Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

by

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

by

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Malware Daxin Yang Memiliki Kaitan Dengan China Menargetkan Beberapa Pemerintah Dalam Serangan Spionase

by

Malware Daxin menargetkan jaringan pemerintah di seluruh dunia, menurut para peneliti, dengan tujuan spionase siber.

Tim Symantec Threat Hunter Broadcom menggambarkan backdoor, bernama Daxin, sebagai malware berteknologi canggih, yang memungkinkan penyerang melakukan berbagai komunikasi dan operasi pengumpulan informasi yang ditujukan untuk entitas di sektor telekomunikasi, transportasi, dan manufaktur yang memiliki kepentingan strategis bagi China.

Mereka menambahkan bahwa lingkup operasi spesifik Daxin termasuk membaca dan menulis file; memulai dan berinteraksi dengan proses di sistem yang terpengaruh; dan kemampuan gerakan lateral dan bersembunyi yang canggih.

“Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsi command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan aktor jarak jauh untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet,” CISA memperingatkan dalam peringatan yang dirilis hari Senin.

Dari sudut pandang teknis, Daxin mengambil bentuk driver kernel Windows, menurut analisis Symantec yang dirilis pada hari Senin, dan memiliki fokus untuk bersembunyi.

“Kemampuan Daxin menunjukkan para penyerang menginvestasikan upaya signifikan dalam mengembangkan teknik komunikasi yang dapat berbaur dengan lalu lintas jaringan normal di jaringan target,” kata Symantec. “Secara khusus, malware menghindari memulai layanan jaringannya sendiri. Sebaliknya, malware dapat menyalahgunakan layanan sah apa pun yang sudah berjalan di komputer yang terinfeksi.”

Daxin berkomunikasi dengan layanan yang sah melalui tunneling jaringan, tambah mereka – dan selanjutnya, dapat mengatur komunikasi daisy-chain, untuk bergerak secara internal melalui hop antara beberapa komputer yang terhubung.

Sumber: Symantec

Di antara aspek yang tidak biasa dari Daxin adalah kemampuannya untuk menyampaikan perintah di seluruh jaringan komputer yang terinfeksi dalam organisasi yang diserang, menciptakan “saluran komunikasi multi-node” yang memungkinkan akses berulang ke komputer yang disusupi untuk waktu yang lama.

Selengkapnya: Threat Post

Inggris, AS, Australia mengeluarkan nasihat bersama: Ransomware berkeliaran, infrastruktur nasional kritis terpengaruh

by

Serangan Ransomware berkembang biak ketika penjahat beralih ke geng yang menyediakan layanan turnkey pasca-kompromi, Pusat Keamanan Siber Nasional Inggris (NCSC) telah memperingatkan.

Dalam penasehat bersama Inggris-AS-Australia yang dikeluarkan sore ini, ketiga negara tersebut mengatakan bahwa mereka telah “mengamati peningkatan insiden ransomware yang canggih dan berdampak tinggi terhadap organisasi infrastruktur penting secara global.”

Peringatan itu muncul setelah beberapa serangan profil tinggi terhadap perusahaan distribusi minyak dan juga bisnis yang mengoperasikan pelabuhan di Barat – meskipun catatan hari ini menegaskan ada langkah para penjahat dari “perburuan besar” terhadap target AS.

Di antara ancaman utama yang dihadapi organisasi-organisasi Barat adalah penggunaan “layanan-untuk-disewa kejahatan dunia maya”. Ini, sebagaimana dirinci dalam nasihat, termasuk “layanan independen untuk menegosiasikan pembayaran, membantu korban melakukan pembayaran, dan menengahi perselisihan pembayaran antara mereka dan penjahat dunia maya lainnya.”

Pembayaran adalah intinya dan penasihat mengutuk pembayaran uang tebusan, dengan mengatakan: “Setiap kali uang tebusan dibayarkan, itu menegaskan kelayakan dan daya tarik finansial dari model bisnis kriminal ransomware.”

NCSC mengatakan kepada The Register bahwa peringatan hari ini tidak terkait dengan potensi invasi Rusia ke Ukraina, dengan penasehat menambahkan bahwa perpindahan dari AS oleh penjahat tidak benar-benar mempengaruhi Inggris: organisasi dari semua ukuran masih berada di garis tembak – bahkan mereka yang membuat jajanan favorit bangsa.

