Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Singtel mengkonfirmasi pencurian digital di anak perusahaan, Dialog

by

Singtel telah mengkonfirmasi bahwa bisnis Australia lainnya yang dimilikinya, unit konsultan Dialog, telah menjadi korban perampokan dunia maya hanya beberapa minggu setelah kebocoran data raksasa di telco Optus terungkap.

Dalam sebuah pernyataan kepada bursa saham Singapura, Singtel mengatakan penyusup mungkin telah mengakses data perusahaan “berpotensi mempengaruhi kurang dari 20 klien dan 1.000 karyawan Dialog saat ini serta mantan karyawan”.

Akses tidak sah ke servernya pertama kali terdeteksi pada 10 September. Sistem ini ditutup sebagai “tindakan pencegahan” tetapi dipulihkan dan beroperasi penuh kembali dua hari kemudian.

Singtel telah memberi tahu pihak berwenang terkait dan menawarkan dukungan kepada mereka yang terjebak dalam kekacauan ini. Saat ini “tidak ada bukti” bahwa “insiden keamanan siber” di Dialog memiliki kaitan dengan insiden di Optus.

Singtel telah menyewa Deloitte untuk membantunya menginvestigasi insiden itu, dan Polisi Federal Australia (AFP) telah meminta FBI untuk membantu mereka menyisir jaring untuk menemukan para pelaku.

Selengkapnya: The Register

Laporan Baru Mengungkap Teknik Pengiriman dan Pengelakan Emotet yang Digunakan dalam Serangan Baru-baru ini

by

Pelaku ancaman yang memiliki kaitan dengan malware Emotet yang terkenal terus-menerus mengubah taktik dan infrastruktur command-and-control (C2) mereka untuk menghindari deteksi, menurut penelitian baru dari VMware.

Kebangkitan Emotet, yang diatur oleh tim Conti yang sekarang sudah tidak aktif, telah membuka jalan bagi infeksi Cobalt Strike dan, baru-baru ini, serangan ransomware yang melibatkan Quantum dan BlackCat.

Alur serangan emotet juga ditandai dengan penggunaan vektor serangan yang berbeda dalam upaya untuk tetap terselubung untuk waktu yang lama.

Penyusupan ini biasanya bergantung pada gelombang pesan spam yang mengirimkan dokumen yang mengandung malware atau URL yang disematkan, yang ketika dibuka atau diklik, mengarah pada penyebaran malware.

Pada Januari 2022 saja, VMware mengatakan telah mengamati tiga rangkaian serangan yang berbeda di mana muatan Emotet dikirimkan melalui makro Excel 4.0 (XL4), makro XL4 dengan PowerShell, dan makro Aplikasi Visual Basic (VBA) dengan PowerShell.

Kemunculan kembali Emotet juga ditandai dengan perubahan infrastruktur C2, dengan aktor ancaman mengoperasikan dua klaster botnet baru yang dijuluki Epochs 4 dan 5. Sebelum penghapusan, operasi Emotet berjalan di atas tiga botnet terpisah yang disebut sebagai Epochs 1, 2, dan 3.

Selain itu, 10.235 muatan Emotet yang terdeteksi di alam liar antara 15 Maret 2022, dan 18 Juni 2022, menggunakan kembali server C2 milik Epoch 5.

Selengkapnya: The Hacker News

Pengguna Microsoft Teams menggunakannya untuk alasan yang sangat buruk, jadi hentikan sekarang

by

Perusahaan keamanan siber Hornetsecurity mendesak perusahaan untuk mengambil tindakan pencegahan yang lebih terhadap potensi ancaman menggunakan platform konferensi video Microsoft Teams.

Menurut penelitiannya, hampir setengah (45%) pengguna mengaku sering mengirim informasi “rahasia dan sensitif” melalui Microsoft Teams.

Lebih buruk lagi, angka yang lebih tinggi (51%) ditemukan di berbagi informasi “penting bisnis”, sementara jumlah yang sama (48%) dari responden secara tidak sengaja mengirim pesan Microsoft Teams yang seharusnya tidak dikirim, seperti kepada orang yang salah.

Ketika berbicara mengenai perangkat, pelanggar lebih cenderung berbagi informasi rahasia menggunakan perangkat pribadi (51%), dibandingkan dengan peralatan kerja (29%). Jelas, pentingnya menggunakan perangkat yang diamankan secara profesional perlu ditekankan dalam pelatihan staf.

Hornetsecurity mengusulkan ini sebagai salah satu solusi untuk mengurangi tekanan pada keamanan siber perusahaan, mengutip 56% dari peserta survei yang percaya bahwa pelatihan dan kesadaran karyawan adalah aspek terpenting untuk mengurangi risiko.

CEO perusahaan, Daniel Hofmann, menjelaskan bahwa “perusahaan harus memiliki perlindungan yang memadai untuk melindungi dan mengamankan data bisnis” karena lebih banyak pekerja beralih ke chat-like messaging services.

Jika pengguna ingin terus berbagi konten melalui obrolan, Hofmann mengatakan bahwa perusahaan harus “memastikan informasi dan file yang dibagikan di seluruh platform dicadangkan dengan cara yang aman dan bertanggung jawab.”

Selengkapnya: MSN

RPKI tidak aman – Mekanisme keamanan Internet rusak

by

Menurut pakar keamanan dari ATHENE Jerman, Pusat Riset Nasional untuk Keamanan Siber Terapan, mekanisme keamanan internet yang disebut Resource Public Key Infrastructure (RPKI), yang dimaksudkan untuk melindungi routing lalu lintas data, rusak.

Internet adalah jaringan dari jaringan yang terhubung. Jaringan ini berkomunikasi menggunakan Border Gateway Protocol (BGP) untuk akhirnya membangun routing map internet, sehingga ketika Anda mencoba menyambung ke sesuatu, paket data Anda dikirim melalui pipa yang tepat ke tempat yang tepat.

Secara spesifik, internet terdiri dari jaringan yang disebut sistem otonom/autonomous systems (AS) yang mengiklankan prefix alamat IP mereka melalui router ke jaringan tetangga menggunakan BGP, untuk akhirnya membangun peta perutean ini (routing map internet). AS berbahaya dapat berbohong kepada tetangga mereka, mengklaim prefix alamat IP yang tidak mereka miliki.

RPKI ditujukan untuk mencegah pembajakan prefix dengan mengikat alamat IP ke AS menggunakan tanda tangan digital yang disebut ROA (Route Origin Authorizations). Hanya sekitar 40 persen dari semua blok alamat IP yang memiliki sertifikat RPKI dan hanya sekitar 27 persen yang memverifikasinya, menurut ATHENE.

Tetapi ketika digunakan, RPKI menyediakan AS dengan kemampuan untuk memvalidasi iklan prefix IP dari AS lainnya. Menggunakan ROV (Route Origin Validation), router BGP dapat mengklasifikasikan rute sebagai valid atau tidak valid. Tetapi ketika ROV tidak tersedia dari titik publikasi jaringan, router BGP menganggap rute tidak diketahui dan RPKI tidak digunakan untuk keputusan perutean.

Pilihan desain ini – memprioritaskan jangkauan jaringan daripada keamanan – mewakili sumber kerentanan, kata para peneliti ATHENE.

Selengkapnya: The Register

Cacat Zimbra yang belum ditambal sedang diserang memungkinkan peretas untuk melakukan backdoor server

by

Kerentanan eksekusi kode yang tidak ditambal dalam perangkat lunak Kolaborasi Zimbra sedang dieksploitasi secara aktif oleh penyerang yang menggunakan serangan ke server pintu belakang.

Serangan dimulai paling lambat 7 September, ketika seorang pelanggan Zimbra melaporkan beberapa hari kemudian bahwa server yang menjalankan mesin penyaringan spam Amavis perusahaan memproses email yang berisi lampiran berbahaya.

Dalam hitungan detik, pemindai menyalin file Java berbahaya ke server dan kemudian menjalankannya. Dengan itu, penyerang telah menginstal web shell, yang kemudian dapat mereka gunakan untuk masuk dan mengambil kendali server.

Zimbra belum merilis tambalan yang memperbaiki kerentanan. Sebagai gantinya, perusahaan menerbitkan panduan ini yang menyarankan pelanggan untuk memastikan pengarsipan file yang dikenal sebagai pax diinstal.

Kecuali pax diinstal, Amavis memproses lampiran yang masuk dengan cpio, pengarsip alternatif yang mengetahui kerentanan yang tidak pernah diperbaiki.

“Jika paket pax tidak diinstal, Amavis akan kembali menggunakan cpio,” tulis karyawan Zimbra Barry de Graaff. “Sayangnya fall-back diimplementasikan dengan buruk (oleh Amavis) dan akan memungkinkan penyerang yang tidak diautentikasi untuk membuat dan menimpa file di server Zimbra, termasuk webroot Zimbra.”

Posting selanjutnya menjelaskan cara menginstal pax. Utilitas ini dimuat secara default pada distribusi Ubuntu di Linux, tetapi harus diinstal secara manual di sebagian besar distribusi lainnya. Kerentanan Zimbra dilacak sebagai CVE-2022-41352.

Selengkapnya: ars TECHNICA

Fortinet Memperingatkan Cacat Bypass Otentikasi Baru yang Mempengaruhi FortiGate dan FortiProxy

by

Fortinet secara pribadi telah memperingatkan pelanggannya tentang kelemahan keamanan yang memengaruhi firewall FortiGate dan proksi web FortiProxy yang berpotensi memungkinkan penyerang melakukan tindakan tidak sah pada perangkat yang rentan.

Dilacak sebagai CVE-2022-40684 (skor CVSS: 9,6), kelemahan kritis berkaitan dengan kerentanan bypass otentikasi yang dapat mengizinkan musuh yang tidak diautentikasi untuk melakukan operasi sewenang-wenang pada antarmuka administratif melalui permintaan HTTP(S) yang dibuat khusus.
Keamanan cyber

Masalah ini berdampak pada versi berikut, dan telah diatasi di FortiOS versi 7.0.7 dan 7.2.2, dan FortiProxy versi 7.0.7 dan 7.2.1 dirilis minggu ini:

  • FortiOS – Dari 7.0.0 hingga 7.0.6 dan dari 7.2.0 hingga 7.2.1
  • FortiProxy – Dari 7.0.0 hingga 7.0.6 dan 7.2.0

“Karena kemampuan untuk mengeksploitasi masalah ini dari jarak jauh, Fortinet sangat menyarankan semua pelanggan dengan versi rentan untuk melakukan peningkatan segera,” perusahaan memperingatkan dalam peringatan yang dibagikan oleh peneliti keamanan yang menggunakan alias Gitworm di Twitter.

Sebagai solusi sementara, perusahaan merekomendasikan pengguna untuk menonaktifkan Administrasi HTTPS yang terhubung ke internet hingga pemutakhiran dapat dilakukan, atau sebagai alternatif, menerapkan kebijakan firewall untuk “lalu lintas masuk lokal.”

Ketika dihubungi untuk memberikan komentar, Fortinet mengakui nasihat itu dan mencatat bahwa itu menunda pemberitahuan publik sampai pelanggannya menerapkan perbaikan.

“Komunikasi yang tepat waktu dan berkelanjutan dengan pelanggan kami adalah komponen kunci dalam upaya kami untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Komunikasi pelanggan sering kali merinci panduan terbaru dan merekomendasikan langkah selanjutnya untuk melindungi dan mengamankan organisasi mereka dengan sebaik-baiknya.”

Selengkapnya: The Hacker News

Pertukaran crypto terbesar di dunia diretas dengan kemungkinan kerugian $500 juta

by

Binance, pertukaran mata uang kripto terbesar di dunia, mungkin telah kehilangan setengah miliar dolar setelah meretas jaringannya.

Perusahaan untuk sementara menangguhkan transaksi dan transfer dana setelah mendeteksi eksploitasi antara dua blockchain, sebuah metode pencurian digital yang telah digunakan baru-baru ini di setidaknya satu peretasan besar lainnya.

“Masalahnya sudah tertangani sekarang. Dana Anda aman. Kami mohon maaf atas ketidaknyamanan ini dan akan memberikan pembaruan lebih lanjut,” kata CEO Binance, Changpeng Zhao, dalam sebuah tweet.

Binance awalnya mengatakan bahwa dana $100 juta hingga $110 juta telah diambil. Sejak itu, CNBC melaporkan bahwa perusahaan crypto telah kehilangan $570 juta.

Dalam sebuah posting blog pada hari Jumat, Binance mengatakan sedang bekerja untuk mengunci semua area kerentanan. “Pertama, kami ingin meminta maaf kepada masyarakat atas eksploitasi yang terjadi. Kami memiliki ini,” tulis perusahaan itu. “Berkat bantuan semua pakar keamanan, proyek, dan validator, sebagian besar dana tetap terkendali.”

Tahun lalu Binance mengatakan bahwa sudah waktunya bagi regulator global untuk menetapkan aturan untuk pasar kripto. Perusahaan mengakui pada saat itu bahwa platform crypto memiliki kewajiban untuk melindungi pengguna dan menerapkan proses untuk mencegah kejahatan keuangan, bersama dengan tanggung jawab untuk bekerja dengan regulator dan pembuat kebijakan untuk menetapkan standar agar pengguna tetap aman.

Selengkapnya: The Guardian

Peretas Menargetkan Pembeli Rumah yang Bersemangat Dengan Penipuan Bodoh yang Terus Bekerja

by

Penipuan BEC tanpa pandang bulu menargetkan semua jenis industri, tetapi selama beberapa tahun terakhir mereka telah menemukan jenis korban baru: pembeli rumah yang bersemangat.

Individu dan pasangan yang, ingin sekali menutup rumah impian mereka dan dibanjiri dengan dokumen dan email, mengira mereka mentransfer uang muka mereka ke perusahaan judul atau pengacara yang menangani proses penutupan.

Alih-alih—dengan melewatkan detail yang sangat halus dalam email, seperti kesalahan ejaan atau karakter tambahan, yang menunjukkan bahwa itu palsu—mereka keliru mengirimkan puluhan atau ratusan ribu dolar ke peretas.

Dalam satu saat, mereka kehilangan seluruh sarang telur mereka, bersama dengan rumah yang mereka pikir akan mereka pindahi, dengan sedikit peluang untuk mendapatkan uang kembali.

“Saya terguncang selama beberapa hari. Saya hanya tidak tidur,” kata Christopher Garris, asisten profesor berusia 35 tahun yang kehilangan hampir $ 150.000 pada tahun 2021 ketika dia mencoba membeli sebuah kondominium di Boston setelah mendapatkan posisi di Harvard.

“Itu menyebabkan masalah antara saya dan istri, dan itu menyebabkan banyak stres. Setelah kehilangan banyak uang, kami menabung untuk waktu yang lama—itu telah menjadi sumber kecemasan yang besar bagi kami.”

Selengkapnya: Bloomberg