Security

Dua merchant perhotelan Amerika Utara diretas pada bulan Mei dan Juni

October 5, 2020 by Winnie the Pooh

Dalam peringatan keamanan yang diterbitkan pada hari Kamis, Visa mengungkapkan bahwa dua merchant perhotelan Amerika Utara diretas dan sistem mereka terinfeksi malware point-of-sale (POS) awal tahun ini.

Malware POS dirancang untuk menginfeksi sistem Windows, mencari aplikasi POS, kemudian mencari dan memantau memori komputer untuk detail kartu pembayaran yang sedang diproses di dalam aplikasi pembayaran POS.

PERETASAN BULAN JUNI: HACKERS MENGGUNAKAN TIGA STRAIN POS MALWARE YANG BERBEDA

Dari kedua insiden tersebut, insiden kedua yang terjadi pada bulan Juni adalah yang paling menarik dilihat dari sudut pandang insiden respon (IR).

Visa mengatakan telah menemukan tiga jenis malware POS di jaringan korban – yaitu RtPOS, MMon (alias Kaptoxa), dan PwnPOS. Alasan mengapa geng malware menyebarkan tiga jenis malware tidak diketahui, tetapi bisa jadi penyerang ingin memastikan mereka mendapatkan semua data pembayaran dari berbagai sistem.

PERETASAN BULAN MEI: MENGGUNAKAN EMAIL PHISHING SEBAGAI TITIK MASUK

Malware POS yang digunakan dalam insiden ini diidentifikasi sebagai versi strain TinyPOS.

Dua serangan baru-baru ini menunjukkan bahwa terlepas dari peningkatan dan perhatian baru-baru ini bahwa insiden skimming web (magecart) dan ransomware semakin meningkat di media, geng-geng kejahatan siber tidak melupakan penargetan sistem POS.

“Serangan baru-baru ini menunjukkan minat terus-menerus pelaku ancaman dalam menargetkan sistem POS merchant untuk mengambil data rekening pembayaran saat ini,” kata Visa.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

October 5, 2020 by Winnie the Pooh

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Kompleksitas merusak keamanan komputer, kata akademisi yang membantu menemukan kelemahan Meltdown dan Spectre

October 4, 2020 by Winnie the Pooh Leave a Comment

Daniel Gruss, asisten profesor di grup Sistem Aman di Universitas Teknologi Graz Austria. Gruss dan rekan-rekannya menemukan beberapa snafus keamanan terbesar baru-baru ini, termasuk kelemahan desain mikroprosesor Meltdown dan Spectre, eksploitasi Rowhammer yang berfungsi, serangan pada Intel SGX termasuk Plundervolt, dan banyak lagi lainnya.

Pada konferensi Black Hat Asia, yang diadakan secara virtual pada hari Jumat di zona waktu Singapura, Gruss menguraikan keyakinannya bahwa meskipun mungkin untuk membuat sistem yang terbukti aman – dengan usaha keras – ini jarang dilakukan dalam produksi. Bagaimanapun, dunia telah terbiasa menggunakan labirin sistem yang saling terkait, tidak terbukti, dan seringkali tidak didokumentasikan secara publik.

Asisten profesor juga mengajukan teorinya bahwa ketika Hukum Moore habis, kita akan menggunakan lebih banyak sistem dengan semakin banyak prosesor dan inti akselerator yang semuanya berinteraksi satu sama lain, yang berarti semakin banyak risiko keamanan. Membangun sistem yang lebih sederhana bukanlah suatu pilihan, dia yakin, karena umat manusia sekarang memiliki ekspektasi komputasi kinerja tinggi.

Saran pertamanya adalah ilmu komputer perlu memikirkan kembali dirinya sendiri. Saat ini, kata dia, mata pelajaran tersebut dianggap sebagai ilmu formal. Gruss mengatakan itu perlu diubah, karena dua alasan.

Gruss berpikir itu mungkin kabar baik bagi para profesional keamanan karena dunia jelas akan membutuhkan lebih banyak dari mereka, dan banyak yang akan memiliki keterampilan baru untuk dipelajari. “Dalam 30 tahun saya berharap kami memiliki lebih banyak orang yang mempelajari dan menganalisis sistem, dan lebih banyak variasi pekerjaan keamanan,” katanya dalam acara virtual tersebut.

“Tanpa internet, ransomware tidak akan berkembang sebaik itu,” katanya, menggambarkan bagaimana perubahan pola penggunaan dapat menimbulkan masalah yang sama sekali tidak terduga.

Dia juga menyarankan bahwa asuransi akan memiliki lebih banyak peran karena metode empiris dapat mengungkapkan lebih banyak risiko. Dan perusahaan asuransi senang merancang produk yang dapat meminimalisir risiko. Namun asuransi tidak dapat, mengurangi kebutuhan akan kewaspadaan, dan ada argumen yang mendorong para penjahat.

“Kami akan memiliki keamanan kerja untuk semua orang yang bekerja di analisis keamanan,” kata Gruss. “Kurasa itu hal yang bagus.”

Source : theregister

Patch CVE-2020-1472 Netlogon Secure Channel sekarang!

October 3, 2020 by Winnie the Pooh

Netlogon Remote Protocol atau disebut MS-NRPC adalah antarmuka RPC yang digunakan secara eksklusif oleh perangkat yang bergabung dengan domain tertentu. MS-NRPC menyertakan metode otentikasi dan metode untuk membuat Netlogon secure channel. Pembaruan ini memberlakukan perilaku klien Netlogon tertentu untuk menggunakan Secure RPC dengan Netlogon Secure Channel antara komputer client dan Domain Controllers (DC) direktori aktif (AD).

Pembaruan keamanan ini mengatasi kerentanan dengan memberlakukan Secure RPC saat menggunakan Netlogon Secure Channel di rilis secara bertahap yang dijelaskan di bagian Pembaruan. Untuk memberikan perlindungan AD, semua DC harus diperbarui karena mereka akan memberlakukan Secure RPC dengan Netlogon Secure Channel. Ini termasuk read only domain controller (RODC).

Pada halaman advisori, Microsoft merilis langkah-langkah untuk menutup celah CVE-2020-1472 :

1.UPDATE Domain Controller anda dengan update yang dirilis pada 11 Agustus 2020 atau setelahnya.
2.CARI perangkat yang mempunyai celah melalui monitoring event log.
3.CATAT perangkat yang sudah tidak mendapatkan update karena riskan terhadap koneksi yang rentan.
4.AKTIFKAN enforcement mode untuk mengatasi CVE-2020-1472 dalam organisasi anda.

Harap segera patch perangkat anda pada situs resmi Microsoft disini.

Siapa dalang di Balik Pemadaman 911 pada14 daerah Senin lalu?

October 3, 2020 by Winnie the Pooh

Sistem darurat 911 mati selama lebih dari satu jam pada hari Senin di 14 negara bagian AS. Pemadaman listrik menyebabkan banyak outlet berita berspekulasi bahwa masalah tersebut terkait dengan platform layanan web Azure Microsoft, yang juga sedang berjuang dengan pemadaman yang meluas pada saat itu. Namun, berbagai sumber memberi tahu KrebsOnSecurity bahwa masalah 911 berasal dari semacam snafu teknis yang melibatkan Intrado dan Lumen, dua perusahaan yang bersama-sama menangani panggilan 911 untuk wilayah Amerika Serikat yang luas.

Pada Senin, 28 September, beberapa negara bagian termasuk Arizona, California, Colorado, Delaware, Florida, Illinois, Indiana, Minnesota, Nevada, North Carolina, North Dakota, Ohio, Pennsylvania dan Washington melaporkan pemadaman pada layanan 911 akibat pemadaman listrik di berbagai kota dan daerah.

Beberapa laporan berita menunjukkan pemadaman mungkin terkait dengan gangguan layanan yang sedang berlangsung di Microsoft. Namun juru bicara mengatakan kepada KrebsOnSecurity, “kami tidak melihat indikasi bahwa pemadaman multi-negara 911 adalah akibat dari gangguan layanan Azure kemarin.”

Namun menurut pejabat di Henderson County, NC, yang mengalami 911 kegagalannya sendiri kemarin, Intrado mengatakan pemadaman itu disebabkan oleh masalah dengan penyedia layanan yang tidak ditentukan.

“Pada 28 September 2020, pukul 16.30 MT, Penyedia Layanan 911 kami mengamati kondisi internal jaringan mereka yang berdampak pada pengiriman panggilan 911,” bunyi pernyataan yang diberikan Intrado kepada pejabat daerah. “Dampaknya telah dimitigasi, dan layanan dipulihkan dan dipastikan berfungsi pada pukul 17:47 MT. Penyedia layanan kami sedang bekerja untuk mencari akar masalah. ”

Penyedia layanan yang dirujuk dalam pernyataan Intrado tampaknya adalah Lumen, sebuah firma komunikasi dan penyedia 911 yang hingga saat ini dikenal sebagai CenturyLink Inc. Melihat halaman status perusahaan menunjukkan beberapa sistem Lumen mengalami gangguan layanan total atau parsial pada hari Senin, termasuk jaringan cloud private dan internal serta jaringan sistem kontrolnya.

Halaman status Lumen menunjukkan cloud pribadi dan internal perusahaan serta jaringan sistem kontrol mengalami gangguan atau gangguan layanan pada hari Senin.

Dalam pernyataan yang diberikan kepada KrebsOnSecurity, Lumen menyalahkan masalah tersebut pada Intrado.

“Sekitar pukul 16.30. MT, beberapa pelanggan Lumen terpengaruh oleh peristiwa mitra vendor yang memengaruhi 911 layanan di AZ, CO, NC, ND, MN, SD, dan UT, ”bunyi pernyataan itu. “Layanan dipulihkan dalam waktu kurang dari satu jam dan semua lalu lintas 911 dirutekan dengan benar saat ini. Mitra vendor sedang dalam proses menyelidiki acara tersebut. ”

Layaknya bukan suatu kebetulan kedua perusahaan ini sekarang beroperasi dengan nama baru, karena ini bukan pertama kalinya masalah di antara keduanya mengganggu akses 911 untuk sejumlah besar orang Amerika.

Korea Utara mencoba meretas 11 pejabat Dewan Keamanan PBB

October 3, 2020 by Winnie the Pooh

Sebuah kelompok peretas yang sebelumnya terkait dengan pemerintah Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan diungkapkan dalam laporan PBB bulan lalu, terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok hacker Korea Utara yang dikenal dengan nama sandi Kimsuky.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB

atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Negara yang melaporkan serangan Kimsuky ke Dewan Keamanan PBB itu juga mengatakan bahwa kampanye serupa juga dilakukan terhadap anggota pemerintahannya sendiri, dengan beberapa serangan terjadi melalui WhatsApp, dan bukan hanya email.

Laporan PBB, yang melacak dan merinci tanggapan Korea Utara terhadap sanksi internasional, juga mencatat bahwa kampanye ini telah aktif selama lebih dari setahun.

Dalam laporan serupa yang diterbitkan pada Maret, Dewan Keamanan PBB mengungkapkan dua kampanye Kimsuky lainnya terhadap pejabat.
Yang pertama adalah serangkaian serangan spear-phishing terhadap 38 alamat email yang terkait dengan pejabat Dewan Keamanan – semuanya adalah anggota Dewan Keamanan pada saat serangan itu.

Yang kedua adalah operasi yang dirinci dalam laporan dari Badan Keamanan Siber Nasional Prancis [PDF]. Terhitung sejak Agustus 2019, ini adalah serangan spear-phishing terhadap pejabat dari China, Prancis, Belgia, Peru, dan Afrika Selatan, yang semuanya adalah anggota Dewan Keamanan PBB pada saat itu.

Source : ZDNet

Spammer Menyelundupkan LokiBot Melalui Taktik Obfuscation URL

October 2, 2020 by Winnie the Pooh

Pelaku spam mulai menggunakan teknik penyamaran URL rumit untuk menghindari deteksi – dan pada akhirnya menginfeksi korban dengan trojan LokiBot.

Taktik itu ditemukan dalam email spear-phishing baru-baru ini dengan lampiran PowerPoint, yang berisi makro berbahaya.

Saat file PowerPoint dibuka, dokumen mencoba mengakses URL melalui binary Windows (mshta.exe), dan ini menyebabkan berbagai malware diinstal ke sistem.

Proses ini bukan hal baru untuk pengunduh makro. Namun, karena domain yang terkait dengan kampanye telah diketahui menghosting file dan data berbahaya, penyerang menggunakan serangan semantik unik pada URL kampanye untuk mengelabui penerima email dan menghindari dideteksi oleh email dan AV.

Serangan URL semantik adalah ketika klien secara manual menyesuaikan parameter permintaannya dengan mempertahankan sintaks URL – tetapi mengubah arti semantiknya.

Email berbahaya yang diamati oleh peneliti berjudul: “URGENT: REQUEST FOR OFFER (University of Auckland)” dan PowerPoint terlampir berjudul “Request For Offer.”

Para spammer di balik serangan ini telah menerobos salah satu komponen skema URI yang disebut komponen Authority, yang memegang bagian informasi pengguna opsional.

Contoh dari struktur Authority ini adalah sebagai berikut: otoritas=[userinfo @]host[:port].

Karena “userinfo” tidak umum digunakan, kadang-kadang diabaikan oleh server, kata peneliti. Dalam kampanye khusus ini, penyerang memanfaatkan fakta ini, memanfaatkan apa yang oleh peneliti disebut sebagai userinfo “dummy” untuk menyembunyikan maksud sebenarnya.

Dalam kampanye khusus ini, URL yang digunakan (j [.] Mp / kassaasdskdd) sebenarnya menggunakan layanan pemendekan URL Bit.ly dan mengarah ke Pastebin. Untuk menghindari deteksi, penyerang berulang kali menggunakan string pendek acak (“% 909123id”) di bagian userinfo di URL mereka.

“Aktor siber mencoba membuat domain tidak terlalu mencolok namun tetap sesuai dengan sintaks URI generik,” kata peneliti.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Bagaimana geng malware Cina menipu pengguna Facebook

October 2, 2020 by Winnie the Pooh

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security

PERETASAN BULAN JUNI: HACKERS MENGGUNAKAN TIGA STRAIN POS MALWARE YANG BERBEDA

PERETASAN BULAN MEI: MENGGUNAKAN EMAIL PHISHING SEBAGAI TITIK MASUK

Cookies Settings