Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug Microsoft Exchange ProxyToken dapat membuat peretas mencuri email pengguna

by

Detail teknis telah muncul pada kerentanan serius di Microsoft Exchange Server yang dijuluki ProxyToken yang tidak memerlukan otentikasi untuk mengakses email dari akun target.

Penyerang dapat mengeksploitasi kerentanan dengan membuat permintaan ke layanan web dalam aplikasi Exchange Control Panel (ECP) dan mencuri pesan dari kotak masuk korban.

Dilacak sebagai CVE-2021-33766, ProxyToken memberi penyerang yang tidak diautentikasi akses ke opsi konfigurasi kotak surat pengguna, tempat mereka dapat menentukan aturan penerusan email.

Akibatnya, pesan email yang ditujukan untuk pengguna target juga dapat dikirimkan ke akun yang dikontrol penyerang.

Bug tersebut ditemukan oleh Le Xuan Tuyen, seorang peneliti di Information Security Center of Vietnam Posts and Telecommunications Group (VNPT-ISC) dan dilaporkan melalui program Zero-Day Initiative (ZDI) pada bulan Maret.

Meskipun detail teknis untuk ProxyToken baru dirilis hari ini, upaya eksploitasi telah dicatat sejak tiga minggu lalu.

Menurut Rich Warren, red team untuk NCC Group, ia melihat lebih banyak upaya eksploitasi pada 10 Agustus.

Seperti dalam kasus kerentanan ProxyShell, jika administrator server Microsoft Exchange belum menginstal patch untuk ProxyToken, mereka harus memprioritaskan tugas tersebut.

Selengkapnya: Bleeping Computer

Peneliti Mengungkapkan Kerentanan Seperti Meltdown untuk Prosesor AMD Zen+ dan Zen 2

by

Menurut peneliti keamanan dan AMD, prosesor Zen 2 dan Zen+ perusahaan mengalami kerentanan baru seperti Meltdown. AMD telah menyiapkan panduan untuk mengurangi kerentanan dan mempublikasikan detail tentang cara kerja kerentanan.

Disebut “Eksekusi Transien Akses Non-kanonik,” kerentanan ini bertindak sangat mirip dengan kerentanan Meltdown yang sudah diungkapkan yang hanya berdampak pada CPU Intel.

Saidgani Musaev dan Christof Fetzer, peneliti dari Dresden Technology University, menemukan kerentanan pada prosesor AMD Zen+ dan Zen 2. Para peneliti mengungkapkan kerentanan CVE-2020-12965 terhadap AMD pada Oktober 2020, memberi perusahaan cukup waktu untuk mengembangkan teknik mitigasi yang telah dibahas AMD dalam makalah resmi tentang Arxiv (PDF) dan situs web keamanan AMD.

Kerentanan Eksekusi Transien Akses Non-kanonik bekerja hanya dengan menggabungkan urutan perangkat lunak tertentu, di mana CPU AMD “dapat secara sementara mengeksekusi beban non-kanonik dan menyimpan hanya menggunakan 48 bit alamat yang lebih rendah yang berpotensi mengakibatkan kebocoran data.” Kebocoran data ini kemudian dimanfaatkan untuk mengakses kemungkinan rahasia yang tersimpan di komputer, yang menyebabkan masalah keamanan.

AMD merekomendasikan agar semua vendor perangkat lunak yang mengirimkan kode untuk platform Zen+ dan Zen 2 mengunjungi kembali program mereka dan menambahkan mitigasi. Misalnya, perusahaan merekomendasikan penggunaan instruksi LFENCE (Load Fence) dalam perangkat lunak atau salah satu mitigasi eksekusi spekulatif yang ada yang diungkapkan dalam manual perangkat lunak di sini.

Selengkapnya: Tom’s Hardware

Ragnarok ransomware merilis master decryptor setelah penonaktifan grup

by

Geng ransomware Ragnarok tampaknya telah berhenti dan merilis kunci master yang dapat mendekripsi file yang dikunci dengan malware mereka.

Pelaku ancaman tidak meninggalkan catatan yang menjelaskan tindakan tersebut; tiba-tiba, mereka mengganti semua korban di situs kebocoran mereka dengan instruksi singkat tentang cara mendekripsi file.

Situs kebocoran telah dilucuti dari elemen visual. Yang tersisa hanyalah teks singkat yang menghubungkan ke arsip yang berisi kunci master dan binari yang menyertainya untuk menggunakannya.

Hingga hari ini, situs kebocoran ransomware Ragnarok menunjukkan 12 korban, ditambahkan antara 7 Juli dan 16 Agustus, kata penyedia intelijen ancaman HackNotice kepada BleepingComputer.

Dengan mencantumkan korban di situs web mereka, Ragnarok berusaha memaksa mereka untuk membayar uang tebusan, di bawah ancaman membocorkan file tidak terenkripsi yang dicuri selama penyusupan.

Perusahaan yang terdaftar berasal dari Prancis, Estonia, Sri Lanka, Turki, Thailand, AS, Malaysia, Hong Kong, Spanyol, dan Italia dan aktif di berbagai sektor mulai dari manufaktur hingga layanan hukum.

Decryptor universal untuk ransomware Ragnarok saat ini sedang dalam pengerjaan. Ini akan segera tersedia dari Emsisoft, sebuah perusahaan yang terkenal karena membantu korban ransomware dengan dekripsi data.

Grup ransomware Ragnarok telah ada setidaknya sejak Januari 2020 dan merenggut puluhan korban setelah menjadi berita utama karena mengeksploitasi kerentanan Citrix ADC tahun lalu.

Selengkapnya: Bleeping Computer

PERINGATAN ANCAMAN: Serangan penambang Crypto – Sysrv-Hello Botnet menargetkan pod WordPress

by

Tim Riset Keamanan Sysdig telah mengidentifikasi serangan Cryptominer yang menyerang pod Kubernetes yang menjalankan WordPress, terkait dengan Botnet Sysrv-Hello baru-baru ini.

Tujuan serangan itu adalah untuk mengontrol pod, menambang cryptocurrency, dan mereplikasi dirinya dari sistem yang disusupi.

Secara khusus, penyerang menargetkan WordPress yang salah dikonfigurasi untuk melakukan akses awal. Mereka kemudian mencoba menghentikan malware potensial lainnya, menginstal dan mengeksekusi cryptominer, dan akhirnya, mencoba mereplikasi dirinya sendiri (dalam infrastruktur honeypot Sysdig dan di internet).

Yang perlu diperhatikan tentang serangan ini adalah bahwa hash biner dari skrip serangan dan cryptominer sangat baru, dan pendaftar pada basis data malware menunjukkan bahwa sangat sedikit orang yang mendeteksinya. Jadi, sebagian besar perangkat lunak keamanan tidak akan dapat mendeteksi serangan tersebut, dan Anda harus bergantung pada pendeteksian perilakunya untuk mendapatkan peringatan.

Apa itu Botnet Sysrv-Hello?

Botnet Sysrv-hello adalah infeksi Windows dan Linux yang pertama kali diidentifikasi pada akhir Desember 2020, yang mengeksploitasi banyak kerentanan dan disebarkan melalui skrip shell.

sejak identifikasi pertama, penyerang melakukan beberapa perubahan dalam skrip shell yang menginstal implan Sysrv-hello, yang merupakan cara malware executable disebarkan pada sistem host.

Dalam perubahan terbaru mereka, botnet memiliki fitur dan eksploitasi baru untuk replikasi. Fitur baru yang paling penting adalah kemampuan untuk mengunduh penambang seperti Monero dan mulai menambang cryptocurrency.

Selengkapnya: Sysdig

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

by

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News

Deepfake dalam serangan siber tidak akan datang. Mereka sudah ada di sini.

by

Pada bulan Maret, FBI merilis sebuah laporan yang menyatakan bahwa aktor jahat hampir pasti akan memanfaatkan “konten sintetis” untuk operasi pengaruh dunia maya dan asing dalam 12-18 bulan ke depan.

Konten sintetis ini mencakup deepfake, audio, atau video yang seluruhnya dibuat atau diubah oleh kecerdasan buatan atau pembelajaran mesin untuk secara meyakinkan salah menggambarkan seseorang melakukan atau mengatakan sesuatu yang sebenarnya tidak dilakukan atau dikatakan.

Kita semua pernah mendengar cerita tentang CEO yang suaranya ditiru dengan cukup meyakinkan untuk melakukan wire transfer sebesar $243.000. Sekarang, rapat Zoom yang konstan di era tenaga kerja di mana pun telah menciptakan banyak data audio dan video yang dapat dimasukkan ke dalam sistem pembelajaran mesin untuk membuat duplikat yang menarik. Dan penyerang telah mencatat. Teknologi Deepfake telah melihat peningkatan drastis di dark web, dan serangan pasti terjadi.

Dark web tutorials

Recorded Future, sebuah perusahaan respons insiden, mencatat bahwa pelaku ancaman telah beralih ke dark web untuk menawarkan layanan dan tutorial khusus yang menggabungkan teknologi deepfake visual dan audio yang dirancang untuk melewati dan mengalahkan langkah-langkah keamanan.

Deepfake phishing

Penjahat dunia maya memanfaatkan perpindahan ke tenaga kerja terdistribusi untuk memanipulasi karyawan dengan pesan suara tepat waktu yang meniru irama bicara yang sama dengan bos mereka, atau pesan Slack yang menyampaikan informasi yang sama.

Kampanye phishing melalui email atau platform komunikasi bisnis adalah mekanisme pengiriman yang sempurna untuk deepfake, karena organisasi dan pengguna secara implisit mempercayai mereka dan mereka beroperasi di seluruh lingkungan tertentu.

Selengkapnya: Venturebeat

FBI membagikan detail teknis untuk ransomware Hive

by

Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.

Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.

Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.

Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).

Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.

FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.

Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.

Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.

FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan ribuan pengguna komputasi cloud tentang database yang terbuka

by

Microsoft pada hari Kamis memperingatkan ribuan pelanggan komputasi cloud nya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah atau bahkan menghapus basis data utama mereka, menurut salinan email dan peneliti keamanan siber.

Kerentanan ada di database Cosmos DB andalan Microsoft Azure. Sebuah tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat mengakses kunci yang mengontrol akses ke database yang dimiliki oleh ribuan perusahaan. Wiz Chief Technology Officer Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.

Karena Microsoft tidak dapat mengubah kunci itu sendiri, ia mengirim email kepada pelanggan pada hari Kamis untuk meminta mereka membuat yang baru. Microsoft setuju untuk membayar Wiz US$40.000 untuk menemukan cacat dan melaporkannya, menurut email yang dikirim ke Wiz. “Kami segera memperbaiki masalah ini untuk menjaga keamanan dan perlindungan pelanggan kami. Kami berterima kasih kepada para peneliti keamanan karena bekerja di bawah pengungkapan kerentanan yang terkoordinasi,” kata Microsoft kepada Reuters.

Tim Luttwak menemukan masalah tersebut, yang disebut ChaosDB, pada 9 Agustus dan memberi tahu Microsoft pada 12 Agustus, kata Luttwak. Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari. Setelah Reuters melaporkan kekurangan tersebut, Wiz merinci masalah tersebut dalam sebuah posting blog.

Microsoft mengatakan kepada Reuters bahwa “pelanggan yang mungkin terkena dampak menerima pemberitahuan dari kami,” tanpa menjelaskan lebih lanjut.

Selengkapnya: Business Today