Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Microsoft: Bagaimana ‘zero trust’ dapat melindungi dari serangan peretasan yang canggih

by

Berbagai teknik yang digunakan oleh peretas SolarWinds sangat canggih namun dalam banyak hal juga biasa dan dapat dicegah, menurut Microsoft.

Untuk mencegah serangan di masa mendatang dengan tingkat kecanggihan yang serupa, Microsoft merekomendasikan organisasi untuk mengadopsi “mentalitas zero trust”, yang menyangkal asumsi bahwa segala sesuatu di dalam jaringan TI aman. Artinya, organisasi harus menganggap pelanggaran dan secara eksplisit memverifikasi keamanan akun pengguna, perangkat endpoint, jaringan, dan sumber daya lainnya.

Seperti yang dicatat oleh direktur keamanan identitas Microsoft, Alex Weinert dalam sebuah posting blog, tiga vektor serangan utama adalah akun pengguna yang disusupi, akun vendor yang disusupi, dan perangkat lunak vendor yang disusupi.

Ribuan perusahaan terkena dampak pelanggaran SolarWinds yang diungkapkan pada pertengahan Desember. Vendor keamanan AS Malwarebytes kemarin mengatakan bahwa mereka juga dilanggar oleh peretas yang sama tetapi tidak melalui pembaruan Orion yang tercemar.

Menurut Weinert, para penyerang mengeksploitasi celah dalam “verifikasi eksplisit” di setiap vektor serangan utama.

“Saat akun pengguna disusupi, teknik yang dikenal seperti password spray, phishing, atau malware digunakan untuk membobol kredensial pengguna dan memberi penyerang akses kritis ke jaringan pelanggan,” tulis Weinert.

Dalam kasus di mana aktor berhasil, Weinert mencatat bahwa akun vendor dengan hak istimewa tidak memiliki perlindungan tambahan seperti otentikasi multi-faktor (MFA), pembatasan rentang IP, kepatuhan perangkat, atau tinjauan akses.

MFA adalah kontrol penting, karena akun dengan hak istimewa tinggi yang disusupi dapat digunakan untuk memalsukan token SAML guna mengakses sumber daya cloud.

“Prinsip pertama Zero Trust adalah memverifikasi secara eksplisit – pastikan Anda memperluas verifikasi ini ke semua permintaan akses, bahkan dari vendor dan terutama yang berasal dari lingkungan lokal.”

Sumber: ZDNet

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

by

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Peretas memposting 1,9 juta catatan pengguna Pixlr secara gratis di forum

by

Seorang peretas telah membocorkan 1,9 juta catatan pengguna Pixlr yang berisi informasi yang dapat digunakan untuk melakukan serangan phishing dan credential stuffing yang ditargetkan.

Pixlr adalah aplikasi pengeditan foto online yang sangat populer dan gratis dengan banyak fitur yang sama yang ditemukan di editor foto desktop profesional seperti Photoshop.

Selama akhir pekan, aktor ancaman yang dikenal sebagai ShinyHunters membagikan database secara gratis di forum peretas yang dia klaim telah dicuri dari Pixlr saat dia membobol situs stock foto 123rf. Pixlr dan 123rf dimiliki oleh perusahaan yang sama, Inmagine.

Database Pixlr yang diduga diposting oleh ShinyHunters berisi 1.921.141 catatan pengguna yang terdiri dari alamat email, nama login, sandi dengan hash SHA-512, negara pengguna, apakah mereka mendaftar untuk buletin, dan informasi internal lainnya.

Sumber: BleepingComputer

ShinyHunters menyatakan dia mengunduh database dari AWS bucket perusahaan pada akhir tahun 2020.

Setelah berbagi database, banyak pelaku ancaman lain yang sering mengunjungi forum peretas berbagi apresiasi mereka karena penyerang dapat menggunakan data tersebut untuk aktivitas jahat mereka.

Karena beberapa data yang terpapar dipastikan akurat, tampaknya itu adalah benar sebuah pelanggaran.

Sangat disarankan agar semua pengguna Pixlr segera mengubah kata sandi mereka di situs. Pengguna harus menggunakan kata sandi yang unik dan kuat yang tidak digunakan di situs lain.

Sumber: Bleeping Computer

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

by

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

  • Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
  • Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
  • Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
  • Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
  • Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Google: Fitur perlindungan sandi baru ini akan hadir di Chrome

by

Setelah merilis Chrome 88 minggu ini, Google telah mengumumkan sejumlah fitur perlindungan kata sandi baru yang akan mulai diluncurkan ke Chrome 88 dalam beberapa minggu mendatang.

Chrome 88 menyertakan fitur baru untuk dengan cepat memeriksa kata sandi yang lemah atau disusupi dan memulihkan masalahnya. Setelah mengklik avatar profil, sekarang ada ikon kunci yang dapat diklik untuk mulai memeriksa kata sandi yang lemah.

Juga di Chrome 88, pengguna dapat mengelola dan mengedit semua kata sandi di Pengaturan Chrome di desktop dan iOS. Google berencana untuk segera menghadirkan fitur ini ke aplikasi Android Chrome.

Fitur ini dimaksudkan untuk mempermudah memperbarui kata sandi yang disimpan di tempat sentral, dibandingkan dengan hanya mengandalkan permintaan Chrome untuk memperbarui kata sandi tunggal saat masuk ke situs web.

Chrome 88, yang dirilis awal minggu ini, adalah versi pertama Chrome dalam beberapa tahun yang tidak menyertakan Adobe Flash Player dalam browsernya. Flash mencapai akhir masa pakainya pada akhir tahun 2020, jadi Mozilla, Google, Apple dan Microsoft juga telah menghilangkan dukungan untuk Flash di browser masing-masing.

Sumber: ZDNet

Grup peretas Cina mencuri detail penumpang maskapai penerbangan

by

Sebuah kelompok peretas Cina yang dicurigai telah menyerang industri penerbangan selama beberapa tahun terakhir dengan tujuan mendapatkan data penumpang untuk melacak pergerakan orang-orang yang mereka targetkan.

Gangguan ini telah dikaitkan dengan aktor ancaman yang telah dilacak oleh keamanan siber dengan nama Chimera.

Dalam laporan baru yang diterbitkan minggu lalu oleh NCC Group dan anak perusahaannya Fox-IT, kedua perusahaan tersebut mengatakan gangguan grup lebih luas dari yang diperkirakan, karena juga menargetkan industri penerbangan.

Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai wilayah geografis, dan bukan hanya Asia, kata NCC dan Fox-IT.

“Tujuannya adalah untuk menargetkan beberapa korban tampaknya untuk mendapatkan Passenger Name Records (PNR),” kata kedua perusahaan itu.

Laporan gabungan NCC dan Fox-IT juga menjelaskan modus operandi khas grup Chimera, yang biasanya dimulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik setelah pelanggaran data di perusahaan lain.

Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, kerangka kerja penetration-testing, yang mereka gunakan untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari IP dan detail penumpang.

Begitu mereka menemukan dan mengumpulkan data yang mereka kejar; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive, mengetahui bahwa lalu lintas ke layanan ini tidak akan diperiksa atau diblokir di dalam jaringan yang dibobol.

Sumber: ZDNet

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

by

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Sumber: BleepingComputer

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer