Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

by

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

by

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Apple memperbaiki zero-day baru yang dieksploitasi untuk meretas macOS, perangkat iOS

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day. Patch zero-day pertama hari ini (dilacak sebagai CVE-2022-22587) [1, 2] adalah bug kerusakan memori di IOMobileFrameBuffer yang memengaruhi iOS, iPadOS, dan macOS Monterey.

Eksploitasi bug ini yang berhasil menyebabkan eksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang disusupi.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • macOS Monterey

Bug tersebut ditemukan oleh peneliti anonim, Meysam Firouzi (@R00tkitSMM) dari MBition – Mercedes-Benz Innovation Lab, dan Siddharth Aeri (@b1n4r1b01).

Firouzi dan Aeri mengatakan bahwa mereka berdua menemukan bug secara independen dan tidak menyadari bahwa pelaku ancaman mengeksploitasinya di alam liar.

Zero-day kedua adalah bug Safari WebKit di iOS dan iPadOS yang memungkinkan situs web melacak aktivitas penelusuran Anda dan identitas pengguna secara real-time.

Bug tersebut pertama kali diungkapkan ke Apple oleh Martin Bajanik dari FingerprintJS pada 28 November 2021, dan diungkapkan secara publik pada 14 Januari 2022. Setelah peneliti mengungkapkan bug tersebut, bug tersebut ditetapkan pada CVE-2022-22594 dan diperbaiki di iOS 15.3 dan hari ini. Pembaruan keamanan iPadOS 15.3.

Namun, Apple memperbaiki apa yang terasa seperti aliran bug zero-day yang tidak pernah berakhir pada tahun 2021 yang digunakan dalam serangan terhadap perangkat iOS dan macOS.

Bug ini mencakup banyak kerentanan zero-day yang digunakan untuk menginstal spyware Pegasus di iPhone jurnalis, aktivis, dan politisi.

Sumber : Bleeping Computer

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

by

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Google Drive menandai file yang hampir kosong karena ‘pelanggaran hak cipta’

by

Pengguna dibuat terkejut karena sistem deteksi otomatis Google Drive menandai file yang hampir kosong karena pelanggaran hak cipta.

Asisten Profesor di Michigan State University, Dr. Emily Dolson, Ph.D. melaporkan melihat beberapa perilaku aneh saat menggunakan Google Drive.

Salah satu file di Google Drive Dolson, ‘output04.txt’ hampir kosong—tanpa apa pun selain angka ‘1’ di dalamnya.

Tetapi menurut Google, file ini melanggar “kebijakan Pelanggaran Hak Cipta” perusahaan dan karenanya ditandai.

Dan yang lebih parah, peringatan yang dikirimkan kepada profesor tersebut diakhiri dengan “Sebuah tinjauan tidak dapat diminta untuk pembatasan ini.”

File Dolson ‘output04.txt’ disimpan di jalur ‘CSE 830 Spring 2022/Testcases/Homework3/Q3/output’ di Drive yang membuat profesor bertanya-tanya apakah jalur file mungkin berkontribusi pada alarm palsu.

Pengguna pseudonim juga membagikan tangkapan layar akun Google Drive mereka di mana file yang hanya berisi angka “1”—dengan atau tanpa karakter baris baru, ditandai.

File dengan ‘1’ juga ditandai oleh Google Drive karena pelanggaran hak cipta (Imgur)

Dan, ternyata perilaku itu tidak terbatas hanya pada file yang berisi angka “1.”

Dr. Chris Jefferson, Ph.D., seorang peneliti AI dan matematika di University of St Andrews, juga dapat masalah saat mengunggah beberapa file yang dihasilkan komputer ke Drive.

Jefferson menghasilkan lebih dari 2.000 file, masing-masing hanya berisi angka antara -1000 dan 1000.

File yang berisi angka 173, 174, 186, 266, 285, 302, 336, 451, 500, dan 833 segera ditandai oleh Google Drive karena pelanggaran hak cipta.

Beberapa orang menuduh bahwa jika file tersebut hanya berisi angka “0”, Google akan menonaktifkan akun Anda secara permanen, meskipun hasilnya lebih mungkin berlaku untuk pengguna yang dianggap oleh Google sebagai pelanggar berulang.

Mikko Ohtamaa, pendiri perusahaan Defi Capitalgram, menuduh bahwa gaya otomatis Google dalam menandai kandidat yang diduga melanggar hak cipta dapat menimbulkan masalah dengan bagian dari undang-undang GDPR.

Pasal 22 GDPR alias “pengambilan keputusan individu otomatis, termasuk pembuatan profil,” lebih khusus mengacu pada pembuatan keputusan otomatis tentang individu dengan membuat profil perilaku online mereka, seperti sebelum memberikan pinjaman atau saat membuat keputusan perekrutan, seperti yang dijelaskan oleh ICO Inggris.

Pada tahun 2018, Google menerbitkan dokumen terperinci yang menjelaskan bagaimana perusahaan memerangi pembajakan. Tetapi ketika secara khusus berbicara tentang Google Drive, laporan tersebut menyatakan “rekayasa penyalahgunaan waktu penuh team” dibentuk oleh Google untuk menangani streaming ilegal yang disajikan di Google Drive. Karena itu, tidak banyak informasi yang tersedia tentang cara algoritme Google memproses konten non-video yang disimpan di Drive.

Selengkapnya : Bleeping Computer

Server Dark Souls Diturunkan untuk Mencegah Peretasan Menggunakan Bug Kritis

by

Bandai Namco telah menonaktifkan mode PvP online untuk game role-playing Dark Souls, mengambil servernya secara offline untuk menyelidiki laporan tentang masalah keamanan parah yang dapat menimbulkan risiko bagi pemain.

Menurut laporan masyarakat di Reddit, kerentanan adalah eksekusi kode jarak jauh (RCE) yang dapat memungkinkan penyerang untuk mengendalikan sistem, memberi mereka akses ke informasi sensitif, membiarkan mereka menanam malware, atau menggunakan sumber daya untuk penambangan cryptocurrency.

Laporan yang sama mengklaim bahwa eksploitasi secara aktif beredar dan juga dapat bekerja melawan Elden Ring, judul bandai Namco yang akan datang.

Masalah ini menjadi dikenal luas pada hari Sabtu dalam sebuah posting di Discord mengklarifikasi bahwa pengembang game menerima rincian tentang kerentanan RCE dalam laporan pengungkapan yang bertanggung jawab langsung dari orang yang menemukannya.

Bandai Namco diduga mengabaikan laporan itu tetapi mengingat beratnya cacat, reporter memutuskan untuk menunjukkannya pada streamer populer untuk meningkatkan kesadaran dan menunjukkan betapa pentingnya hal itu.

Memang, setidaknya ada satu aliran di Twitch yang menampilkan eksploitasi, bahkan jika tanpa sadar, berakhir dengan kecelakaan setelah eksekusi Microsoft PowerShell dan skrip text-to-speech.

Setelah laporan eksploitasi aktif menyebar, Dark Souls mengumumkan di Twitter bahwa server PvP untuk semua judul seri akan diambil secara offline untuk memungkinkan tim menyelidiki tuduhan tersebut.

Ini hanya mempengaruhi platform PC, dan pengalaman PvP di konsol Xbox dan PS tetap tidak terpengaruh.

Blue Sentinel, alat anti-cheat yang banyak digunakan untuk game Dark Souls, dilaporkan sedang mengerjakan patch untuk mencegah mengeksploitasi cacat tersebut. Namun, kemungkinan mitigasi melalui alat ini tidak dijamin.

Bleeping Computer telah menghubungi Bandai Namco untuk meminta rincian lebih lanjut tentang eksploitasi RCE dan perkiraan waktu untuk remediasi, tetapi kami belum menerima tanggapan.

Sumber: Bleepingcomputer