saat dijalankan, ransomeware akan menargetkan ekstensi file tertentu dan mengecualikan folder tertentu, seperti yang ditunjukkan pada gambar di bawah

saat mengenkripsi file, ACLocker menggunakan algoritme AES, tetapi tidak menambahkan ekstensi file pada file yang dienkripsi, sehingga muncul dengan nama normalnya.

selanjutnya AXLocker mengirimkan ID korban, detail sistem, data yang disimpan di browser, dan token Discord ke saluran Discord pelaku ancaman menggunakan URL webhook.

Untuk mencuri token Discord, AxLocker akan memindai direktori berikut dan mengekstrak token menggunakan ekspresi reguler:

Discord\Local Storage\leveldb
discordcanary\Local Storage\leveldb
discordptb\leveldb
Opera Software\Opera Stable\Local Storage\leveldb
Google\Chrome\User Data\\Default\Local Storage\leveldb
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

*AXLocker’s grab function (Cyble)*/Fungsi ambil AXLocker (Cyble)

Victims are given 48 hours to contact the attackers with their victim ID, but the ransom amount isn’t mentioned in the note.

Sementara ransomware ini jelas menargetkan konsumen daripada perusahaan, itu masih bisa menjadi ancaman yang signifikan bagi komunitas besar.

Oleh karena itu, jika Anda menemukan bahwa AxLocker mengenkripsi komputer Anda, Anda harus segera mengubah kata sandi Discord Anda, karena ini akan membatalkan token yang dicuri oleh ransomware.

sumber : bleeping computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

November 18, 2022 by Mally

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Internet Korea Utara untuk Sementara Dimatikan

November 18, 2022 by Mally

Internet Korea Utara dilanda pemadaman terbesar dalam beberapa bulan pada hari Kamis, seorang peneliti keamanan dunia maya mengatakan kepada Reuters, setelah gangguan layanan serupa pada bulan Januari disalahkan atas dugaan serangan dunia maya.

Akses internet sangat dibatasi di Korea Utara. di bawah 1%- dari populasi sekitar 25 juta. Banyak lagi yang memiliki akses ke jaringan internal yang tidak terhubung ke dunia luar

Kurang lebih dua gelombang pemadaman melanda internet negara yang terisolasi itu selama kira kira 2,5 jam, memuncak dengan lonjakan tekanan jaringan yang membuat seluruh internet Korea Utara yang dapat dijangkau

Situs web Kementerian Luar Negeri Korea Utara dan Naenara, yang merupakan portal resmi untuk pemerintah Korea Utara, tampaknya melihat dampak dari dugaan serangan tersebut, sebelum menjadi begitu hebat sehingga seluruh internet dimatikan, kata Ali.

Situs web utama lainnya yang terpengaruh termasuk maskapai penerbangan nasional Air Koryo dan server email internal utama.

Korea Utara menembakkan rudal balistik pada hari Kamis karena memperingatkan “tanggapan militer yang lebih keras” terhadap upaya AS untuk meningkatkan kehadiran keamanannya di kawasan itu dengan sekutunya, dengan mengatakan Washington mengambil “pertaruhan yang akan disesalinya”.

Para peneliti mengatakan pemadaman seperti itu menunjukkan tanda-tanda yang mereka sebut serangan denial-of-service (DDoS) terdistribusi, di mana peretas mencoba membanjiri jaringan dengan volume lalu lintas data yang sangat tinggi untuk melumpuhkannya.

sumber : reuters

Otentikasi Dua Faktor Twitter Memiliki Kerentanan – DIPERBARUI

November 18, 2022 by Mally

Grup Media Keamanan Informasi telah menyadari bahwa peneliti keamanan lain, @BetoOnSecurity, juga mengidentifikasi kemampuan untuk mematikan SMS 2FA Twitter melalui perintah “STOP” yang dikirim sebagai kerentanan, mengingat potensi spoofing. Sumber kami secara independen mengidentifikasi kerentanan.

