Security

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

October 19, 2020 by Winnie the Pooh

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums

Celah pada Magento dapat mengeksekusi kode pada Toko Online

October 18, 2020 by Winnie the Pooh

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost

Empat Area yang Perlu Dipertimbangkan untuk Menangani Data Cloud dengan Aman

October 18, 2020 by Winnie the Pooh

Perusahaan menghadapi pertumbuhan eksplosif dari data file tidak terstruktur, dan, untuk mengatasinya, mereka beralih ke cloud untuk menyimpan dan berkolaborasi dengan lebih hemat biaya pada data tersebut di seluruh dunia. Namun, sementara cloud publik dan privat memberikan kapabilitas baru yang kuat dan potensi efisiensi finansial dan operasional, ini juga dapat memperluas profil risiko.

Faktanya, cloud dapat memberikan keamanan data yang lebih baik daripada penyimpanan tradisional… jika dilakukan dengan benar. Namun, menghadirkan cloud hybrid ke dalam jalur data memerlukan pendekatan keamanan yang berbeda dari pada file yang disimpan di lokasi. Untuk melindungi data di awan pribadi dan publik, perusahaan perlu menggunakan campuran enkripsi yang kuat dan otentikasi lokal, serta kemampuan asli dari solusi penyimpanan awan terkemuka.

Untuk memastikan data tidak terstruktur mereka tetap aman dan selalu tersedia, tim TI harus memberikan perhatian khusus pada empat area berikut.

Enkripsi
IT harus yakin untuk “mengasinkan” kunci dan sandi. Kata sandi biasanya dilindungi dengan mengenkripsinya menggunakan fungsi hash satu arah yang memerlukan kunci kriptografi untuk mendekripsinya. Salting menambahkan bit acak ke fungsi hash, yang merupakan lapisan keamanan ekstra, memastikan bahwa, bahkan jika kunci kriptografi disusupi, kata sandi dan kunci yang dilindungi akan tetap tidak dapat digunakan. Tidak ada pengguna tidak sah dari luar organisasi yang dapat mengakses data.

OpenPGP
OpenPGP menggabungkan enkripsi simetris cepat untuk melindungi data dengan kunci asimetris yang lebih lambat. Hal ini tidak hanya memberikan keamanan data yang optimal dan pada tingkat perincian yang lebih tinggi, tetapi juga menjaga kinerja agar tidak terpengaruh. Professional IT tidak boleh mengabaikan enkripsi metadata, yang berisi nama file, ukuran file, stempel waktu, informasi kontrol akses, dan lokasi dalam pohon direktori. Jika informasi ini dikirim atau disimpan dengan jelas, peretas dapat dengan mudah memperoleh dan menggunakannya untuk meluncurkan serangan bertarget yang canggih.

Memisah Folder
Jika menggunakan cloud pribadi, semua data file dan metadata sistem file harus dienkripsi dan disimpan hanya di penyimpanan objek cloud pribadi. Jalur kontrol dapat menggunakan layanan cloud publik untuk menyediakan orkestrasi dan fungsi manajemen dalam skala besar, tetapi jalur data harus disimpan sepenuhnya dalam cloud pribadi; data file tidak boleh dikirim di luar batasan keamanan perusahaan.

Dalam situasi hibrid, di mana peralatan di tempat disebarkan ke cache data secara lokal untuk memastikan kinerja, jalur data meluas di luar batas keamanan perusahaan. Namun, selama file dan metadata dienkripsi dengan benar, serta kunci dan sandi dienkripsi dan diasinkan, data tersebut aman. Jika TI menggunakan model khusus cloud, di mana peralatan diterapkan sebagai mesin virtual dalam cloud, semua data file dan metadata sistem harus dienkripsi dan disimpan dalam penyimpanan objek.

Ingat, data dan metadata tidak boleh terlihat oleh siapa pun yang tidak berwenang untuk memiliki kunci master, meskipun mereka adalah penyedia atau vendor penyimpanan cloud.

Double Check Keamanan Cloud
Penyedia cloud beroperasi pada model tanggung jawab bersama, yang berarti mereka melindungi infrastruktur secara keseluruhan, tetapi setiap pelanggan bertanggung jawab untuk mengamankan akses ke wadah dan instans penyimpanan cloud, serta untuk memastikan data yang disimpan di sana terlindungi dengan baik dari kehilangan data. Periksa kembali semua konfigurasi dan audit secara teratur untuk memastikannya benar.

Namun jangan percaya pada penyedia cloud dengan kata-kata mereka bahwa semua yang mereka miliki adalah bentuk kapal. Pastikan mitra penyimpanan cloud memiliki penyimpanan geo-redundan dan memiliki sertifikasi keamanan dan kepatuhan industri yang lengkap

Source : cpomagazine.com

Microsoft merilis emergency security updates untuk Windows and Visual Studio

October 18, 2020 by Winnie the Pooh

Microsoft telah menerbitkan dua pembaruan keamanan out-of-band hari ini untuk mengatasi masalah keamanan di pustaka Windows Codecs dan aplikasi Visual Studio Code.
Kedua pembaruan datang sebagai kedatangan terlambat setelah perusahaan merilis batch pembaruan keamanan bulanan awal pekan ini, pada hari Selasa, menambal 87 kerentanan bulan ini.
Kedua kerentanan baru tersebut adalah kerentanan “eksekusi kode jarak jauh”, yang memungkinkan penyerang untuk mengeksekusi kode pada sistem.

KERENTANAN Libarary KODE WINDOWS
Bug pertama dilacak sebagai CVE-2020-17022. Microsoft mengatakan bahwa penyerang dapat membuat gambar berbahaya yang, ketika diproses oleh aplikasi yang berjalan di atas Windows, dapat memungkinkan penyerang untuk mengeksekusi kode pada OS Windows yang belum ditambal.

Semua versi Windows 10 terpengaruh.
Microsoft mengatakan pembaruan untuk perpustakaan ini akan dipasang secara otomatis pada sistem pengguna melalui Microsoft Store.
Tidak semua pengguna terpengaruh, tetapi hanya mereka yang telah menginstal codec media HEVC opsional atau “HEVC dari Device Manufacturer” dari Microsoft Store.
HEVC tidak tersedia untuk distribusi offline dan hanya tersedia melalui Microsoft Store. Pustaka juga tidak didukung di Windows Server.
Untuk memeriksa dan melihat apakah Anda menggunakan codec HEVC yang rentan, pengguna dapat pergi ke Pengaturan, Aplikasi & Fitur, dan pilih HEVC, Opsi Lanjutan. Versi amannya adalah 1.0.32762.0, 1.0.32763.0, dan yang lebih baru.

KERENTANAN Visual Studio Code
Bug kedua dilacak sebagai CVE-2020-17023. Microsoft mengatakan penyerang dapat membuat file package.json berbahaya yang, saat dimuat dalam Visual Studio Code, dapat mengeksekusi kode berbahaya.

Bergantung pada izin pengguna, kode penyerang dapat dijalankan dengan hak administrator dan memungkinkan mereka mengontrol penuh host yang terinfeksi.
File package.json secara teratur digunakan dengan pustaka dan proyek JavaScript. JavaScript, dan terutama teknologi Node.js sisi servernya, adalah salah satu teknologi paling populer saat ini.
Pengguna Visual Studio Code disarankan untuk memperbarui aplikasi secepat mungkin ke versi terbaru.

Source : ZDnet

Serangan Emotet baru menggunakan umpan Pembaruan Windows palsu

October 16, 2020 by Winnie the Pooh

Dalam lanskap keamanan siber saat ini, botnet Emotet adalah salah satu sumber malspam terbesar – istilah yang digunakan untuk mendeskripsikan email yang mengirimkan lampiran file yang mengandung malware.

Kampanye malspam ini sangat penting bagi operator Emotet. Mereka adalah basis yang menopang botnet, memberikan banyak korban baru ke mesin Emotet – operasi kejahatan siber Malware-as-a-Service (MaaS) yang disewakan ke kelompok kriminal lain.

Untuk mencegah perusahaan keamanan mengejar dan menandai email mereka sebagai “email jahat” atau “spam”, grup Emotet secara teratur mengubah cara email ini dikirim dan tampilan lampiran file.

Operator emotet mengubah baris subjek email, teks di badan email, jenis lampiran file, tetapi juga konten lampiran file, yang sama pentingnya dengan email lainnya.

Tapi minggu ini, Emotet datang dari liburan baru-baru ini dengan membawa dokumen baru.

Lampiran file yang dikirim dalam kampanye Emotet baru-baru ini memperlihatkan pesan yang mengaku dari layanan Pembaruan Windows, memberi tahu pengguna bahwa aplikasi Office perlu diperbarui. Tentu saja, ini harus dilakukan dengan mengklik tombol Enable Editing (jangan tekan).

Menurut update dari grup Cryptolaemus, sejak kemarin iming-iming Emotet ini telah di-spam dalam jumlah besar ke pengguna yang berada di seluruh dunia.

Berdasarkan laporan ini, pada beberapa host yang terinfeksi, Emotet menginstal trojan TrickBot, mengkonfirmasikan laporan ZDNet dari awal pekan ini bahwa botnet TrickBot selamat dari upaya penghapusan baru-baru ini dari Microsoft dan mitranya.

Selain itu, Emotet sering kali menggunakan teknik yang disebut pembajakan percakapan, di mana ia mencuri utas email dari host yang terinfeksi, memasukkan dirinya ke dalam utas dengan balasan palsu salah satu peserta, dan menambahkan dokumen Office yang dibuat secara khusus sebagai lampiran.

Dalam kasus ini, pelatihan dan kesadaran adalah cara terbaik untuk mencegah serangan Emotet. Pengguna yang bekerja dengan email secara teratur harus diberi tahu tentang bahaya mengaktifkan makro di dalam dokumen, fitur yang sangat jarang digunakan untuk tujuan yang sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

800.000 SonicWall VPN rentan terhadap bug eksekusi kode jarak jauh baru

October 16, 2020 by Winnie the Pooh

Hampir 800.000 peralatan VPN SonicWall yang dapat diakses internet perlu diperbarui dan ditambal untuk kerentanan baru yang diungkapkan pada hari Rabu kemarin.

Ditemukan oleh tim keamanan Tripwire VERT, CVE-2020-5135 memengaruhi SonicOS, sistem operasi yang berjalan pada perangkat SonicWall Network Security Appliance (NSA).

SonicWall NSA digunakan sebagai firewall dan portal SSL VPN untuk memfilter, mengontrol, dan mengizinkan karyawan mengakses jaringan internal dan pribadi.

Peneliti Tripwire mengatakan SonicOS mengandung bug dalam komponen yang menangani protokol khusus.

Komponen terekspos pada interface WAN (internet publik), yang berarti penyerang mana pun dapat mengeksploitasinya, selama mereka mengetahui alamat IP perangkat.

Tripwire mengatakan mengeksploitasi bug tersebut mudah dilakukan bahkan untuk penyerang yang tidak terampil. Dalam bentuknya yang paling sederhana, bug dapat menyebabkan denial of service dan perangkat crash, tetapi “eksploitasi eksekusi kode kemungkinan besar dapat dilakukan”.

Perusahaan keamanan mengatakan telah melaporkan bug tersebut ke tim SonicWall, yang merilis patch pada hari Senin.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Zoom akan meluncurkan panggilan terenkripsi secara end-to-end (E2EE)

October 15, 2020 by Winnie the Pooh

Platform konferensi video Zoom mengumumkan hari ini rencana untuk meluncurkan kemampuan enkripsi end-to-end (E2EE) mulai minggu depan.

E2EE akan memungkinkan pengguna Zoom untuk menghasilkan kunci enkripsi individu yang akan digunakan untuk mengenkripsi panggilan suara atau video antara mereka dan peserta konferensi lainnya.

Kunci ini akan disimpan secara lokal dan tidak akan dibagikan dengan server Zoom, yang berarti perusahaan perangkat lunak tidak akan dapat mengakses atau intercept rapat E2EE yang sedang berlangsung.

Untuk menggunakan fitur baru, pengguna harus memperbarui klien mereka minggu depan dan mengaktifkan dukungan untuk panggilan E2EE di tingkat akun.

Perisai hijau ini akan berisi kunci jika E2EE aktif. Jika kunci tidak ada, Zoom akan menggunakan skema enkripsi GCM 256-bit AES default, yang digunakan perusahaan untuk mengamankan komunikasi saat ini, tetapi juga dapat intercept oleh perusahaan.

Namun, fitur tersebut tidak akan berfungsi jika tidak juga diaktifkan oleh penyelenggara konferensi, yang juga memiliki opsi untuk membatasi panggilan hanya untuk pengguna yang E2EE nya diaktifkan di tingkat akun mereka.

Berita selengkapnya:
Source: ZDNet

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

October 15, 2020 by Winnie the Pooh

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security

Cookies Settings