Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloud

Cloud

Perburuan Tingkat Lanjut Tanpa Batas untuk Microsoft 365 Defender dengan Azure Data Explorer

by

Data seperti insiden, peringatan, dan garis waktu peristiwa perangkat tetap tersedia selama 180 hari. Namun dalam kasus khusus ini, mereka mengacu pada data Perburuan Lanjutan yang dihapus setelah 30 hari. Jadi Anda tidak akan bisa menggunakan Kusto Query Language (KQL) untuk mencari event di “raw data”. Dan untuk tujuan berburu proaktif, saya setuju dengan pelanggan saya; ini terlalu singkat.

Artikel ini menunjukkan bagaimana Anda dapat memanfaatkan Azure Data Explorer (ADX) untuk mengarsipkan data dari Pertahanan Microsoft 356 tanpa harus menggunakan Microsoft Sentinel di antaranya. Karena menyampaikan data ini melalui Sentinel tidak disukai oleh kebanyakan orang, karena biaya tambahan yang menyertainya. Yang bisa sangat besar dalam beberapa kasus.

Jadi, Defender dapat mendorong peristiwa mentah ke Hub Peristiwa dan Azure Data Explorer juga dapat menarik pesan dari Hub Peristiwa. Kedengarannya sederhana kan? Saat kami mengonfigurasi Streaming API di Defender, kami akan melihat bahwa kami hanya memiliki lima slot yang tersedia untuk konfigurasi.

Mungkin satu atau dua slot sudah terisi karena Anda telah mengaktifkan konektor data Microsoft 365 Defender di Microsoft Sentinel. Sepertinya tidak ada cara untuk menghapusnya dari sini. Dalam setiap slot, kami dapat memutuskan untuk mendorong log ke Event Hub atau Azure Storage.

Selengkapnya: Medium

FTC AS Mencari Informasi tentang Cybersecurity Penyedia Cloud

by

Pergeseran global ke komputasi awan mungkin berada di bawah pengawasan ketat oleh regulator A.S. menyusul pengumuman oleh Komisi Perdagangan Federal A.S. bahwa mereka sedang mempelajari dinamika pasar industri awan, termasuk potensi risiko keamanan.

Badan pengawas mengeluarkan permintaan informasi yang menanyakan apakah penyedia cloud menggunakan langkah-langkah kontrak atau teknologi untuk mempertahankan pelanggan.

Ini juga meminta tanggapan publik paling lambat 22 Mei untuk pertanyaan seperti apa representasi yang dibuat penyedia cloud tentang keamanan data dan pembagian kontrak tanggung jawab untuk keamanan informasi pribadi konsumen yang disimpan di cloud.

“Sebagian besar ekonomi sekarang mengandalkan layanan cloud computing untuk berbagai layanan,” kata Chief Technology Officer FTC Stephanie Nguyen.

Analisis dari firma riset pasar teknologi Canalys mengatakan total pengeluaran di seluruh dunia untuk infrastruktur cloud tumbuh dua digit dan mencapai $247,1 miliar pada tahun 2022.

Tiga penyedia teratas – AWS, Microsoft Azure, dan Google Cloud – secara kolektif menyumbang sekitar dua pertiga dari total pengeluaran. Konsolidasi telah menjadi fakta kehidupan di pasar komputasi awan selama lebih dari satu dekade, ditandai dengan insiden seperti kegagalan penyedia infrastruktur sebagai layanan Nirvanix pada tahun 2013.

“Jika ini adalah industri dengan biaya modal yang sangat tinggi, yang menurut saya memang demikian, masuk akal untuk memiliki beberapa pemain utama, dalam hal ini Anda ingin memiliki aturan utilitas publik untuk memastikan tidak ada diskriminasi di berbagai lapisan. rantai pasokan,” kata Matt Stoller, direktur penelitian di American Economic Liberties Project, sebuah think tank Washington yang mempromosikan penegakan peraturan antimonopoli secara agresif. “Ada banyak pertanyaan terbuka tentang daerah ini,” tambahnya.

Selengkapnya: GOV INFO SECURITY

3 Cara Penyerang Lewati Keamanan Cloud

by

Kampanye serangan dunia maya ini adalah salah satu ancaman paling produktif saat ini yang menargetkan sistem cloud — dan kemampuan mereka untuk menghindari deteksi harus berfungsi sebagai peringatan tentang potensi ancaman yang akan datang, seorang peneliti keamanan merinci di sini hari ini.

“Kampanye malware yang berfokus pada cloud baru-baru ini telah menunjukkan bahwa kelompok musuh memiliki pengetahuan mendalam tentang teknologi cloud dan mekanisme keamanan mereka. Dan tidak hanya itu, mereka menggunakannya untuk keuntungan mereka,” kata Matt Muir, insinyur intelijen ancaman untuk Cado Security, yang membagikan detail tentang ketiga kampanye yang telah dipelajari timnya.

Sementara tiga kampanye serangan semuanya tentang cryptomining pada saat ini, beberapa teknik mereka dapat digunakan untuk tujuan yang lebih jahat. Dan sebagian besar, ini dan serangan lain yang dilihat tim Muir mengeksploitasi pengaturan cloud yang salah konfigurasi dan kesalahan lainnya. Itu sebagian besar berarti bertahan melawan mereka mendarat di kamp pelanggan cloud, menurut Muir.

“Secara realistis untuk jenis serangan ini, ini lebih berkaitan dengan pengguna daripada penyedia layanan [cloud],” kata Muir kepada Dark Reading. “Mereka sangat oportunistik. Sebagian besar serangan yang kami lihat lebih berkaitan dengan kesalahan” oleh pelanggan cloud, katanya.

Mungkin perkembangan yang paling menarik dari serangan ini adalah bahwa mereka sekarang menargetkan komputasi dan wadah tanpa server, katanya. “Kemudahan sumber daya cloud dapat dikompromikan telah menjadikan cloud sebagai sasaran empuk,” katanya dalam presentasinya, “Teknik Evasion Deteksi Dunia Nyata di Cloud.”

Selengkapnya: DARKReading

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

130 Github Repositori Dicuri dari Dropbox oleh Hacker

by

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”


Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Lebih dari 45.000 server VMware ESXi baru saja mencapai akhir masa pakainya

by

Lebih dari 45.000 server VMware ESXi yang diinventarisasi oleh Lansweeper baru saja mencapai akhir masa pakai (EOL), dengan VMware tidak lagi menyediakan pembaruan perangkat lunak dan keamanan kecuali perusahaan membeli kontrak dukungan yang diperpanjang.

Lansweeper mengembangkan manajemen aset dan perangkat lunak penemuan yang memungkinkan pelanggan melacak perangkat keras dan perangkat lunak apa yang mereka jalankan di jaringan mereka.

Mulai 15 Oktober 2022, VMware ESXi 6.5 dan VMware ESXi 6.7 mencapai akhir masa pakainya dan hanya akan menerima dukungan teknis tetapi tidak ada pembaruan keamanan, yang menempatkan perangkat lunak pada risiko kerentanan.

Perusahaan menganalisis data dari 6.000 pelanggan dan menemukan 79.000 server VMware ESXi yang diinstal.

Dari server tersebut, 36,5% (28.835) menjalankan versi 6.7.0, dirilis pada April 2018, dan 21,3% (16.830) berada di versi 6.5.0, dirilis pada November 2016. Secara total, ada 45.654 server VMware ESXi mencapai End of Hidup mulai hari ini

Temuan Lansweeper mengkhawatirkan karena selain 57% yang memasuki periode risiko tinggi, ada juga 15,8% instalasi lain yang menjalankan versi yang lebih lama, mulai dari 3.5.0 hingga 5.5.0, yang mencapai EOL beberapa waktu lalu. .

Singkatnya, saat ini, hanya sekitar satu dari empat server ESXi (26,4%) yang diinventarisasi oleh Lansweeper yang masih didukung dan akan terus menerima pembaruan keamanan reguler hingga 02 April 2025.

Namun, pada kenyataannya, jumlah server VMware yang mencapai EOL hari ini, kemungkinan jauh lebih besar, karena laporan ini hanya didasarkan pada pelanggan Lansweeper.

Selengkapnya: Bleeping Computer

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

by

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Grup peretas ‘8220’ mengembangkan botnet cloud ke lebih dari 30.000 host

by

Geng cryptomining yang dikenal sebagai 8220 Gang telah mengeksploitasi kerentanan Linux dan aplikasi cloud untuk mengembangkan botnet mereka ke lebih dari 30.000 host yang terinfeksi.

Grup ini adalah aktor berketerampilan rendah, bermotivasi finansial yang menginfeksi host AWS, Azure, GCP, Alitun, dan QCloud setelah menargetkan sistem yang tersedia untuk umum yang menjalankan versi Docker, Redis, Confluence, dan Apache yang rentan.

Serangan sebelumnya dari geng ini mengandalkan eksploitasi yang tersedia untuk umum untuk mengkompromikan server Confluence.

Setelah mendapatkan akses, penyerang menggunakan paksaan SSH untuk menyebar lebih jauh dan membajak sumber daya komputasi yang tersedia untuk menjalankan cryptominers yang menunjuk ke kumpulan yang tidak dapat dilacak.

Geng 8220 telah aktif setidaknya sejak 2017 dan tidak dianggap sangat canggih, tetapi ledakan tiba-tiba dalam jumlah infeksi menggarisbawahi betapa berbahaya dan berdampaknya aktor tingkat bawah ini ketika mereka mengabdikan diri untuk tujuan mereka.

Dalam kampanye terbaru, yang diamati dan dianalisis oleh SentinelLabs, Geng 8220 telah menambahkan hal-hal baru ke skrip yang digunakan untuk memperluas botnet mereka, sepotong kode yang cukup tersembunyi meskipun tidak memiliki mekanisme penghindaran deteksi khusus.

Mulai akhir bulan lalu, grup tersebut mulai menggunakan file khusus untuk pengelolaan langkah paksa SSH, yang berisi 450 kredensial hardcode yang sesuai dengan berbagai perangkat dan aplikasi Linux.

Pembaruan lainnya adalah penggunaan daftar blokir dalam skrip untuk mengecualikan host tertentu dari infeksi, sebagian besar mengenai honeypot yang dibuat oleh peneliti keamanan.

Akhirnya, 8220 Gang sekarang menggunakan versi baru dari cryptominer kustomnya, PwnRig, yang didasarkan pada XMRig penambang Monero open-source.

Dalam versi terbaru PwnRig, penambang menggunakan subdomain FBI palsu dengan alamat IP yang mengarah ke domain pemerintah federal Brasil untuk membuat permintaan kumpulan palsu dan mengaburkan tujuan sebenarnya dari uang yang dihasilkan.

Penurunan harga cryptocurrency memaksa aktor cryptojacking untuk meningkatkan operasi mereka sehingga mereka dapat mempertahankan keuntungan yang sama. Monero, khususnya, telah kehilangan lebih dari 20% nilainya selama enam bulan terakhir.

Sumber: Bleeping Computer