Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Threat

Cyber Threat

380K Server API Kubernetes Terekspos ke Internet

by

Lebih dari 380.000 server API Kubernetes memungkinkan beberapa jenis akses ke internet publik, membuat mesin orkestrasi kontainer sumber terbuka yang populer untuk mengelola penyebaran cloud menjadi target yang mudah dan permukaan serangan yang luas bagi pelaku ancaman, menurut temuan para peneliti.

Yayasan Shadowserver menemukan akses ketika memindai internet untuk server API Kubernetes, yang jumlahnya lebih dari 450.000, menurut sebuah posting blog yang diterbitkan minggu ini.

“ShadowServer melakukan pemindaian harian ruang IPv4 pada port 443 dan 6443, mencari alamat IP yang merespons dengan ‘status HTTP 200 OK’, yang menunjukkan bahwa permintaan telah berhasil,” menurut posting tersebut.

Dari lebih dari 450.000 instance Kubernetes API yang diidentifikasi oleh Shadowserver, 381.645 merespons dengan “200 OK”, kata para peneliti. Secara keseluruhan, Shadowserver menemukan 454.729 server API Kubernetes. Dengan demikian, instans API “terbuka” merupakan hampir 84 persen dari semua instans yang dipindai oleh Shadowserver.

Selain itu, sebagian besar server Kubernetes yang dapat diakses—201.348, atau hampir 53 persen—ditemukan di Amerika Serikat, menurut postingan tersebut.

Meskipun respons terhadap pemindaian ini tidak berarti server ini sepenuhnya terbuka atau rentan terhadap serangan, itu menciptakan skenario di mana server memiliki “permukaan serangan yang tidak perlu,” menurut posting tersebut.

“Tingkat akses ini sepertinya tidak dimaksudkan,” para peneliti mengamati. Eksposur juga memungkinkan kebocoran informasi pada versi dan build, tambah mereka.

Selengkapnya: Threat Post

Google Documents memperluas peringatan tentang file dan tautan yang cerdik

by

Alat kolaborasi kantor Google, Dokumen, Spreadsheet, Slide, dan Gambar sekarang akan menampilkan spanduk peringatan saat Anda membuka file yang berpotensi berbahaya dari web, raksasa pencarian telah mengumumkan.

Spanduk ini sudah muncul saat file cerdik diakses dari dalam Drive, serta dari tautan mencurigakan dalam file Dokumen, Spreadsheet, Slide, dan Gambar yang terpisah. Peluncuran yang lebih luas akan membantu melindungi pengguna dalam situasi yang lebih luas.

Yang membingungkan, postingan pengumuman Google pada 20 Januari mengatakan bahwa spanduk sudah muncul saat membuka tautan Google Documents, Spreadsheet, Slide, dan Gambar. Namun, perusahaan memberi tahu kami bahwa ini salah ketik, dan seharusnya spanduk tersebut muncul di file “tautan dari Google Documents, Spreadsheet, Slide, dan Gambar”.

Spanduk peringatan tampaknya merupakan upaya untuk memerangi penipuan yang menggunakan perangkat lunak produktivitas kantor Google untuk menciptakan lapisan keaslian di sekitar tautan cerdik dan upaya phishing.

Pada tahun 2020, Wired melaporkan gelombang penipuan yang menggunakan berbagai fitur berbagi dan kolaborasi Google untuk mendapatkan file berbahaya mereka di depan pengguna yang tidak menaruh curiga.

Mengklik tautan di salah satu dokumen ini mengarahkan pengguna ke situs yang dipenuhi dengan iklan cerdik, atau situs phishing biasa yang meminta mereka memasukkan detail bank atau akun lainnya.

Pengumuman Google mengatakan bahwa spanduk peringatan baru akan diluncurkan selama beberapa minggu ke depan untuk semua akun, bisnis dan pribadi.

Selengkapnya: The Verge

Penyelidik DHS mengatakan mereka menggagalkan serangan siber pada kabel internet bawah laut di Hawaii

by

Agen federal di Honolulu pekan lalu “mengganggu” serangan siber yang nyata pada server perusahaan telekomunikasi yang tidak disebutkan namanya yang terkait dengan kabel bawah air yang bertanggung jawab untuk internet, layanan kabel, dan koneksi seluler di Hawaii dan kawasan itu, kata badan tersebut dalam sebuah pernyataan Selasa.

Agen yang berbasis di Hawaii dengan Investigasi Keamanan Dalam Negeri, sebuah cabang dari Departemen Keamanan Dalam Negeri, menerima tip dari rekan-rekan HSI daratan mereka yang menyebabkan gangguan “pelanggaran signifikan yang melibatkan server perusahaan swasta yang terkait dengan kabel bawah laut.”

