Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Arsitektur zero-trust diharapkan dapat meningkatkan kemanjuran keamanan siber sebesar 144%

by

Mendekati tahun 2022 dengan cepat, Symmetry Systems dan Osterman Research telah merilis laporan yang merinci bagaimana organisasi berencana untuk menerapkan arsitektur zero-trust, dengan 53% responden mengutip serangan ransomware profil tinggi sebagai motivator utama mereka.

Memasukkan prinsip-prinsip zero-trust ke dalam keamanan data modern memastikan tidak ada satu titik kegagalan pun saat sistem dilanggar. Prinsip zero-trust dapat memastikan bahwa meskipun penyerang mengetahui lokasi basis data/IP, nama pengguna, dan kata sandi, mereka tidak dapat menggunakan informasi tersebut untuk mengakses informasi istimewa yang diberikan kepada peran aplikasi tertentu, manajemen identitas dan akses (IAM), dan perimeter jaringan cloud .

Saat ini, kita hidup di lingkungan hybrid-cloud di mana pengguna, pengembang, vendor rantai pasokan, dan kontraktor mendapatkan data melalui web infrastruktur statis dan aplikasi cloud. Solusi kontrol lawas untuk data ini bergantung pada aturan IAM pengembang internal dan kebijakan otorisasi untuk layanan web yang dihadapi pelanggan.

Menurut laporan tersebut, arsitektur zero-trust diharapkan dapat meningkatkan kemanjuran perlindungan keamanan siber untuk menghentikan pelanggaran data sebesar 144%. Laporan ini juga menekankan pada pengamanan data pelanggan sebagai motivator lain di balik penerapan di seluruh perusahaan.

Sorotan utama lainnya dari responden termasuk hambatan yang dihadapi saat menerapkan arsitektur zero-trust, tingkat kepercayaan mereka terhadap perlindungan keamanan siber yang ada, sepuluh sumber data teratas yang membutuhkan perlindungan, dan total anggaran TI yang dialokasikan untuk inisiatif zero-trust menurut tahun.

Laporan ini merujuk data dari survei mendalam terhadap 125 pembuat keputusan TI dan keamanan di organisasi menengah dan besar, yang semuanya memiliki pengetahuan tentang bagaimana organisasi mereka menggunakan atau berencana untuk menggunakan arsitektur zero-trust, atau mengapa organisasi mereka sengaja dipilih untuk tidak melakukannya.

Selengkapnya: Venture Beat

Kampanye malware Discord menargetkan komunitas crypto dan NFT

by

Kampanye malware baru di Discord menggunakan crypter Babadeda untuk menyembunyikan malware yang menargetkan komunitas crypto, NFT, dan DeFi.

Babadeda adalah crypter yang digunakan untuk mengenkripsi dan mengaburkan muatan berbahaya dalam installer atau program aplikasi yang tidak berbahaya.

Mulai Mei 2021, aktor ancaman telah mendistribusikan trojan akses jarak jauh yang dikaburkan oleh Babadeda sebagai aplikasi yang sah di channel Discord bertema kripto.

Karena obfuscation yang kompleks, ia memiliki tingkat deteksi AV yang sangat rendah, dan menurut para peneliti di Morphisec, tingkat infeksinya meningkat pesat.

Rantai pengiriman dimulai di channel Discord publik yang memiliki audiens yang berfokus pada kripto, seperti penurunan NFT baru atau diskusi mata uang kripto.

Pelaku ancaman memposting di channel ini atau mengirim pesan pribadi ke calon korban, mengundang mereka untuk mengunduh game atau aplikasi.

Dalam beberapa kasus, para aktor meniru proyek perangkat lunak blockchain yang ada seperti game “Tambang Dalarna”.

Jika pengguna tertipu dan mengklik URL yang disediakan, mereka akan berakhir di situs umpan yang menggunakan domain cybersquatted yang mudah dilewati sebagai domain asli.

Domain ini menggunakan sertifikat LetsEncrypt yang valid dan mendukung koneksi HTTPS, sehingga semakin sulit bagi pengguna yang ceroboh untuk menyadari bahwa ini adalah penipuan.

Malware diunduh setelah mengklik tombol “Mainkan Sekarang” atau “Unduh aplikasi” di situs yang sudah dibuat oleh penyerang, bersembunyi dalam bentuk file DLL dan EXE di dalam arsip yang sekilas tampak seperti folder aplikasi biasa.

Jika pengguna mencoba untuk menjalankan installer, mereka akan menerima pesan kesalahan palsu untuk menipu korban agar berpikir bahwa tidak ada yang terjadi.

Namun, di latar belakang, eksekusi malware berlanjut, membaca langkah-langkah dari file XML untuk mengeksekusi utas baru dan memuat DLL yang akan menerapkan persistence.

Selengkapnya: Bleeping Computer

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

by

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sumber: TheHackerNews

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

by

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Malware JavaScript baru yang tersembunyi menginfeksi PC Windows dengan RAT

by

Loader JavaScript tersembunyi baru bernama RATDispenser sedang digunakan untuk menginfeksi perangkat dengan berbagai trojan akses jarak jauh (RAT) dalam serangan phishing.

Loader baru dengan cepat membangun kemitraan distribusi dengan setidaknya delapan keluarga malware, semuanya dirancang untuk mencuri informasi dan memberi aktor kendali atas perangkat target.

Dalam 94% kasus yang dianalisis oleh tim Riset Ancaman HP, RATDispenser tidak berkomunikasi dengan server yang dikendalikan aktor dan hanya digunakan sebagai dropper malware tahap pertama.

Berlawanan dengan tren penggunaan dokumen Microsoft Office untuk menjatuhkan payload, loader ini menggunakan lampiran JavaScript, yang menurut HP memiliki tingkat deteksi yang rendah.

Infeksi dimulai dengan email phishing yang berisi lampiran JavaScript berbahaya yang diberi nama dengan ekstensi ganda ‘.TXT.js’. Karena Windows menyembunyikan ekstensi secara default, jika penerima menyimpan file ke komputer mereka, itu akan muncul sebagai file teks yang tidak berbahaya.

File teks ini sangat dikaburkan untuk melewati deteksi oleh perangkat lunak keamanan dan akan didekodekan saat file diklik dua kali dan diluncurkan.

Setelah diluncurkan, loader akan menulis file VBScript ke folder %TEMP%, yang kemudian dijalankan untuk mengunduh muatan malware (RAT).

Lapisan kebingungan ini membantu malware menghindari deteksi 89% setiap saat, berdasarkan hasil pemindaian VirusTotal.

Namun, email gateway akan mendeteksi loader jika organisasi telah mengaktifkan pemblokiran lampiran executable, seperti file .js, .exe, .bat, .com.

Cara lain untuk menghentikan rantai infeksi agar tidak terbuka adalah dengan mengubah file handler default untuk file JS, hanya mengizinkan skrip yang ditandatangani secara digital untuk dijalankan, atau menonaktifkan WSH (Windows Script Host).

Selengkapnya: Bleeping Computer

Pelanggaran data GoDaddy menghantam reseller layanan hosting WordPress

by

GoDaddy mengatakan pelanggaran data yang baru-baru ini diungkapkan yang memengaruhi sekitar 1,2 juta pelanggan juga telah menghantam beberapa reseller layanan WordPress Terkelola.

Menurut Dan Rice, VP of Corporate Communications di GoDaddy, enam reseller yang juga terkena dampak pelanggaran besar-besaran ini adalah tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, dan Host Europe.

GoDaddy mengakuisisi merek-merek ini setelah membeli perusahaan hosting web dan layanan cloud Host Europe Group pada 2017 dan Media Temple pada 2013.

“Tidak ada merek lain yang terpengaruh. Merek-merek itu telah menghubungi pelanggan masing-masing dengan detail spesifik dan tindakan yang direkomendasikan.” Rice memberi tahu perusahaan keamanan WordPress Wordfence.

Pelanggaran data ditemukan oleh GoDaddy hari Rabu lalu, pada 17 November, tetapi, sebagaimana diungkapkan secara terpisah dalam pengajuan Senin dengan Komisi Sekuritas dan Bursa AS, data pelanggan terungkap setidaknya sejak 6 September 2021, setelah pelaku ancaman yang tidak dikenal mengakses ke lingkungan hosting WordPress Terkelola perusahaan tersebut.

Ini bukan pelanggaran data atau insiden keamanan siber pertama yang diungkapkan raksasa web hosting dalam beberapa tahun terakhir.

