Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peringatan: Pelaku ancaman menggunakan sertifikat penandatanganan kode Emsisoft palsu untuk menyamarkan serangan mereka

by

Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami. Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi tersebut mengizinkan aplikasi yang dipasang dan ingin digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.

Serangan gagal – produk kami mendeteksi dan memblokirnya – tetapi kami mengeluarkan peringatan ini agar pelanggan dan pengguna produk perusahaan lain mengetahui taktik yang digunakan dalam kasus ini.

Sementara metode akses awal diperoleh tidak jelas, kemungkinan besar melalui serangan brute-force pada RDP atau penggunaan kredensial yang disusupi (login yang dicuri).

Setelah penyerang mengamankan akses ke titik akhir, mereka memasang aplikasi akses jarak jauh sumber terbuka yang disebut MeshCentral. Ini adalah aplikasi tujuan ganda, artinya ini adalah alat yang sah yang dapat digunakan untuk tujuan jahat. Karena dapat digunakan untuk tujuan yang sah dan tidak berbahaya, keberadaannya di titik akhir tidak serta merta memicu alarm apa pun, baik dari solusi keamanan atau dari manusia.

Penyerang menandatangani eksekusi MeshCentral dengan sertifikat yang disebut “Emsisoft Server Trusted Network CA”. Kami yakin ini dilakukan untuk membuat pendeteksian aplikasi apa pun tampak positif palsu. Bagaimanapun, salah satu produk kami diinstal dan dijalankan pada titik akhir yang disusupi, sehingga aplikasi yang diduga telah ditandatangani oleh sertifikat Emsisoft dapat dianggap aman dan diizinkan.

Selengkapnya: Emisoft

Aplikasi antivirus tersedia untuk melindungi Anda – Cisco’s ClamAV memiliki kekurangan

by

Perangkat lunak antivirus seharusnya menjadi bagian penting dari pertahanan organisasi melawan gelombang malware yang tak ada habisnya.

ClamAV open source Cisco dapat mengisi peran itu – setelah Anda menambal cacat eksekusi kode arbitrer berperingkat 9.8/10 yang diungkapkan raksasa jaringan pada hari Rabu.

“Kerentanan dalam parser file partisi HFS+ dari ClamAV versi 1.0.0 dan sebelumnya, 0.105.1 dan sebelumnya, dan 0.103.7 dan sebelumnya dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata penasehat keamanan Cisco, yang mengidentifikasi masalah sebagai CVE-2023-20032.

“Kerentanan ini disebabkan oleh pemeriksaan ukuran buffer yang hilang yang dapat mengakibatkan penulisan buffer overflow heap,” dokumen tersebut menjelaskan. “Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan file partisi HFS+ yang dibuat untuk dipindai oleh ClamAV pada perangkat yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dengan hak istimewa proses pemindaian ClamAV, atau merusak proses, mengakibatkan kondisi denial of service (DoS).”

Namun memperbaiki ClamAV bukanlah akhir dari cerita. Mengatasi parser file yang salah juga memerlukan pembaruan untuk produk Cisco lainnya, termasuk perangkat keras Secure Web Appliance. Secure Endpoint Private Cloud juga memerlukan perbaikan, seperti halnya produk Secure Endpoint Cisco (sebelumnya dikenal sebagai Advanced Malware Protection for Endpoints) untuk Linux, Windows, dan macOS.

Untungnya, Cisco tidak mengetahui “pengumuman publik apa pun atau penggunaan berbahaya dari kerentanan yang dijelaskan dalam penasehat ini.”

Tapi bagaimana dengan ClamAV yang gratis dan open source, kelemahan ini kemungkinan besar akan menjadi target yang tidak akan lama diabaikan oleh penjahat dan penjahat.

Selengkapnya: The Register

Para ahli sedang menyelidiki kegagalan beberapa bandara Jerman setelah beberapa media mengaitkannya dengan kemungkinan kampanye peretasan.

by

Dugaan serangan siber terjadi sehari setelah kegagalan TI menyebabkan pembatalan dan penundaan ribuan penumpang maskapai nasional Jerman Lufthansa di bandara Frankfurt.

Serangan itu memblokir situs web bandara berikut:

  • Bandara Hannover
  • Bandara Dortmund
  • Bandara Nürnberg
  • Bandara Karlsruhe/Baden-Baden
  • Düsseldorf
  • Erfurt-Weimar

Administrator di bandara mengonfirmasi bahwa masalah tersebut kemungkinan besar disebabkan oleh lalu lintas berbahaya.
“Kami masih memecahkan masalah,” kata juru bicara Bandara Dortmund, menambahkan tidak mungkin kegagalan itu disebabkan oleh kelebihan beban biasa. lapor situs web DW. “Ada alasan untuk menduga itu bisa menjadi serangan peretas,” tambahnya.

Pada awal Januari, kelompok Pro-Rusia Killnet meluncurkan serangan DDoS terhadap situs web bandara, badan administrasi, dan bank Jerman.

Serangan tersebut merupakan respon para hacktivist terhadap keputusan pemerintah Jerman untuk mengirim tank Leopard 2 ke Ukraina.

Kanselir Olaf Scholz mengumumkan keputusan untuk mengirim 14 tank – dan mengizinkan negara lain untuk mengirimnya juga (yang dibatasi sampai sekarang di bawah peraturan ekspor) – pada rapat kabinet pada hari Rabu.

Pada 16 Februari, grup tersebut menyerukan tindakan di saluran Telegramnya terhadap bandara Jerman.

Pada bulan Oktober, kelompok peretas pro-Rusia ‘KillNet’ mengaku bertanggung jawab atas serangan denial-of-service (DDoS) terdistribusi besar-besaran terhadap situs web beberapa bandara utama di AS.

Selengkapnya: Security Affairs

Eksklusif: FBI mengatakan telah ‘berisi’ insiden dunia maya di jaringan komputer biro

by

FBI telah menyelidiki dan bekerja untuk membendung insiden dunia maya berbahaya di bagian jaringan komputernya dalam beberapa hari terakhir, menurut orang yang diberi pengarahan tentang masalah tersebut.

Pejabat FBI yakin insiden itu melibatkan sistem komputer FBI yang digunakan dalam penyelidikan gambar eksploitasi seksual anak, kata dua sumber yang menjelaskan masalah tersebut kepada CNN.

“FBI mengetahui insiden itu dan bekerja untuk mendapatkan informasi tambahan,” kata biro itu dalam sebuah pernyataan kepada CNN. “Ini adalah insiden terisolasi yang telah diatasi. Karena ini adalah penyelidikan yang sedang berlangsung, FBI tidak memiliki komentar lebih lanjut untuk diberikan saat ini.”

Pejabat FBI telah bekerja untuk mengisolasi aktivitas dunia maya berbahaya, yang menurut dua sumber melibatkan Kantor Lapangan FBI New York – salah satu kantor profil terbesar dan tertinggi di biro tersebut. Asal usul insiden peretasan masih diselidiki, menurut salah satu sumber.

FBI, seperti lembaga atau perusahaan pemerintah besar mana pun, harus menghadapi serangkaian ancaman online.

Pada November 2021, seseorang menggunakan alamat email sah yang digunakan FBI untuk berkomunikasi dengan penegak hukum negara bagian dan lokal untuk mengirim email palsu ke ribuan organisasi tentang dugaan ancaman dunia maya. FBI mengatakan pada saat itu bahwa mereka memperbaiki kerentanan perangkat lunak terkait insiden tersebut, tetapi biro tersebut belum mengumumkan nama tersangka secara terbuka.

Episode itu menimbulkan kekhawatiran bahwa orang luar dapat memanfaatkan peran penting FBI dalam memperingatkan publik tentang insiden peretasan untuk membuat organisasi berebut untuk mengatasi ancaman peretasan hantu.

Selengkapnya: CNN

Tim keamanan siber terlindung dari pemotongan staf yang akan datang pada tahun 2023

by

Profesional keamanan dunia maya tidak mungkin kehilangan pekerjaan mereka pada tahun 2023 karena ketidakpastian ekonomi global, menurut penelitian baru, yang menunjukkan bahwa para pemimpin bisnis takut akan risiko membiarkan keamanan tergelincir.

Studi tersebut – Bagaimana Tenaga Kerja Keamanan Siber Akan Mengatasi Resesi, yang dilakukan oleh asosiasi keamanan siber nirlaba (ISC)² – menemukan meskipun ada kekhawatiran resesi, tim keamanan siber paling tidak akan terpengaruh oleh pemotongan staf pada tahun 2023.

