Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Microsoft menghapus 18 ekstensi Edge berbahaya karena memasukkan iklan ke halaman web

by

Microsoft telah menghapus 18 ekstensi browser Edge dari portal Edge Add-ons setelah ekstensi-ekstensi tersebut tertangkap menyuntikkan iklan ke halaman hasil pencarian web pengguna.

Ekstensi telah dihapus antara 20 November dan 25 November setelah Microsoft menerima banyak keluhan dari pengguna melalui Reddit.

Penyelidikan berikutnya menemukan beberapa ekstensi yang disalahgunakan yang telah diunggah di portal Add-on Edge baru dari Microsoft.

Menurut daftar yang dibagikan oleh manajer komunitas Microsoft, 18 ekstensi dapat dikelompokkan menjadi dua kategori.

Yang pertama adalah untuk ekstensi yang mencoba lolos sebagai versi resmi dari berbagai aplikasi, meskipun aplikasi tersebut tidak memiliki versi resmi untuk Edge. Seperti;

  • NordVPN
  • Adguard VPN
  • TunnelBear VPN
  • Ublock Adblock Plus
  • Greasemonkey
  • Wayback Machine

Daftar kedua berisi ekstensi yang disalin dari ekstensi Chrome asli, porting ke Edge, dan kemudian kode berbahaya dimasukkan. Ini termasuk;

  • The Great Suspender
  • Floating Player – Picture-in-Picture Mode
  • Go Back With Backspace
  • friGate CDN – smooth access to websites
  • Full Page Screenshot
  • One Click URL Shortener
  • Guru Cleaner – cache and history cleaner
  • Grammar and Spelling Checker
  • Enable Right Click
  • FNAF
  • Night Shift Redux
  • Old Layout for Facebook

Sumber: ZDNet

Paket npm berbahaya tertangkap basah menginstal trojan akses jarak jauh

by

Tim keamanan di balik repositori “npm” untuk library JavaScript menghapus dua paket npm hari Senin ini karena berisi kode berbahaya yang memasang trojan akses jarak jauh (RAT) di komputer pengembang yang mengerjakan proyek JavaScript.

Nama kedua paket tersebut adalah jdb.js dan db-json.js, Dan keduanya dibuat oleh penulis yang sama dan dijelaskan sebagai alat untuk membantu pengembang bekerja dengan file JSON yang biasanya dibuat oleh aplikasi database.

Kedua paket diunggah di registri paket npm minggu lalu dan diunduh lebih dari 100 kali sebelum perilaku jahat mereka terdeteksi oleh Sonatype, perusahaan yang memindai repositori paket secara teratur.

Menurut Ax Sharma dari Sonatype, dua paket berisi skrip berbahaya yang dijalankan setelah pengembang web mengimpor dan menginstal salah satu dari dua pustaka berbahaya tersebut.

Skrip post-install melakukan pengintaian dasar dari host yang terinfeksi dan kemudian mencoba mengunduh dan menjalankan file bernama patch.exe (VT scan) yang kemudian menginstal njRAT, juga dikenal sebagai Bladabindi, trojan akses jarak jauh yang sangat populer yang telah digunakan di operasi spionase dan pencurian data sejak 2015.

Untuk memastikan unduhan njRAT tidak akan memiliki masalah, Sharma mengatakan pemuat patch.exe juga memodifikasi firewall Windows lokal untuk menambahkan rule untuk memasukkan ke whitelist server perintah dan kontrolnya (C&C) sebelum melakukan ping kembali ke operatornya dan memulai unduhan RAT.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Kerentanan Oracle yang menjalankan kode berbahaya sedang aktif dieksploitasi

by

Penyerang menargetkan kerentanan Oracle WebLogic yang baru-baru ini ditambal. Kerentanan ini memungkinkan mereka mengeksekusi kode yang mereka inginkan, termasuk malware yang menjadikan server bagian dari botnet yang mencuri kata sandi dan informasi sensitif lainnya.

WebLogic adalah aplikasi enterprise Java yang mendukung berbagai database. Server WebLogic adalah hadiah yang didambakan oleh para peretas, yang sering menggunakannya untuk menambang cryptocurrency, memasang ransomware, atau sebagai jalan masuk untuk mengakses bagian lain dari jaringan perusahaan.

Dilacak sebagai CVE-2020-14882, ini adalah kerentanan kritis yang ditambal Oracle pada bulan Oktober tahun ini. Ini memungkinkan penyerang untuk mengeksekusi kode berbahaya melalui Internet dengan sedikit usaha atau keterampilan dan tanpa otentikasi. Kode eksploitasi tersedia untuk umum delapan hari setelah Oracle mengeluarkan tambalan.

Menurut Paul Kimayong, seorang peneliti di Juniper Networks, peretas secara aktif menggunakan lima variasi serangan berbeda untuk mengeksploitasi server yang masih rentan terhadap CVE-2020-14882.

Di antara variasinya adalah salah satu yang menginstal bot DarkIRC. Setelah terinfeksi, server menjadi bagian dari botnet yang dapat menginstal malware pilihannya, menambang cryptocurrency, mencuri kata sandi, dan melakukan serangan denial-of-service.

Varian exploit lainnya memasang payload lain seperti, Serangan Cobalt, Perlbot, Penafsir meteran, Mirai.

CVE-2020-14882 memengaruhi versi WebLogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Siapa pun yang menggunakan salah satu versi ini harus segera menginstal patch yang dikeluarkan Oracle pada bulan Oktober. Orang-orang juga harus menambal CVE-2020-14750, kerentanan terpisah namun terkait yang diperbaiki Oracle dalam pembaruan darurat dua minggu setelah menerbitkan tambalan untuk CVE-2020-14882.

Sumber: Ars Technica

Malware Gootkit hidup kembali bersama REvil ransomware

by

Setelah tidak muncul selama 1 tahun, Trojan pencuri informasi Gootkit telah hidup kembali bersama REvil Ransomware dalam kampanye baru yang menargetkan Jerman.

Trojan Gootkit adalah malware berbasis Javascript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, pengambilan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.

Tahun lalu, pelaku ancaman Gootkit mengalami kebocoran data setelah membiarkan database MongoDB terbuka di Internet. Setelah pelanggaran ini, diyakini bahwa para aktor Gootkit telah menghentikan operasinya sampai mereka tiba-tiba hidup kembali awal bulan ini.

Minggu lalu, seorang peneliti keamanan yang dikenal sebagai The Analyst mengatakan kepada BleepingComputer bahwa malware Gootkit telah muncul lagi dalam serangan yang menargetkan Jerman.

Dalam kampanye baru ini, pelaku ancaman meretas situs WordPress dan memanfaatkan SEO poisoning untuk menampilkan posting forum palsu kepada pengunjung. Posting ini berpura-pura menjadi pertanyaan dan jawaban dengan tautan ke formulir atau unduhan palsu.

Saat pengguna mengklik link tersebut, mereka akan mendownload file ZIP yang berisi file JS yang dikaburkan yang akan menginstal malware Gootkit atau REvil ransomware.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Bleeping Computer

Serangan siber baru ini dapat menipu ilmuwan DNA untuk menciptakan virus dan racun berbahaya

by

Bentuk baru serangan siber telah dikembangkan yang menyoroti kemungkinan konsekuensi masa depan dari serangan digital terhadap sektor penelitian biologi.

Pada hari Senin, akademisi dari Universitas Ben-Gurion di Negev menggambarkan bagaimana ahli biologi dan ilmuwan yang “tanpa disadari” dapat menjadi korban serangan siber yang dirancang untuk membawa perang biologis ke tingkat yang lebih tinggi.

Pada saat para ilmuwan di seluruh dunia mendorong pengembangan vaksin untuk memerangi pandemi COVID-19, tim Ben-Gurion mengatakan bahwa pelaku ancaman tidak lagi memerlukan akses fisik ke zat “berbahaya” untuk memproduksi atau mengirimkannya – sebaliknya, para ilmuwan dapat ditipu untuk menghasilkan racun atau virus sintetis atas nama mereka melalui serangan siber yang ditargetkan.

Penelitian, “Cyberbiosecurity: Remote DNA Injection Threat in Synthetic Biology,” baru-baru ini diterbitkan dalam jurnal akademis Nature Biotechnology.

Serangan tersebut mendokumentasikan bagaimana malware, yang digunakan untuk menyusup ke komputer ahli biologi, dapat menggantikan sub-string dalam pengurutan DNA.

Rantai serangan potensial diuraikan di bawah ini:

Sumber: ZDNet

“Skenario serangan ini menggarisbawahi kebutuhan untuk memperkuat rantai pasokan DNA sintetis dengan perlindungan terhadap ancaman cyber-biologis,” kata Rami Puzis, kepala Lab Analisis Jaringan Kompleks BGU.

Sumber: ZDNet

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

by

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

by

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Sumber: checkpoint research

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research