Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Formulir kontak situs web perusahaan digunakan untuk menyebarkan malware BazarBackdoor

by

Malware BazarBackdoor yang tersembunyi sekarang menyebar melalui formulir kontak situs web daripada email phishing biasa untuk menghindari deteksi oleh perangkat lunak keamanan.

BazarBackdoor adalah malware backdoor tersembunyi yang dibuat oleh grup TrickBot dan sekarang sedang dikembangkan oleh operasi ransomware Conti. Malware ini memberikan akses jarak jauh kepada pelaku ancaman ke perangkat internal yang dapat digunakan sebagai landasan peluncuran untuk pergerakan lateral lebih lanjut dalam jaringan.

Malware BazarBackdoor biasanya menyebar melalui email phishing yang menyertakan dokumen berbahaya yang mengunduh dan menginstal malware.

Namun, karena secure email gateways menjadi lebih baik dalam mendeteksi malware droppers ini, distributor beralih ke cara baru untuk menyebarkan malware.

Dalam laporan baru oleh Abnormal Security, analis menjelaskan bahwa kampanye distribusi baru yang dimulai pada Desember 2021 menargetkan korban perusahaan dengan BazarBackdoor, dengan kemungkinan tujuan menyebarkan Cobalt Strike atau muatan ransomware.

Alih-alih mengirim email phishing ke target, pelaku ancaman pertama-tama menggunakan formulir kontak perusahaan untuk memulai komunikasi.

Misalnya, dalam salah satu kasus yang dilihat oleh analis Abnormal, pelaku ancaman menyamar sebagai karyawan di perusahaan konstruksi Kanada yang mengajukan permintaan penawaran penawaran produk melalui formulis kontak yang ada di website perusahaan.

Setelah karyawan menanggapi email phishing, penyerang mengirim kembali file ISO berbahaya yang dianggap relevan dengan negosiasi.

Karena mengirim file ini secara langsung tidak mungkin atau akan memicu peringatan keamanan, pelaku ancaman menggunakan layanan berbagi file seperti TransferNow dan WeTransfer.

Lampiran arsip ISO berisi file .lnk dan file .log. Idenya di sini adalah untuk menghindari deteksi AV dengan mengemas muatan dalam arsip dan meminta pengguna mengekstraknya secara manual setelah mengunduh.

File .lnk berisi instruksi perintah yang membuka jendela terminal menggunakan binari Windows yang ada dan memuat file .log, yang pada kenyataannya adalah DLL BazarBackdoor.

Selengkapnya: Bleeping Computer

Malware yang menyamar sebagai alat keamanan menargetkan Tentara TI Ukraina

by

Kampanye malware baru memanfaatkan kesediaan orang untuk mendukung perang cyber Ukraina melawan Rusia untuk menginfeksi mereka dengan Trojan pencuri kata sandi.

Bulan lalu, pemerintah Ukraina mengumumkan Angkatan Darat TI baru yang terdiri dari sukarelawan di seluruh dunia yang melakukan serangan siber dan serangan DDoS terhadap entitas Rusia.

Inisiatif ini telah menghasilkan curahan dukungan oleh banyak orang di seluruh dunia yang telah membantu menargetkan organisasi dan situs Rusia, bahkan jika aktivitas itu dianggap ilegal.

Seperti biasa dengan distributor malware, pelaku ancaman mengambil keuntungan dari Angkatan Darat TI dengan mempromosikan alat DDoS palsu di Telegram yang memasang kata sandi dan trojan pencuri informasi.

Dalam sebuah laporan baru oleh Cisco Talos, para peneliti memperingatkan bahwa pelaku ancaman meniru alat DDoS yang disebut “Liberator”, yang merupakan website bomber untuk digunakan melawan outlet propaganda Rusia.

Sementara versi yang diunduh dari situs sebenarnya “bersih”, dan kemungkinan ilegal untuk digunakan, yang beredar di Telegram ternyata menyembunyikan muatan malware, dan tidak ada cara untuk membedakannya sebelum menjalankannya karena keduanya tidak ditandatangani secara digital.

Malware yang dijatuhkan pada sistem korban melakukan pemeriksaan anti-debug sebelum dijalankan dan kemudian mengikuti langkah injeksi proses untuk memuat pencuri informasi Phoenix ke dalam memori.

Pencuri info tersebut dapat mengumpulkan data dari browser web, alat VPN, Discord, lokasi sistem file, dan dompet cryptocurrency, dan mengirimkannya ke alamat jarak jauh, dalam kasus ini, IP Rusia.

Peneliti Talos menemukan bahwa IP khusus ini telah mendistribusikan Phoenix sejak November 2021. Oleh karena itu, perubahan tema baru-baru ini menunjukkan bahwa kampanye ini hanyalah upaya oportunistik untuk mengeksploitasi perang di Ukraina demi keuntungan finansial.

Selengkapnya: Bleeping Computer

Hampir 30% bug plugin WordPress kritis tidak mendapatkan tambalan

by

Patchstack, pemimpin dalam keamanan WordPress dan intelijen ancaman, telah merilis whitepaper untuk menyajikan keadaan keamanan WordPress pada tahun 2021, dan laporan tersebut memberikan gambaran yang mengerikan.

Lebih detailnya, 2021 telah melihat pertumbuhan 150% dalam kerentanan yang dilaporkan dibandingkan dengan tahun sebelumnya, sementara 29% dari kelemahan kritis dalam plugin WordPress tidak pernah menerima pembaruan keamanan.

Ini mengkhawatirkan mengingat WordPress adalah sistem manajemen konten paling populer di dunia, digunakan di 43,2% dari semua situs web di luar sana.

Dari semua kerentanan yang dilaporkan pada tahun 2021, hanya 0,58% yang ada di inti WordPress, dengan sisanya berada di tema dan plugin untuk platform, yang berasal dari berbagai sumber dan pengembang yang berbeda.

Khususnya, 91,38% dari kekurangan ini ditemukan di plugin gratis, sedangkan add-on WordPress berbayar/premium hanya menyumbang 8,62% dari total, mencerminkan prosedur pemeriksaan dan pengujian kode yang lebih baik.

PatchStack juga melaporkan bahwa cross-site scripting (XSS) menduduki puncak daftar dengan jenis kelemahan WordPress yang paling banyak dilaporkan pada tahun 2021, diikuti oleh “campuran”, cross-site request forgery, SQL injection, dan unggahan file yang sewenang-wenang.

Sekitar 42% situs WordPress memiliki setidaknya satu komponen rentan pada tahun 2021, dari rata-rata 18 yang diinstal. Meskipun jumlah ini lebih rendah dari 23 plugin yang dipasang di situs pada tahun 2020, masalahnya tetap ada karena enam dari 18 plugin sudah usang.

Selengkapnya: Bleeping Computer

Intel, AMD, Arm memperingatkan bug CPU eksekusi spekulatif baru

by

Peneliti keamanan telah menemukan cara baru untuk melewati pertahanan berbasis perangkat keras yang ada untuk eksekusi spekulatif dalam prosesor komputer modern dari Intel, AMD, dan Arm.

Ketiga produsen CPU tersebut telah menerbitkan saran yang disertai dengan pembaruan mitigasi dan rekomendasi keamanan untuk mengatasi masalah yang baru ditemukan yang memungkinkan bocornya informasi sensitif meskipun ada perlindungan berbasis isolasi.

Teknik eksekusi spekulatif dirancang untuk mengoptimalkan kinerja CPU dengan menjalankan beberapa tugas terlebih dahulu (branch prediction) sehingga informasi tersedia saat diperlukan.

Pada tahun 2018, para peneliti menemukan cara untuk membocorkan informasi yang berasal dari perhitungan proaktif ini, dengan menyebutkan kerentanan terkait Meltdown and Spectre.

Sejak itu, vendor telah merilis mitigasi berbasis perangkat lunak seperti “Retpoline” yang mengisolasi cabang tidak langsung dari eksekusi spekulatif. Pembuat chip juga telah mengatasi masalah dengan perbaikan perangkat keras seperti eIBRS dari Intel dan CSV2 dari Arm.

Para peneliti di VUSec merinci dalam laporan teknis hari ini tentang metode baru untuk melewati semua mitigasi yang ada dengan memanfaatkan apa yang mereka sebut sebagai Branch History Injection (BHI).

Makalah ini menggarisbawahi bahwa sementara mitigasi perangkat keras masih mencegah penyerang yang tidak memiliki hak untuk menyuntikkan entri prediktor untuk kernel, mengandalkan sejarah global untuk memilih target menciptakan metode serangan yang sebelumnya tidak diketahui.

Intel menanggapi temuan ini dengan menetapkan dua kerentanan tingkat menengah, CVE-2022-0001 dan CVE-2022-0002, dan merekomendasikan pengguna untuk menonaktifkan akses ke runtime terkelola dalam mode istimewa.

Untuk daftar lengkap rekomendasi mitigasi, lihat halaman khusus ini, sementara daftar semua model prosesor yang terpengaruh tersedia di sini.

Arm juga telah menerbitkan buletin keamanan tentang masalah ini, karena serangan history poisoning baru memengaruhi beberapa produk Cortex-A dan Neoverse-nya.

Selengkapnya: Bleeping Computer

Situs pemerintah Rusia diretas dalam serangan rantai pasokan

by

Rusia mengatakan beberapa situs web agen federalnya telah disusupi dalam serangan rantai pasokan pada hari Selasa setelah penyerang tak dikenal meretas widget statistik yang digunakan untuk melacak jumlah pengunjung oleh beberapa lembaga pemerintah.

Daftar situs yang terkena dampak serangan termasuk situs Kementerian Energi, Layanan Statistik Negara Federal, Layanan Lembaga Pemasyarakatan Federal, Layanan Jurusita Federal, Layanan Antimonopoli Federal, Kementerian Kebudayaan, dan lembaga negara Rusia lainnya.

Insiden itu ditemukan Selasa malam setelah penyerang menerbitkan konten mereka sendiri dan memblokir akses ke situs web.

“Sulit untuk mengkompromikan situs web ini secara langsung, sehingga peretas menyerang sumber daya melalui layanan eksternal dan dengan demikian mendapatkan akses untuk menunjukkan konten yang salah,” layanan pers Kementerian Pembangunan Ekonomi Rusia mengatakan kepada Interfax.

Kementerian Pengembangan Digital Rusia mengklaim situs web badan-badan negara itu dikembalikan dalam waktu satu jam setelah pelanggaran.

Kejadian ini terjadi setelah pemerintah Rusia membagikan daftar lebih dari 17.000 alamat IP yang diduga digunakan dalam serangan DDoS terhadap jaringan Rusia.

Pusat Koordinasi Nasional untuk Insiden Komputer (NKTsKI) dari Layanan Keamanan Federal memperingatkan organisasi Rusia untuk mengambil langkah-langkah untuk melawan ancaman terhadap keamanan informasi mereka dan berbagi panduan untuk mempertahankan diri dari serangan semacam itu.

Peringatan ini muncul setelah Wakil Perdana Menteri Ukraina Mykhailo Fedorov mengumumkan pembentukan “tentara TI” untuk mendukung “pertarungan di front cyber” negara itu.

Selengkapnya: Bleeping Computer

Emotet Tumbuh Perlahan Tapi Pasti Sejak Kebangkitannya Di Bulan November

by

Botnet Emotet yang terkenal masih terus didistribusikan di alam liar, dan sekarang telah menginfeksi 130.000 sistem di 179 negara.

Aktivitas emotet berhenti pada 2019 saat versi utama keduanya beredar, dan malware baru kembali pada November 2021, dengan bantuan Trickbot.

Analis ancaman di lab Black Lotus telah memutuskan untuk mendalami “Epoch 3” Emotet untuk mengidentifikasi fitur baru dan memetakan pola distribusinya saat ini.

Seperti yang Anda bisa lihat di bawah, botnet Emotet mulai perlahan-lahan membuat ulang dirinya sendiri pada bulan November, melihat distribusi yang jauh lebih besar melalui kampanye phishing yang dimulai pada Januari 2022.

Sumber: Black Lotus

Kampanye Emotet baru juga menyertakan fitur seperti skema kriptografi kurva eliptik (ECC) baru yang menggantikan enkripsi RSA yang digunakan untuk perlindungan dan validasi lalu lintas jaringan.

Selain itu, pembuat malware kini telah menambahkan lebih banyak kemampuan pengumpulan info untuk profil sistem yang lebih baik, sedangkan sebelumnya, Emotet hanya akan mengirim kembali daftar proses yang berjalan.

Black Lotus melaporkan bahwa saat ini ada 200 C2 unik yang mendukung kebangkitan Emotet, dengan jumlah yang tumbuh perlahan tapi pasti. Jumlah hari aktivitas rata-rata untuk C2 saat ini adalah 29.

Sumber: Black Lotus

Seperti sebelumnya, sebagian besar infrastruktur C2 Emotet terletak di Amerika Serikat dan Jerman, diikuti oleh Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.

Sumber: Black Lotus

Dalam hal distribusi bot, fokusnya adalah di Jepang, India, Indonesia, Thailand, Afrika Selatan, Meksiko, Amerika Serikat, China, Brasil, dan Italia.

Sumber: Black Lotus

Analis ancaman percaya bahwa alasan untuk tiga negara pertama yang menempati urutan teratas daftar ini adalah jumlah mesin Windows yang ketinggalan jaman dan dengan demikian rentan di wilayah tersebut.

Salinan Windows bajakan yang dengan sengaja memutuskan konektivitasnya ke server pembaruan Microsoft tetap rentan terhadap serangan malware seperti milik Emotet.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Android Maret 2022 memperbaiki tiga bug kritis

by

Google telah merilis pembaruan keamanan Maret 2022 untuk Android 10, 11, dan 12, mengatasi tiga kelemahan tingkat keparahan kritis, salah satunya memengaruhi semua perangkat yang menjalankan OS seluler versi terbaru.

Dilacak sebagai CVE-2021-39708, kelemahannya terletak pada komponen Sistem Android, dan ini merupakan eskalasi masalah hak istimewa yang tidak memerlukan interaksi pengguna atau hak eksekusi tambahan.

Dua kelemahan kritis lainnya adalah CVE-2021-1942 dan CVE-2021-35110, keduanya memengaruhi komponen sumber tertutup pada perangkat berbasis Qualcomm.

Tidak ada detail teknis lebih lanjut yang telah dipublikasikan untuk kerentanan yang telah diperbaiki, karena hal itu akan membahayakan pengguna yang menjalankan level patch yang lebih lama.

Seperti halnya setiap bulan, Google telah merilis dua level patch untuk Maret 2022, satu ditulis sebagai “2022-03-01” dan satu sebagai “2022-03-05”.

Tingkat tambalan kedua mencakup semua yang ada di set pertama ditambah perbaikan untuk komponen sumber tertutup dan Kernel pihak ketiga yang mungkin tidak berlaku untuk semua perangkat.

Dengan satu-satunya pengecualian adalah lini Pixel Google yang akan segera menerima pembaruan keamanan ini, semua vendor lain akan memerlukan waktu untuk menggabungkan tambalan untuk masing-masing model mereka, karena konfigurasi perangkat keras yang berbeda memerlukan pengujian dan penyesuaian khusus.

Jika Anda menjalankan OS yang lebih lama dari Android 10, pertimbangkan untuk memutakhirkan ke perangkat baru yang didukung secara aktif atau mem-flash perangkat Anda yang sudah ada dengan ROM Android pihak ketiga yang didasarkan pada versi AOSP terbaru.

Selengkapnya: Bleeping Computer

Pembaruan Windows 11 KB5011493 Dirilis Dengan Perbaikan Bug Dan Peningkatan

by

Microsoft telah meluncurkan pembaruan kumulatif Windows 11 KB5011493 dengan pembaruan keamanan, peningkatan kualitas, dan perbaikan untuk OneDrive yang tidak menghapus file.

KB5011493 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Maret 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan hari ini dengan membuka Start > Settings > Windows Update dan mengeklik ‘Check for Updates’.

Beberapa perbaikan yang disorot dalam pembaruan Windows 11 KB5011493 adalah:

  • Anda sekarang dapat berbagi cookie antara mode Microsoft Edge dan Microsoft Edge Internet Explorer, memberikan integrasi yang lebih mulus.
  • Jam dan tanggal Windows 11 sekarang akan ditampilkan di taskbar untuk monitor lain yang terhubung ke perangkat Anda.
  • Microsoft memperbaiki masalah yang menampilkan teks bahasa kanan-ke-kiri (RTL), seperti Ibrani, sebagai rata kiri pada menu perintah File Explorer dan menu konteks.
  • Microsoft memperbaiki masalah yang menyebabkan daftar zona waktu kosong untuk non-administrator.
  • Microsoft memperbaiki tooltip yang salah saat mengarahkan kursor ke ikon lain seperti baterai, volume, atau Wi-Fi.
  • Microsoft menambahkan titik masuk baru untuk aplikasi Widget untuk menampilkan konten cuaca langsung di sisi kiri taskbar saat Anda mengarahkan kursor ke atasnya. Microsoft memulai dengan Weather tetapi mungkin akan meluas ke konten lain di masa mendatang.

Microsoft juga menyatakan bahwa mereka memperbaiki bug Microsoft OneDrive yang tidak menghapus file dengan benar saat mengatur ulang perangkat Windows.

Selengkapnya: Bleeping Computer