Cybersecurity

Peretas SolarWinds memiliki banyak trik baru untuk serangan kompromi massal

December 10, 2021 by Winnie the Pooh

Hampir tepat setahun yang lalu, peneliti keamanan menemukan salah satu pelanggaran data terburuk dalam sejarah modern: kampanye peretasan yang didukung Kremlin yang membahayakan server penyedia manajemen jaringan SolarWinds dan, dari sana, 100 jaringan tertinggi -profil pelanggan, termasuk sembilan agen federal AS.

Pengingat terbaru tentang kemahiran kelompok Nobelium datang dari firma keamanan Mandiant, yang pada hari Senin menerbitkan penelitian yang merinci banyak prestasi Nobelium—dan beberapa kesalahan—karena terus menembus jaringan beberapa target bernilai tertingginya.

Salah satu hal yang membuat Nobelium begitu tangguh adalah kreativitas TTP-nya. Alih-alih membobol setiap target satu per satu, grup tersebut meretas jaringan SolarWinds dan menggunakan akses, dan kepercayaan yang dimiliki pelanggan di perusahaan, untuk mendorong pembaruan berbahaya ke sekitar 18.000 pelanggannya.

Laporan Mandiant menunjukkan bahwa kecerdikan Nobelium tidak goyah. Sejak tahun lalu, peneliti perusahaan mengatakan dua kelompok peretasan yang terkait dengan peretasan SolarWinds—satu disebut UNC3004 dan lainnya UNC2652—terus merancang cara baru untuk mengkompromikan sejumlah besar target dengan cara yang efisien.

Alih-alih meracuni rantai pasokan SolarWinds, kelompok tersebut mengkompromikan jaringan penyedia solusi cloud dan penyedia layanan terkelola, atau CSP, yang merupakan perusahaan pihak ketiga yang diandalkan oleh banyak perusahaan besar untuk berbagai layanan TI. Peretas kemudian menemukan cara cerdas untuk menggunakan penyedia yang dikompromikan itu untuk mengganggu pelanggan mereka.

Selengkapnya: Ars Technica

Phishing, ransomware, dan kesalahan manusia dipandang sebagai ancaman keamanan terbesar

December 8, 2021 by Winnie the Pooh

Penelitian baru dari rumah perangkat lunak Python STX Next menemukan bahwa CTO melihat kesalahan manusia, ransomware, dan phishing sebagai ancaman keamanan terbesar.

Studi terhadap 500 CTO secara global menunjukkan 59 persen masih melihat kesalahan manusia sebagai ancaman keamanan utama bagi bisnis mereka, di samping kekhawatiran utama lainnya seperti ransomware (49 persen) dan phishing (36 persen).

Namun, meskipun menyadari ancaman tersebut, hanya 26 persen yang mengatakan bahwa mereka memiliki tim keamanan siber khusus dan hanya 50 persen yang melakukan outsourcing tanggung jawab siber.

Di antara temuan lainnya adalah bahwa adopsi otentikasi multifaktor kuat, dengan 88 persen organisasi menggunakannya dalam beberapa cara. Namun, 47 persen belum menerapkan perlindungan ransomware, dan 58 persen tidak menggunakan security information and event management (SIEM), dan 41 persen tidak menggunakan privileged access management (PAM).

Sebagai catatan positif, 92 persen telah menerapkan kemampuan pemulihan bencana seperti pencadangan otomatis.

Dziergwa menambahkan, “Kehadiran yang kuat dari perencanaan pemulihan bencana menunjukkan bahwa organisasi berjalan dengan baik dalam hal tanggung jawab yang lebih menyeluruh yang memastikan bisnis tangguh dalam menghadapi gangguan yang tidak terduga.

Langkah selanjutnya adalah bagi para pemimpin untuk menerapkan pendekatan ini ke elemen keamanan siber yang lebih terperinci, termasuk alat anti-ransomware.”