Penelitian, yang menyurvei 1.000 eksekutif C-suite pada Desember 2022 di Jerman, Jepang, Singapura, Inggris Raya, dan Amerika Serikat, menyoroti bagaimana eksekutif C-suite memandang keamanan siber sebagai aset penting dan berharga yang merupakan prioritas strategis.

Sebanyak 85% responden mengharapkan PHK akan diperlukan di organisasi mereka, tetapi peran keamanan siber diharapkan paling tidak terpengaruh oleh pengurangan staf, tetapi hanya 10% organisasi yang kemungkinan akan memangkas pekerjaan dalam keamanan siber dibandingkan dengan area bisnis lainnya, seperti sebagai sumber daya manusia (30%), keuangan (24%), operasi (24%), pemasaran (22%) dan penjualan (22%). Ini karena 87% responden percaya bahwa pengurangan staf keamanan siber akan menyebabkan risiko yang lebih besar terhadap serangan siber, kata para peneliti.

“Pentingnya ditempatkan pada para profesional keamanan siber, bahkan selama masa ekonomi yang tidak menentu, menunjukkan bahwa eksekutif puncak memahami kebutuhan kritis untuk tim keamanan siber yang kuat sekarang lebih dari sebelumnya,” kata Clar Rosso, CEO, (ISC)².

“Hal ini tidak mengherankan mengingat tren peningkatan dalam beberapa tahun terakhir di mana ekonomi yang melemah dikombinasikan dengan ketegangan politik telah menyebabkan meningkatnya ancaman dunia maya. Ujian utama bagi para eksekutif di tahun 2023 adalah kemampuan mereka untuk mempertahankan komitmen mereka dalam memperkuat ketahanan organisasi mereka terhadap perkembangan ancaman dunia maya di tengah tekanan anggaran yang muncul.”

Selengkapnya: Cyber Magazine

GoDaddy: Peretas mencuri kode sumber, memasang malware dalam pelanggaran multi-tahun

by

Raksasa web hosting GoDaddy mengatakan mengalami pelanggaran di mana penyerang tak dikenal telah mencuri kode sumber dan memasang malware di servernya setelah melanggar lingkungan hosting bersama cPanel dalam serangan multi-tahun.

Sementara GoDaddy menemukan pelanggaran keamanan setelah laporan pelanggan pada awal Desember 2022 bahwa situs mereka digunakan untuk mengalihkan ke domain acak, penyerang memiliki akses ke jaringan perusahaan selama beberapa tahun.

“Berdasarkan penyelidikan kami, kami yakin insiden ini adalah bagian dari kampanye multi-tahun oleh kelompok pelaku ancaman canggih yang, antara lain, memasang malware di sistem kami dan memperoleh potongan kode yang terkait dengan beberapa layanan di dalam GoDaddy,” kata pihak hosting. perusahaan mengatakan dalam pengarsipan SEC.

Perusahaan mengatakan bahwa pelanggaran sebelumnya yang diungkapkan pada November 2021 dan Maret 2020 juga terkait dengan kampanye multi-tahun ini.

Insiden November 2021 menyebabkan pelanggaran data yang memengaruhi 1,2 juta pelanggan WordPress yang Dikelola setelah penyerang melanggar lingkungan hosting WordPress GoDaddy menggunakan kata sandi yang disusupi.

Mereka mendapatkan akses ke alamat email dari semua pelanggan yang terkena dampak, kata sandi Admin WordPress mereka, kredensial sFTP dan basis data, serta kunci pribadi SSL dari subset klien aktif.

Setelah pelanggaran Maret 2020, GoDaddy memberi tahu 28.000 pelanggan bahwa penyerang menggunakan kredensial akun hosting web mereka pada Oktober 2019 untuk terhubung ke akun hosting mereka melalui SSH.

GoDaddy kini bekerja sama dengan pakar forensik keamanan siber eksternal dan lembaga penegak hukum di seluruh dunia sebagai bagian dari penyelidikan berkelanjutan terhadap akar penyebab pelanggaran tersebut.

Selengkapnya: Bleeping Computer

GitLab Kritikal Security Release: 15.8.2, 15.7.7 and 15.6.8

by

Hari ini kami merilis versi 15.8.2, 15.7.7, dan 15.6.8 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE).

Versi ini berisi perbaikan keamanan penting, dan kami sangat menyarankan agar semua instalasi GitLab segera ditingkatkan ke salah satu versi ini. GitLab.com dan GitLab Dedicated sudah menjalankan versi yang ditambal.

GitLab merilis tambalan untuk kerentanan dalam rilis keamanan khusus. Ada dua jenis rilis keamanan: rilis keamanan terjadwal bulanan, dirilis seminggu setelah rilis fitur (yang diterapkan pada tanggal 22 setiap bulan), dan rilis keamanan ad-hoc untuk kerentanan kritis. Untuk informasi lebih lanjut, Anda dapat mengunjungi FAQ keamanan kami. Anda dapat melihat semua posting blog rilis reguler dan keamanan kami di sini. Selain itu, masalah yang merinci setiap kerentanan dipublikasikan di pelacak masalah kami 30 hari setelah rilis di mana mereka ditambal.

Kami berdedikasi untuk memastikan semua aspek GitLab yang diekspos ke pelanggan atau bahwa data pelanggan host disimpan dengan standar keamanan tertinggi. Sebagai bagian dari menjaga kebersihan keamanan yang baik, sangat disarankan agar semua pelanggan meningkatkan ke rilis keamanan terbaru untuk versi yang didukung. Anda dapat membaca lebih banyak praktik terbaik dalam mengamankan instance GitLab Anda di postingan blog kami.

Tindakan yang direkomendasikan
Kami sangat menganjurkan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah yang dijelaskan di bawah ini dimutakhirkan ke versi terbaru sesegera mungkin.

Jika tidak ada jenis penerapan khusus (omnibus, kode sumber, diagram helm, dll.) dari suatu produk yang disebutkan, ini berarti semua jenis akan terpengaruh.

selengkapnya : about.github.com

Bagaimana China Mendanai Kampanye Pengaruh Asing

by

Tinjauan catatan keuangan untuk organisasi Partai Komunis China (PKC) dengan kemampuan pengaruh asing mengungkapkan bahwa pendanaan untuk kegiatan propaganda di China sebagian besar berbasis proyek, dengan sebagian besar pembiayaan berasal dari dana publik. Organisasi PKT merilis laporan keuangan publik yang dapat dianalisis untuk memahami prioritas Tiongkok dalam hal operasi informasi. DFRLab membedah keuangan dua organisasi media Tiongkok dan dua departemen PKC tingkat kota untuk mengungkap wawasan tentang pendanaan kampanye pengaruh asing. Pemeriksaan kami mencakup catatan keuangan untuk Kantor Berita Xinhua, China Media Group (CMG), Departemen Kerja Front Persatuan Beijing (UFWD), dan Departemen Propaganda Beijing.

Operasi media asing Xinhua telah merugi sejak pandemi dimulai, namun pekerjaan tersebut masih didukung oleh kantor berita karena kepentingan strategisnya. Xinhua melihat dirinya terlibat dalam “perang opini publik” global di mana ia berperang secara ofensif. Misalnya, Xinhua merilis serangkaian film dokumenter mini berisi disinformasi yang ditonton jutaan kali. Sementara itu, penyiar China Media Group berinvestasi lebih banyak dalam proyek-proyek yang mempromosikan soft power China, seperti mengiklankan hiburan China.

Membangun kemitraan dalam jurnalisme adalah bidang fokus lainnya. Proyek senilai tujuh juta RMB menjalin kemitraan dengan jurnalis asing di Beijing untuk “memberi tahu dunia tentang Beijing yang komprehensif, nyata, dan tiga dimensi”. Departemen propaganda juga ikut memproduksi serial dokumenter 104 episode, juga berjudul “Pesona Beijing,” dan mempromosikannya di luar negeri dengan negara-negara mitra BRI dalam dua item proyek yang terdaftar, dengan total 5,9 juta RMB (USD $875.000). Departemen propaganda mengharapkan serial tersebut mencapai delapan juta pemirsa di dua jaringan TV asing utama.

Melalui laporan keuangan keempat organisasi ini, DFRLab menemukan pendanaan yang cukup besar untuk proyek pengaruh asing di berbagai bidang. Proyek disinformasi China langsung, seperti “Trilogi Sejarah Kegelapan Amerika”, bertujuan untuk menyebarkan narasi anti-Barat. Bersamaan dengan itu, acara dan pameran TV soft power memamerkan China yang dicintai sebagai tempat untuk dikunjungi dan berinvestasi. Pengeluaran untuk proyek-proyek ini diperkirakan akan meningkat di tahun-tahun berikutnya karena China mengembangkan ekonominya dan terus mencari status internasional yang lebih besar.

selengkapnya : medium.com