Peneliti keamanan memperingatkan bahwa autentikasi multifaktor di Twitter mengandung kerentanan yang memungkinkan pengambilalihan akun potensial.

Kerentanan muncul ketika Twitter memasuki minggu ketiga di bawah kepemilikan Elon Musk, periode di mana staf keamanan dan kepatuhan utama di perusahaan telah pergi, banyak karyawan dan kontraktor telah diberhentikan, dan keretakan mulai terlihat di perusahaan. teknologi yang berhadapan dengan pelanggan

Kerentanan, yang diverifikasi ISMG, memungkinkan peretas untuk memalsukan nomor telepon yang terdaftar untuk menonaktifkan otentikasi dua faktor. Itu berpotensi membuat akun terkena serangan reset kata sandi atau pengambilalihan akun melalui isian kata sandi. Twitter memungkinkan penggunaan untuk mengatur multifact

Selama masa jabatan Musk sebagai kepala eksekutif, masalah lain terkait dengan kontrol akun telah muncul – serentetan akun palsu yang menyamar sebagai merek multinasional yang tampak asli, berkat adanya tanda centang biru.

Musk tetap melanjutkan. Selama periode kira-kira dua hari selama Rabu dan Kamis, penipu menyamar sebagai perusahaan farmasi Eli Lilly dengan mengumumkan bahwa insulin sekarang akan gratis, produsen pisang Chiquita dengan mengumumkan penggulingan pemerintah Brasil, dan pembuat mobil listrik yang dipimpin Musk Tesla dengan memperpanjang menawarkan untuk mengirimkan 10.000 mobil untuk mendukung militer Ukraina.

Pada saat itu, serentetan peniruan telah menarik perhatian Partai Demokrat AS.

sumber : data breach today

Microsoft memperbaiki masalah autentikasi Windows Kerberos dalam pembaruan darurat

November 18, 2022 by Mally

Microsoft telah merilis pembaruan out-of-band (OOB) opsional untuk memperbaiki masalah yang memicu kegagalan masuk Kerberos dan masalah autentikasi lainnya pada pengontrol domain Windows setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa November.

Microsoft mengakui dan mulai menyelidiki pada hari Senin dan mengatakan bahwa masalah yang diketahui dapat memengaruhi skenario autentikasi Kerberos apa pun dalam lingkungan perusahaan yang terpengaruh.

“Saat masalah ini terjadi, Anda mungkin menerima peristiwa kesalahan Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain Anda dengan teks di bawah ini.”

Daftar skenario autentikasi Kerberos yang terpengaruh mencakup namun tidak terbatas pada hal berikut:

Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal tersambung.
Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
Pencetakan yang memerlukan autentikasi pengguna domain mungkin gagal.

Microsoft merilis pembaruan darurat OOB yang harus diinstal oleh admin Windows di semua Pengontrol Domain (DC) pada lingkungan yang terpengaruh.

Pembaruan OOB tersedia melalui Katalog Pembaruan Microsoft dan tidak akan ditawarkan melalui Pembaruan Windows.

Redmond telah merilis pembaruan kumulatif untuk penginstalan di Pengontrol Domain (tidak diperlukan tindakan di sisi klien):

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

Microsoft juga merilis pembaruan mandiri yang dapat diimpor ke Windows Server Update Services (WSUS) dan Microsoft Endpoint Configuration Manager:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 SP2: KB5021657

Satu-satunya platform yang terpengaruh yang masih menunggu perbaikan adalah Windows Server 2008 R2 SP1. Redmond mengatakan bahwa pembaruan khusus akan tersedia minggu depan.

Anda dapat menemukan instruksi penyebaran WSUS terperinci di WSUS dan instruksi Pengelola Konfigurasi dan Situs Katalog di halaman Impor pembaruan dari halaman Katalog Pembaruan Microsoft.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings