Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Kerentanan besar yang berlangsung lama membuat jutaan handset Android terbuka lebar untuk pencurian data

by

Menurut tweet dari Łukasz Siewierski Google (melalui Mishaal Rahman, 9to5Google), peretas dan “orang dalam yang jahat” telah dapat membocorkan kunci penandatanganan platform yang digunakan oleh beberapa produsen Android untuk menandatangani aplikasi sistem yang digunakan pada perangkat Android.

Kerentanan jangka panjang memengaruhi LG, Samsung, dan produsen terkait Android lainnya
sistem yang mempercayai aplikasi yang ditandatangani oleh kunci yang sama yang digunakan untuk mengautentikasi sistem operasi itu sendiri. Jadi Anda bisa melihat apa masalahnya di sini. Aktor jahat yang mengontrol kunci-kunci ini dapat membuat Android “mempercayai” aplikasi sarat malware di tingkat sistem.

Sementara semua sumber kunci yang bocor belum teridentifikasi, perusahaan yang disebutkan adalah sebagai berikut:

  • Samsung
  • LG
  • Mediatek
  • Szroco (perusahaan yang memproduksi tablet Onn Walmart)
  • Revoview

Google mengatakan bahwa kerentanan dilaporkan pada bulan Mei tahun ini dan bahwa perusahaan yang terlibat telah “mengambil tindakan perbaikan untuk meminimalkan dampak pengguna.

Google, dalam sebuah pernyataan, mengatakan bahwa pengguna Android dilindungi melalui fitur Google Play Store Protect, dan melalui tindakan yang diambil oleh produsen. Google menyatakan bahwa eksploit ini tidak memengaruhi aplikasi apa pun yang diunduh dari Play Store.

Apa yang perlu Anda lakukan untuk membatasi eksposur Anda
Google merekomendasikan agar perusahaan yang terlibat menukar kunci penandatanganan yang saat ini digunakan dan berhenti menggunakan kunci yang bocor. Ini juga menunjukkan bahwa setiap perusahaan memulai penyelidikan untuk memahami bagaimana kunci itu bocor.

Jadi apa yang dapat Anda lakukan sebagai pemilik ponsel Android yang mungkin terpengaruh? Pastikan handset Anda menjalankan Android versi terbaru dan instal semua pembaruan keamanan segera setelah tiba.

Yang menakutkan adalah bahwa kerentanan ini tampaknya telah ada selama bertahun-tahun.

sumber : phone arena

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

by

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Peretas Dapat Menyebabkan Bencana pada Deepwater Horizon

by

Jaringan fasilitas minyak dan gas lepas pantai di A.S. berada pada risiko yang serius dan semakin meningkat dari serangan siber yang berpotensi sangat membahayakan. jika serangan dunia maya berhasil mengenai infrastruktur lepas pantai negara tersebut, hal itu dapat menyebabkan bencana dengan dampak yang serupa dengan bencana Deepwater Horizon.

Saat ini terdapat lebih dari 1.600 bangunan di landas kontinen luar yang terlibat dalam produksi minyak dan gas yang tersebar di pesisir Atlantik, Pasifik, dan Alaska, serta Teluk Meksiko. Struktur tersebut sangat bergantung pada teknologi operasional yang dikendalikan dari jarak jauh. Peretasan itu sangat memalukan mengingat bahwa kebocoran itu adalah hasil dari satu kata sandi yang disusupi, dan audit teknologi yang dilakukan tiga tahun sebelum pelanggaran tersebut menemukan bahwa sistem Kolonial dapat diretas oleh “anak kelas delapan,” kata salah satu auditor kemudian.

Jaringan fasilitas dan infrastruktur minyak dan gas lepas pantai nasional diatur oleh Bureau of Safety and Environmental Enforcement (BSEE). The Government Accountability Office (GAO) menemukan bahwa operasi minyak dan gas semakin berpindah ke pekerjaan jarak jauh dan “produksi minyak dan gas tak berawak menjadi semakin umum.” Pada saat yang sama, banyak sistem teknologi operasional yang sudah ketinggalan zaman atau terhubung ke bisnis yang lebih besar dan sistem TI dalam perusahaan yang dapat diakses dari jarak jauh.

Kegagalan sistem keamanan otomatis adalah bagian dari rangkaian masalah yang menyebabkan ledakan Deepwater Horizon 2010, tumpahan minyak terbesar dalam sejarah AS yang menewaskan 11 orang.

“Aktor ancaman semakin mampu melakukan serangan terhadap infrastruktur penting, termasuk infrastruktur minyak dan gas lepas pantai,” laporan itu menemukan. “Pada saat yang sama, infrastruktur menjadi lebih rentan terhadap serangan.

sumber : gizmodo

Peneliti Diam-diam Membobol Kunci Ransomware Zeppelin

by

Peter adalah seorang manajer TI untuk produsen teknologi yang terkena serangan ransomware Rusia yang disebut “Zeppelin”. Peter, yang berbicara terus terang tentang serangan tanpa menyebut nama, mengatakan FBI menyuruhnya untuk menghubungi perusahaan konsultan keamanan dunia maya di New Jersey bernama Unit 221B, dan khususnya pendirinya – Lance James.

Dalam sebuah wawancara dengan KrebsOnSecurity, James mengatakan Unit 221B berhati-hati dalam mengiklankan kemampuannya untuk memecahkan kunci ransomware Zeppelin karena tidak ingin menyerahkan tangannya kepada pencipta Zeppelin, yang cenderung memodifikasi pendekatan enkripsi file mereka jika mereka mendeteksi itu entah bagaimana. sedang dilewati.

Kelompok Zeppelin tampaknya telah berhenti menyebarkan kode ransomware mereka secara bertahap selama setahun terakhir, mungkin karena rujukan Unit 221B dari FBI membiarkan mereka diam-diam membantu hampir dua lusin organisasi korban pulih tanpa membayar pemeras mereka.

Para peneliti mengatakan jeda mereka datang ketika mereka memahami bahwa sementara Zeppelin menggunakan tiga jenis kunci enkripsi yang berbeda untuk mengenkripsi file, mereka dapat membatalkan keseluruhan skema dengan memfaktorkan atau menghitung hanya salah satunya: Kunci publik RSA-512 singkat yang dihasilkan secara acak pada setiap mesin yang terinfeksi.

Unit 221B akhirnya membuat versi Linux “Live CD” yang dapat dijalankan oleh korban pada sistem yang terinfeksi untuk mengekstrak kunci RSA-512 tersebut. Dari sana, mereka akan memuat kunci ke dalam sekelompok 800 CPU yang disumbangkan oleh raksasa Digital Ocean hosting yang kemudian akan mulai memecahkannya.

Catatan ransomware khas Zeppelin.

Jon adalah korban ransomware Zeppelin lainnya yang dibantu oleh upaya dekripsi Unit 221B. Penyerang yang merusak perusahaan Jon berhasil melakukan phishing kredensial dan token autentikasi multi-faktor untuk beberapa alat yang digunakan perusahaan untuk mendukung pelanggan, dan dalam waktu singkat mereka telah menguasai server dan cadangan untuk pelanggan penyedia layanan kesehatan.

Pada Agustus 2022, FBI dan Cybersecurity & Infrastructure Security Agency (CISA) mengeluarkan peringatan bersama pada Zeppelin, mengatakan FBI telah “mengamati contoh di mana aktor Zeppelin mengeksekusi malware mereka beberapa kali dalam jaringan korban, menghasilkan pembuatan ID yang berbeda. atau ekstensi file, untuk setiap kejadian serangan; ini mengakibatkan korban memerlukan beberapa kunci dekripsi unik.”

Pada saat perusahaan Jon berhasil mendekripsi data mereka, mereka dipaksa oleh regulator untuk membuktikan bahwa tidak ada data pasien yang telah diekstraksi dari sistem mereka. Secara keseluruhan, majikannya membutuhkan waktu dua bulan untuk pulih sepenuhnya dari serangan itu.

sumber : krebson security

Serangan DUCKTAIL Memakan Korban Ratusan Ribu Dolar

by Leave a Comment

“DUCKTAIL”, sebuah operasi kejahatan dunia maya yang berbasis di Vietnam yang ditemukan oleh WithSecure™ (sebelumnya dikenal sebagai bisnis F-Secure) awal tahun ini, terus mengembangkan operasinya, menurut sebuah analisis baru.

Sejak 2021, DUCKTAIL telah menggunakan LinkedIn untuk menargetkan individu dan organisasi yang beroperasi di platform Iklan dan Bisnis Facebook untuk membajak akun Facebook Business.

Aktivitas DUCKTAIL baru-baru ini yang diamati sejak awal September menampilkan beberapa perubahan pada mode operasinya, termasuk:

  • Jalan baru untuk menyasar target spear-phish, seperti WhatsApp.
  • Perubahan pada kemampuan malware dengan cara yang lebih kuat untuk mengambil alamat email yang dikontrol penyerang dan membuat malware terlihat lebih sah dengan membuka dokumen dummy dan file video saat diluncurkan.
  • Upaya berkelanjutan untuk penghindaran pertahanan dengan mengubah format dan kompilasi file, serta penandatanganan sertifikat.
  • Pengembangan sumber daya lebih lanjut dan perluasan operasional dengan mendirikan bisnis palsu tambahan di Vietnam dan memasukkan afiliasi ke dalam operasi.

Cara Mengatasi DUCKTAILL
Tim respons insiden WithSecure telah membantu beberapa organisasi korban merespons serangan dari DUCKTAIL dan ancaman lain yang menargetkan platform Iklan & Bisnis Facebook. Kerugian dari serangan ini berkisar antara satu hingga enam ratus ribu dolar kredit iklan.

Pembela dapat mengambil langkah-langkah berikut untuk melindungi diri dari DUCKTAIL dan ancaman serupa:

  • Tingkatkan kesadaran tentang spear-phishing di antara pengguna dengan akses ke akun bisnis Facebook/Meta.
  • Terapkan aplikasi yang diizinkan untuk mencegah eksekusi yang tidak diketahui berjalan.
  • Gunakan solusi EDR/EPP untuk mencegah dan mendeteksi malware pada tahap awal siklus serangan.
  • Pastikan perangkat terkelola atau pribadi yang digunakan dengan akun Facebook perusahaan memiliki kebersihan dan perlindungan dasar.
  • Gunakan penjelajahan pribadi untuk mengautentikasi setiap sesi kerja saat mengakses akun Facebook Business (sehingga sesi dilupakan setelah selesai, yang mencegah cookie dicuri dan disalahgunakan).
  • Follow Meta’s recommended security practices.
  • Unduh dan analisis log yang relevan secepat mungkin saat menanggapi insiden yang dicurigai.

sumber : with secure

Microsoft Mengatakan Penyerang Dapat Meretas Jaringan Energi dengan Mengeksploitasi Perangkat Lunak Berusia Puluhan Tahun

by

Peneliti di Microsoft mengatakan mereka telah menemukan komponen sumber terbuka yang rentan di server web Boa, yang masih banyak digunakan di berbagai router dan kamera keamanan, serta kit pengembangan perangkat lunak (SDK) yang populer, meskipun perangkat lunak tersebut sudah pensiun pada tahun 2005. Raksasa teknologi mengidentifikasi komponen tersebut saat menyelidiki dugaan gangguan jaringan listrik India yang pertama kali dirinci oleh Recorded Future pada bulan April, di mana penyerang yang disponsori negara China menggunakan perangkat IoT untuk mendapatkan pijakan pada jaringan operational technology (OT), yang digunakan untuk memantau dan mengendalikan industri fisik

Perusahaan menambahkan bahwa penyerang terus berupaya mengeksploitasi kelemahan Boa, yang mencakup bug pengungkapan informasi dengan tingkat keparahan tinggi (CVE-2021-33558) dan kelemahan akses file arbitrer lainnya (CVE-2017-9833).

“[Vulnerabilities/Kerentanan] yang diketahui memengaruhi komponen tersebut dapat memungkinkan penyerang mengumpulkan informasi tentang aset jaringan sebelum memulai serangan, dan untuk mendapatkan akses ke jaringan tanpa terdeteksi dengan memperoleh kredensial yang valid,” kata Microsoft,

Microsoft mengatakan serangan terbaru yang diamati adalah kompromi Tata Power pada bulan Oktober. Pelanggaran ini mengakibatkan grup ransomware Hive menerbitkan data yang dicuri dari raksasa energi India, yang mencakup informasi sensitif karyawan, gambar teknik, catatan keuangan dan perbankan, catatan klien, dan beberapa kunci pribadi.

Perusahaan telah memperingatkan bahwa mengurangi kelemahan Boa ini sulit karena popularitas yang terus berlanjut dari server web yang sekarang sudah tidak berfungsi dan sifat rumit dari bagaimana itu dibangun ke dalam rantai pasokan perangkat IoT.Peringatan Microsoft sekali lagi menyoroti risiko rantai pasokan yang ditimbulkan oleh kelemahan dalam komponen jaringan yang digunakan secara luas. Log4Shell, kerentanan zero-day yang tahun lalu diidentifikasi di Log4j, pustaka logging Apache open-source, diperkirakan berpotensi memengaruhi lebih dari tiga miliar perangkat.

sumber : tech crunch

Upaya Microsoft untuk Mengeraskan Autentikasi Kerberos Merusaknya di Server Windows

by

Microsoft meluncurkan perbaikan untuk masalah dengan protokol otentikasi jaringan Kerberos di Windows Server setelah rusak oleh pembaruan November Patch Tuesday/ Patch November Selasa.

Seperti yang kami laporkan minggu lalu, pembarauan yang dirilis 8 november atau lebih baru yang diinstal pada windows server dengan tugas pengontrol domain untuk mengelola jaringan dan permintaan keamanan indentitas mengganggu kemampuan otentikasi kerberos, mulai dari kegagalan dalam masuk pengguna domain dan otentikasi aun layanan yang dikelola grup ke koneksi desktop jarak jauh tidak terhubung.

Ada juga masalah lain termasuk pengguna tidak dapat mengakses folder bersama di workstation dan koneksi printer yang memerlukan otentikasi pengguna domain gagal.

Minggu lalu, Microsoft mengeluarkan pembaruan out-of-band (OOB) darurat yang dapat diinstal di semua Pengontrol Domain, mengatakan bahwa pengguna tidak perlu menginstal pembaruan lain atau membuat perubahan pada server lain atau perangkat klien untuk mengatasi masalah tersebut. Juga, solusi apa pun yang digunakan untuk mengurangi masalah tidak lagi diperlukan dan harus dihapus, tulis perusahaan itu.

Kerberos digunakan untuk mengotentikasi permintaan layanan antara beberapa host tepercaya di jaringan yang tidak tepercaya seperti internet, menggunakan kriptografi kunci rahasia dan pihak ketiga tepercaya untuk mengotentikasi aplikasi dan identitas pengguna. Itu dibuat pada 1980-an oleh para peneliti di MIT.

Microsoft mulai menggunakan Kerberos di Windows 2000 dan sekarang menjadi alat otorisasi default di OS. Versi lain Kerberos – yang dikelola oleh Kerberos Consortium – tersedia untuk sistem operasi lain termasuk Apple OS, Linux, dan Unix.

Pengguna sistem Windows dengan bug berkemungkinan bertemu dengan pemberitahuan “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 error event” pemberitahuan di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka dengan teks yang menyertakan: ” Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1).”

Microsoft juga telah meluncurkan pembaruan kumulatif untuk diinstal pada Pengontrol Domain: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655), dan Windows Server 2016 (KB5021654). ®

sumber : the regiser

Google Mengidentifikasi 34 Versi Crack Alat Peretasan Cobalt Strike Populer di Alam Liar

by

Google Cloud minggu lalu mengungkapkan bahwa mereka mengidentifikasi 34 versi rilis yang diretas dari alat Cobalt Strike di alam liar, yang paling awal dikirim pada November 2012.

Cobalt Strike, dikembangkan oleh Fortra (née HelpSystems), adalah kerangka kerja permusuhan populer yang digunakan oleh tim merah untuk mensimulasikan skenario serangan dan menguji ketahanan pertahanan dunia maya mereka.

“Sementara niat Cobalt Strike adalah untuk meniru ancaman dunia maya yang nyata, aktor jahat telah memanfaatkan kemampuannya, dan menggunakannya sebagai alat yang kuat untuk pergerakan lateral di jaringan korban mereka sebagai bagian dari muatan serangan tahap kedua mereka,” Greg Sinclair, seorang insinyur balik di anak perusahaan Google Chronicle, mengatakan.

Dalam upaya untuk mengatasi penyalahgunaan ini, GCTI telah merilis seperangkat Aturan YARA open source untuk menandai berbagai varian perangkat lunak yang digunakan oleh grup peretas berbahaya.

Idenya adalah untuk “mengecualikan versi buruk sambil membiarkan yang sah tidak tersentuh,” kata Sinclair, menambahkan “niat kami adalah untuk memindahkan alat kembali ke domain tim merah yang sah dan mempersulit orang jahat untuk menyalahgunakan.”

sumber : the hacker news