Selengkapnya: Beta News

14 serangan baru terdeteksi pada web browser

December 8, 2021 by Winnie the Pooh

Pakar keamanan TI telah mengidentifikasi 14 jenis serangan baru pada web browser yang dikenal sebagai kebocoran lintas situs, atau XS-Leaks.

Menggunakan XS-Leaks, situs web jahat dapat mengambil data pribadi dari pengunjung dengan berinteraksi dengan situs web lain di latar belakang.

Para peneliti dari Ruhr-Universität Bochum (RUB) dan Niederrhein University of Applied Sciences menguji seberapa baik 56 kombinasi browser dan sistem operasi terlindungi dari 34 XS-Leaks yang berbeda. Untuk tujuan ini, mereka mengembangkan situs web XSinator.com, yang memungkinkan mereka memindai browser secara otomatis untuk mencari kebocoran ini.

Peramban populer seperti Chrome dan Firefox, misalnya, rentan terhadap sejumlah besar XS-Leaks. “XS-Leaks seringkali merupakan bug browser yang harus diperbaiki oleh pabrikan,” kata Lukas Knittel, salah satu penulis makalah Bochum.

Para peneliti mempublikasikan temuan mereka secara online dan di “ACM Conference on Computer and Communications Security”, yang diadakan sebagai acara virtual pada pertengahan November 2021.

XS-Leaks melewati apa yang disebut sebagai same-origin policy, salah satu pertahanan utama browser terhadap berbagai jenis serangan. Tujuan dari same-origin policy adalah untuk mencegah informasi dicuri dari situs web tepercaya. Dalam kasus XS-Leaks, penyerang tetap dapat mengenali detail kecil individu dari sebuah situs web. Jika detail ini terkait dengan data pribadi, data tersebut dapat bocor.

Misalnya, email di kotak masuk email web dapat dibaca dari situs jahat, karena fungsi pencarian akan merespons dengan cara yang berbeda tergantung pada apakah ada hasil untuk istilah pencarian atau tidak.

Selengkapnya: RUB

80K Situs WooCommerce Ritel Terekspos oleh Plugin XSS Bug

December 8, 2021 by Winnie the Pooh

Plugin “Variation Swatches for WooCommerce,” dipasang di 80.000 situs ritel WordPress, berisi kerentanan keamanan cross-site scripting (XSS) yang tersimpan yang dapat memungkinkan penyerang cyber untuk menyuntikkan skrip web berbahaya dan mengambil alih situs.

Variasi Swatch dirancang untuk memungkinkan pengecer menggunakan platform WooCommerce untuk situs WordPress untuk menampilkan versi berbeda dari produk yang sama, seperti sweter dalam beberapa warna.

Sayangnya, versi rentan juga dapat memberi pengguna tanpa izin administratif — seperti pelanggan — akses ke pengaturan plugin, menurut peneliti dari Wordfence.

Memberi pengguna dengan izin rendah akses ke fungsi “tawcvs_save_settings” sangat memprihatinkan, katanya, karena akses itu dapat digunakan untuk memperbarui pengaturan plugin dan menyuntikkan skrip web berbahaya yang akan dijalankan setiap kali pemilik situs mengakses area pengaturan plugin.

Kerentanan (CVE-2021-42367) memengaruhi semua pengguna plugin hingga 23 November, sampai plugin ditambal di versi 2.1.2 yang baru.

Untuk mengurangi bug plugin terbaru ini, Chamberland merekomendasikan agar pengguna memperbarui situs mereka dengan versi yang ditambal dari Variasi Swatch untuk WooCommerce.

Selengkapnya: Threat Post

Penipuan Phishing Omicron Sudah Terlihat di Inggris

December 8, 2021 by Winnie the Pooh

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

December 8, 2021 by Winnie the Pooh Leave a Comment

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

December 8, 2021 by Winnie the Pooh

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

December 8, 2021 by Winnie the Pooh

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings