Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Apple memperbaiki zero-day iOS yang digunakan untuk menyebarkan spyware iPhone NSO

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day yang terlihat dieksploitasi secara liar untuk menyerang iPhone dan Mac. Salah satunya diketahui digunakan untuk menginstal spyware Pegasus di iPhone.

Kerentanan dilacak sebagai CVE-2021-30860 dan CVE-2021-30858, dan keduanya memungkinkan dokumen berbahaya untuk menjalankan perintah saat dibuka pada perangkat yang rentan.

Kerentanan CoreGraphics CVE-2021-30860 adalah bug integer overflow yang ditemukan oleh Citizen Lab yang memungkinkan pelaku ancaman membuat dokumen PDF berbahaya yang menjalankan perintah saat dibuka di iOS dan macOS.

CVE-2021-30858 adalah penggunaan WebKit setelah kerentanan gratis yang memungkinkan peretas membuat halaman web jahat yang menjalankan perintah saat mengunjunginya di iPhone dan macOS. Apple menyatakan bahwa kerentanan ini diungkapkan secara anonim.

Sementara Apple tidak merilis informasi lebih lanjut tentang bagaimana kerentanan digunakan dalam serangan, Citizen Lab telah mengkonfirmasi bahwa CVE-2021-30860 adalah eksploitasi zero-click iMessage bernama ‘FORCEDENTRY.’

Eksploitasi FORCEDENTRY ditemukan digunakan untuk melewati fitur keamanan iOS BlastDoor untuk menyebarkan spyware NSO Pegasus pada perangkat milik aktivis Bahrain.

Ini adalah tahun yang sangat sibuk bagi Apple dengan apa yang tampak seperti streaming tanpa henti dari kerentanan zero-day yang digunakan dalam serangan yang ditargetkan terhadap perangkat iOS dan Mac.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

by

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

  1. Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
    Untuk dokumen Word, navigasikan ke registry key berikut:

    • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

    Untuk file rich text (RTF), navigasikan ke registry key ini:

    • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  2. Export salinan registry key sebagai cadangan.
  3. Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
  4. Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Skema Peretasan Crypto Korea Utara Menjatuhkan Warga AS-Kanada 11 Tahun Penjara

by

Seorang warga negara Kanada-Amerika yang mencuci dana untuk peretas militer Korea Utara menggunakan wire transfer dan pertukaran kripto telah dijatuhi hukuman 11 tahun penjara dan diperintahkan untuk membayar ganti rugi $30 juta oleh pengadilan federal AS.

Pada awal 2020, Departemen Kehakiman mendakwa tiga anggota badan intelijen militer Korea Utara dengan mencoba mencuri lebih dari $1,3 miliar melalui banyak plot pemerasan dan serangan siber, termasuk lebih dari $100 juta dalam pencurian dari perusahaan cryptocurrency dan serangan siber pada Sony Pictures sebagai pembalasan untuk produksi “The Interview,” sebuah lelucon tentang bangsa yang terisolasi dan pemimpinnya.

Ghaleb Alaumary, yang berbasis di Ontario, mengaku bersalah pada tahun 2020 karena berkonspirasi untuk mencuci uang untuk Korea Utara pada tahun 2018. Sebagai orang yang ditunjuk untuk skema penarikan tunai ATM kelompok tersebut, ia merekrut orang lain untuk mencuci dana terlarang yang diterima dari BankIslami, di mana para peretas melewati mekanisme pencegahan penipuan sehingga mereka dapat mengubah saldo dan meningkatkan batas penarikan. Mereka mendapatkan $6,1 juta dari bank komersial Pakistan.

Alaumary memiliki lebih banyak klien daripada hanya Republik Rakyat Demokratik Korea (DPRK). Dia juga mengaku bersalah atas penipuan karena mengirim email di mana dia berpura-pura mewakili perusahaan konstruksi yang mencari pembayaran dari universitas Kanada; universitas mengiriminya $9,4 juta. Korban lainnya termasuk bank di seluruh Asia dan klub sepak bola Inggris.

Selengkapnya: Decrypt

Kata kunci teratas yang digunakan dalam baris subjek email phishing

by

Pada hari Rabu, Expel merilis laporan, menyoroti kata kunci teratas yang digunakan dalam baris subjek upaya phishing. Berdasarkan temuan, karyawan mungkin perlu sangat waspada terhadap email yang tampaknya tidak berbahaya di kotak masuk mereka.

Untuk menentukan daftar kata kunci ini, Expel melihat 10.000 email berbahaya. Dalam posting blog tentang temuan tersebut, Expel mengatakan kata kunci dalam baris subjek ini menargetkan satu atau beberapa tema dalam upaya untuk “membuat penerima berinteraksi dengan konten.” Tema-tema ini termasuk “meniru aktivitas bisnis yang sah, menghasilkan “rasa mendesak” dan memberi isyarat kepada “penerima untuk bertindak.”

Beberapa kata kunci phishing teratas yang terdaftar dirancang untuk meniru faktur bisnis yang sah.

Secara berurutan, tiga baris subjek teratas termasuk “RE: INVOICE,” “Missing Inv ####; From [Nama Bisnis Sah] and “INV####.”

Per Expel, baris subjek yang menyoroti sifat baru sering digunakan dalam upaya phishing dengan contoh termasuk “New Message from ####, “New Scanned Fax Doc-Delivery for ####” dan “New FaxTransmission from ####.”

Menambahkan konteks pada kumpulan baris subjek “baru” ini, Expel mengatakan komunikasi dan peringatan yang sah secara teratur menggunakan istilah “baru” untuk “meningkatkan minat penerima,” menambahkan bahwa “orang tertarik pada hal-hal baru di kotak masuk mereka, ingin memastikan mereka tidak melewatkan sesuatu yang penting.”

Selengkapnya: Tech Republic

REvil ransomware kembali dalam mode serangan penuh dan membocorkan data

by

Geng ransomware REvil telah sepenuhnya kembali dan sekali lagi menyerang korban baru dan menerbitkan file curian di situs kebocoran data.

Sejak 2019, operasi ransomware REvil, alias Sodinokibi, telah melakukan serangan terhadap organisasi di seluruh dunia di mana mereka menuntut tebusan jutaan dolar untuk menerima kunci dekripsi dan mencegah kebocoran file yang dicuri.

Selama beroperasi, geng tersebut telah terlibat dalam berbagai serangan terhadap perusahaan terkenal, termasuk JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury, dan lain-lain.

REvil menutup infrastruktur mereka dan benar-benar menghilang setelah caper terbesar mereka – serangan besar-besaran pada 2 Juli yang mengenkripsi 60 penyedia layanan terkelola dan lebih dari 1.500 bisnis menggunakan kerentanan zero-day di platform manajemen jarak jauh Kaseya VSA.

Setelah penutupan mereka, para peneliti dan penegak hukum percaya bahwa REvil akan mengubah citra sebagai operasi ransomware baru di beberapa titik.

Namun, sangat mengejutkan, geng ransomware REvil hidup kembali minggu ini dengan nama yang sama.

Pada tanggal 7 September, hampir dua bulan setelah mereka menghilang, situs pembayaran/negosiasi Tor dan kebocoran data tiba-tiba dihidupkan kembali dan dapat diakses. Sehari kemudian, sekali lagi dimungkinkan untuk masuk ke situs pembayaran Tor dan bernegosiasi dengan geng ransomware.

Semua korban sebelumnya telah mengatur ulang penghitung waktu mereka, dan tampaknya tuntutan tebusan mereka dibiarkan begitu saja ketika geng ransomware ditutup pada bulan Juli.

Namun, tidak ada bukti serangan baru hingga 9 September, ketika seseorang mengunggah sampel ransomware REvil baru yang dikompilasi pada 4 September ke VirusTotal.

Selengkapnya: Bleeping Computer

Modern Defense Operations untuk Profesional Keamanan Siber

by

Author pada platform Medium, Kleptocratic, membagikan kiat tentang cara menerapkan Arsitektur Zero Trust secara bertahap untuk meningkatkan visibilitas jaringan, dan cara memahami Kerangka Kerja MITRE Att&ck dan bagaimana perannya dalam mengembangkan kemampuan deteksi yang lebih kuat.

Menerapkan Arsitektur Zero Trust dengan Penekanan pada Deteksi dan Visibilitas

Bagaimana analis keamanan siber dan network engineer mengatasi pola pikir yang gagal untuk percaya bahwa keamanan adalah digital, semua atau tidak sama sekali?

Dengan penekanan perimeter dan fokus pencegahan dan kepatuhan, operator defensif terus menjadi pwned. Berikut adalah daftar mitigasi nyata yang dapat digunakan analis untuk mengatasi pola pikir ini untuk menerapkan Arsitektur Zero Trust:

  1. Otentikasi yang Tepat – Memanfaatkan otentikasi timbal balik dan sertifikat klien untuk membangun kepercayaan dua arah antara klien dan server (MTLS).
  2. Windows Domain Isolation – Memblokir akses non-domain dengan saling mengautentikasi untuk menghilangkan serangan Man-in-the-middle dan menurunkan risiko eksploitasi server.
  3. DNS terenkripsi? – Menyeimbangkan “mencatat dan meninjau” versus “mengenkripsi dan memantau perangkat endpoint”. Membuat DNS Anda sendiri melalui HTTPS atau DNS melalui server TLS dapat membantu dalam mengembangkan jaringan yang lebih aman.
  4. Membangun Agen Jaringan – Mendefinisikan Agen Jaringan (Pengguna + Perangkat) dan menghitung tingkat kepercayaan untuk membuat sistem identitas yang dikelola dengan baik.
  5. Cegah Gerakan Lateral dengan Mengamankan Active Directory – Membangun jalur serangan dengan meninjau izin, keanggotaan grup, atau dengan menggunakan alat seperti BloodHound atau PingCastle.
  6. Menggunakan Sumber Log Utama untuk Visibilitas – Deploy SIEM, Sysmon, dan memperkaya log untuk mengurangi kelelahan peringatan bagi analis yang mempertahankan jaringan.

Memahami Kerangka MITRE Att&ck untuk Menghasilkan Kemampuan Deteksi yang Efektif

Sangat penting bagi analis untuk memahami bahwa Kerangka Kerja MITRE Att&ck adalah produk multidimensi. Ketika peneliti keamanan dan defender melihat kerangka kerja sebagai penggambaran linier dari serangan modern, mengembangkan kemampuan deteksi menjadi tantangan karena analis membatasi ruang lingkup mereka dan membuat signature tingkat permukaan untuk mendeteksi tindakan adversarial.

Setelah memecah fase Serangan MITRE ke dalam kategori, defender harus mulai melihat analisis TTP. Dengan menggunakan pendekatan yang mendalam, penting bagi para defender untuk membuat signature yang spesifik dan sensitif untuk menangkap potensi taktik adversarial.

Dengan menggunakan berbagai metodologi, peneliti keamanan harus fokus pada pendeteksian musuh yang bersembunyi di barang yang diketahui, menghindari deteksi dan respons antivirus dan endpoint, dan teknik serangan modern seperti sideloading DLL dan muatan memori.

Memanfaatkan metode modern ini, defender dapat membuat profil untuk teknik, taktik, dan prosedur yang digunakan oleh musuh di seluruh Kerangka Serangan MITRE. Setelah menganalisis profil ini untuk menentukan artefak apa yang ditinggalkan oleh penyerang, analis dapat membuat kemampuan deteksi yang ditingkatkan untuk memperingatkan teknik musuh.

Selengkapnya: Medium Kleptocratic

91% tim TI merasa ‘dipaksa’ untuk mengabaikan keamanan demi operasi bisnis

by

Sebuah survei baru menunjukkan bahwa mayoritas staf TI merasa tertekan untuk mengabaikan masalah keamanan demi operasi bisnis.

Pada hari Kamis, HP Wolf Security menerbitkan sebuah studi baru, laporan Security Rebellions & Rejections, yang menggabungkan data dari survei YouGov online yang menargetkan pekerja kantoran yang mengadopsi WFH dan penelitian global yang dilakukan dengan pengambil keputusan TI.

Secara total, 91% dari mereka yang disurvei mengatakan bahwa mereka merasa “tertekan” untuk membahayakan keamanan karena kebutuhan untuk kelangsungan bisnis selama pandemi COVID-19. 76% responden mengatakan bahwa keamanan telah mengambil kursi belakang, dan lebih jauh lagi, 83% percaya bahwa bekerja dari rumah telah menciptakan “bom waktu” untuk insiden keamanan perusahaan.

Tim TI, beban kerja mereka, dan kebutuhan untuk berkompromi bukan satu-satunya masalah — tampaknya juga ada perasaan apatis dan frustrasi secara umum ketika harus mengelola keamanan siber di tempat kerja jarak jauh.

Menurut survei, pekerja yang lebih muda, khususnya, lebih mungkin untuk menghindari kontrol keamanan yang ada untuk mengelola beban kerja mereka, dengan 48% dari kelompok ini mengatakan bahwa alat keamanan, seperti pembatasan situs web atau persyaratan VPN, adalah penghalang — dan 31% setidaknya mencoba untuk melewatinya.

Secara keseluruhan, 48% pekerja kantoran mengatakan bahwa tindakan keamanan membuang-buang waktu dan 54% di kelompok berusia 18-24 tahun lebih peduli dengan memenuhi tenggat waktu daripada potensi pelanggaran keamanan. Selain itu, 39% dari kelompok ini tidak yakin atau tidak mengetahui kebijakan keamanan majikan mereka.

Selengkapnya: ZDNet

Perserikatan Bangsa-Bangsa diretas dari April hingga Agustus: penjahat dunia maya berbahasa Rusia menjajakan nama pengguna dan kata sandi curian karyawan di web gelap seharga $ 1.000

by

Peretas telah mengumpulkan data dari sistem internal Perserikatan Bangsa-Bangsa sejak April, menggunakan kredensial login curian karyawan yang telah dijual di web gelap hanya dengan $1.000.

Kombinasi nama pengguna dan kata sandi dijual oleh beberapa penjahat dunia maya berbahasa Rusia hingga akhir Juli, tetapi identitas peretas dan tujuan eksplisit mereka masih belum diketahui.

Kredensial menawarkan akses ke perangkat lunak manajemen proyek organisasi Umoja. Titik masuk memberikan wawasan berharga tentang pekerjaan pemerintah dan kemanusiaan di seluruh dunia.

PBB, yang terus-menerus berhubungan dengan negara-negara dan perusahaan-perusahaan besar, telah menjadi sasaran peretas yang diarahkan oleh negara sebelumnya, tetapi penjahat dunia maya sehari-hari sekarang mengejar perusahaan dan organisasi besar dengan tujuan menjual akses ke informasi yang sangat didambakan.

Peretas memperoleh akses ke sistem PBB pada 5 April dan masih aktif di jaringan sebulan yang lalu, menurut Bloomberg.

‘Organisasi seperti PBB adalah target bernilai tinggi untuk aktivitas spionase siber,’ kata Gene Yoo, CEO Resecurity, sebuah perusahaan keamanan siber yang mengatakan telah menemukan pelanggaran tersebut.

PBB menjawab bahwa para peretas hanya mengambil tangkapan layar, tetapi ketika perusahaan memperingatkan mereka tentang data yang dicuri, organisasi itu berhenti berbicara dengan mereka, kata Resecurity.

Pada hari Kamis, seorang juru bicara PBB mengatakan bahwa organisasi tersebut mengetahui peretasan tersebut sebelum Resecurity memberi tahu mereka tentang hal itu. Dia juga mengatakan PBB telah mendeteksi lebih banyak pelanggaran.

Selengkapnya: Daily Mail UK