Penyelidikan mengungkapkan bahwa “kelompok peretas internasional” berada di balik serangan itu, dan “agen HSI dan mitra penegak hukum internasional di beberapa negara dapat melakukan penangkapan.”

Pernyataan itu tidak mengidentifikasi jenis serangan siber yang diduga telah terjadi, kelompok peretas yang bertanggung jawab, lembaga penegak hukum lainnya, atau di mana penangkapan terjadi. Tidak ada kerusakan atau gangguan yang terjadi, dan tidak ada ancaman langsung, kata pernyataan itu.

John Tobon, agen khusus HSI yang bertanggung jawab di Hawaii, mengatakan kepada stasiun berita lokal bahwa penyelidik menemukan bahwa penyerang telah memperoleh kredensial yang memungkinkan akses ke sistem perusahaan yang tidak disebutkan namanya.

“Itu bisa menjadi sesuatu yang hanya membuat kekacauan, dengan kata lain, mematikan komunikasi, atau bisa digunakan untuk menargetkan individu dalam skema jenis ransomware,” katanya.

Selengkapnya: Cyber Scoop

Hampir 30% bug plugin WordPress kritis tidak mendapatkan tambalan

by

Patchstack, pemimpin dalam keamanan WordPress dan intelijen ancaman, telah merilis whitepaper untuk menyajikan keadaan keamanan WordPress pada tahun 2021, dan laporan tersebut memberikan gambaran yang mengerikan.

Lebih detailnya, 2021 telah melihat pertumbuhan 150% dalam kerentanan yang dilaporkan dibandingkan dengan tahun sebelumnya, sementara 29% dari kelemahan kritis dalam plugin WordPress tidak pernah menerima pembaruan keamanan.

Ini mengkhawatirkan mengingat WordPress adalah sistem manajemen konten paling populer di dunia, digunakan di 43,2% dari semua situs web di luar sana.

Dari semua kerentanan yang dilaporkan pada tahun 2021, hanya 0,58% yang ada di inti WordPress, dengan sisanya berada di tema dan plugin untuk platform, yang berasal dari berbagai sumber dan pengembang yang berbeda.

Khususnya, 91,38% dari kekurangan ini ditemukan di plugin gratis, sedangkan add-on WordPress berbayar/premium hanya menyumbang 8,62% dari total, mencerminkan prosedur pemeriksaan dan pengujian kode yang lebih baik.

PatchStack juga melaporkan bahwa cross-site scripting (XSS) menduduki puncak daftar dengan jenis kelemahan WordPress yang paling banyak dilaporkan pada tahun 2021, diikuti oleh “campuran”, cross-site request forgery, SQL injection, dan unggahan file yang sewenang-wenang.

Sekitar 42% situs WordPress memiliki setidaknya satu komponen rentan pada tahun 2021, dari rata-rata 18 yang diinstal. Meskipun jumlah ini lebih rendah dari 23 plugin yang dipasang di situs pada tahun 2020, masalahnya tetap ada karena enam dari 18 plugin sudah usang.

Selengkapnya: Bleeping Computer

Tim Microsoft Diincar Oleh Trojan yang Mengambil Alih Perangkat

by

Pelaku ancaman menargetkan pengguna Microsoft Teams dengan menanam dokumen berbahaya di utas obrolan yang mengeksekusi Trojan yang pada akhirnya dapat mengambil alih mesin pengguna akhir, menurut temuan para peneliti.

Pada bulan Januari, para peneliti di Avanan, sebuah Perusahaan Check Point, mulai melacak kampanye, yang menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan Teams yang, ketika diklik, akhirnya mengambil alih komputer pengguna, menurut laporan yang diterbitkan Kamis.

“Menggunakan file yang dapat dieksekusi, atau file yang berisi instruksi untuk dieksekusi sistem, peretas dapat menginstal file DLL dan memungkinkan program untuk mengatur sendiri dan mengambil kendali atas komputer,” tulis peneliti dan analis keamanan siber di Avanan Jeremy Fuchs dalam sebuah laporan. “Dengan melampirkan file ke serangan Teams, peretas telah menemukan cara baru untuk menargetkan jutaan pengguna dengan mudah.”

Penjahat dunia maya telah lama menargetkan suite pembuatan dan berbagi dokumen Microsoft yang ada di mana-mana – Office lawas dan versi berbasis cloud-nya, Office 365 – dengan serangan terhadap aplikasi individual dalam suite seperti PowerPoint serta kompromi email bisnis dan penipuan lainnya.

Sekarang Microsoft Teams – rangkaian komunikasi dan kolaborasi bisnis – muncul sebagai permukaan serangan yang semakin populer bagi penjahat dunia maya, kata Fuchs.

Minat ini dapat dikaitkan dengan lonjakan penggunaannya selama pandemi COVID-19, karena banyak karyawan organisasi yang bekerja dari jarak jauh mengandalkan aplikasi untuk berkolaborasi. Memang, jumlah pengguna aktif harian Teams hampir dua kali lipat selama setahun terakhir, meningkat dari 75 juta pengguna pada April 2020 menjadi 145 juta pada kuartal kedua 2021, menurut Statista.

Selengkapnya: Threat Post

Eksperimen Honeypot mengungkapkan apa yang diinginkan peretas dari perangkat IoT

by

​Eksperimen honeypot selama tiga tahun yang menampilkan interaksi rendah perangkat IoT yang disimulasikan dari berbagai jenis dan lokasi memberikan gambaran yang jelas tentang mengapa aktor menargetkan perangkat tertentu.

Perangkat IoT (Internet of Things) adalah pasar yang sedang booming yang mencakup perangkat kecil yang terhubung ke internet seperti kamera, lampu, bel pintu, TV pintar, sensor gerak, speaker, termostat, dan banyak lagi.

Diperkirakan bahwa pada tahun 2025, lebih dari 40 miliar perangkat ini akan terhubung ke Internet, menyediakan titik masuk jaringan atau sumber daya komputasi yang dapat digunakan dalam penambangan kripto yang tidak sah atau sebagai bagian dari kawanan DDoS.

Tiga komponen ekosistem honeypot yang dibuat oleh para peneliti di NIST dan University of Florida termasuk server farm, vetting system, dan infrastruktur pengambilan dan analisis data.

Tiga jenis utama honeypots adalah sebagai berikut:

  • HoneyShell – Meniru Busybox
  • HoneyWindowsBox – Meniru perangkat IoT yang menjalankan OS Windows
  • HoneyCamera – Meniru berbagai kamera IP dari Hikvision, D-Link, dan perangkat lainnya.

Eksperimen ini menghasilkan data dari 22,6 juta hit besar, dengan sebagian besar menargetkan honeypot HoneyShell.

Sumber: BleepingComputer

Para peneliti menemukan bahwa honeypots HoneyShell dan HoneyCamera ditargetkan terutama untuk perekrutan DDoS dan sering juga terinfeksi varian Mirai atau penambang koin.

Infeksi penambang koin adalah pengamatan paling umum di honeypot Windows, diikuti oleh virus, dropper, dan trojan.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Operator telekomunikasi yang ditargetkan dalam kampanye peretasan spionase baru-baru ini

by

Para peneliti telah melihat kampanye peretasan spionase baru yang menargetkan penyedia layanan telekomunikasi dan TI di Timur Tengah dan Asia.

Kampanye telah dilakukan selama enam bulan terakhir, dan ada hubungan tentatif dengan aktor yang didukung Iran, MERCURY (alias MuddyWater, SeedWorm, atau TEMP.Zagros).

Laporan tersebut berasal dari Tim Pemburu Ancaman di Symantec, yang telah mengumpulkan bukti dan sampel perangkat dari serangan baru-baru ini di Israel, Yordania, Kuwait, Arab Saudi, Uni Emirat Arab, Pakistan, Thailand, dan Laos.

Penyerang tampaknya paling tertarik pada Server Exchange yang rentan, yang mereka gunakan untuk penyebaran shell web.

Setelah pelanggaran awal, mereka mencuri kredensial akun dan bergerak secara lateral di jaringan perusahaan. Dalam beberapa kasus, mereka menggunakan pijakan mereka untuk berporos ke organisasi lain yang terhubung.

Meskipun vektor infeksi tidak diketahui, Symantec dapat menemukan kasus file ZIP bernama “Special discount program.zip,” yang berisi installer untuk aplikasi perangkat lunak desktop jarak jauh. Pelaku ancaman mungkin mendistribusikan email spear-phishing ke target tertentu.

Meskipun atribusinya tidak pasti, Symantec mencatat dua alamat IP yang tumpang tindih dengan infrastruktur yang digunakan dalam serangan MuddyWater yang lebih lama.

Selain itu, perangkat yang digunakan memiliki beberapa kesamaan dengan serangan Maret 2021 yang dilaporkan oleh peneliti Trend Micro.

Namun, banyak aktor yang didukung negara Iran menggunakan alat yang tersedia dan secara teratur beralih infrastruktur, dan dengan demikian, tidak ada atribusi konklusif yang dapat dibuat saat ini.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

by

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer