Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

by

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Peretas menargetkan biomanufaktur dengan malware Tardigrade yang tersembunyi

by

​Sebuah grup peretas tingkat lanjut secara aktif menargetkan fasilitas biomanufaktur dengan malware kustom baru yang disebut ‘Tardigrade.’

Pelaku menggunakan malware khusus untuk menyebar di jaringan yang disusupi dan mengekstrak data untuk waktu yang lama tanpa diketahui.

Menurut penasehat yang diterbitkan oleh PBioeconomy Information Sharing and Analysis Center (BIO-ISAC) hari ini, aktor tersebut telah secara aktif menargetkan entitas di lapangan setidaknya sejak Januari 2020.

Anggota BIO-ISAC BioBright mengatakan kepada Wired bahwa tanda-tanda pertama yang terlihat dari serangan ini datang dalam bentuk infeksi ransomware aneh pada musim semi tahun 2020, di mana para pelaku meninggalkan catatan tebusan yang tidak menunjukkan minat yang tulus untuk menerima pembayaran apa pun.

Tujuan dari penyebaran ransomware ini kemungkinan besar untuk menyembunyikan penurunan muatan yang sebenarnya, sebuah malware metamorf yang akan bersarang di sistem yang disusupi, menyebar seperti worm, dan mengekstrak file.

BIO-ISAC menjelaskan bahwa pelaku ancaman menggunakan versi metamorfik khusus ‘SmokeLoader’ bernama ‘Tartigrade,’ yang dikirimkan melalui phishing atau USB stick yang entah bagaimana menemukan jalan mereka di lokasi organisasi target.

SmokeLoader bertindak sebagai pintu masuk tersembunyi bagi para aktor, mengunduh lebih banyak muatan, memanipulasi file, dan menyebarkan modul tambahan.

Versi SmokeLoader sebelumnya sangat bergantung pada arah eksternal, tetapi varian ini dapat beroperasi secara mandiri dan bahkan tanpa koneksi C2.

Sasaran dari pelaku ancaman adalah spionase dunia maya dan mungkin juga gangguan operasional, tetapi malware mereka dapat menjadi masalah yang terus-menerus bagi sistem yang terinfeksi meskipun tidak dapat lagi berkomunikasi dengan server perintah dan kontrol.

Setelah menerbitkan artikel ini, BleepingComputer dihubungi oleh peneliti keamanan yang prihatin dengan kebenaran laporan BIO-ISAC dan data teknis yang disajikan di dalamnya.

Intel Advanced Vitali Kremez dan peneliti lain yang telah berbicara dengan BleepingComputer menyatakan bahwa DLL ini sebenarnya adalah Cobalt Strike HTTP beacon yang dikemas menggunakan crypter Conti, dan tidak ada hubungannya dengan SmokeLoader.

Selengkapnya: Bleeping Computer

Windows zero-day baru dengan eksploitasi publik memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan zero-day elevasi hak istimewa lokal Windows baru yang memberikan hak istimewa admin di Windows 10, Windows 11, dan Windows Server.

BleepingComputer telah menguji eksploit dan menggunakannya untuk membuka ke command prompt dengan hak istimewa SISTEM dari akun yang hanya memiliki hak ‘Standar’ tingkat rendah.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan.

Kerentanan memengaruhi semua versi Windows yang didukung, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Sebagai bagian dari Patch Selasa November 2021, Microsoft memperbaiki kerentanan ‘Windows Installer Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2021-41379.

Kerentanan ini ditemukan oleh peneliti keamanan Abdelhamid Naceri, yang menemukan bypass ke patch dan kerentanan elevasi hak istimewa zero-day baru yang lebih kuat setelah memeriksa perbaikan dari Microsoft.

Kemarin, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru di GitHub, menjelaskan bahwa itu berfungsi pada semua versi Windows yang didukung.

Naceri juga menjelaskan bahwa meskipun user dapat mengonfigurasi kebijakan grup untuk mencegah pengguna ‘Standar’ melakukan operasi MSI installer, zero-day-nya melewati kebijakan ini dan akan tetap berfungsi.

Selengkapnya: Bleeping Computer

Kata Sandi Paling Umum Tahun 2021 Terungkap

by

Pada hari Rabu, Nordpass menerbitkan studi tahunan penggunaan kata sandi di 50 negara, laporan “Kata Sandi Paling Umum”, evaluasi database yang berisi 4TB kata sandi bocor, banyak di antaranya berasal dari AS, Kanada, Rusia, Australia, dan Eropa. .

Menurut para peneliti, kata sandi yang paling umum pada tahun 2021, di seluruh dunia, adalah:

  • 123456 (103.170.552 buah)
  • 123456789 (46.027.530 buah)
  • 12345 (32.955.431 buah)
  • qwerty (22.317.280 buah)
  • password (20.958.297 buah)
  • 12345678 (14.745.771 buah)
  • 111111 (13.354.149 buah)
  • 123123 (10.244.398 buah)
  • 1234567890 (9.646.621 buah)
  • 1234567 (9.396.813 buah)

Di antara temuan tersebut, para peneliti juga menemukan bahwa sejumlah orang suka menggunakan nama mereka sendiri sebagai kata sandi (“charlie” muncul sebagai kata sandi paling populer ke-9 di Inggris selama tahun 2021, seperti yang terjadi).

“Onedirection” adalah opsi kata sandi populer terkait musik, dan berapa kali “Liverpool” muncul dapat menunjukkan seberapa populer tim sepak bola — meskipun, di Kanada, “hoki” tidak mengejutkan sebagai opsi terkait olahraga teratas dalam penggunaan aktif .

Kata-kata umpatan juga umum digunakan, dan jika menyangkut tema binatang, “lumba-lumba” adalah pilihan paling populer secara internasional.

Selain variasi angka dan keyboard PC, dalam beberapa daftar, opsi kata sandi lokal lainnya masuk 10 besar, termasuk nama keluarga “Chregan” di Afrika Selatan; kota “Barcelona” di Spanyol, dan nama “Tiffany” di Prancis.

Selengkapnya: ZDNet

Bug XSS berbahaya di halaman ‘Tab Baru’ Google Chrome melewati fitur keamanan

by

Tim Chromium telah menambal kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang menjalankan kode JavaScript arbitrer di halaman ‘Tab Baru’ Chrome.

Menurut utas diskusi dan bukti konsep di portal bug Chromium, penyerang dapat mengeksploitasi bug dengan mengirimkan file HTML ke korban yang berisi skrip cross-site request forgery (CSRF), yang mengirimkan snippet kode JavaScript berbahaya sebagai permintaan pencarian ke Google.

Saat pengguna membuka file, skrip CSRF berjalan dan kueri disimpan dalam riwayat pencarian browser. Saat berikutnya pengguna membuka Halaman Tab Baru dan mengklik bilah pencarian Google, kode berbahaya akan berjalan.

Yang mengkhawatirkan, jika korban masuk ke akun Google mereka saat membuka file berbahaya, permintaan akan disimpan ke riwayat pencarian akun mereka dan dipicu di perangkat lain tempat akun Google mereka masuk.

Ashish Dhone, peneliti yang menemukan bug tersebut, memiliki rekam jejak berburu bug XSS di aplikasi web dan seluler Google. “Saya ingin menemukan XSS di Chrome, maka perburuan saya dimulai dengan aplikasi desktop Google Chrome,” katanya kepada The Daily Swig.

“Saya sedang mencari fungsionalitas markup HTML di mana XSS dapat dieksekusi. Setelah menghabiskan berjam-jam, entah bagaimana saya menemukan bahwa di halaman Tab Baru, kueri pencarian yang disimpan tidak dibersihkan dan kemudian saya dapat menjalankan [uXSS]”.

Serangan UXSS mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS dan mengeksekusi kode berbahaya.

Dhone mengambil hadiah bug bounty sebesar $ 1.000 untuk penemuan serta beberapa pelajaran penting tentang keamanan browser. “Selalu periksa fitur dan fungsionalitas di mana markup HTML digunakan – di sinilah sebagian besar serangan XSS dapat ditemukan dan dieksploitasi,” katanya.

Selengkapnya: Portswigger

Web Server Polri Diretas oleh Peretas Brasil

by

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

  • Nama
  • Tempat tanggal lahir
  • Satker
  • Pangkat
  • Status pernikahan
  • Jabatan
  • Alamat
  • Pangkat terakhir
  • Agama
  • Golongan darah
  • Suku
  • pen_umum_terakhir
  • pen_polri_terakhir
  • pen_jurusan_terakhir
  • pen_jenjang_terakhir
  • rehab_no_putusan
  • rehab_tanggal_putusan_sidang
  • rehab_id_jenis_pelanggaran
  • id_propam
  • s_tgl_hukuman_selesai
  • s_tgl_hukuman_mulai
  • s_tgl_rehab_mulai
  • s_tgl_rehab_selesai
  • s_tgl_binlu_mulai
  • s_tgl_binlu_selesai
  • email
  • no_hp.[]

Sumber: Cyberthreat.id

Situs WordPress diretas dalam serangan ransomware palsu

by

Gelombang serangan baru mulai akhir pekan lalu telah meretas hampir 300 situs WordPress untuk menampilkan pemberitahuan enkripsi palsu, mencoba mengelabui pemilik situs agar membayar 0,1 bitcoin untuk pemulihan.

Tuntutan tebusan ini datang dengan countdown timer untuk menimbulkan rasa urgensi dan mungkin membuat admin web panik untuk membayar uang tebusan.

Sementara permintaan tebusan 0,1 bitcoin (~$6.069.23) tidak terlalu signifikan dibandingkan dengan apa yang kita lihat pada serangan ransomware tingkat tinggi, itu masih bisa menjadi jumlah yang cukup besar bagi banyak pemilik situs web.

Serangan ini ditemukan oleh perusahaan keamanan siber Sucuri yang disewa oleh salah satu korban untuk melakukan insiden respons.

Para peneliti menemukan bahwa situs web tersebut tidak dienkripsi, melainkan pelaku ancaman memodifikasi plugin WordPress yang diinstal untuk menampilkan catatan tebusan dan countdown timer.

Selain menampilkan catatan tebusan, plugin akan memodifikasi semua posting blog WordPress dan menyetel ‘post_status’ ke ‘null’, yang menyebabkan status tidak dipublikasikan.

Dengan demikian, para aktor menciptakan ilusi sederhana namun kuat yang membuatnya tampak seolah-olah situs tersebut telah dienkripsi.

Dengan menghapus plugin dan menjalankan perintah untuk memublikasikan ulang postingan dan halaman, situs kembali ke status normalnya.

Setelah analisis lebih lanjut dari log lalu lintas jaringan, Sucuri menemukan bahwa titik pertama di mana alamat IP aktor muncul adalah panel wp-admin.

Ini berarti bahwa penyusup masuk sebagai admin di situs, baik dengan bruteforce kata sandi atau dengan sumber kredensial curian dari pasar dark web.

Selengkapnya: Bleeping Computer

Berikut adalah kampanye spam Emotet baru yang menghantam kotak surat di seluruh dunia

by

Malware Emotet mulai beraksi kemarin setelah jeda sepuluh bulan dengan beberapa kampanye spam yang mengirimkan dokumen berbahaya ke kotak surat di seluruh dunia.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau JavaScript berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori menggunakan PowerShell.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti TrickBot atau Qbot yang biasanya menyebabkan infeksi ransomware.

Peneliti cybersecurity Brad Duncan menerbitkan SANS Handler Diary tentang bagaimana botnet Emotet mulai mengirim spam ke beberapa kampanye email untuk menginfeksi perangkat dengan malware Emotet.

Menurut Duncan, kampanye spam menggunakan email replay-chain untuk memikat penerima agar membuka file Word, Excel, dan file ZIP yang dilindungi kata sandi.

Email phishing rantai balasan adalah saat utas email yang sebelumnya dicuri digunakan dengan balasan palsu untuk mendistribusikan malware ke pengguna lain.

Saat Anda membuka lampiran Emotet, templat dokumen akan menyatakan bahwa pratinjau tidak tersedia dan Anda perlu mengeklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk melihat konten dengan benar.

Namun, setelah Anda mengklik tombol-tombol ini, makro jahat akan diaktifkan yang meluncurkan perintah PowerShell untuk mengunduh DLL pemuat Emotet dari situs WordPress yang disusupi dan menyimpannya ke folder C:\ProgramData.

Organisasi pemantau malware dan botnet Abuse.ch telah merilis daftar 245 server perintah dan kontrol yang dapat diblokir oleh firewall perimeter untuk mencegah komunikasi dengan server perintah dan kontrol.

Memblokir komunikasi ke C2 juga akan mencegah Emotet menjatuhkan muatan lebih lanjut pada perangkat yang disusupi.

Selengkapnya: Bleeping Computer