Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas Rusia menyembunyikan malware Zebrocy dalam virtual disk images

by

Peretas berbahasa Rusia di balik malware Zebrocy telah mengubah teknik mereka untuk mengirimkan malware ke korban profil tinggi dan mulai mengemas ancaman di Virtual Hard Drive (VHD) untuk menghindari deteksi.

Teknik ini terlihat dalam kampanye spear-phishing baru-baru ini dari kelompok ancaman APT28 (Fancy Bear, Sofacy, Strontium, Sednit) untuk menginfeksi sistem target dengan varian toolset Zebrocy.

Zebrocy hadir dalam banyak bahasa pemrograman (AutoIT, C ++, C #, Delphi, Go, VB.NET). Untuk kampanye baru-baru ini, pelaku ancaman memilih versi berbasis Golang daripada versi Delphi yang lebih umum.

Windows 10 mendukung file VHD secara native dan dapat memasangnya sebagai drive eksternal untuk memungkinkan pengguna melihat file di dalamnya. Tahun lalu, peneliti keamanan menemukan bahwa antivirus tidak memeriksa konten VHD sampai disk images dipasang.

Para peneliti di Intezer pada akhir November menemukan sebuah VHD yang diunggah ke platform pemindaian Virus Total. Di dalam images itu ada file PDF dan file yang dapat dieksekusi yang menyamar sebagai dokumen Microsoft Word, yaitu malware Zebrocy.

PDF tersebut adalah presentasi tentang Sinopharm International Corporation, sebuah perusahaan farmasi China yang saat ini sedang dalam uji coba fase ketiga untuk vaksin COVID-19.

Varian Zebrocy dalam file VHD adalah yang baru yang memiliki deteksi rendah pada Virus Total. Pada 30 November, hanya sembilan dari 70 mesin yang mendeteksi ini sebagai malware.

Dalam laporannya, Intezer memberikan indicators of compromise (IoC) untuk server perintah dan kontrol, file VHD, dan sampel malware Zebrocy yang digunakan dalam kampanye phishing baru-baru ini.

Sumber: Bleeping Computer

Adobe memperbaiki kerentanan keamanan kritis di Lightroom, Prelude

by

Adobe telah merilis pembaruan keamanan untuk mengatasi bug keamanan tingkat keparahan kritis yang memengaruhi Adobe Lightroom dan Adobe Prelude versi Windows dan macOS.

Secara total, perusahaan mengatasi empat kerentanan keamanan yang memengaruhi tiga produk, tiga di antaranya dinilai kritis dan satu sebagai bug tingkat keparahan penting dalam Adobe Experience Manager (AEM) dan add-on package Formulir AEM.

Bug ini dapat memungkinkan penyerang mengeksekusi kode arbitrary pada perangkat yang rentan, serta mendapatkan akses ke informasi sensitif dan mengeksekusi kode JavaScript apapun di browser.

Adobe menyarankan pelanggan yang menggunakan produk yang rentan untuk memperbarui ke versi terbaru sesegera mungkin untuk memblokir serangan yang dapat mengakibatkan eksploitasi yang berhasil pada instalasi yang belum ditambal.

Tergantung pada pilihan mereka, pengguna dapat memperbarui produk mereka menggunakan salah satu langkah berikut:

  • Dengan masuk ke Help > Check for Updates.
  • Update Installer lengkap dapat diunduh dari Download Center Adobe.
  • Biarkan produk diperbarui secara otomatis, tanpa memerlukan campur tangan pengguna, saat pembaruan terdeteksi.

Sumber: Bleeping Computer

Malware Qbot beralih ke metode autostart Windows baru yang tersembunyi

by

Versi malware Qbot baru sekarang mengaktifkan mekanisme persistensi tepat sebelum perangkat Windows yang terinfeksi dimatikan dan secara otomatis menghapus jejak apa pun saat sistem dimulai ulang atau setelah sleep.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows dengan fitur worm yang aktif setidaknya sejak 2009 dan digunakan untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan.

Malware ini juga telah digunakan untuk mencatat penekanan tombol pengguna, untuk membuka backdoor pada komputer yang disusupi, dan untuk menyebarkan Cobalt Strike yang digunakan oleh operator ransomware untuk mengirimkan muatan ransomware ProLock dan Egregor.

Dimulai pada 24 November, ketika peneliti keamanan Binary Defense James Quinn mengatakan bahwa versi Qbot baru terlihat, malware tersebut menggunakan mekanisme persistensi yang lebih baru dan tersembunyi yang memanfaatkan sistem shutdown dan melanjutkan pesan untuk mengubah persistensi pada perangkat yang terinfeksi.