Pelanggaran lain terungkap tahun lalu, pada bulan Mei, ketika GoDaddy memberi tahu pelanggan bahwa peretas menggunakan kredensial akun hosting web mereka untuk terhubung ke akun hosting mereka melalui SSH.

Pada tahun 2019, GoDaddy menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, yang berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja situs web secara keseluruhan.

Selengkapnya: Bleeping Computer

Bug penyadapan Mediatek berdampak pada 30% dari semua smartphone Android

by

MediaTek memperbaiki kerentanan keamanan yang memungkinkan penyerang menguping panggilan telepon Android, menjalankan perintah, atau meningkatkan hak istimewa mereka ke tingkat yang lebih tinggi.

MediaTek adalah salah satu perusahaan semikonduktor terbesar di dunia, dengan chip mereka hadir di 43% dari semua smartphone pada kuartal kedua tahun 2021.

Kerentanan ini ditemukan oleh Check Point, dengan tiga di antaranya (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) diperbaiki di Buletin Keamanan MediaTek Oktober 2021, dan yang kerentanan keempat (CVE-2021-0673) diperbaiki oleh pembaruan keamanan yang akan datang bulan depan.

Kelemahan ini berarti bahwa semua ponsel cerdas yang menggunakan chip MediaTek rentan terhadap serangan penyadapan atau infeksi malware yang tidak memerlukan interaksi pengguna jika pembaruan keamanan tidak diinstal.

Kemungkinan sejumlah besar perangkat lama yang tidak lagi didukung oleh vendor tidak akan pernah menerima pembaruan keamanan.

Prosesor MediaTek modern menggunakan unit pemrosesan audio khusus yang disebut Digital Signal Processor (DSP) untuk mengurangi beban CPU dan meningkatkan kualitas dan kinerja pemutaran audio.

Unit ini menerima permintaan pemrosesan audio dari aplikasi di ruang pengguna Android melalui driver dan sistem IPC. Secara teoritis, aplikasi yang tidak memiliki hak istimewa dapat mengeksploitasi kelemahan untuk memanipulasi penangan permintaan dan menjalankan kode pada chip audio.

Driver audio tidak berkomunikasi dengan DSP secara langsung tetapi dengan pesan IPI yang diteruskan ke System control processor (SCP).

Dengan merekayasa balik Android API yang bertanggung jawab untuk komunikasi audio, Check Point mempelajari lebih lanjut tentang cara kerja sistem, yang mengarah pada penemuan 4 kerentanan diatas.

Selengkapnya: Bleeping Computer

Malware mencoba mengeksploitasi Penginstal Windows zero-day baru

by

Pembuat malware telah mulai menguji eksploitasi bukti konsep yang menargetkan Penginstal Microsoft Windows zero-day baru yang diungkapkan secara publik oleh peneliti keamanan Abdelhamid Naceri selama akhir pekan.

“Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini,” kata Jaeson Schultz, Pemimpin Teknis untuk Talos Security Intelligence & Research Group Cisco.

Namun, seperti yang dikatakan oleh Kepala Penjangkauan Cisco Talos Nick Biasini kepada BleepingComputer, upaya eksploitasi ini adalah bagian dari serangan volume rendah yang kemungkinan difokuskan pada pengujian dan tweaker eksploitasi untuk kampanye besar-besaran.

Kerentanan yang dimaksud adalah bug elevasi hak istimewa lokal yang ditemukan sebagai pintasan ke tambalan yang dirilis Microsoft selama Patch Selasa November 2021 untuk mengatasi cacat yang dilacak sebagai CVE-2021-41379.

Pada hari Minggu, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru ini, dengan mengatakan itu berfungsi pada semua versi Windows yang didukung.

Jika berhasil dieksploitasi, bypass ini memberi penyerang hak istimewa SISTEM pada perangkat terbaru yang menjalankan rilis Windows terbaru, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Dengan memanfaatkan zero-day ini, penyerang dengan akses terbatas ke sistem yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral dalam jaringan korban.

“Solusi terbaik yang tersedia pada saat penulisan ini adalah menunggu Microsoft merilis patch keamanan, karena kompleksitas kerentanan ini,” jelas Naceri.

Selengkapnya: Bleeping Computer