Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Dialog Siber Bilateral India-New Zealand Kedua

by

Dialog Siber Bilateral India-New Zealand edisi Kedua diadakan pada 16-17 November 2021 dalam mode virtual. Delegasi India dipimpin oleh Shri Atul Malhari Gotsurve, Sekretaris Bersama (Cyber ​​Diplomacy) dari Kementerian Luar Negeri (MEA). Delegasi Selandia Baru dipimpin bersama oleh Mr. Dan Eaton, Direktur Kebijakan Keamanan Nasional, Departemen Perdana Menteri dan Kabinet (DPMC) dan Ms. Georgina Sargison, Penjabat Manajer Unit, Emerging Security Issues, International Security and Disarmament Division, Ministry of Luar Negeri dan Perdagangan (MFAT). Pejabat senior dari berbagai Kementerian dan Departemen pemerintah dari kedua negara berpartisipasi dalam Dialog Siber.

Dialog Siber membahas berbagai aspek kerja sama bilateral yang ada di dunia maya, bertukar pandangan tentang perkembangan terkini isu-isu siber di forum bilateral, regional dan multilateral serta menjajaki inisiatif untuk lebih memperdalam kerja sama siber.

Delegasi membahas berbagai topik yang menjadi kepentingan bersama dan sepakat untuk bekerja sama erat satu sama lain di bidang keamanan siber, kejahatan siber, dan pembangunan kapasitas.

New Delhi
November 17, 2021

Sumber : Mea

Grup ransomware Conti telah mengalami pelanggaran data yang memungkinkan peneliti untuk mengaksesnya.

by

Para peneliti Prodaft dapat mengidentifikasi alamat IP asli dari salah satu server yang digunakan oleh grup ransomware Conti dan mengakses konsol selama lebih dari sebulan. Server yang terpapar menjadi tuan rumah portal pembayaran yang digunakan oleh geng untuk negosiasi tebusan dengan korbannya.

“Tim PTI mengakses infrastruktur Conti dan Mengidentifikasi alamat IP sebenarnya dari server yang dimaksud.” membaca laporan yang diterbitkan oleh para ahli. “Tim kami mendeteksi kerentanan di server pemulihan yang digunakan Conti, dan memanfaatkan kerentanan itu untuk menemukan alamat IP asli dari tersembunyi yang menghosting situs web pemulihan grup”

Para peneliti dapat membuka kedok alamat IP yang sebenarnya dari layanan tersembunyi TOR Conti dan contirecovery.ws dan 217.12.204.135. Yang terakhir adalah alamat IP yang dimiliki oleh perusahaan hosting web Ukraina ITL LLC.

Peneliti Prodaft mampu mengkompromikan server dan menyatukan koneksi lintas jaringan untuk koneksi masuk, termasuk SSH yang digunakan oleh anggota Conti untuk mengakses server.

Namun, alamat IP yang terkait dengan koneksi SSH milik node keluar Tor yang digunakan oleh operator Conti untuk menyembunyikan identitasnya.

Para ahli juga dapat menentukan OS server di balik layanan tersembunyi, distro Debian dengan nama host ”dedic-cuprum-617836”. Para ahli berspekulasi nilai numerik dalam nama host adalah nomor faktur untuk server, yang ditetapkan oleh perusahaan hosting ITLDC.

“Linux version 4.9.0-16-amd64 (Debian 6.3.0-18deb9u1) #1 SMP Debian 4.9.272-2
(2021-07-19)

217.12.204.135 dedic-cuprum-617836.hosted-by-itldc.com dedic-cuprum-617836”

Para ahli juga membagikan konten file htpasswd dari host subjek yang dapat digunakan dalam penyelidikan selanjutnya pada operasi Conti.

Tim PTI juga dapat menemukan beberapa sesi obrolan korban dan menangkap kredensial login untuk akun MEGA yang digunakan saat menghubungi para korban. Para ahli dapat menemukan alamat IP penghubung, tanggal, metode pembelian, dan perangkat lunak yang digunakan untuk mengakses layanan berbagi dan mengunggah file.

Selengkapnya : Security Affairs

Server Microsoft Exchange Diretas Dalam Serangan Reply-Chain Internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email reply-chain internal yang dicuri.

Saat pelaku ancaman melakukan kampanye email berbahaya, bagian tersulit adalah mengelabui pengguna agar cukup memercayai pengirim sehingga mereka membuka tautan atau menyertakan lampiran yang menyebarkan malware.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Sebagai cara untuk mengelabui target perusahaan agar membuka lampiran berbahaya, pelaku ancaman mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

“Dalam gangguan yang sama, kami menganalisis header email untuk email berbahaya yang diterima, jalur email internal (antara tiga kotak pesan server pertukaran internal), menunjukkan bahwa email tidak berasal dari pengirim eksternal, relai email terbuka, atau semua agen transfer pesan (MTA),” jelas laporan Trend Micro.

Selengkapnya: Bleeping Computer

Pelajaran utama dari serangan SolarWinds: Pikirkan kembali keamanan identitas

by

Menurut Peter Firstbrook dari Gartner, yang membagikan pandangannya tentang pelajaran terbesar yang dipetik tentang pembobolan SolarWinds Orion di KTT Manajemen Keamanan & Risiko firma riset – konferensi virtual Amerika minggu ini, di antara banyak pelajaran dari serangan siber SolarWinds yang belum pernah terjadi sebelumnya, ada satu hal yang masih belum dipahami oleh sebagian besar perusahaan: Infrastruktur identitas itu sendiri adalah target utama bagi peretas.

Ketika ditanya oleh VentureBeat tentang pelajaran terbesarnya dari serangan SolarWinds, Firstbrook mengatakan insiden itu menunjukkan bahwa “infrastruktur identitas adalah target.”

“Orang-orang perlu mengenali itu, dan mereka tidak,” katanya. “Itu adalah pesan terbesar saya kepada orang-orang: Anda telah menghabiskan banyak uang untuk identitas, tetapi sebagian besar bagaimana membiarkan orang-orang baik masuk. Anda benar-benar harus mengeluarkan uang untuk memahami ketika infrastruktur identitas itu dikompromikan, dan memelihara infrastruktur itu.”

Firstbrook menunjukkan satu contoh di mana peretas SolarWinds mampu melewati otentikasi multifaktor (MFA), yang sering disebut sebagai salah satu cara paling andal untuk mencegah pengambilalihan akun. Peretas melakukannya dengan mencuri cookie web, katanya. Ini dimungkinkan karena teknologi ketinggalan zaman sedang digunakan dan diklasifikasikan sebagai MFA, menurut Firstbrook.

“Anda harus menjaga infrastruktur [identitas] itu. Anda harus tahu kapan itu dikompromikan, dan ketika seseorang telah mendapatkan kredensial Anda atau mencuri token Anda dan menampilkannya sebagai nyata, ”katanya.

Manajemen identitas digital sangat sulit bagi perusahaan, dengan banyak yang menderita dari penyebaran identitas—termasuk identitas manusia, mesin, dan aplikasi (seperti dalam otomatisasi proses robot). Sebuah studi baru-baru ini yang dilakukan oleh vendor keamanan identitas One Identity mengungkapkan bahwa hampir semua organisasi — 95% — melaporkan tantangan dalam manajemen identitas digital.

Penyerang SolarWinds memanfaatkan kerentanan ini di sekitar manajemen identitas. Selama sesi dengan konferensi Gartner penuh pada hari Kamis, Firstbrook mengatakan bahwa penyerang sebenarnya “terutama berfokus pada menyerang infrastruktur identitas” selama kampanye SolarWinds.

Selengkapnya: Venture Beat

Kata Sandi Paling Umum Tahun 2021 Terungkap

by

Pada hari Rabu, Nordpass menerbitkan studi tahunan penggunaan kata sandi di 50 negara, laporan “Kata Sandi Paling Umum”, evaluasi database yang berisi 4TB kata sandi bocor, banyak di antaranya berasal dari AS, Kanada, Rusia, Australia, dan Eropa. .

Menurut para peneliti, kata sandi yang paling umum pada tahun 2021, di seluruh dunia, adalah:

  • 123456 (103.170.552 buah)
  • 123456789 (46.027.530 buah)
  • 12345 (32.955.431 buah)
  • qwerty (22.317.280 buah)
  • password (20.958.297 buah)
  • 12345678 (14.745.771 buah)
  • 111111 (13.354.149 buah)
  • 123123 (10.244.398 buah)
  • 1234567890 (9.646.621 buah)
  • 1234567 (9.396.813 buah)

Di antara temuan tersebut, para peneliti juga menemukan bahwa sejumlah orang suka menggunakan nama mereka sendiri sebagai kata sandi (“charlie” muncul sebagai kata sandi paling populer ke-9 di Inggris selama tahun 2021, seperti yang terjadi).

“Onedirection” adalah opsi kata sandi populer terkait musik, dan berapa kali “Liverpool” muncul dapat menunjukkan seberapa populer tim sepak bola — meskipun, di Kanada, “hoki” tidak mengejutkan sebagai opsi terkait olahraga teratas dalam penggunaan aktif .

Kata-kata umpatan juga umum digunakan, dan jika menyangkut tema binatang, “lumba-lumba” adalah pilihan paling populer secara internasional.

Selain variasi angka dan keyboard PC, dalam beberapa daftar, opsi kata sandi lokal lainnya masuk 10 besar, termasuk nama keluarga “Chregan” di Afrika Selatan; kota “Barcelona” di Spanyol, dan nama “Tiffany” di Prancis.

Selengkapnya: ZDNet

Pemerintah Memperingatkan Iran Menargetkan Kelemahan Microsoft dan Fortinet untuk Menanam Ransomware

by

Badan keamanan siber AS, Inggris, dan Australia mendesak organisasi infrastruktur untuk menambal kerentanan dalam produk Microsoft dan Fortinet yang menurut mereka digunakan peretas yang terkait dengan Iran dalam serangan ransomware.

“FBI dan CISA telah mengamati bahwa kelompok APT (Advanced Persistent Threat) yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang termasuk menyebarkan ransomware,” ungkap nasihat yang dikeluarkan bersama oleh agensi pada hari Rabu.

Aktivitas siber Iran sebelumnya lebih terkait erat dengan permainan kekuatan regional dan tujuan geopolitiknya. Para pejabat memperkirakan operasi spionase dan bersiap untuk serangan balasan setelah pemerintahan Trump menarik diri dari perjanjian nuklir yang ditengahi oleh Presiden Barack Obama dan membunuh seorang jenderal top Iran, misalnya. Tetapi September lalu, FBI dan CISA memperingatkan bahwa Iran kemungkinan akan mulai menggunakan kemampuan mereka untuk memperbaiki situasi keuangannya melalui operasi ransomware.

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” bunyi nasihat itu. “FBI, CISA, [Pusat Keamanan Siber Australia] dan [Pusat Keamanan Siber Nasional Inggris] menilai para pelaku berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu.”

Kerentanan Fortinet dan Microsoft Exchange yang ditandai di penasihat semuanya terdaftar dalam katalog ratusan kerentanan yang diketahui sedang dieksploitasi secara aktif. CISA merilis katalog tepat dua minggu lalu bersama dengan arahan operasional yang mengikat dan tenggat waktu untuk menambalnya.

Selengkapnya: Nextgov

Bug XSS berbahaya di halaman ‘Tab Baru’ Google Chrome melewati fitur keamanan

by

Tim Chromium telah menambal kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang menjalankan kode JavaScript arbitrer di halaman ‘Tab Baru’ Chrome.

Menurut utas diskusi dan bukti konsep di portal bug Chromium, penyerang dapat mengeksploitasi bug dengan mengirimkan file HTML ke korban yang berisi skrip cross-site request forgery (CSRF), yang mengirimkan snippet kode JavaScript berbahaya sebagai permintaan pencarian ke Google.

Saat pengguna membuka file, skrip CSRF berjalan dan kueri disimpan dalam riwayat pencarian browser. Saat berikutnya pengguna membuka Halaman Tab Baru dan mengklik bilah pencarian Google, kode berbahaya akan berjalan.

Yang mengkhawatirkan, jika korban masuk ke akun Google mereka saat membuka file berbahaya, permintaan akan disimpan ke riwayat pencarian akun mereka dan dipicu di perangkat lain tempat akun Google mereka masuk.

Ashish Dhone, peneliti yang menemukan bug tersebut, memiliki rekam jejak berburu bug XSS di aplikasi web dan seluler Google. “Saya ingin menemukan XSS di Chrome, maka perburuan saya dimulai dengan aplikasi desktop Google Chrome,” katanya kepada The Daily Swig.

“Saya sedang mencari fungsionalitas markup HTML di mana XSS dapat dieksekusi. Setelah menghabiskan berjam-jam, entah bagaimana saya menemukan bahwa di halaman Tab Baru, kueri pencarian yang disimpan tidak dibersihkan dan kemudian saya dapat menjalankan [uXSS]”.

Serangan UXSS mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS dan mengeksekusi kode berbahaya.

Dhone mengambil hadiah bug bounty sebesar $ 1.000 untuk penemuan serta beberapa pelajaran penting tentang keamanan browser. “Selalu periksa fitur dan fungsionalitas di mana markup HTML digunakan – di sinilah sebagian besar serangan XSS dapat ditemukan dan dieksploitasi,” katanya.

Selengkapnya: Portswigger

Google Mengeluarkan Peringatan Untuk 2 Miliar Pengguna Chrome

by

Google mengungkapkan 25 kerentanan baru telah ditemukan dalam dua minggu terakhir. Ini menilai tujuh di antaranya sebagai ancaman tingkat ‘Tinggi’. Pengguna Linux, macOS, dan Windows semuanya terpengaruh dan perlu mengambil tindakan segera.

Chrome mengalami masalah lebih lanjut setelah banyak laporan dari pengguna bahwa versi baru (96) memutus akses ke situs-situs utama seperti Instagram, Twitter, Discord, dan lainnya. Pengguna menerima pesan: “Ada yang tidak beres. Coba muat ulang.” Saat halaman dimuat ulang, elemen kunci seperti gambar, video yang disematkan, dan halaman yang dirender dengan warna yang salah sering kali hilang.

Beberapa solusi telah dicoba dan menonaktifkan fitur penyematan baru yang diperkenalkan di Chrome 96. Pada tahap ini, tidak diketahui apakah Google dapat menerapkan perbaikan dari jarak jauh tanpa harus merilis Chrome versi baru. Hal tersebut membuat pengguna Chrome dalam posisi yang sulit dengan pilihan menunggu dan meninggalkan kerentanan keamanan yang diketahui di browser (detail di bawah) atau memperbarui dan berpotensi merusak pengalaman menjelajah mereka.

Google saat ini membatasi informasi tentang peretasan ini untuk mengulur waktu bagi pengguna Chrome untuk meningkatkan versi. Akibatnya, melihat ancaman tingkat tinggi baru, kami hanya memiliki informasi berikut untuk melanjutkan:

  • High – CVE-2021-38007: ype Kebingungan di V8. Dilaporkan oleh Polaris Feng dan SGFvamll di Singular Security Lab pada 2021-09-29
  • High – CVE-2021-38008: Gunakan setelah gratis di media. Dilaporkan oleh Marcin Towalski dari Cisco Talos pada 2021-10-26
  • High – CVE-2021-38009: Implementasi yang tidak tepat dalam cache. Dilaporkan oleh Luan Herrera (@lbherrera_) pada 2021-10-16

    • Selengkapnya : Bleeping Computer

Peretasan ini mengikuti pola yang sudah dikenal, dengan eksploitasi ‘Use-After-Free’ (UAF). Eksploitasi UAF yang berhasil mencapai 10x pada bulan September dan Oktober dan telah menjadi penyebab beberapa peretasan ‘zero-day’ juga. Kerentanan UAF adalah eksploitasi memori yang dibuat saat program gagal menghapus penunjuk ke memori setelah dibebaskan.

Eksploitasi Chrome V8 juga marak pada tahun 2021 bersama dengan kekurangan buffer overflow Heap. V8 adalah mesin JavaScript open-source yang digunakan oleh Google Chrome dan browser web berbasis Chromium seperti Microsoft Edge, Opera, Amazon Silk, Brave, Yandex dan Vivaldi.

Untuk memeriksa apakah Anda dilindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda terdaftar sebagai 96.0.4664.45 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, pastikan Anda memeriksa versi baru secara teratur.

Ingat: setelah memperbarui, Anda harus me-restart browser Anda untuk dilindungi. Langkah ini sering diabaikan. Merupakan penghargaan bagi Google bahwa perbaikan untuk serangan tingkat tinggi secara konsisten dirilis dalam beberapa hari setelah penemuan mereka, tetapi mereka hanya efektif jika miliaran pengguna kemudian memulai ulang browser mereka.

Selengkapnya : Forbes