Rute umum ke infrastruktur TI organisasi untuk serangan ransomware berkisar dari kompromi aplikasi dan penyimpanan cloud (termasuk serangan yang memanfaatkan API yang tidak diamankan dengan benar), hingga serangan rantai pasokan seperti yang ditujukan terhadap MSP hulu, dan taktik kuno menyerang pada akhir pekan atau hari libur.

Selengkapnya: The Register

Regulator Eropa dan AS Memberi Tahu Bank Untuk Bersiap Menghadapi Ancaman Serangan Siber Rusia

by

Dilansir dari Reuters, Bank Sentral Eropa (ECB) sedang mempersiapkan bank-bank untuk adanya kemungkinan serangan siber yang datang dari Rusia ketika ketegangan dengan Ukraina meningkat, dua orang yang mengetahui masalah tersebut mengatakan, saat kawasan itu bersiap menghadapi dampak finansial dari setiap konflik.

Kebuntuan antara Rusia dan Ukraina telah mengguncang para pemimpin politik dan bisnis Eropa, yang takut akan invasi yang akan menimbulkan kerusakan di seluruh wilayah.

Sementara regulator selama ini fokus pada penipuan biasa yang berkembang pesat selama pandemi, krisis Ukraina telah mengalihkan perhatiannya ke serangan siber yang diluncurkan dari Rusia, kata salah satu sumber, menambahkan bahwa ECB telah menanyai bank tentang pertahanan mereka.

Kekhawatiran ini tercermin di seluruh dunia.

Departemen Layanan Keuangan New York mengeluarkan peringatan kepada lembaga keuangan pada akhir Januari, peringatan serangan siber pembalasan jika Rusia menyerang Ukraina dan memicu sanksi AS, menurut Regulatory Intelligence Thomson Reuters.

Awal tahun ini, beberapa situs web Ukraina terkena serangan dunia maya yang meninggalkan peringatan untuk “takut dan mengharapkan yang terburuk”, karena Rusia telah mengumpulkan pasukan di dekat perbatasan Ukraina.

Para pejabat Rusia mengatakan Barat dicengkeram oleh Russophobia dan tidak memiliki hak untuk menceramahi Moskow untuk bertindak setelah negara itu memperluas aliansi militer NATO ke arah timur sejak jatuhnya Uni Soviet pada 1991.

Kremlin juga berulang kali membantah bahwa negara Rusia ada hubungannya dengan peretasan di seluruh dunia dan mengatakan siap bekerja sama dengan Amerika Serikat dan negara lain untuk menindak kejahatan dunia maya.

Meskipun demikian, regulator di Eropa sangat waspada akan adanya serangan siber dari Rusia.

Sumber: Reuters

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

Google memperbaiki eskalasi bug hak istimewa jarak jauh di Android

by

Google telah merilis pembaruan keamanan Android Februari 2022, mengatasi dua kerentanan kritis, salah satunya adalah eskalasi hak istimewa jarak jauh yang tidak memerlukan interaksi pengguna.

Kerentanan dilacak sebagai CVE-2021-39675, membawa peringkat keparahan “kritis”, dan hanya memengaruhi Android 12, versi terbaru dari OS Android.

Kelemahan ini biasanya dimanfaatkan oleh vendor spyware canggih yang secara independen menemukan dan secara pribadi menggunakan zero-days dalam sistem operasi seluler. Namun, dalam kasus ini, Google belum melihat tanda-tanda eksploitasi aktif.

Cacat kritis kedua yang diatasi oleh pembaruan keamanan Februari 2022 adalah CVE-2021-30317, yang memengaruhi komponen sumber tertutup Qualcomm, dan dengan demikian hanya menyangkut perangkat Android yang menggunakan perangkat keras vendor tersebut.

Detail teknis tentang kerentanan tidak tersedia saat ini, karena pembaruan Android biasanya memerlukan beberapa bulan untuk mencapai persentase basis pengguna yang terhormat, mengingat vendor perlu menggabungkannya secara terpisah untuk setiap model perangkat.

Akhirnya, perbaikan yang datang dengan pembaruan bulan ini menyangkut Android 10, 11, dan 12, jadi jika ponsel Anda menjalankan versi yang lebih lama dari itu, Anda tidak lagi dilindungi, dan Anda harus menganggap perangkat Anda kekurangan keamanan.

Sumber: Bleeping Computer

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer