Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft: Tujuan peretas SolarWinds adalah data cloud para korban

by

Seperti yang dijelaskan oleh Tim Defender Microsoft 365, setelah menyusup ke jaringan target dengan bantuan backdoor Sunburst, tujuan penyerang dibalik peretasan SolarWinds adalah untuk mendapatkan akses ke aset cloud korban.

“Dengan pijakan awal yang tersebar luas ini, para penyerang kemudian dapat memilih organisasi tertentu yang ingin mereka terus operasikan (sementara yang lain tetap menjadi pilihan kapan saja selama backdoor dipasang dan tidak terdeteksi)”, jelas Microsoft.

Artikel Microsoft sebelumnya tentang serangan rantai pasokan SolarWinds dan panduan dari Badan Keamanan Nasional (NSA) juga mengisyaratkan fakta bahwa tujuan akhir penyerang adalah menghasilkan token SAML (Security Assertion Markup Language) untuk memalsukan token otentikasi yang memungkinkan akses ke sumber daya cloud.

Sumber: Microsoft

Microsoft juga merinci prosedur langkah demi langkah yang digunakan oleh penyerang untuk mendapatkan akses ke aset cloud korban mereka:

  1. Menggunakan SolarWinds DLL yang telah dikompromikan untuk mengaktifkan backdoor yang memungkinkan penyerang untuk mengontrol dan mengoperasikan perangkat dari jarak jauh

  2. Menggunakan akses backdoor untuk mencuri kredensial, meningkatkan hak istimewa, dan bergerak secara lateral untuk mendapatkan kemampuan membuat token SAML yang valid menggunakan salah satu dari dua metode berikut:
    1. Mencuri sertifikat penandatanganan SAML (Jalur 1)
    2. Menambahkan atau mengubah kepercayaan federasi yang sudah ada (Jalur 2)

  3. Menggunakan token SAML yang dibuat penyerang untuk mengakses sumber daya cloud dan melakukan tindakan yang mengarah ke eksfiltrasi email dan persistensi di cloud

NSA merekomendasikan penerapan otentikasi multi-faktor, menghapus aplikasi yang tidak perlu dengan kredensial, menonaktifkan otentikasi lama, dan menggunakan Modul Keamanan Perangkat Keras (HSM) yang memvalidasi FIPS untuk mengamankan private key.

Sumber: Bleeping Computer

Kawasaki mengungkapkan adanya pelanggaran keamanan dan potensi kebocoran data

by

Kawasaki Heavy Industries Jepang mengumumkan pelanggaran keamanan dan potensi kebocoran data setelah akses tidak sah ke server perusahaan Jepang dari beberapa kantor di luar negeri.

“Hasil penyelidikan menyeluruh, perusahaan menemukan bahwa beberapa informasi dari kantor luar negeri mungkin telah bocor ke pihak luar,” kata Kawasaki dalam sebuah pernyataan yang dipublikasikan pada hari Senin.

“Saat ini, perusahaan belum menemukan bukti kebocoran informasi ke jaringan eksternal.”

Perusahaan juga mengatakan bahwa mereka mengambil tindakan untuk memantau dan membatasi akses ke server Jepangnya dari situs perusahaan lain setelah menemukan pelanggaran keamanan.

Kawasaki menemukan bahwa pihak yang tidak berwenang mengakses server di Jepang dari kantor di Thailand pada 11 Juni 2020. Semua komunikasi antara dua situs tersebut dihentikan pada hari yang sama setelah penemuan tersebut.

“Namun, ada akses tidak sah lainnya ke server di Jepang dari situs luar negeri yang lain (Indonesia, Filipina, dan Amerika Serikat) kemudian ditemukan,” tambah Kawasaki.

Koneksi tidak sah dari kantor luar negeri di Thailand, Indonesia, dan Filipina ditemukan antara 11 Juni dan 8 Juli, dengan Kawasaki memutus semua komunikasi antar situs.

Saluran komunikasi dipulihkan pada 30 November setelah menerapkan pembatasan komunikasi jaringan, menjalankan audit keamanan sekitar 30.000 terminal di jaringan perusahaan Jepang dan Thailand, dan mengkonfirmasikan bahwa tidak ada koneksi tidak sah yang dibuat ke server Jepang setelah bulan Agustus.

Sumber: Bleeping Computer

Skimmer kartu multi-platform ditemukan di Shopify dan BigCommerce

by

Skimmer kartu kredit multi-platform yang baru ditemukan dapat mengumpulkan informasi pembayaran di toko yang disusupi yang didukung oleh Shopify, BigCommerce, Zencart, dan Woocommerce.

Meskipun biasanya dirancang untuk menargetkan satu jenis platform e-commerce, jenis baru malware skimming web ini dapat mengambil alih proses pembayaran di toko-toko menggunakan beberapa sistem manajemen toko online dengan memasukkan halaman pembayaran yang berbahaya.

Skimmer baru ini (juga dikenal sebagai skrip Magecart) juga dapat menyalahgunakan sistem hosted e-commerce seperti Shopify dan BigCommerce, seperti yang ditemukan oleh para peneliti di perusahaan keamanan cyber Belanda Sansec.

Itu dilakukan dengan menampilkan halaman pembayaran palsu sebelum pelanggan mendarat di formulir checkout yang sebenarnya dan menggunakan keylogger untuk mencegat pembayaran dan informasi pribadi.

Skimmer juga akan memberikan error setelah pelanggan menekan tombol “Lanjutkan” untuk mengirimkan informasi kartu kredit mereka untuk menghindari deteksi dan tidak menaikkan tanda alarm apa pun, mengarahkan mereka kembali ke proses pembayaran dan formulir pembayaran yang sah.

Sumber: Sansec
Sumber: Sansec

Teknik menarik lainnya yang digunakan oleh skimmer ini adalah caranya mengeksfiltrasi data ke domain yang dibuat secara otomatis berdasarkan counter dan dikodekan menggunakan pengkodean base64.

Ini juga memberikan petunjuk tentang berapa lama kampanye Magecart ini telah berjalan, mengingat domain eksfiltrasi yang dihasilkan secara terprogram pertama kali didaftarkan pada tanggal 31 Agustus 2020 untuk pertama kalinya.

Sumber: Bleeping Computer

Malware yang dihosting di GitHub menghitung muatan Cobalt Strike dari gambar Imgur

by

Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.

Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.

Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.

Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.

Sumber: BleepingComputer

Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.

Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.

Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.

IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.

Sumber: Bleeping Computer

Berikut adalah ‘skala peretasan’ untuk lebih memahami serangan siber SolarWinds

by

Beberapa peretasan adalah sebuah bencana besar, tetapi beberapa dapat bertahan. Kita melihat kenyataan ini dalam berbagai laporan yang keluar tentang “peretasan SolarWinds”. Beberapa organisasi sangat terpengaruh sementara yang lain tidak begitu terpengaruh. Namun perbedaan penting ini hilang saat kita mengatakan semuanya telah “diretas”.

Tidak ada “hacked scale” yang digunakan oleh para profesional, apalagi yang bisa digunakan oleh orang awam.

Jika kita ingin memahami perbedaan dalam kasus SolarWinds dengan lebih baik, kita perlu menentukan skala. Karena hal terpenting dalam peretasan adalah penyebaran dan tingkat keparahan, sistem stadium kanker memberikan model yang baik untuk beradaptasi karena melacak penyebaran dan tingkat keparahan kanker dalam lima tahap.

  • Tahap 0: Penyerang telah menemukan atau membuat titik masuk ke sistem atau jaringan tetapi belum menggunakannya atau tidak mengambil tindakan.

  • Tahap I: Penyerang memiliki kendali atas sistem tetapi belum berpindah ke luar sistem ke jaringan yang lebih luas.

  • Tahap II: Penyerang telah berpindah ke jaringan yang lebih luas dan berada dalam mode “read-only” yang berarti mereka dapat membaca dan mencuri data tetapi tidak mengubahnya

  • Tahap III: Penyerang telah berpindah ke jaringan yang lebih luas dan memiliki akses “write” ke jaringan yang berarti mereka dapat mengubah data serta membaca dan mencurinya.

  • Tahap IV: Penyerang memiliki kontrol administratif dari jaringan yang lebih luas yang berarti mereka dapat membuat akun dan cara baru untuk masuk ke jaringan serta mengubah, membaca, dan mencuri data.

Faktor kunci dalam level ini adalah akses dan kontrol penyerang: semakin sedikit semakin baik, semakin banyak semakin buruk.

Misalnya, SolarWinds mengatakan bahwa 18.000 pelanggan terkena dampaknya. Namun ini tidak berarti bahwa 18.000 jaringan pelanggan mengalami Tahap IV dan sepenuhnya dikendalikan oleh penyerang.

Informasi yang disediakan SolarWinds hanya memberi tahu kita bahwa pelanggan tersebut mengalami Tahap 0: penyerang mungkin memiliki cara untuk masuk lebih jauh ke dalam jaringan. Untuk mengetahui apakah penyerang bertindak lebih jauh dan pelanggan terkena dampak yang lebih parah, diperlukan penyelidikan lebih lanjut.

FireEye membuat pernyataan pada 8 Desember tentang peretasan yang menimpa mereka yang ternyata adalah bagian dari serangan SolarWinds. Tampaknya menunjukkan bahwa penyerang dapat mencuri informasi tetapi tidak memberikan indikasi bahwa penyerang dapat mengubah data atau mendapatkan kontrol administratif jaringan, kemungkinan membuat apa yang dialami perusahaan tersebut masih dalam Tahap II.

Poin utama bagi semua orang saat ini adalah memahami bahwa “diretas” bukanlah status biner sederhana: ada derajat yang berbeda-beda. Dengan memahami hal ini, kita dapat menilai dengan lebih baik seberapa serius suatu situasi dan apa yang perlu kita lakukan sebagai tanggapan.

Sumber: Geek Wire

Peringatan Adobe Flash mulai bermunculan di Windows 10

by

Adobe akan menghentikan dukungan untuk Flash, sesuatu yang telah direncanakan bertahun-tahun, dan sekarang memastikan pengguna Windows 10 mengetahuinya sebelum waktu itu tiba.

Flash telah lama menjadi kekurangan terbesar dari keamanan di Internet dan sebagian besar Web telah menjauh darinya demi teknologi yang lebih modern dan lebih standar. Adobe pasti memainkan kartu keamanan cukup banyak mencoba untuk menakut-nakuti pengguna menggunakan Flash. Bukan berarti mereka punya banyak pilihan pada Januari tahun depan.

Setelah 31 Desember 2020, Adobe secara resmi akan berhenti mendukung Flash. Dan mulai 12 Januari 2021, pemutar Adobe Flash dan hampir semua plugin Flash tidak akan lagi memutar konten flash. Meskipun demikian, bukan berarti Flash player dan plugin secara otomatis menjadi tidak aktif dan aman, itulah sebabnya Adobe dan Microsoft mengambil langkah ekstra untuk tidak disalahkan atas kompromi komputer.

Adobe telah mulai memunculkan peringatan di Windows 10 yang memberi tahu pengguna tentang tenggat waktu dan menyarankan mereka untuk menghapus program Flash Player. Sekalipun tidak digunakan, perangkat lunak masih dapat dieksploitasi untuk mendapatkan akses jarak jauh ke PC, terutama jika tidak lagi mendapat pembaruan keamanan. Pengguna hanya diberikan dua opsi untuk mencopot pemasangan atau diingatkan nanti.

Microsoft juga telah merencanakan tindakan yang lebih drastis yang secara otomatis akan menghapus Flash untuk Anda. Mereka akan meluncurkan pembaruan Windows opsional tahun depan yang akan menghapus Flash pada komputer Windows Anda. Namun, hal itu hanya memengaruhi Flash yang dipasang Windows 10 itu sendiri dan pengguna masih harus mencopot pemasangan pemutar Flash lain secara manual, dengan anggapan pembuat browser juga tidak melakukannya untuk mereka.

Sumber: Slashgear

Vietnam menjadi sasaran dalam serangan rantai pasokan yang kompleks

by

Sekelompok peretas misterius telah melakukan serangan rantai pasokan yang cerdik terhadap perusahaan swasta dan lembaga pemerintah Vietnam dengan memasukkan malware ke dalam perangkat lunak resmi milik pemerintah.

Serangan itu, ditemukan oleh firma keamanan ESET dan dirinci dalam laporan bernama “Operation SignSight,” menargetkan Otoritas Sertifikasi Pemerintah Vietnam (VGCA), organisasi pemerintah yang menerbitkan sertifikat digital yang dapat digunakan untuk menandatangani dokumen resmi secara elektronik.

Setiap warga negara Vietnam, perusahaan swasta, dan bahkan lembaga pemerintah lainnya yang ingin mengirimkan file ke pemerintah Vietnam harus menandatangani dokumen mereka dengan sertifikat digital yang kompatibel dengan VGCA.

ESET mengatakan bahwa sekitar tahun ini, peretas masuk ke situs web agensi, yang terletak di ca.gov.vn, dan memasukkan malware ke dalam dua aplikasi klien VGCA yang ditawarkan untuk diunduh di situs tersebut.

Kedua file tersebut adalah aplikasi klien 32-bit (gca01-client-v2-x32-8.3.msi) dan 64-bit (gca01-client-v2-x64-8.3.msi) untuk pengguna Windows.

ESET mengatakan bahwa antara 23 Juli dan 5 Agustus tahun ini, kedua file tersebut berisi trojan backdoor bernama PhantomNet, juga dikenal sebagai Smanager.

Malware itu tidak terlalu rumit namun hanyalah kerangka gambar untuk plugin yang lebih kuat, kata para peneliti.

Plugin tersebut memiliki fungsionalitas untuk mengambil pengaturan proxy untuk melewati firewall perusahaan dan kemampuan untuk mengunduh dan menjalankan aplikasi (berbahaya) lainnya.

Pada hari ESET menerbitkan laporannya, VGCA juga secara resmi mengakui pelanggaran keamanan dan menerbitkan tutorial tentang bagaimana pengguna dapat menghapus malware dari sistem mereka.

Sumber: ZDNet

GoDaddy Memenangkan Penghargaan Tahun 2020 kami untuk Email Perusahaan Paling Jahat

by

Lelucon paling kejam apa yang dapat Anda lakukan terhadap karyawan yang berjuang selama pandemi global ketika jutaan orang kehilangan pekerjaan atau nyawa? GoDaddy – pencatatan domain web yang pernah terkenal karena iklan seksisnya – mencoba mencari tahu ketika mengirimkan email palsu kepada karyawan yang memberi tahu mereka bahwa mereka akan menerima bonus liburan $ 650. Seperti yang awalnya dilaporkan The Copper Courier, GoDaddy mengirimkan “tes” phishing email kepada karyawannya dengan menjanjikan uang yang sangat dibutuhkan; “2020 telah menjadi tahun rekor bagi GoDaddy, terima kasih!”, Katanya. “Meskipun kami tidak dapat merayakan bersama selama Pesta Liburan tahunan, kami ingin menunjukkan penghargaan kami dan berbagi bonus Liburan satu kali sebesar $ 650!”

Karyawan yang mengklik tautan tersebut kemudian dilaporkan menerima email dua hari kemudian yang memberi tahu mereka bahwa mereka gagal dalam ujian. Alih-alih menerima bonus liburan, mereka malah diwajibkan untuk mengikuti kursus pelatihan tentang manipulasi psikologis.

Note by Chief Geek:

– Pertama GODADDY tidak membaca artikel ini Phishing busuk yang merusak Pengalaman Karyawan dan

– Kedua Kejahatan terkait Business eMail Compromise (BEC) adalah faktor serangan terkemuka saat ini untuk mendapatkan keuntungan dengan Ransomware menyusul. Kami mendorong untuk mencegah hal ini lebih merugikan daripada menguntungkan tim keamanan siber di mana pun

Pekerja lembur mendapatkan rasa takut atau ketidakpercayaan untuk mengklik berdasarkan kemungkinan hukuman yang terkait dengan Tes Phishing. Dari pengalaman di kehidupan lampau dan kemudian diperkuat dengan artikel WSJ terkini. Mengapa Perusahaan Harus Berhenti Menakuti Karyawan Tentang Keamanan Siber (mungkin di balik paywall atau akses yang dikontrol lokasi pembaca)

Seperti yang dinyatakan sebelumnya dalam tanggapan. Agar tujuan keamanan perusahaan terpenuhi, SELURUH tim harus bekerja sebagai satu kesatuan. Kehilangan kepercayaan dari rekan kerja dan manajemen atas jenis tindakan ini perlu dicegah. Lebih dari 33 tahun yang lalu kami memiliki di unit Angkatan Udara peran mentor / teman yang sama seperti yang dibahas dalam artikel WSJ. Saya tidak dapat memastikan apakah mereka saat ini memiliki atau tidak masih memiliki gulungan ini, tetapi tidak melihat alasan mengapa mereka menghentikannya. Di peran inilah saya mulai menganggap serius keamanan siber. Tugas kami adalah membimbing dan membantu rekan-rekan kami dengan masalah dan pertanyaan keamanan sehari-hari saat mereka muncul.

Pekerjaannya adalah untuk memperjuangkan keamanan di komputer dan jaringan dalam kehidupan kita sehari-hari. Tidak semua orang dengan peran tersebut berasal dari IT. Kami pergi ke pelatihan berkelanjutan bersama tentang bagaimana mengidentifikasi ancaman dan risiko secara teratur. Kami membantu rekan-rekan kami untuk tidak melakukan hal yang salah tanpa rasa malu atau takut. Saya sangat yakin bahwa kita perlu mengembalikan level mentor ini ke dalam pelatihan kesadaran keamanan normal kita.

Tidak semua orang memahami komputer yang mereka gunakan, apalagi memahami pelatihan kesadaran keamanan siber lebih lama daripada lulus ujian. Mengajar orang-orang untuk mempercayai anggota keamanan tim mereka yang juga merupakan bagian dari tim harian normal mereka kurang menakutkan dan lebih mudah dilakukan untuk beberapa orang. Tim IT yang kelebihan beban hari ini di sebagian besar perusahaan memiliki beberapa tangan ekstra untuk menangani pertanyaan dan menyediakan filter / asisten dalam mengurangi kejadian adalah keuntungan besar.

Kami memiliki Petugas Keselamatan departemen sukarelawan di perusahaan yang memiliki kotak P3K dan mereka mungkin memiliki tugas ekstra selama kebakaran atau bencana alam. Mengapa bukan satu atau dua orang per departemen atau bagian yang secara sukarela melakukan hal yang sama untuk keamanan siber untuk rekan-rekan mereka. Bagi saya, mereka harus mendapatkan bayaran ekstra atau keuntungan lain, tetapi sejujurnya saya ingin melihat peran ini kembali ke perusahaan saat ini lebih cepat daripada nanti.

Dukungan dan dorongan positif diperlukan agar setiap organisasi tumbuh lebih aman. Yang lama adalah yang baru dan yang baru adalah yang lama. Terkadang kami tidak perlu melupakan atau mengganti solusi lama. Kami hanya perlu membangunnya kembali menggunakan praktik terbaik yang disesuaikan seiring berjalannya waktu.

Terima kasih telah membaca ini dan tetap aman by Chief Geek

sumber :
Phish busuk yang merusak Pengalaman Karyawan
Mengapa Perusahaan Harus Berhenti Menakuti Karyawan Tentang Keamanan Siber