Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Security.txt sekarang wajib untuk situs web pemerintah Belanda

by

Standar keamanan wajib berlaku untuk semua pemerintah, seperti pemerintah nasional, provinsi, kotamadya, dan dewan air. Organisasi lain di sektor publik sangat disarankan untuk menerapkan standar tersebut, menurut Digital Trust Center organisasi siber pemerintah.

Kewajiban tersebut berasal dari Forum Standardisasi Pemerintah Pusat dan sejalan dengan Government Information Security Baseline (BIO). Pedoman ini menetapkan bahwa organisasi pemerintah harus memiliki prosedur untuk menerima dan menangani laporan kerentanan.

File security.txt di server web berisi informasi kontak untuk melakukan kontak jika ada kerentanan yang ditemukan di server tersebut. Tujuannya agar, misalnya, para hacker etis dapat segera menghubungi orang atau departemen yang tepat untuk mengatasi kerentanan tersebut.

Akibatnya, kerentanan harus diselesaikan lebih cepat dan penjahat dunia maya memiliki lebih sedikit peluang.

Digital Trust Center hopes that the standard will also be adopted by the business community. The standard is already being used to warn businesses more quickly in the event of serious cyber threats. The more companies embrace the standard, the faster communication can go.

The number of Dutch domain names with a security.txt file now stands at more than 88,000.

pengningkatan kewajiban untuk mengadaptasi Security.txt dikarenakan peningkatan serangan siber yang terjadi di dunia ini, dari berbagai jenis bentuk seperti malware, vulnerability, phishing, dan berbagai macam lainnya.

sumber : netherlands

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

by

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

RARBG, salah satu pelacak torrent bajakan terbesar di dunia, telah ditutup.

by

RARBG, salah satu pelacak torrent bajakan terbesar di dunia, telah ditutup. Pelacak torrent ini mengkhususkan diri dalam rilisan bajakan film dan serial TV. Diluncurkan pada tahun 2008 sebagai pelacak BitTorrent Bulgaria, RARBG cepat mengubah profilnya untuk menjangkau audiens internasional dengan fokus pada rilisan berbahasa Inggris.

Menariknya, RARBG ditutup dengan sukarela, menjadi salah satu kasus jarang di mana pelacak torrent menutup sendiri. Alasan penutupan termasuk konsekuensi dari pandemi, kenaikan harga listrik, inflasi, dan serangan Rusia terhadap Ukraina. Tim RARBG mengklaim bahwa beberapa anggota tim terlibat dalam perang, baik di pihak Pasukan Bersenjata Ukraina maupun pendudukan Rusia.

Dalam pernyataan resmi mereka, tim RARBG menyebutkan bahwa dua tahun terakhir telah sulit bagi mereka. Beberapa anggota tim meninggal akibat komplikasi COVID-19, sementara yang lain masih menderita efek sampingnya dan tidak dapat bekerja. Selain itu, kenaikan harga listrik di pusat data di Eropa dan inflasi membuat biaya operasional tidak lagi dapat ditanggung.

Sebagai hasilnya, RARBG mengambil keputusan untuk menutup situs tersebut. Mereka menyampaikan permintaan maaf kepada pengguna mereka dan mengucapkan selamat tinggal. Sebelum penutupannya, pada Januari 2023, RARBG merupakan pelacak torrent terpopuler keempat di dunia.

Penutupan RARBG menandai akhir dari salah satu pelacak torrent terbesar di dunia, yang telah menjadi tujuan bagi banyak pengguna untuk mengunduh konten bajakan. Meskipun kontroversial, keberadaan platform seperti RARBG mencerminkan tantangan dalam menangani pelanggaran hak cipta dan perlindungan konten digital di era internet.

Sumber: Mezha Media

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

by

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Gigabyte Systems Mengalami Kerentanan Firmware Kritis yang Membahayakan Jutaan Perangkat

by

Pada April 2023, peneliti keamanan cyber menemukan perilaku mencurigakan dalam sistem Gigabyte yang memungkinkan perangkat-perangkatnya terinfeksi oleh eksekutor Windows melalui firmware UEFI. Eksekutor tersebut dapat mengunduh pembaruan dalam format yang tidak aman.

Eclypsium, perusahaan keamanan firmware, berhasil mendeteksi anomali ini dan menginformasikan masalah ini kepada Gigabyte, yang telah mengakui dan menangani masalah tersebut.

John Loucaides, wakil presiden senior strategi di Eclypsium, menjelaskan bahwa sebagian besar firmware Gigabyte mengandung eksekutor biner Windows Native yang tertanam di dalam firmware UEFI. Eksekutor tersebut akan dieksekusi saat perangkat dinyalakan, mirip dengan serangan agen ganda LoJack. Melalui metode yang tidak aman, eksekutor ini dapat mengunduh dan menjalankan biner tambahan.

