Cyber Attacks

Alat transfer file IBM yang populer rentan terhadap serangan siber, kata CISA

February 27, 2023 by Søren

Alat transfer file IBM Aspera Faspex yang digunakan oleh puluhan organisasi besar dan bisnis memiliki bug serius yang secara aktif dieksploitasi oleh peretas jahat, menurut Cybersecurity and Infrastructure Security Agency (CISA).

CISA menambahkan bug – bernama CVE-2022-47986 – ke dalam katalog kerentanan yang diketahui dieksploitasi minggu ini bersama dengan dua bug lain yang memengaruhi platform komunikasi bisnis Mitel.

Badan itu mengatakan kerentanan IBM menimbulkan “risiko signifikan bagi perusahaan federal.” CISA mengarahkan peringatannya ke pemerintah federal, tetapi sering juga diterapkan secara luas ke sektor swasta.

Pengumuman tersebut mengikuti beberapa peringatan dari peneliti keamanan selama sebulan terakhir. IBM mengeluarkan tambalan pada 18 Januari.

Badan sipil federal memiliki waktu hingga 14 Maret untuk menambal bug tersebut, yang membawa skor CVSS 9,8 dari 10.

Bud Broomhead, CEO perusahaan keamanan siber Viakoo, mengatakan Aspera digunakan secara luas sehingga memenangkan Emmy pada tahun 2014 karena memungkinkan alur kerja produksi media yang lebih cepat karena memungkinkan perusahaan mengirim file video berukuran besar dengan cepat.

Untuk perusahaan mana pun yang mentransfer kumpulan data besar — seperti penelitian genomik dan biomedis, produksi media, intelijen sinyal militer, atau layanan keuangan — Aspera kemungkinan besar merupakan solusi masuk selama bertahun-tahun, jelas Broomhead.

Broomhead menambahkan bahwa kerentanan mudah dieksploitasi dan memungkinkan penyerang jarak jauh mengambil tindakan pada sistem tanpa harus menghindari proses otentikasi jaringan.

Pencarian di alat pemindaian internet Shodan menunjukkan 138 contoh Aspera Faspex yang terpapar ke internet. Perusahaan Cybersecurity ShadowServer juga mengonfirmasi bahwa mereka telah melihat upaya eksploitasi sejak IBM menerbitkan tambalan tersebut.

Selengkapnya: The Record

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

December 15, 2022 by Flamango

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co

WAF Populer Ditumbangkan oleh JSON Bypass

December 14, 2022 by Coffee Bean

Firewall aplikasi web (WAF) dari lima vendor utama rentan terhadap permintaan berbahaya yang menggunakan Notasi Objek JavaScript (JSON) populer untuk mengaburkan perintah basis data dan lolos dari deteksi.

Penelitinya menemukan bahwa WAF yang diproduksi oleh Amazon Web Services, Cloudflare, F5, Imperva, dan Palo Alto gagal mengidentifikasi perintah SQL berbahaya yang dikodekan dalam format JSON, memungkinkan penerusan permintaan berbahaya ke database back-end.

Teknik ini memungkinkan penyerang untuk mengakses dan, dalam beberapa kasus, mengubah data serta mengkompromikan aplikasi, kata Noam Moshe, peneliti keamanan di tim riset Team82 Claroty.

WAF Jangan “Dapatkan” JSON
Firasat pertama para peneliti tentang potensi serangan datang dari eksperimen yang tidak terkait yang menyelidiki platform manajemen perangkat nirkabel Cambium Networks. Pengembang platform tersebut menambahkan data yang disediakan pengguna langsung ke akhir kueri, sebuah teknik yang meyakinkan Claroty untuk menyelidiki aplikasi yang lebih umum.

Teknik ini bekerja terhadap sebagian besar database relasional, termasuk PostgreSQL, Microsoft MSSQL, MySQL, dan SQLite. Sementara perusahaan harus mengatasi tiga batasan teknis — seperti awalnya hanya dapat mengambil angka dan bukan rangkaian karakter — para peneliti akhirnya membuat pintasan tujuan umum untuk firewall aplikasi Web utama.

Mengaburkan untuk Melarikan Diri

Mengaburkan kode berbahaya untuk mem-bypass langkah-langkah keamanan anti-injeksi memiliki sejarah yang panjang. Pada 2013, misalnya, penyerang mulai mengeksploitasi kerentanan dalam kerangka kerja Ruby on Rails yang memungkinkan kode JSON digunakan untuk melewati autentikasi dan menyuntikkan perintah SQL ke dalam aplikasi web.

Para peneliti memberi tahu kelima vendor tentang WAF yang rentan, yang masing-masing mengonfirmasi masalah tersebut dan sejak itu menambahkan dukungan sintaks JSON ke produk mereka, kata Claroty dalam penasehatnya.

sumber : dark reading

Alarm atas serangan siber layanan kesehatan semakin keras / FBI memperingatkan organisasi layanan kesehatan bahwa perangkat medis bisa menjadi risiko besar

September 18, 2022 by Søren

Alarm keamanan siber telah berdering keras di industri layanan kesehatan bulan ini. FBI memperingatkan fasilitas kesehatan bahwa perangkat medis (seperti monitor pasien atau pompa infus) sering berjalan pada perangkat lunak usang yang rentan terhadap peretasan.

