Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Rackspace diguncang oleh ‘insiden keamanan’ yang menghentikan layanan Exchange yang dihosting

by

Beberapa layanan Microsoft Exchange yang dihosting Rackspace telah dihentikan oleh apa yang digambarkan oleh perusahaan sebagai “insiden keamanan”.

Laporan insiden terbaru perusahaan pada saat penulisan, bertanda waktu 01:57 Waktu Bagian Timur pada tanggal 3 Desember, memberikan informasi berikut.

“Pada hari Jumat, 2 Desember 2022, kami menyadari adanya masalah yang memengaruhi lingkungan Hosted Exchange kami. Kami secara proaktif menonaktifkan dan memutus lingkungan Exchange yang Dihosting sementara kami melakukan triase untuk memahami tingkat dan tingkat keparahan dampaknya. Setelah analisis lebih lanjut, kami memutuskan bahwa ini adalah insiden keamanan.”

Insiden tersebut selanjutnya digambarkan sebagai “terisolasi ke sebagian dari platform Hosted Exchange kami”

Rackspace tidak tahu kapan akan dapat memulihkan layanannya kepada mereka yang terkena dampak insiden keamanan.

“Kami secara aktif bekerja dengan tim dukungan kami dan mengantisipasi pekerjaan kami mungkin memakan waktu beberapa hari,” saran halaman statusnya.

Insiden tersebut terwujud sebagai apa yang digambarkan Rackspace sebagai “masalah konektivitas dan login.

Pembaruan bertanda waktu pukul 20:19 Waktu Bagian Timur pada tanggal 2 Desember melangkah lebih jauh, menggambarkannya sebagai “kegagalan signifikan dalam lingkungan Hosted Exchange kami”.

Tetapi tidak ada informasi tentang penyebab insiden yang tersedia saat ini, namun kombinasi dari pemadaman dan proses pemulihan yang panjang menunjukkan ransomware bisa menjadi faktor penyebabnya.

Rackspace telah menawarkan pelanggan yang terkena dampak akses gratis ke lisensi Microsoft Exchange Paket 1 di Microsoft 365 selama durasi insiden dan membagikan petunjuk tentang cara mengaktifkan dan menjalankannya. Instruksi menyarankan pekerjaan untuk menjalankannya akan memakan waktu 30 menit hingga satu jam.

Selengkapnya: The Register

Kunci penandatanganan aplikasi Android Samsung telah bocor, digunakan untuk menandatangani malware

by

Łukasz Siewierski, anggota Tim Keamanan Android Google, memposting di pelacak masalah Inisiatif Kerentanan Mitra Android (AVPI) yang merinci kunci sertifikat platform yang bocor yang secara aktif digunakan untuk menandatangani malware.

Posting ini hanyalah daftar kunci, tetapi menjalankan masing-masing melalui APKMirror atau situs VirusTotal Google akan memberi nama pada beberapa kunci yang disusupi: Samsung, LG, dan Mediatek adalah pemukul berat pada daftar kunci yang bocor, bersama dengan beberapa OEM yang lebih kecil seperti Revoview dan Szroco, yang membuat tablet Onn Walmart.

Perusahaan-perusahaan ini entah bagaimana kunci penandatanganan mereka bocor ke pihak luar, dan sekarang Anda tidak dapat mempercayai bahwa aplikasi yang mengklaim berasal dari perusahaan-perusahaan ini benar-benar berasal dari mereka. Lebih buruk lagi, “kunci sertifikat platform” yang hilang memiliki beberapa izin serius.

Samsung bukan hanya OEM Android terbesar yang mengalami kebocoran kunci penandatanganan, tetapi juga pengguna terbesar dari kunci yang bocor. Tautan APKMirror sebelumnya menunjukkan betapa buruknya itu. Kunci Samsung yang disusupi digunakan untuk semuanya: Samsung Pay, Bixby, Samsung Account, aplikasi ponsel, dan sejuta hal lain yang dapat Anda temukan di 101 halaman hasil untuk kunci tersebut. Dimungkinkan untuk membuat pembaruan berbahaya untuk salah satu dari aplikasi ini, dan Android akan dengan senang hati menginstalnya di atas aplikasi sebenarnya. Beberapa pembaruan mulai hari ini, menandakan Samsung masih belum mengubah kuncinya.