Eclypsium juga menemukan bahwa aplikasi berbasis .NET yang ada dalam firmware tersebut dapat mengunduh dan menjalankan pembaruan dari server Gigabyte melalui protokol HTTP biasa. Hal ini membuka kemungkinan serangan oleh pihak yang tidak bertanggung jawab melalui router yang terinfeksi.

Kerentanan ini dapat mempengaruhi sekitar 7 juta perangkat Gigabyte, dengan sekitar 364 sistem terkena dampak secara kasar. Ancaman ini serius karena malware yang disisipkan dalam firmware dapat bertahan bahkan jika perangkat dihapus dan sistem operasi diinstal ulang.

Untuk melindungi diri, disarankan agar pengguna menerapkan pembaruan firmware terbaru dan memeriksa fitur “APP Center Download & Install” dalam Pengaturan UEFI/BIOS untuk menonaktifkannya. Selain itu, pengguna juga disarankan untuk mengatur kata sandi BIOS guna mencegah perubahan yang tidak sah.

Sumber: The Hackernews

Malware Legion memperluas cakupan untuk menargetkan alat pemantauan AWS CloudWatch

by Leave a Comment

Pembaruan terbaru Legion, terutama penargetan AWS CloudWatch, mewakili evolusi yang mengkhawatirkan dalam kemampuan alat peretasan ini, kata Ani Chaudhuri, CEO Dasera. Chaudhuri mengatakan perkembangan ini menandakan perluasan cakupan penjahat dunia maya: mereka memanfaatkan server web yang salah konfigurasi untuk mencuri kredensial dan memperluas jangkauan mereka untuk memanipulasi layanan cloud.

Chaudhuri menjelaskan bahwa AWS CloudWatch beroperasi sebagai layanan pemantauan untuk sumber daya dan aplikasi cloud. Jika peretas mendapatkan akses tidak sah ke sana, mereka dapat mengganggu wawasan operasional, berpotensi menyebabkan gangguan yang signifikan atau bahkan pelanggaran.

Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, menambahkan bahwa saat organisasi memindahkan aplikasi dan sistem lama ke infrastruktur cloud, mereka masih berjuang dengan kesalahan konfigurasi yang mengekspos lingkungan cloud, menjadikan mereka sasaran empuk bagi penjahat dunia maya.

selengkapnya : scmagazine.com

Microsoft memperingatkan bahwa peretas China menyerang infrastruktur AS

by

Microsoft memperingatkan pada hari Rabu bahwa peretas yang disponsori negara China telah mengkompromikan infrastruktur dunia maya AS yang “kritis” di berbagai industri dengan fokus pada pengumpulan intelijen.

Grup peretas China, dengan nama sandi “Volt Typhoon,” telah beroperasi sejak pertengahan 2021, kata Microsoft dalam sebuah penasehat. Organisasi tersebut tampaknya bekerja untuk mengganggu “infrastruktur komunikasi penting antara Amerika Serikat dan Asia,” kata Microsoft, untuk menghalangi upaya selama “krisis di masa depan”.

Serangan itu tampaknya sedang berlangsung. Dalam sebuah nasihat, Microsoft mendesak pelanggan yang terkena dampak untuk “menutup atau mengubah kredensial untuk semua akun yang disusupi.”

Badan-badan intelijen AS mengetahui serangan itu pada bulan Februari, sekitar waktu yang sama ketika balon mata-mata China jatuh, lapor New York Times.

Infiltrasi difokuskan pada infrastruktur komunikasi di Guam dan bagian lain AS, Times melaporkan, dan sangat mengkhawatirkan intelijen AS karena Guam berada di jantung respons militer Amerika jika terjadi invasi Taiwan.

kata Microsoft. Sebaliknya, “pelaku ancaman bermaksud untuk melakukan spionase dan mempertahankan akses tanpa terdeteksi selama mungkin.”

Infrastruktur di hampir setiap sektor penting telah terpengaruh, kata Microsoft, termasuk industri komunikasi, transportasi, dan maritim. Organisasi pemerintah juga menjadi sasaran.

Peretas yang didukung pemerintah China telah menargetkan informasi penting dan sensitif dari perusahaan AS sebelumnya. Covington and Burling, sebuah firma hukum terkemuka, diretas oleh tersangka peretas yang disponsori negara Tiongkok pada tahun 2020.

sumber : cnbc.com

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

by

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Blocked attacks (Wordfence)

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com