Serangkaian peringatan datang dengan kesadaran yang berkembang tentang betapa berbahayanya celah keamanan siber dalam layanan kesehatan. Organisasi layanan kesehatan semakin bergantung pada perangkat yang terhubung ke internet untuk melakukan hal-hal seperti melacak catatan pasien dan memberikan obat-obatan. Dan mereka semakin menjadi target serangan ransomware, yang dapat mencuri data dan mematikan sistem yang mereka gunakan untuk memberikan perawatan.

Para ahli menghabiskan waktu bertahun-tahun dengan frustrasi karena rumah sakit tidak menganggap serius keamanan siber. Namun selama pandemi COVID-19, gelombang itu mulai bergeser. Dengan peringatannya minggu ini, FBI bergabung dengan Kongres dalam menangani kerentanan perangkat medis secara serius – awal musim panas ini, para senator mengusulkan undang-undang yang akan mengharuskan Food and Drug Administration untuk mengeluarkan pedoman yang lebih teratur seputar keamanan siber perangkat medis. FDA juga meminta lebih banyak kekuatan untuk membuat aturan seputar keamanan siber.

Insiden seperti peretasan di Pusat Medis OakBend sangat umum akhir-akhir ini sehingga mereka hampir tidak terdaftar di barometer berita nasional. Kebanyakan orang tidak menyadari bahwa itu terjadi secara teratur – atau bahwa itu sangat berbahaya.

Tetapi dengan hal-hal seperti tindakan kongres dan peringatan FBI yang meningkat, para ahli berharap bahwa keamanan siber akhirnya mulai menjadi prioritas. “Saya yakin kami membuat langkah untuk akhirnya benar-benar menangani ransomware,” Oscar Miranda, kepala teknologi untuk perawatan kesehatan di perusahaan keamanan siber Armis, mengatakan kepada The Verge tahun lalu.

Selengkapnya: The Verge

Spammer Menggunakan Malware Squirrelwaffle untuk Menjatuhkan Cobalt Strike

October 29, 2021 by Eevee

Ancaman malware baru bernama Squirrelwaffle telah muncul di alam liar, mendukung aktor dengan pijakan awal dan cara untuk menjatuhkan malware ke sistem dan jaringan yang disusupi.

Alat malware baru menyebar melalui kampanye spam yang menjatuhkan Qakbot dan Cobalt Strike di kampanye terbaru. Ditemukan oleh para peneliti di Cisco Talos, Squirrelwaffle adalah salah satu alat yang muncul sebagai pengganti Emotet tak lama setelah gangguan penegakan hukum pada botnet yang banyak digunakan.

Ancaman baru ini pertama kali muncul pada September 2021, dengan volume distribusi memuncak pada akhir bulan itu. Sementara kampanye spam terutama menggunakan kampanye email rantai balasan curian dalam bahasa Inggris, pelaku ancaman juga menggunakan email Prancis, Jerman, Belanda, dan Polandia.

Email ini berisi hyperlink ke arsip ZIP berbahaya yang dihosting di server web yang dikendalikan penyerang dan biasanya menyertakan lampiran .doc atau .xls berbahaya yang menjalankan kode penghapus malware jika dibuka.

Pada beberapa dokumen yang diambil sampelnya dan dianalisis oleh peneliti Talos, para aktor menggunakan platform penandatanganan DocuSign sebagai umpan untuk mengelabui penerima agar mengaktifkan makro di suite MS Office mereka.

Kode yang terkandung memanfaatkan pembalikan string untuk kebingungan, menulis skrip VBS ke %PROGRAMDATA%, dan menjalankannya.

Tindakan ini mengambil Squirrelwaffle dari salah satu dari lima URL hardcode, mengirimkannya dalam bentuk file DLL ke sistem yang disusupi.

Squirrelwaffle loader kemudian menyebarkan malware seperti Qakbot atau alat pengujian penetrasi Cobalt Strike yang banyak disalahgunakan.

Cobalt Strike adalah alat pengujian penetrasi yang sah yang dirancang sebagai kerangka kerja serangan untuk menguji infrastruktur organisasi untuk menemukan celah keamanan dan kerentanan.

Namun, versi Cobalt Strike yang retak juga digunakan oleh pelaku ancaman (biasanya terlihat digunakan selama serangan ransomware) untuk tugas pasca-eksploitasi setelah menggunakan beacon, yang memberi mereka akses jarak jauh yang terus-menerus ke perangkat yang disusupi.

Squirrelwaffle juga menampilkan daftar blokir IP yang diisi dengan perusahaan riset keamanan terkemuka sebagai cara untuk menghindari deteksi dan analisis.

Semua komunikasi antara Squirrelwaffle dan infrastruktur C2 dienkripsi (XOR+Base64) dan dikirim melalui permintaan HTTP POST.

Pelaku ancaman memanfaatkan server web yang sebelumnya disusupi untuk mendukung aspek distribusi file dari operasi mereka, dengan sebagian besar situs ini menjalankan WordPress 5.8.1.

Di server ini, musuh menyebarkan skrip “antibot” yang membantu mencegah deteksi dan analisis topi putih.

Aktor mapan lainnya telah menerapkan beberapa metode yang tercakup dalam laporan Cisco Talos di masa lalu.

Dengan demikian, Squirrelwaffle mungkin merupakan reboot Emotet oleh anggota yang menghindari penegakan hukum atau pelaku ancaman lain yang mencoba mengisi kekosongan yang ditinggalkan oleh malware terkenal.

Karena pemanfaatannya yang meningkat, Cisco Talos menyarankan semua organisasi dan profesional keamanan untuk mengetahui TTP yang digunakan dalam kampanye malware ini.

Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attacks

Cookies Settings