Security

Sprite Spider muncul sebagai salah satu aktor ancaman ransomware paling merusak

February 2, 2021 by Winnie the Pooh

Pada KTT Intelijen Ancaman Siber SANS baru-baru ini, dua pimpinan keamanan siber CrowdStrike, Peneliti Keamanan Senior Sergei Frankoff dan Analis Intelijen Senior Eric Loui, memberikan perincian tentang aktor ransomware besar yang muncul yang mereka sebut Sprite Spider.

Seperti banyak penyerang ransomware lainnya, kelompok di balik serangan Sprite Spider telah berkembang pesat dalam kecanggihan dan kapasitas kerusakan sejak 2015.

Sprite Spider mulai menggunakan Trojan perbankan yang disebut Shifu pada tahun 2015, menambahkan pemuat malware bernama Vatet sekitar tahun 2017. Pada tahun 2018, geng tersebut menyebarkan Trojan akses jarak jauh yang disebut PyXie. Pada tahun 2019, grup tersebut berevolusi ke titik di mana ia menyebarkan ransomware yang disebut DEFRAY777.

Pada titik ini, peneliti CrowdStrike menghubungkan Shifu, Vatet, dan PyXie dengan serangan ransomware DEFRAY777. Mereka menyadari bahwa semua aktivitas dari komponen ini terkait dengan satu pelaku ancaman, yang telah terbang di bawah radar.

Geng tersebut seringkali dapat lolos dari deteksi terutama karena kodenya terlihat jinak, bersembunyi di proyek sumber terbuka seperti Notepad++.

Ancaman nyata dari Sprite Spider meningkat pada Juli 2020 ketika mulai menargetkan host ESXi, yang biasanya digunakan oleh organisasi besar yang menggunakan teknologi bare-metal hypervisor yang dikembangkan oleh VMware untuk mengelola beberapa mesin virtual.

Dengan menargetkan mesin EXSi, Sprite Spider tidak harus menerapkan ransomware di seluruh lingkungan organisasi — mereka hanya harus menargetkan beberapa server untuk mengenkripsi sebagian besar infrastruktur TI virtual.

Selengkapnya: CSO Online

Kerentanan XSS di Vue.js terungkap

February 2, 2021 by Winnie the Pooh

Pengembang kerangka kerja JavaScript Vue.js telah mengatasi kerentanan cross site scripting (XSS) di ekstensi Chrome, tetapi hanya bertindak setelah peneliti mengumumkan kesalahan tersebut.

Jiantao Li dari starlabs konsultan keamanan yang berbasis di Singapura menemukan kekurangan tersebut sebelum memberi tahu pengembangnya, yang memiliki lebih dari satu juta pengguna di antara komunitas pengembangan perangkat lunak.

Setelah lebih dari dua minggu tanpa hasil mencoba memberi tahu pengembang secara pribadi melalui email, starlabs mencoba pendekatan yang berbeda dan memposting tentang masalah tersebut di GitHub yang menawarkan detail di samping kode bukti konsep. Pendekatan yang berbeda membuahkan hasil yang cepat dan masalah diselesaikan dalam waktu tiga jam.

Dalam laporannya, starlabs menjelaskan dampak kerentanan dan bagaimana penyerang mungkin mengeksploitasinya sebelum diselesaikan.

“Ini pada dasarnya adalah kerentanan injeksi kode di ekstensi browser populer,” jelas peneliti. “Penyebabnya adalah data yang tidak dipercaya dieksekusi sebagai kode.

“UXSS akan memungkinkan penyerang untuk mengeksekusi JavaScript dari satu domain ke domain lain jika berhasil dieksploitasi.”

Sumber: The Daily Swig

Facebook mencoba mengingatkan pengguna tentang manfaat pengumpulan data sebelum perubahan privasi Apple

February 2, 2021 by Winnie the Pooh

Facebook mengatakan pada hari Senin bahwa pihaknya sedang menguji peringatan pop-up baru untuk pengguna iPhone dan iPad yang menekankan manfaat dari aplikasinya yang mengumpulkan data pribadi. Tes dilakukan sebelum perubahan privasi Apple dengan potensi untuk meningkatkan bisnis inti jejaring sosial.

Apple (AAPL) mengatur untuk memperkenalkan persyaratan baru bagi pengguna untuk memberikan izin eksplisit bagi aplikasi untuk melacaknya di internet, sebuah langkah yang telah mengguncang Facebook, yang mengandalkan pengumpulan data untuk menargetkan iklan.

Sekarang, Facebook berencana untuk menunjukkan permintaan “kami sendiri, bersama dengan Apple” dalam upaya untuk menunjukkan kepada pengguna bagaimana iklan yang dipersonalisasi “mendukung bisnis kecil dan membuat aplikasi tetap gratis,” kata perusahaan itu dalam pembaruan Senin untuk posting blog lama yang disebut “Speaking Up for Small Businesses.”

Facebook, yang memperoleh hampir semua pendapatannya dari iklan, telah berulang kali memperingatkan investor bahwa perubahan perangkat lunak Apple dapat merugikan bisnisnya jika pengguna menolak izin pelacakan.

Sementara langkah terbaru ini mungkin tampak seperti tembakan lain yang ditembakkan ke Apple, Facebook menerima tawaran Apple untuk pengembang mana pun untuk menjelaskan mengapa ia menginginkan izin tertentu untuk pelacakan. “Kami merasa orang-orang berhak mendapatkan konteks tambahan, dan Apple mengatakan bahwa memberikan pendidikan diperbolehkan,” kata Facebook dalam posting blog tersebut.

Selengkapnya: CNN

Apple meluncurkan macOS Big Sur 11.2 dengan perbaikan bug dan tweak Bluetooth

February 2, 2021 by Winnie the Pooh

Hari ini, Apple mengeluarkan pembaruan kecil ke sistem operasi macOS 11 Big Sur untuk laptop dan desktop Mac yang didukung. Berlabel Big Sur 11.2, pembaruan “meningkatkan keandalan Bluetooth” dan memperbaiki sejumlah bug.

Bug tersebut termasuk satu masalah yang dilaporkan secara luas dengan Mac mini di mana tampilan eksternal hanya akan menampilkan layar hitam saat menggunakan konverter HDMI-ke-DVI.

Selain itu, ini memperbaiki masalah di mana panel System Preferences tidak terbuka setelah pengguna memasukkan kata sandi dalam beberapa kasus, serta bug yang terkadang mencegah perubahan yang dibuat pada gambar Apple ProRAW dari penyimpanan.

Pembaruan macOS hari ini mengikuti pembaruan untuk iOS, iPadOS, watchOS, dan tvOS minggu lalu. iOS 14.4 dan iPadOS 14.4 mengaktifkan perangkat seluler yang didukung untuk membaca kode QR yang lebih kecil dan menerapkan pemberitahuan untuk memberi tahu pengguna jika toko reparasi telah mengganti kamera buatan Apple mereka dengan alternatif yang tidak asli.

Selengkapnya: Ars Technica

Modul Trickbot baru menggunakan Masscan untuk pengintaian jaringan lokal

February 2, 2021 by Winnie the Pooh

Pakar keamanan siber mengatakan mereka melihat komponen baru malware Trickbot yang melakukan pengintaian jaringan lokal.

Dinamakan masrv, komponen tersebut menggabungkan salinan utilitas open-source Masscan untuk memindai jaringan lokal untuk sistem lain dengan port terbuka yang dapat diserang di kemudian hari.

Ide di balik masrv adalah untuk melepaskan komponen pada perangkat yang baru terinfeksi, mengirim serangkaian perintah Masscan, membiarkan komponen memindai jaringan lokal, dan mengunggah hasil pemindaian ke server perintah dan kontrol Trickbot.

Jika pemindaian menemukan sistem dengan port sensitif atau manajemen dibiarkan terbuka di dalam jaringan internal — yang sangat umum di sebagian besar perusahaan — geng Trickbot kemudian dapat menggunakan modul lain yang berspesialisasi dalam mengeksploitasi celah tersebut dan bergerak secara lateral untuk menginfeksi sistem baru.

Analisis teknis dan indikator kompromi untuk modul masrv Trickbot baru, yang dibuat oleh DeSouza dan rekan-rekannya, tersedia di blog Kryptos Logic.

Sumber: ZDNet

Serangan Rantai Pasokan Perangkat Lunak Baru Dengan Menargetkan Jutaan Orang Dengan Spyware

February 2, 2021 by Winnie the Pooh

Peneliti Cybersecurity mengungkapkan serangan rantai pasokan baru yang membahayakan mekanisme pembaruan NoxPlayer, emulator Android gratis untuk PC dan Mac.

Dijuluki “Operation NightScout” oleh firma keamanan siber Slovakia, ESET, kampanye pengawasan yang sangat bertarget ini melibatkan pendistribusian tiga keluarga malware yang berbeda melalui pembaruan berbahaya yang disesuaikan untuk korban terpilih yang berbasis di Taiwan, Hong Kong, dan Sri Lanka.

NoxPlayer, dikembangkan oleh BigNox yang berbasis di Hong Kong, adalah emulator Android yang memungkinkan pengguna memainkan game seluler di PC, dengan dukungan untuk keyboard, gamepad, perekaman skrip, dan multiple instances. Diperkirakan memiliki lebih dari 150 juta pengguna di lebih dari 150 negara.

Tanda-tanda pertama dari serangan yang sedang berlangsung dikatakan terjadi sekitar September 2020, dari saat kompromi berlanjut hingga “aktivitas yang secara eksplisit berbahaya” ditemukan minggu ini, mendorong ESET untuk melaporkan insiden tersebut ke BigNox.

Untuk melakukan serangan, mekanisme pembaruan NoxPlayer berfungsi sebagai vektor untuk mengirimkan versi yang berisi trojan dari perangkat lunak kepada pengguna yang, setelah instalasi, mengirimkan tiga muatan berbahaya yang berbeda seperti Gh0st RAT untuk memata-matai korbannya, menangkap penekanan tombol, dan mengumpulkan informasi sensitif.

Secara terpisah, para peneliti menemukan kasus di mana malware tambahan seperti PoisonIvy RAT diunduh oleh pembaruan BigNox dari server jarak jauh yang dikendalikan oleh aktor ancaman.

Sumber: The Hacker News

Google Mengungkapkan Bug Parah di Library Enkripsi Libgcrypt — yang Memengaruhi Banyak Proyek

February 2, 2021 by Winnie the Pooh

Kerentanan yang “parah” dalam perangkat lunak enkripsi Libgcrypt GNU Privacy Guard (GnuPG) dapat memungkinkan penyerang untuk menulis data apapin ke mesin target, yang berpotensi mengarah ke eksekusi kode jarak jauh.

Cacat tersebut, yang memengaruhi libgcrypt versi 1.9.0, ditemukan pada 28 Januari oleh Tavis Ormandy dari Project Zero, unit penelitian keamanan Google yang didedikasikan untuk menemukan bug zero-day dalam sistem perangkat keras dan perangkat lunak.

Tidak ada versi Libgcrypt lain yang terpengaruh oleh kerentanan.

GnuPG mengatasi kelemahan tersebut segera dalam waktu sehari setelah pengungkapan, sambil mendesak pengguna untuk berhenti menggunakan versi yang rentan. Versi terbaru dapat diunduh di sini.

Library Libgcrypt adalah perangkat kriptografi sumber terbuka yang ditawarkan sebagai bagian dari rangkaian perangkat lunak GnuPG untuk mengenkripsi dan menandatangani data dan komunikasi. Implementasi OpenPGP, ini digunakan untuk keamanan digital di banyak distribusi Linux seperti Fedora dan Gentoo, meskipun tidak digunakan secara luas seperti OpenSSL atau LibreSSL.

Selengkapnya: The Hacker News

SonicWall zero-day dieksploitasi di alam liar

February 2, 2021 by Winnie the Pooh

Perusahaan keamanan siber NCC Group mengatakan pada hari Minggu bahwa mereka mendeteksi upaya eksploitasi aktif terhadap kerentanan zero-day di perangkat jaringan SonicWall.

Rincian tentang sifat kerentanan belum dipublikasikan untuk mencegah pelaku ancaman lainnya mempelajarinya dan meluncurkan serangan mereka sendiri.

Peneliti NCC mengatakan mereka memberi tahu SonicWall tentang bug dan serangan tersebut selama akhir pekan.

Para peneliti percaya mereka mengidentifikasi kerentanan zero-day yang sama yang digunakan aktor ancaman misterius untuk mendapatkan akses ke jaringan internal SonicWall sendiri dalam pelanggaran keamanan yang diungkapkan perusahaan pada 23 Januari.

Menanggapi permintaan di Twitter untuk membagikan lebih banyak detail mengenai serangan tersebut sehingga pakar keamanan dapat melindungi pelanggan mereka, tim NCC merekomendasikan agar pemilik perangkat membatasi alamat IP mana yang diizinkan untuk mengakses antarmuka manajemen perangkat SonicWall hanya ke IP personel yang berwenang.

Mereka juga merekomendasikan mengaktifkan dukungan otentikasi multi-faktor (MFA) untuk akun perangkat SonicWall.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security

Cookies Settings