Qbot Window message listener (Sumber: Binary Defense)

Trojan akan menambahkan registry Run key pada sistem yang terinfeksi yang memungkinkannya untuk memulai secara otomatis saat system login dan akan mencoba untuk segera menghapusnya setelah pengguna menyalakan sistem untuk menghindari deteksi oleh solusi anti-malware atau peneliti keamanan.

Meskipun metode untuk mendapatkan persistensi ini baru untuk Qbot, malware lain telah menggunakan teknik serupa untuk menghindari deteksi di masa lalu, termasuk trojan perbankan Gozi dan Dridex.

Sumber: Bleeping Computer

Peretas menyembunyikan web skimmer di dalam file CSS situs web

by

Selama dua tahun terakhir, kelompok kejahatan siber telah menggunakan berbagai macam trik untuk menyembunyikan kode pencurian kartu kredit (juga dikenal sebagai web skimmer atau skrip Magecart) di dalam berbagai lokasi toko online untuk tujuan menghindari deteksi.

Tempat-tempat di mana web skimmer telah ditemukan sebelumnya termasuk gambar seperti yang digunakan untuk logo situs, favicon, dan jaringan media sosial; ditambahkan ke library JavaScript populer seperti jQuery, Modernizr, dan Google Tag Manager; atau tersembunyi di dalam widget situs seperti jendela obrolan langsung.

Yang terbaru dimana web skimmer ditemukan adalah, percaya atau tidak, file CSS.

Cascading style sheets (CSS), digunakan di dalam browser untuk memuat aturan untuk menata elemen halaman web dengan bantuan bahasa CSS. File ini biasanya berisi kode yang menjelaskan warna berbagai elemen halaman, ukuran teks, padding di antara berbagai elemen, pengaturan font, dan banyak lagi.

Salah satu tambahan fitur terbaru pada bahasa CSS adalah fitur yang memungkinkannya memuat dan menjalankan kode JavaScript dari dalam aturan CSS.

Willem de Groot, pendiri firma keamanan Belanda Sanguine Security (SanSec), mengatakan kepada ZDNet bahwa fitur CSS ini sekarang sedang disalahgunakan oleh geng web skimmer.

De Groot mengatakan bahwa setidaknya satu grup menggunakan kode berbahaya yang ditambahkan di dalam file CSS untuk memuat skimmer di toko online yang merekam data kartu pembayaran saat pengguna mengisi formulir pembayaran.

Dilansir ZDNet, cara paling sederhana pembeli dapat melindungi diri mereka sendiri dari serangan web skimmer adalah dengan menggunakan kartu virtual yang dirancang untuk pembayaran satu kali.

Sumber: ZDNet

Peneliti Menemukan Cacat Keamanan Berbahaya dalam Kode yang Digunakan di Jutaan Perangkat

by

Para peneliti di firma keamanan siber Forescout menerbitkan whitepaper baru pada hari Selasa yang merinci bagaimana 33 kelemahan keamanan yang dimasukkan ke dalam beberapa library kode yang banyak digunakan dapat memiliki konsekuensi bencana bagi jutaan perangkat yang terhubung ke internet, dari smart home dan teknologi industri, hingga perangkat di rumah sakit, pengecer, dan gedung federal.

Masalahnya di sini terletak pada empat bundel kode sumber terbuka yang terpisah: uIP, FNET, picoTCP, dan Nut/Net. Menambahkan salah satu library ini ke perangkat memungkinkannya untuk terhubung ke protokol komunikasi tertentu dan berkomunikasi dengan mesin lain.

Dan karena gratis untuk digunakan dan sepenuhnya open source, library ini menjadi sangat populer selama bertahun-tahun, yang merupakan keuntungan bagi pengembang yang ingin mengeluarkan perangkat ini dengan cepat dan murah. Ini juga berarti ketika jenis kerentanan ini terungkap (seperti yang terjadi di masa lalu), dampaknya jauh lebih dramatis.

“Amnesia: 33″ —sebagaimana tim secara kolektif menyebut kelompok kerentanan ini — belum dieksploitasi di alam liar sejauh yang mereka ketahui.

Meskipun demikian, penyerang yang cukup bertekad dengan jalur komunikasi yang jelas ke perangkat yang rentan dapat mengeksploitasi satu atau beberapa masalah ini dengan serangan denial-of-service, atau memaksa perangkat untuk membocorkan data internal yang berpotensi sensitif. Empat dari kelemahan keamanan yang lebih “kritis” membuka perangkat hingga eksekusi kode jarak jauh.

