Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

Ransomware Play Mengklaim Serangan Terhadap Jaringan Hotel Jerman H-Hotels

by

Geng Ransomware Play telah mengaku bertanggung jawab atas serangan dunia maya di H-Hotels (h-hotels.com)yang mengakibatkan gangguan komunikasi bagi perusahaan.

H-Hotels adalah bisnis perhotelan dengan 60 hotel di 50 lokasi di Jerman, Austria, dan Swiss, menawarkan total kapasitas 9.600 kamar, dan mempekerjakan 2.500 orang.

H-Hotels mengungkapkan serangan siber tersebut terjadi pada Minggu, 11 Desember 2022. Setelah penyerang berhasil menerobos sistem perlindungan teknis dan organisasi IT, tim IT segera mengambil tindakan dengan mematikan dan memutus Internet untuk menangkal penyebaran lebih lanjut.

Serangan hanya berdampak pada staf hotel yaitu tidak dapat menerima atau menjawab permintaan pelanggan yang dikirim melalui email, sehingga tamu disarankan untuk menghubungi H-Hotels melalui telepon jika diperlukan.

Data Diduga Dicuri Dalam Serangan
Geng ransomware mengklaim telah mencuri data pribadi dan personal, termasuk dokumen klien, paspor, ID, dan lainnya. Namun, pelaku ancaman belum merilis sampel apa pun untuk mendukung klaim tersebut.

Entri H-Hotels di situs Play ransomware Tor (BleepingComputer)

H-Hotel membantah melihat bukti eksfiltrasi data dalam pengumuman minggu lalu, dan tidak ada pembaruan tentang masalah tersebut sejak saat itu.

Kemungkinan tereksposnya detail dan data pemesanan tamu hotel dapat menjadi kasus pelanggaran privasi yang parah, memberikan informasi tentang lokasi mendatang, informasi keuangan, dan masih banyak lagi.

Selengkapnya: BLEEPINGCOMPUTER

FBI, FDA OCI, dan USDA Merilis Penasihat Keamanan Siber Bersama Mengenai Skema Kompromi Email Bisnis yang Digunakan untuk Mencuri Makanan

by

Biro Investigasi Federal (FBI), Kantor Investigasi Kriminal Administrasi Makanan dan Obat-obatan (FDA OCI), dan Departemen Pertanian AS (USDA) telah merilis Cybersecurity Advisory (CSA) bersama yang merinci insiden yang baru-baru ini diamati dari pelaku kriminal yang menggunakan bisnis email kompromi (BEC) untuk mencuri kiriman produk makanan dan bahan-bahan senilai ratusan ribu dolar.

CSA bersama menganalisis taktik, teknik, dan prosedur umum (TTP) yang digunakan oleh pelaku kriminal untuk memalsukan email dan domain untuk menyamar sebagai karyawan yang sah dan memesan barang yang tidak dibayar dan mungkin dijual kembali dengan harga yang didevaluasi dengan pelabelan yang tidak memiliki standar industri “kebutuhan- yang tahu” (yaitu, informasi yang diperlukan tentang bahan, alergen, atau tanggal kedaluwarsa).

Untuk informasi lebih lanjut, CISA mendorong organisasi untuk meninjau panduan yang diberikan oleh FBI, FDA OCI, dan USDA bersama Pelaku Kriminal CSA Menggunakan Kompromi Email Bisnis untuk Mencuri Kiriman Besar Produk dan Bahan Makanan—di mana bisnis didesak “untuk menggunakan risiko- analisis informasi untuk mempersiapkan, memitigasi, dan menanggapi insiden dunia maya dan kejahatan yang dimungkinkan oleh dunia maya.”

Selengkapnya: CISA

Biden Mem-blacklist YMTC, Menindak Sektor Chip AI

by

Pemerintahan Biden pada hari Kamis menambahkan pembuat chip memori China YMTC dan 21 pemain “utama” China di sektor chip kecerdasan buatan ke daftar hitam perdagangan, memperluas tindakan kerasnya terhadap industri chip China.

YMTC, yang telah lama berada di garis bidik pemerintah AS, ditambahkan ke dalam daftar karena khawatir dapat mengalihkan teknologi Amerika ke raksasa teknologi China yang sebelumnya masuk daftar hitam Huawei Technologies Co Ltd.

21 entitas chip AI China yang ditambahkan ke daftar hitam perdagangan, termasuk Cambricon Technologies Corp (688256.SS) dan CETC, menghadapi hukuman yang lebih berat, dengan pemerintah AS secara efektif memblokir akses mereka ke teknologi yang dibuat di mana saja di dunia dengan peralatan AS.

Ketika pemerintah China berusaha menghilangkan hambatan antara sektor militer dan sipilnya, “kepentingan keamanan nasional AS mengharuskan kami bertindak tegas untuk menolak akses ke teknologi canggih,” kata Asisten Menteri Perdagangan untuk Administrasi Ekspor Thea Kendler dalam sebuah pernyataan.

Kedutaan Besar China di Washington mengatakan Amerika Serikat terlibat dalam “paksaan ekonomi dan intimidasi yang terang-terangan di bidang teknologi,” merusak aktivitas bisnis normal antara perusahaan China dan Amerika dan mengancam stabilitas rantai pasokan global.

Departemen Perdagangan pada hari Kamis juga menargetkan sembilan entitas China karena diduga berusaha mendukung modernisasi militer China, termasuk Shanghai Micro Electronics Equipment Group Co Ltd (SMEE), satu-satunya perusahaan litografi China.

SMEE tidak segera menanggapi permintaan komentar.

Ia menambahkan pembuat kamera pengintai China Tianjin Tiandi Weiye Technologies karena diduga berpartisipasi dalam “kampanye penindasan China, penahanan sewenang-wenang massal, dan pengawasan teknologi tinggi terhadap Uyghur.” Tiandi tidak segera menanggapi permintaan komentar.

Senat Tinggi Demokrat Chuck Schumer menggembar-gemborkan hukuman baru pada YMTC, yang dilaporkan Reuters sedang diselidiki karena diduga melanggar peraturan ekspor AS dengan memasok chip ke Huawei tanpa lisensi.

sumber : reuters

Apple Mengizinkan Toko Aplikasi Alternatif di iPhone di UE

by

Apple telah lama mencegah penginstalan aplikasi pihak ketiga di perangkat seluler mereka kecuali jika itu datang melalui App Store resmi mereka. Namun, peraturan Uni Eropa yang baru telah mendorong Apple untuk mulai merombak layanannya untuk mengizinkan toko aplikasi luar.

Rekayasa perangkat lunak dan tim layanan Apple membuat perubahan besar pada platform Apple untuk memungkinkan toko aplikasi “alternatif”. Ini akan memungkinkan pelanggan mengunduh aplikasi ke iPhone atau iPad mereka di luar kendali Apple (dan komisi 30%).

Undang-undang yang dimaksud adalah Digital Markets Act (DMA), yang ditandatangani menjadi undang-undang pada bulan September. Ini pada dasarnya mencoba untuk menyamakan kedudukan bagi pengembang pihak ketiga melawan “Teknologi Besar” dan meningkatkan interoperabilitas antar layanan.

App Store dapat menciptakan kerentanan keamanan dan masalah privasi. Dengan demikian, bagian dari keputusan rekayasa melibatkan kemungkinan mengamanatkan persyaratan keamanan yang masih memerlukan persetujuan Apple.

Apple akhirnya menghapus Fortnite sepenuhnya dari App Store. Apple akhirnya memenangkan gugatan Epic, tetapi itu mengarah pada paradi Fortnite yang menarik dari iklan “1984” Apple yang terkenal.

Gurman mencatat bahwa Apple dapat menghapus persyaratan untuk browser pihak ketiga seperti Chrome untuk menggunakan mesin rendering WebKit Safari. Teknologi lain seperti chip NFC (saat ini hanya digunakan dengan Apple Pay) dan API pribadi juga dapat dibuka untuk pengembang pihak ketiga.

Penting untuk diperhatikan bahwa perubahan ini hanya terbatas pada negara-negara UE. Pasar lain, termasuk Amerika Serikat, masih ingin dibatasi untuk menggunakan Apple App Store.

selangkapnya : ign

Tiktok AS Akan di Blokir Joe Biden di bawah RUU Bipartisan

by

Anggota parlemen menyamakan pengaruh TikTok yang meluas di AS dengan “fentanil digital”.

Pada bulan September, Presiden Joe Biden mengumumkan bahwa TikTok akan tetap dapat diakses di AS setelah kesepakatan dapat diselesaikan untuk meredakan masalah keamanan nasional. Butuh waktu berbulan-bulan bagi pemerintahannya untuk mempertimbangkan semua potensi risiko yang terlibat dalam penandatanganan kesepakatan.

RUU yang secara resmi dikenal sebagai upaya “Mencegah Ancaman Nasional Pengawasan Internet, Sensor dan Pengaruh yang Menindas, dan Pembelajaran Algoritma oleh Undang-Undang Partai Komunis China” atau “Undang-Undang PKC ANTI-SOSIAL”, secara khusus menyebut TikTok dan pemilik ByteDance sebagai ancaman keamanan nasional yang ada. Namun jika disahkan, ketentuannya juga akan meluas ke semua platform media sosial yang dikendalikan oleh musuh asing AS lainnya.

Juru bicara TikTok, Brooke Oberwetter, mengatakan kepada Ars bahwa perusahaan menganggap undang-undang bipartisan yang diperkenalkan ini bermotivasi politik.

Dalam pembicaraan dengan Komite Investasi Asing di Amerika Serikat, TikTok dilaporkan setuju mengambil langkah untuk mengatasi masalah keamanan nasional AS, termasuk menyimpan data pengguna Amerika di server AS untuk mencegah karyawan yang berbasis di China mengakses data Amerika.

Menurut Oberwetter, motivasi TikTok untuk bekerja sama menenangkan pemerintahan Biden, adalah memastikan bahwa jutaan orang Amerika yang menggunakan platform ini untuk belajar, mengembangkan bisnis, dan terhubung dengan konten kreatif yang membuat mereka bahagia tidak akan kehilangan akses.

Disamping itu, Gallagher menjelaskan dalam siaran pers Rubio, bahwa hal tersebut memberi orang Amerika akses ke fentanyl digital yang mana membuat orang Amerika kecanduan, mengumpulkan banyak sekali data mereka, dan menyensor berita mereka.

Gallagher dan Rubio menunjuk ke profil LinkedIn yang menghubungkan karyawan ByteDance dengan outlet propaganda China, dan laporan terkait dari Forbes, yang menunjukkan bahwa TikTok berencana menggunakan aplikasi untuk memantau lokasi warga Amerika untuk tujuan yang dirahasiakan.

Sejak itu, Rep. Krishnamoorthi bergabung dengan tujuan mereka. Terlepas dari kekhawatiran yang ada, satu-satunya cara yang dapat diterima bagi TikTok untuk tetap beroperasi di AS adalah jika Biden dapat membuatnya agar dapat dikendalikan oleh perusahaan Amerika.

Sementara Kongres mempertimbangkan Undang-Undang PKT ANTI-SOSIAL, Oberwetter mengatakan bahwa TikTok berencana untuk terus berupaya meyakinkan para pejabat AS bahwa TikTok bukanlah risiko keamanan nasional.

Selengkapnya: arsTECHNICA

Cacat Keamanan pada Produk Atlassian (Jira, Confluence, Trello, BitBucket) yang Mempengaruhi Banyak Perusahaan

by

Pada 6 Desember 2022, CloudSEK mengungkapkan serangan dunia maya yang diarahkan ke perusahaan. Selama investigasi terhadap akar penyebab insiden tersebut, tim investigasi internal mengidentifikasi bahwa aktor ancaman memperoleh akses ke akun Jira karyawan CloudSEK, menggunakan cookie sesi Jira yang ada di log pencuri yang dijual di dark web.

Produk Atlassian, cookie tidak dibatalkan, meskipun kata sandi diubah, dengan 2FA (Otentikasi Dua Faktor) diaktifkan, karena validitas cookie adalah 30 hari. Atlassia telah mengkonfirmasi dan sedang bekerja untuk Menyelesaikan masalah tersebut.

CloudSEK merilis alat gratis yang memungkinkan perusahaan memeriksa apakah komputer mereka yang disusupi dan akun Jira diiklankan di pasar web gelap. Dengan lebih dari 10 juta pengguna di 180.000 perusahaan, termasuk 83% perusahaan Fortune 500, produk Atlassian banyak digunakan di seluruh dunia.

Cookie Atlassian yang Dicuri Dapat Menyebabkan Akses Akun Tidak Sah bahkan jika 2FA diaktifkan
Investigasi CloudSEK menunjukkan bahwa cookie produk Atlassian tetap berlaku selama 30 hari, meskipun kata sandi diubah dan 2FA diaktifkan. Oleh karena itu, pelaku ancaman dapat memulihkan sesi Jira, Confluence, Trello, atau BitBucket, menggunakan cookie yang dicuri, meskipun tidak memiliki akses ke OTP/PIN MFA.

Bukti Konsep
Peneliti CloudSEK memperoleh beberapa dump file log dan menemukan beberapa cookie Atlassian yang masih aktif untuk berbagai perusahaan.

Halaman pengaturan pengguna Bitbucket korban

Kredensial Atlassian/ Cookie Dijual di Darkweb Marketplaces
Dalam 30 hari terakhir, lebih dari 200 contoh unik kredensial/cookie terkait atlassian.net telah disiapkan untuk dijual di pasar darkweb. Mengingat kredensial tersebut disiapkan untuk dijual dalam 30 hari terakhir, kemungkinan besar banyak dari kredensial tersebut masih aktif.

Gambar 2 Contoh kredensial atlassian.net untuk dijual

Anatomi File Stealer-Log
Log pencuri yang dijual di pasar web gelap. Saat menguraikan file yang ada, data ditampilkan dalam sebuah format. Beberapa informasi korban yang dimasukkan ke dalam log pencuri yaitu IP, Tangkapan layar, Lokasi, Cookie dari semua browser yang digunakan oleh korban, Informasi dompet Cryptocurrency, dan lainnya.

Data Perusahaan Lain Tersedia di Web Gelap
Dalam 90 hari terakhir, lebih dari 70% data perusahaan Fortune 1000 tersedia untuk dijual di pasar web gelap. Dari jumlah tersebut, untuk 50% perusahaan, kredensial dari berbagai endpoint internal disiapkan untuk dijual.

Beberapa endpoint tersedia untuk dijual

Selengkapnya: cloudSEK

APT37 Menggunakan Internet Explorer Zero-Day untuk Menyebarkan Malware

by

Grup ancaman Korea Utara APT37 dapat mengeksploitasi kerentanan zero-day Internet Explorer untuk menyebarkan dokumen yang sarat dengan malware sebagai bagian dari kampanye yang menargetkan pengguna di Korea Selatan, termasuk pembelot, jurnalis, dan kelompok hak asasi manusia.

Threat Analysis Group (TAG) milik google menemukan kelemahan zero-day di mesin JScript Internet Explorer pada akhir Oktober, dilacak di bawah CVE-2022-41128, dan sekarang melaporkan bahwa Microsoft responsif dan telah mengeluarkan tambalan yang sesuai.

Untuk memikat calon korban, dokumen jahat tersebut merujuk pada insiden penghancuran massa yang mematikan di Seoul yang terjadi selama perayaan Halloween pada 29 Oktober.

“Insiden ini dilaporkan secara luas, dan iming-iming tersebut memanfaatkan minat publik yang luas terhadap kecelakaan tersebut,” lapor tim TAG. “Ini bukan pertama kalinya APT37 menggunakan eksploitasi 0 hari Internet Explorer untuk menargetkan pengguna.”

sumber : dark reading

Clop Ransomware Menggunakan Malware TrueBot Untuk Akses ke Jaringan

by

Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.

Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.

Infeksi truebot

silence hackers telah menanam malware mereka di lebih dari 1500 sistem di seluruh dunia untuk mengambil shellcode, cobalt strike beacon the grace malwaare

Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022. para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022- 31199.

Laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan FIN11 dan TA505 (dikenal menggunakan Clop).

Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.

Diagram Fungsi Truebot (Cisco Talos)

Alat eksfiltrasi data teleport baru

Pada fase pasca-kompromi, peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang dikaitkan dengan kelompok penjahat dunia maya TA505.

Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.

Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.

Teleportasi juga menampilkan opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.

Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.

Aktivitas pasca-infeksi yang mengarah ke penerapan Clop (Cisco Talos)

Aktivitas silence gang
Silence melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank-bank di bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,

Pada dasarnya, mereka hanya menyerang organisasi di Russia namun Silence memperluas kemampuan mereka hingga titik global.

sumber : bleeping computer