Selengkapnya: ars TECHNICA

BEC Group Mengkompromi Akun Pribadi dan Menarik Hati untuk Meluncurkan Serangan Kartu Hadiah Massal

by

Ada satu kelompok kriminal yang sekarang menyempurnakan eksploitasi kesediaan orang untuk membantu orang lain ketika mereka sakit atau berduka. Penjahat ini memanfaatkan salah satu instrumen bantuan orang-ke-orang yang disukai di era pandemi untuk memberikan sentuhan baru yang berbahaya pada penipuan kartu hadiah, menggunakan taktik manipulasi dan kompromi email bisnis (BEC).

Lilac Wolverine adalah grup BEC yang menyusup ke akun email pribadi, lalu mengirimkan kampanye email yang sangat besar yang menargetkan semua orang di setiap daftar kontak akun yang disusupi untuk meminta bantuan membeli kartu hadiah untuk teman atau kerabat. Berdasarkan keterlibatan pertahanan aktif yang telah kami lakukan dengan para aktor Lilac Wolverine, grup ini sangat tersentralisasi di Nigeria, yang secara historis menjadi titik panas bagi para aktor BEC.

Untuk serangan BEC penipuan pembayaran, target scammer umumnya terbatas pada karyawan di tim keuangan perusahaan. Serangan pengalihan gaji biasanya hanya dapat dilakukan dengan menyerang karyawan di departemen sumber daya manusia. Serangan kartu hadiah, di sisi lain, dapat menargetkan karyawan mana pun di suatu organisasi, terlepas dari departemen apa yang mereka duduki.

Alih-alih memiliki jumlah target yang terbatas, scammer berpotensi memiliki ratusan karyawan yang dapat mereka kejar dalam satu kampanye. . Dan sementara tingkat keberhasilan keseluruhan mungkin jauh lebih rendah untuk setiap email serangan BEC kartu hadiah individu, peluang sukses keseluruhan scammer dalam kampanye email yang jauh lebih besar naik, karena mereka hanya perlu persentase kecil dari populasi target yang jauh lebih besar untuk jatuh. penipuan.

Selengkapnya: Abnormal Security

APT37 Menyalahgunakan Google Drive Menggunakan Dynamic Dolphin Malware

by

Grup peretasan Korea Utara APT37 (alias ScarCruft atau Reaper) telah memperbarui persenjataan alatnya yang luas dengan pintu belakang canggih baru bernama Dolphin. Backdoor menyalahgunakan layanan penyimpanan cloud, khususnya Google Drive untuk komunikasi C2.

Peneliti ESET menemukan bahwa APT37 menggunakan Dolphin sejak awal 2021 dan pintu belakang terus mengembangkan kemampuan baru dan berevolusi untuk menghindari deteksi.

  • Penemuan terbaru terkait dengan serangan lubang berair pada tahun 2021 di surat kabar online Korea Selatan yang melaporkan aktivitas dan acara yang berkaitan dengan Korea Utara.
  • Peretas mengandalkan banyak komponen, termasuk eksploit Internet Explorer dan kode shell yang mengarah ke pintu belakang bernama BLUELIGHT, yang menyebarkan muatan sekunder Dolphin pada target yang dipilih.
  • BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi dan Dolphin mencari drive dari sistem yang disusupi untuk mencari file menarik dan mengekstraknya ke Google Drive.

Dolphin, ditulis dalam C++, adalah backdoor yang mengumpulkan informasi dan mengeksekusi perintah secara otomatis atau seperti yang dikeluarkan oleh operatornya.

  • Dolphin memiliki berbagai kemampuan mata-mata, termasuk memantau layanan cloud dan perangkat portabel serta mengekstraksi file yang menarik.
  • Selain itu, ia mampu melakukan keylogging dan mengambil screenshot, dan mencuri kredensial dari browser seperti Chrome, Edge, dan Internet Explorer. Itu dapat membangun kegigihan pada sistem yang dikompromikan dengan memodifikasi Windows Registry.

Sejauh ini, empat varian pintu belakang Dolphin telah terdeteksi, 1.9 hingga 3.0 (86/64-bit). Dolphin sering menambah, menghapus, atau memperbaiki perintah di setiap varian.

Selengkapnya: Cyware

Peneliti menemukan bug yang memungkinkan akses, remote control mobil

by

Beberapa merek mobil besar telah mengatasi kerentanan yang memungkinkan peretas mengontrol kunci, mesin, klakson, lampu depan, dan bagasi mobil tertentu dari jarak jauh yang dibuat setelah 2012, menurut seorang peneliti keamanan.

Insinyur keamanan staf Yuga Labs, Sam Curry, menerbitkan dua utas di Twitter yang merinci penelitiannya tentang aplikasi seluler untuk beberapa merek mobil yang memberi pelanggan kemampuan untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan mereka dari jarak jauh.

Curry dan beberapa peneliti lainnya memulai dengan Hyundai dan Genesis, menemukan bahwa sebagian besar proses verifikasi untuk mendapatkan akses ke kendaraan bergantung pada alamat email terdaftar. Mereka menemukan cara untuk mem-bypass fitur verifikasi email dan mendapatkan kendali penuh.

Kerentanan telah ditambal, masalah intinya adalah kerentanan kontrol akses yang memengaruhi akun pengguna di aplikasi itu sendiri. Anda dapat masuk ke akun siapa pun jika Anda mengetahui alamat email mereka dan karenanya mengontrol/menemukan kendaraan mereka dari jarak jauh,” kata Curry, mencatat bahwa serangan itu dapat terjadi “dari mana saja.”

Seorang juru bicara Hyundai mengatakan kepada The Record bahwa mereka bekerja dengan konsultan untuk menyelidiki kerentanan yang diklaim “segera setelah para peneliti menyampaikannya kepada kami.”

Dalam komentarnya kepada The Record, Curry menjelaskan bahwa manuver tersebut akan memungkinkan penyerang untuk memulai, menghentikan, mengunci, membuka kunci, membunyikan klakson, menyalakan lampu, atau menemukan kendaraan dari jarak jauh yang mengaktifkan fungsi jarak jauh. Fitur itu telah diaktifkan di semua kendaraan yang dibuat setelah 2012.

Selengkapnya: The Record

TSA Merencanakan Regulasi Risiko Siber untuk Sektor Pipa dan Kereta Api

by

Administrasi Keamanan Transportasi memanggil otoritas yang ada sejak pembentukannya pasca 9/11 dalam pemberitahuan sebelumnya tentang usulan pembuatan aturan yang menyerukan program manajemen risiko dunia maya untuk perusahaan pipa dan kereta api.

Pemberitahuan awal – biasanya langkah pertama dari prosedur pembuatan aturan pemberitahuan dan komentar federal – adalah bagian dari upaya administrasi Biden yang lebih luas untuk menekan operator infrastruktur kritis ke dalam keamanan dunia maya yang lebih baik, upaya yang dilakukan setelah gangguan pasokan bensin pada Mei 2021 di selatan Amerika dan Pantai Timur setelah peretas yang berbasis di Rusia melakukan serangan ransomware pada pemasok pipa utama.

Industri jalur pipa dan kereta api telah berada di bawah regulasi keamanan siber yang ditingkatkan melalui arahan TSA yang mengamanatkan langkah-langkah seperti rencana tanggap insiden, kebijakan segmentasi jaringan, dan pemantauan berkelanjutan (lihat: TSA Menerbitkan Arahan Keamanan Siber Baru untuk Jalur Pipa Minyak).

Badan tersebut mengatakan program manajemen risiko dunia maya federal akan melampaui arahan tersebut untuk meningkatkan fokus industri pada ketahanan operasional. “Pencegahan saja tidak cukup,” kata pemberitahuan itu. Industri harus berasumsi bahwa penyerang akan mengganggu sistem, yang berarti bahwa “kapasitas dan kemampuan untuk merespons dan pulih dengan cepat saat insiden keamanan siber terjadi adalah kunci untuk mengurangi gangguan dan memastikan operasi yang tangguh.”

TSA mengatakan tidak tertarik untuk memaksakan “persyaratan statis”, yang menyatakan bahwa program manajemen risiko harus mendorong penilaian berkelanjutan terhadap lingkungan ancaman dan penerapan kontrol keamanan yang dinamis.

Selengkapnya: Gov Info Security

Pejabat Vanuatu beralih ke buku telepon dan mesin tik, satu bulan setelah serangan dunia maya

by

Satu bulan setelah serangan dunia maya meruntuhkan server dan situs web pemerintah di Vanuatu, para pejabat yang frustrasi masih menggunakan akun Gmail pribadi, laptop pribadi, pulpen dan kertas, dan mesin tik untuk menjalankan pemerintahan perdana menteri, Ismael Kalsakau, yang mulai menjabat. hanya beberapa hari setelah kecelakaan itu.

Serangan malware pada jaringan negara telah menyebabkan keterlambatan komunikasi dan koordinasi di negara kepulauan Pasifik berpenduduk 314.000 orang dan 80 pulau itu.

Orang-orang menggunakan Yellow Pages online atau direktori hard copy telepon untuk menemukan nomor telepon pemerintah. Beberapa kantor beroperasi dari halaman Facebook dan Twitter mereka.

Masalahnya dimulai sekitar sebulan yang lalu, ketika aktivitas phishing yang mencurigakan pertama kali diketahui melalui email ke Kementerian Keuangan, menurut seorang analis keuangan yang bekerja sama dengan tim keamanan siber kementerian.

Malware tersebut merusak hampir semua email pemerintah dan arsip situs web. Banyak departemen masih menggunakan drive komputer lokal untuk menyimpan data, berbeda dengan server web atau cloud. Tidak ada informasi resmi yang dirilis tentang apakah permintaan tebusan dibuat oleh para peretas.

“Butuh waktu lebih lama untuk pembayaran [dari Kementerian Keuangan] untuk keluar, tapi … toh kami selalu dalam waktu Vanuatu,” kata analis keuangan itu.

Departemen pemerintah telah berjuang untuk tetap terhubung, membuat frustrasi pejabat, dengan solusi dadakan yang diterapkan untuk komunikasi antara lembaga dan departemen. Banyak kantor pemerintah pulau terluar mengalami keterlambatan tajam dalam pelayanan.

Selengkapnya: The Guardian

Peneliti keamanan siber menghapus botnet DDoS secara tidak sengaja

by

Saat menganalisis kemampuannya, peneliti Akamai secara tidak sengaja menghapus botnet cryptomining yang juga digunakan untuk serangan denial-of-service (DDoS) terdistribusi.

Seperti terungkap dalam laporan yang diterbitkan awal bulan ini, malware KmsdBot di balik botnet ini ditemukan oleh anggota Akamai Security Intelligence Response Team (SIRT) setelah menginfeksi salah satu honeypots mereka.

KmsdBot menargetkan perangkat Windows dan Linux dengan beragam arsitektur, dan menginfeksi sistem baru melalui koneksi SSH yang menggunakan kredensial login yang lemah atau default.

Perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dan meluncurkan serangan DDoS, dengan beberapa target sebelumnya adalah perusahaan game dan teknologi, serta produsen mobil mewah.

Sayangnya untuk pengembangnya dan untungnya bagi pemilik perangkat, botnet belum memiliki kemampuan bertahan untuk menghindari deteksi.

Namun, ini berarti malware harus memulai dari awal jika terdeteksi dan dihapus atau malfungsi dengan cara apa pun dan kehilangan koneksi ke server perintah-dan-kontrol (C2).

Selengkapnya: Bleeping Computer