Sumber: Gizmodo

Patch Tuesday Microsoft Desember 2020 memperbaiki 58 kerentanan

by

Microsoft telah menerbitkan 58 perbaikan keamanan di lebih dari 10 produk dan layanan nya, sebagai bagian dari pembaruan keamanan bulanan perusahaan, yang dikenal sebagai Patch Tuesday.

Ada sejumlah kecil perbaikan pada bulan Desember ini dibandingkan dengan 100 lebih perbaikan reguler yang dikirimkan Microsoft setiap bulan, tetapi ini tidak berarti keparahan bugnya kurang dari yang lalu.

Lebih dari sepertiga patch bulan ini (22) diklasifikasikan sebagai kerentanan eksekusi kode jarak jauh (RCE). Ini adalah bug keamanan yang perlu segera diatasi karena lebih mudah dieksploitasi, tanpa interaksi pengguna, baik melalui internet atau dari seluruh jaringan lokal.

Bulan ini, RCE berada dalam produk Microsoft seperti Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio, dan Hyper-V.

Nilai tertinggi dari bug ini, dan yang paling mungkin dieksploitasi, adalah bug RCE yang memengaruhi Server Exchange (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132, dan CVE-2020-17142) dan SharePoint (CVE-2020-17118 dan CVE-2020-17121).

TI Admin dan pengguna Windows disarankan untuk menerapkan pembaruan sesegera mungkin.

Sumber: ZDNet

FireEye mengungkapkan adanya pelanggaran keamanan pada perusahannya

by

FireEye, salah satu perusahaan keamanan terbesar dunia, mengatakan telah diretas dan bahwa “aktor ancaman yang sangat canggih” mengakses jaringan internal dan mencuri alat peretasan yang digunakan FireEye untuk menguji jaringan pelanggannya.

Dalam siaran persnya hari ini, CEO FireEye Kevin Mandia mengatakan pelaku ancaman juga mencari informasi terkait beberapa pelanggan pemerintah perusahaan.

Mandia menggambarkan penyerang sebagai “aktor ancaman yang sangat canggih, yang disiplin, terlatih dalam keamanan operasional, dan tekniknya membuat kami percaya bahwa itu adalah serangan yang disponsori negara.”

“Serangan ini berbeda dari puluhan ribu insiden yang kami tanggapi selama bertahun-tahun,” tambahnya.

FireEye mengatakan penilaiannya telah dikonfirmasi oleh Microsoft, yang dibawa oleh perusahaan untuk membantu menyelidiki pelanggaran tersebut.

Biro Investigasi Federal juga diberi tahu dan saat ini membantu perusahaan FireEye.

Karena FireEye yakin para penyerang mendapatkan alat pengujian penetrasi khusus, perusahaan sekarang membagikan indikator kompromi (IOC) dan countermeasues di akun GitHub-nya. Data dari GitHub akan membantu perusahaan lain mendeteksi jika peretas menggunakan alat curian dari FireEye untuk membobol jaringan mereka.

Sumber: ZDNet

Kerentanan RCE Wormable Zero-Click di Microsoft Teams

by

Bug zero-click remote code execution (RCE) di aplikasi desktop Microsoft Teams dapat memungkinkan seseorang untuk mengeksekusi kode arbitrary hanya dengan mengirim pesan obrolan yang dibuat khusus dan membahayakan sistem target.

Masalah ini dilaporkan ke pembuat Windows oleh Oskars Vegeris, seorang security engineer dari Evolution Gaming, pada 31 Agustus 2020, sebelum ditangani pada akhir Oktober.

“Tidak ada interaksi pengguna yang diperlukan, exploit dijalankan setelah melihat pesan chat,” Vegeris menjelaskan dalam laporan nya.

Hasilnya adalah “hilangnya kerahasiaan dan integritas total bagi pengguna akhir – akses ke obrolan pribadi, file, jaringan internal, kunci pribadi, dan data pribadi di luar MS Teams,” tambah peneliti.

Kabar buruknya lagi, RCE bersifat lintas platform – memengaruhi Microsoft Teams untuk Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764), dan web (teams.microsoft.com) – dan dapat dibuat worm-able, yang berarti dapat disebarkan dengan secara otomatis mengirim ulang muatan berbahaya ke saluran lain.

Sumber: The Hacker News

Ini bukan pertama kalinya kekurangan RCE diamati di Teams dan aplikasi perpesanan yang berfokus pada perusahaan.

Yang paling utama di antaranya adalah kerentanan RCE terpisah di Microsoft Teams (CVE-2020-17091) yang ditambal oleh perusahaan sebagai bagian dari Patch November 2020 pada Selasa bulan lalu.

Sumber: The Hacker News