Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Serangan siber di Mitsubishi Electric merupakan ancaman keamanan

by

Serangan siber Juni 2019 pada Mitsubishi Electric Corp. mengkompromikan data yang merupakan kebocoran informasi keamanan nasional sensitif yang pertama kali diakui secara publik di Jepang, Kementerian Pertahanan mengakui.

Kementerian, yang merilis temuannya pada 24 Desember dalam penyelidikannya terhadap 59 kasus, mengatakan hampir 20.000 file diakses. Ia menambahkan bahwa sejak itu telah mengambil langkah-langkah untuk mengatasi sabotase seperti ini dan mengeluarkan peringatan lisan pada 22 Desember kepada Mitsubishi Electric, pembuat peralatan elektronik terkemuka yang sangat terlibat dalam proyek-proyek pertahanan, infrastruktur dan transportasi.

Asahi Shimbun memecahkan laporan serangan siber yang menakjubkan pada Januari 2020 dan pejabat Mitsubishi Electric mencurigai kelompok peretasan China. Bulan berikutnya, Kementerian Pertahanan mengakui bahwa insiden itu melibatkan tiga kasus yang bersifat sensitif terkait dengan peralatan pertahanan.

Namun dalam pengungkapan terbarunya, kementerian mengungkapkan bahwa hampir 20.000 file data yang bocor berisi informasi terkait pertahanan.

Diakui bahwa kebocoran 59 file data tersebut berdampak serius pada keamanan nasional. Namun, menolak untuk membocorkan isi spesifik dari file data dengan alasan mereka berisi informasi sensitif.

Selengkapnya: Asahi

Ransomware Rook adalah bibit lain dari kode Babuk yang bocor

by

Operasi ransomware baru bernama Rook baru-baru ini muncul di ruang kejahatan dunia maya, menyatakan kebutuhan mendesak untuk menghasilkan “banyak uang” dengan menerobos jaringan perusahaan dan mengenkripsi perangkat.

Meskipun pernyataan pengantar di portal kebocoran data mereka sedikit lucu, pengumuman korban pertama di situs tersebut telah memperjelas bahwa Rook tidak sedang bermain-main.

Sumber: BleepingComputer

Para peneliti di SentinelLabs telah mendalami jenis baru ini, mengungkapkan detail teknisnya, rantai infeksi, dan bagaimana ini tumpang tindih dengan ransomware Babuk.

Muatan ransomware Rook biasanya dikirimkan melalui Cobalt Strike, dengan email phishing dan unduhan torrent yang tidak jelas dilaporkan sebagai vektor infeksi awal.

Payload dikemas dengan UPX atau crypter lain untuk membantu menghindari deteksi. Saat dieksekusi, ransomware mencoba menghentikan proses apa pun yang dapat mengganggu proses enkripsi.

Rook juga menggunakan vssadmin.exe untuk menghapus volume shadow copy, taktik standar yang digunakan oleh operasi ransomware untuk mencegah volume shadow digunakan untuk memulihkan file.

SentinelLabs telah menemukan banyak kesamaan kode antara Rook dan Babuk, RaaS yang sudah tidak berfungsi yang kode sumber lengkapnya bocor di forum berbahasa Rusia pada September 2021.

Misalnya, Rook menggunakan panggilan API yang sama untuk mengambil nama dan status setiap layanan yang berjalan dan fungsi yang sama untuk menghentikannya.

Juga, daftar proses dan layanan Windows yang dihentikan sama untuk kedua ransomware. Ini termasuk platform game Steam, klien email Microsoft Office dan Outlook, serta Mozilla Firefox dan Thunderbird.

Selengkapnya: Bleeping Computer

CISA merilis scanner Apache Log4j untuk menemukan aplikasi yang rentan

by

Cybersecurity and Infrastructure Security Agency (CISA) telah mengumumkan rilis scanner untuk mengidentifikasi layanan web yang terpengaruh oleh dua kerentanan eksekusi kode jarak jauh Apache Log4j, yang dilacak sebagai CVE-2021-44228 dan CVE-2021-45046.

“log4j-scanner adalah projek yang diturunkan dari anggota lain dari komunitas open-source oleh tim Rapid Action Force CISA untuk membantu organisasi mengidentifikasi layanan web yang berpotensi rentan yang terpengaruh oleh kerentanan log4j,” badan keamanan siber menjelaskan.

Solusi pemindaian ini dibangun di atas alat serupa, termasuk kerangka kerja pemindaian otomatis untuk bug CVE-2021-44228 (dijuluki & Log4Shell) & dikembangkan oleh perusahaan keamanan siber FullHunt.

Alat ini memungkinkan tim keamanan untuk memindai host jaringan untuk eksposur Log4j RCE dan melihat bypass web application firewall (WAF) yang dapat memungkinkan pelaku ancaman untuk mendapatkan eksekusi kode dalam lingkungan organisasi.

CISA menyoroti fitur-fitur berikut di halaman projek log4j-scanner:

  • Dukungan untuk daftar URL.
  • Fuzzing untuk lebih dari 60 header permintaan HTTP (tidak hanya 3-4 header seperti alat yang rilis sebelumnya).
  • Fuzzing untuk parameter Data HTTP POST.
  • Fuzzing untuk parameter data JSON.
  • Mendukung DNS callback untuk penemuan dan validasi kerentanan.
  • WAF Bypass payloads

Selengkapnya: Bleeping Computer

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Eksperimen Honeypot mengungkapkan apa yang diinginkan peretas dari perangkat IoT

by

​Eksperimen honeypot selama tiga tahun yang menampilkan interaksi rendah perangkat IoT yang disimulasikan dari berbagai jenis dan lokasi memberikan gambaran yang jelas tentang mengapa aktor menargetkan perangkat tertentu.

Perangkat IoT (Internet of Things) adalah pasar yang sedang booming yang mencakup perangkat kecil yang terhubung ke internet seperti kamera, lampu, bel pintu, TV pintar, sensor gerak, speaker, termostat, dan banyak lagi.

Diperkirakan bahwa pada tahun 2025, lebih dari 40 miliar perangkat ini akan terhubung ke Internet, menyediakan titik masuk jaringan atau sumber daya komputasi yang dapat digunakan dalam penambangan kripto yang tidak sah atau sebagai bagian dari kawanan DDoS.

Tiga komponen ekosistem honeypot yang dibuat oleh para peneliti di NIST dan University of Florida termasuk server farm, vetting system, dan infrastruktur pengambilan dan analisis data.

Tiga jenis utama honeypots adalah sebagai berikut:

  • HoneyShell – Meniru Busybox
  • HoneyWindowsBox – Meniru perangkat IoT yang menjalankan OS Windows
  • HoneyCamera – Meniru berbagai kamera IP dari Hikvision, D-Link, dan perangkat lainnya.

Eksperimen ini menghasilkan data dari 22,6 juta hit besar, dengan sebagian besar menargetkan honeypot HoneyShell.

Sumber: BleepingComputer

Para peneliti menemukan bahwa honeypots HoneyShell dan HoneyCamera ditargetkan terutama untuk perekrutan DDoS dan sering juga terinfeksi varian Mirai atau penambang koin.

Infeksi penambang koin adalah pengamatan paling umum di honeypot Windows, diikuti oleh virus, dropper, dan trojan.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

by

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

Geng Conti Ransomware Memiliki Rantai Serangan Log4Shell Lengkap

by

Geng Conti ransomware, yang minggu lalu menjadi organisasi crimeware profesional pertama yang mengadopsi dan mempersenjatai kerentanan Log4Shell, kini telah membangun rantai serangan holistik.

Grup Conti yang berbasis di Rusia – yang oleh Palo Alto Networks disebut sebagai “salah satu yang paling kejam” dari lusinan grup ransomware yang saat ini diketahui aktif – berada di tempat yang tepat pada waktu yang tepat dengan alat yang tepat ketika Log4Shell muncul 10 hari yang lalu, kata perusahaan keamanan Advanced Intelligence (AdvIntel) dalam sebuah laporan yang dibagikan kepada Threatpost pada hari Kamis.

Mulai Senin, 20 Desember, rantai serangan telah mengambil bentuk berikut, Yelisey Boguslavskiy dari AdvIntel mengatakan kepada Threatpost: Emotet -> Cobalt Strike -> Human Exploitation -> (tidak ada ADMIN$ share) -> Kerberoast -> vCenter ESXi dengan log4shell memindai vCenter.

Dalam dua hari setelah pengungkapan kerentanan di libraru logging Log4j Apache pada 10 Desember, anggota grup Conti mendiskusikan cara mengeksploitasinya sebagai vektor serangan awal, menurut AdvIntel.

Log4Shell telah menjadi titik fokus bagi pelaku ancaman, termasuk tersangka pelaku negara bangsa yang telah diamati menyelidiki Log4j2, catat para peneliti AdvIntel.

Namun dari semua pelaku ancaman, Conti “memainkan peran khusus dalam lanskap ancaman saat ini, terutama karena skalanya,” jelas mereka. Ini adalah organisasi yang sangat canggih, terdiri dari beberapa tim. AdvIntel memperkirakan bahwa, berdasarkan pemeriksaan log Conti, geng berbahasa Rusia tersebut menghasilkan lebih dari $150 juta selama enam bulan terakhir.

Selengkapnya: Threat Post

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

by

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer