Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Intel mengatakan peretas memperoleh informasi finansial yang sensitif

by

Intel mengatakan mereka adalah korban peretas yang mencuri informasi finansial yang sensitif dari situs web perusahaannya pada hari Kamis, mendorong perusahaan untuk merilis laporan pendapatannya lebih cepat dari jadwal.

Pembuat chip komputer AS yakin penyerang telah memperoleh rincian lanjutan tentang laporan pendapatan yang kuat yang akan dipublikasikan setelah pasar saham ditutup, kata George Davis, kepala keuangan intel.

Dia tidak memberikan rincian lebih lanjut, tetapi mengatakan bahwa kebocoran tersebut adalah hasil dari tindakan terlarang yang tidak melibatkan pengungkapan yang tidak disengaja oleh perusahaan itu sendiri.

Seorang juru bicara Intel menambahkan: “Kami diberitahu bahwa infografik kami beredar di luar perusahaan. Saya tidak percaya itu diterbitkan. Kami terus menyelidiki masalah ini.”

Selengkapnya: Financial Times

sLoad geng malware kembali: Microsoft mendeteksi dengan cepat versi 2.0 yang dirubah

by

Raksasa teknologi Microsoft telah mendeteksi aktivitas berbahaya pada bulan Desember oleh geng malware, yang dikenal sebagai sLoad.

Namun pada awal bulan ini perusahaan mengungkapkan bahwa sLoad malware telah kembali dengan versi 2.0, yang disebut Starslord. Meskipun versi baru tidak menunjukkan perubahan besar-besaran, kecepatan peluncuran versi malware baru menunjukkan seberapa cepat geng tersebut beroperasi.

Malware sLoad ini telah ada selama bertahun-tahun. Ini adalah apa yang seseorang sebut sebagai “malware downloader” atau “malware dropper” yang memiliki empat tujuan utama untuk dipenuhi yaitu:

  • Menginfeksi sistem Windows,
  • Mengumpulkan informasi tentang sistem yang terinfeksi
  • Mengirim semua informasi ke server perintah dan kontrol (C&C)
  • Menunggu instruksi untuk mengunduh dan memasang muatan malware kedua

Microsoft mengatakan bahwa sLoad adalah salah satu dari sedikit malware downloader yang ada karena tingkat kecanggihan yang tidak diperlukan dan penggunaan teknik yang tidak standar.

Setelah sebelumnya tertangkap oleh Microsoft, geng sLoad mengubah kode mereka dan mengubah beberapa hal, mengeluarkan versi baru 2.0 tahun ini.

SLoad v2.0 masih berfungsi sebagai malware downloader untuk kelompok kriminal lainnya, kata Microsoft. Tapi ada satu hal yang telah diubah oleh aktor ancaman. Sekarang alih-alih menggunakan skrip VB selama proses infeksi, versi baru menggunakan skrip WSF.

Sumber: IBTimes

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

by

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

Singapura memperketat pedoman pertahanan siber untuk sektor jasa keuangan

by

Singapura telah merevisi pedoman saat ini tentang manajemen risiko teknologi untuk lembaga keuangan untuk memasukkan, antara lain, “pengawasan yang kuat” atas kemitraan mereka dengan penyedia layanan pihak ketiga untuk memastikan kerahasiaan data.

Dirinci di bawah Pedoman Manajemen Risiko Teknologi, revisi dilakukan untuk mengimbangi teknologi yang muncul dan pergeseran dalam lanskap ancaman saat ini, kata Otoritas Moneter Singapura (MAS) dalam sebuah pernyataan.

Penggunaan penyedia layanan pihak ketiga, misalnya, kemungkinan besar akan disediakan menggunakan TI dan mungkin melibatkan data rahasia pelanggan yang disimpan oleh penyedia layanan. Kegagalan sistem apa pun pada pelanggaran keamanan dari pihak penyedia ini dapat berdampak buruk bagi pelanggan dan operasi lembaga keuangan.

Pedoman tersebut menyoroti kebutuhan untuk menilai dan mengelola eksposur perusahaan terhadap risiko teknologi yang mungkin memengaruhi kerahasiaan dan ketersediaan sistem dan data TI di penyedia layanan pihak ketiga, sebelum perjanjian kontrak atau kemitraan dibuat.

Selain itu, lembaga keuangan harus menetapkan proses untuk memungkinkan “analisis dan pembagian tepat waktu” intelijen ancaman siber di dalam sektor tersebut dan melakukan latihan untuk menguji pertahanan siber mereka, melalui simulasi taktik dan prosedur serangan dunia nyata.

Sumber: ZDNet

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Microsoft: Bagaimana ‘zero trust’ dapat melindungi dari serangan peretasan yang canggih

by

Berbagai teknik yang digunakan oleh peretas SolarWinds sangat canggih namun dalam banyak hal juga biasa dan dapat dicegah, menurut Microsoft.

Untuk mencegah serangan di masa mendatang dengan tingkat kecanggihan yang serupa, Microsoft merekomendasikan organisasi untuk mengadopsi “mentalitas zero trust”, yang menyangkal asumsi bahwa segala sesuatu di dalam jaringan TI aman. Artinya, organisasi harus menganggap pelanggaran dan secara eksplisit memverifikasi keamanan akun pengguna, perangkat endpoint, jaringan, dan sumber daya lainnya.

Seperti yang dicatat oleh direktur keamanan identitas Microsoft, Alex Weinert dalam sebuah posting blog, tiga vektor serangan utama adalah akun pengguna yang disusupi, akun vendor yang disusupi, dan perangkat lunak vendor yang disusupi.

Ribuan perusahaan terkena dampak pelanggaran SolarWinds yang diungkapkan pada pertengahan Desember. Vendor keamanan AS Malwarebytes kemarin mengatakan bahwa mereka juga dilanggar oleh peretas yang sama tetapi tidak melalui pembaruan Orion yang tercemar.

Menurut Weinert, para penyerang mengeksploitasi celah dalam “verifikasi eksplisit” di setiap vektor serangan utama.

“Saat akun pengguna disusupi, teknik yang dikenal seperti password spray, phishing, atau malware digunakan untuk membobol kredensial pengguna dan memberi penyerang akses kritis ke jaringan pelanggan,” tulis Weinert.

Dalam kasus di mana aktor berhasil, Weinert mencatat bahwa akun vendor dengan hak istimewa tidak memiliki perlindungan tambahan seperti otentikasi multi-faktor (MFA), pembatasan rentang IP, kepatuhan perangkat, atau tinjauan akses.

MFA adalah kontrol penting, karena akun dengan hak istimewa tinggi yang disusupi dapat digunakan untuk memalsukan token SAML guna mengakses sumber daya cloud.

“Prinsip pertama Zero Trust adalah memverifikasi secara eksplisit – pastikan Anda memperluas verifikasi ini ke semua permintaan akses, bahkan dari vendor dan terutama yang berasal dari lingkungan lokal.”

Sumber: ZDNet

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

by

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Peretas memposting 1,9 juta catatan pengguna Pixlr secara gratis di forum

by

Seorang peretas telah membocorkan 1,9 juta catatan pengguna Pixlr yang berisi informasi yang dapat digunakan untuk melakukan serangan phishing dan credential stuffing yang ditargetkan.

Pixlr adalah aplikasi pengeditan foto online yang sangat populer dan gratis dengan banyak fitur yang sama yang ditemukan di editor foto desktop profesional seperti Photoshop.

Selama akhir pekan, aktor ancaman yang dikenal sebagai ShinyHunters membagikan database secara gratis di forum peretas yang dia klaim telah dicuri dari Pixlr saat dia membobol situs stock foto 123rf. Pixlr dan 123rf dimiliki oleh perusahaan yang sama, Inmagine.

Database Pixlr yang diduga diposting oleh ShinyHunters berisi 1.921.141 catatan pengguna yang terdiri dari alamat email, nama login, sandi dengan hash SHA-512, negara pengguna, apakah mereka mendaftar untuk buletin, dan informasi internal lainnya.

Sumber: BleepingComputer

ShinyHunters menyatakan dia mengunduh database dari AWS bucket perusahaan pada akhir tahun 2020.

Setelah berbagi database, banyak pelaku ancaman lain yang sering mengunjungi forum peretas berbagi apresiasi mereka karena penyerang dapat menggunakan data tersebut untuk aktivitas jahat mereka.

Karena beberapa data yang terpapar dipastikan akurat, tampaknya itu adalah benar sebuah pelanggaran.

Sangat disarankan agar semua pengguna Pixlr segera mengubah kata sandi mereka di situs. Pengguna harus menggunakan kata sandi yang unik dan kuat yang tidak digunakan di situs lain.

Sumber: Bleeping Computer