Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

Pemerintah Inggris sedang memindai semua perangkat Internet yang dihosting di Inggris

by

Pusat Keamanan Siber Nasional Inggris (NCSC), lembaga pemerintah yang memimpin misi keamanan siber negara itu, sekarang memindai semua perangkat yang terpapar Internet yang dihosting di Inggris untuk mengetahui kerentanannya.

Tujuannya adalah untuk menilai kerentanan Inggris terhadap serangan siber dan untuk membantu pemilik sistem yang terhubung ke Internet memahami postur keamanan mereka.

“Kegiatan ini mencakup sistem yang dapat diakses internet yang di-host di Inggris dan kerentanan yang umum atau sangat penting karena dampaknya yang tinggi,” kata badan tersebut.

“NCSC menggunakan data yang telah kami kumpulkan untuk membuat gambaran umum tentang kerentanan Inggris setelah pengungkapannya, dan melacak perbaikannya dari waktu ke waktu.”

Pemindaian NCSC dilakukan menggunakan alat yang dihosting di lingkungan khusus yang dihosting cloud dari scanner.scanning.service.ncsc.gov.uk dan dua alamat IP (18.171.7.246 dan 35.177.10.231).

Badan tersebut mengatakan bahwa semua penyelidikan kerentanan diuji dalam lingkungannya sendiri untuk mendeteksi masalah apa pun sebelum memindai Internet Inggris.

“Kami tidak berusaha menemukan kerentanan di Inggris untuk tujuan jahat lainnya,” direktur teknis NCSC Ian Levy menjelaskan.

“Kami mulai dengan pemindaian sederhana, dan perlahan-lahan akan meningkatkan kompleksitas pemindaian, menjelaskan apa yang kami lakukan (dan mengapa kami melakukannya).”

Selengkapnya: Bleeping Computer

Peretas Rusia Bertanggung Jawab Atas Sebagian Besar Skema Ransomware 2021, Kata AS

by

WASHINGTON, 1 November (Reuters) – Perangkat lunak pencari pembayaran yang dibuat oleh peretas Rusia digunakan di tiga perempat dari semua skema ransomware yang dilaporkan ke AS.

Jaringan Penegakan Kejahatan Keuangan AS (FinCEN) mengatakan telah menerima 1.489 pengajuan terkait ransomware senilai hampir $1,2 miliar pada tahun 2021, melonjak 188% dari tahun sebelumnya.

Dari 793 insiden ransomware yang dilaporkan ke FinCEN pada paruh kedua tahun 2021, 75% “memiliki hubungan dengan Rusia, proksinya, atau orang yang bertindak atas namanya,” kata laporan itu.

Pada tanggal 31 Oktober, Washington menjadi tuan rumah pertemuan dengan pejabat dari 36 negara dan Uni Eropa, serta 13 perusahaan global untuk mengatasi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, termasuk penggunaan cryptocurrency secara ilegal.

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

by

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

CYBERCOM melaksanakan operasi pertahanan dunia maya global

by

Komando Siber A.S. melakukan konsep operasi ruang siber defensif baru dari 3-14 Oktober 2022.

Operasi ini dimaksudkan untuk menyoroti dan meningkatkan interoperabilitas CYBERCOM dengan mitra. Dengan meningkatkan konsistensi informasi dan berbagi wawasan dengan mitra aksi terpadu, kami meningkatkan keamanan dan stabilitas jaringan, sistem, dan tindakan nasional kami saat melawan aktivitas siber berbahaya.

Operasi 10 hari ini difokuskan secara internal dan dimaksudkan untuk mencari, mengidentifikasi, dan mengurangi malware yang diketahui publik dan variasi terkait yang berpotensi memengaruhi keamanan siber kami. Dimulai dengan malware yang dikenal atau variasinya memungkinkan operator untuk meningkatkan proses dan koordinasi dengan komando kombatan, antarlembaga, internasional, industri, dan mitra akademik. Jika dan ketika operator mengidentifikasi ancaman, wawasan mereka dibagikan di antara semua mitra.

“Di bawah kerangka ini, operasi tersebut merupakan kegiatan berkelanjutan yang dirancang untuk memperkuat ketahanan Jaringan Informasi Departemen Pertahanan (DODIN) dan sistem pendukung lainnya,” kata Laksamana Muda Angkatan Laut AS Matthew C. Paradise, wakil direktur, Operasi J-3 , CYBERCOM. “Operasi Ruang Siber Defensif membantu CYBERCOM memenuhi tanggung jawab misinya dengan mengaktifkan dan meningkatkan jaminan misi pasukan gabungan, serta sekutu dan mitra kami, dengan mempertahankan jaringan yang andal dan dapat dipertahankan,” tambah Paradise.

Operasi defensif ini dilakukan secara bersamaan di berbagai jaringan DOD dan secara global dengan mitra yang berpartisipasi.

Sumber: U.S. Cyber Command

Peretas berbahasa Rusia membuat situs web pemerintah negara bagian AS offline

by

Peretas berbahasa Rusia pada hari Rabu mengklaim bertanggung jawab untuk membobol situs web pemerintah negara bagian di Colorado, Kentucky dan Mississippi, di antara negara-negara lain.

Situs web Dewan Pemilihan Kentucky, yang memposting informasi tentang cara mendaftar untuk memilih, juga offline sementara pada hari Rabu. Situs web dewan pemilihan juga dikelola oleh pemerintah Kentucky, meskipun para peretas tidak secara khusus mencantumkan dewan tersebut sebagai target.

Situs web di Colorado, Kentucky, dan Mississippi tersedia secara sporadis pada Rabu pagi dan sore karena para administrator tampaknya mencoba menghadirkannya secara online.

Kelompok peretasan China yang menargetkan agensi dan perusahaan AS telah meningkatkan aktivitasnya, analisis menemukan
Ini adalah contoh jenis gangguan atau gangguan digital yang sedang dipersiapkan oleh pejabat AS dan pejabat pemilu menjelang pemilihan paruh waktu November.

Situs web seperti Kentucky Board of Elections tidak secara langsung terlibat dalam pemberian atau penghitungan suara, tetapi mereka dapat memberikan informasi yang berguna bagi pemilih.

Kelompok peretas yang mengklaim bertanggung jawab atas penghentian situs web hari Rabu dikenal sebagai Killnet dan meningkatkan aktivitas mereka setelah invasi Rusia ke Ukraina pada Februari untuk menargetkan organisasi di negara-negara NATO. Mereka adalah kelompok lepas dari apa yang disebut “peretas” peretas bermotivasi politik yang mendukung Kremlin tetapi hubungannya dengan pemerintah itu tidak diketahui.

Kelompok itu juga mengaku bertanggung jawab karena secara singkat membobol situs web Kongres AS pada Juli, dan atas serangan siber terhadap organisasi di Lithuania setelah negara Baltik itu memblokir pengiriman beberapa barang ke daerah kantong Rusia Kaliningrad pada Juni.

Beberapa negara bagian telah mengkonfirmasi masalah koneksi intermiten ke situs web mereka menyusul dugaan serangan siber, menurut pemberitahuan dari EI-ISAC, yang bekerja sama dengan pemerintah federal untuk keamanan pemilu.

Pada Rabu sore, situs web Mississippi dan Kentucky, termasuk Dewan Pemilihan Kentucky, kembali online. Situs web negara bagian Colorado masih kesulitan memuat.

Kantor Teknologi Informasi Gubernur Colorado mengatakan portal web negara bagian itu offline “karena serangan siber yang diklaim oleh tersangka aktor asing anonim.”

Pejabat di FBI dan CISA mengulangi minggu ini bahwa setiap upaya peretas untuk melanggar infrastruktur pemilihan “tidak mungkin mengakibatkan gangguan skala besar atau mencegah pemungutan suara.”

Para pemilih di Quincy, Massachusetts, memberikan suara utama mereka di Fore River Clubhouse pada Selasa, 6 September.

Kelompok peretas mendaftarkan situs web negara bagian AS yang digunakan pemerintah negara bagian untuk mempromosikan pariwisata dan menawarkan layanan penduduk – sebagai salah satu daftar target mereka untuk serangan siber pada aplikasi media sosial Telegram di bawah gambar yang bertuliskan “F – NATO.” Mereka biasanya melakukan peretasan kasar yang membuat situs web offline sementara tetapi tidak merusak infrastruktur lebih lanjut.

Killnet berkembang pesat karena perhatian dan keberanian publik, dan pakar keamanan siber harus menyeimbangkan antara memperhatikan kejenakaan online Killnet dan tidak menghipnotis ancaman tingkat rendah.

Sumber: CNN

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

    by

    Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

    Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

    Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

    Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

    “Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

    Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

    Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

    Selengkapnya: The Hacker News

    Facebook menghancurkan jaringan China yang menargetkan orang Amerika

    by

    Meta menghapus jaringan pengaruh Tiongkok yang berusaha mengobarkan ketegangan politik di Facebook, Instagram, dan Twitter menjelang pemilihan.

    Akun-akun itu meniru orang Amerika untuk menargetkan orang-orang di kedua sisi lorong politik atas isu-isu panas seperti akses aborsi dan hak senjata dan polarisasi tokoh masyarakat termasuk Presiden Joe Biden dan Gubernur Florida Ron DeSantis.

    Ben Nimmo, pemimpin intelijen ancaman global untuk Meta, mengatakan aktivitas tersebut menandai pergeseran operasi pengaruh China yang biasanya berusaha membentuk opini publik di luar negeri dengan mendorong propaganda pro-China dan menyerang Amerika Serikat.

    Operasi yang berasal dari China mendapat sedikit keterlibatan dan tidak secara langsung dikaitkan dengan pemerintah di Beijing.

    China tampaknya bereksperimen dengan taktik baru sebagai bagian dari operasi pengaruhnya yang lebih luas, menurut Graham Brookie, direktur senior Laboratorium Penelitian Forensik Digital Dewan Atlantik.

    Operasi pengaruh menargetkan terutama Amerika Serikat dan Republik Ceko.

    Tak satu pun dari posting mencapai audiens yang besar. Secara keseluruhan, ada 81 akun Facebook, delapan Halaman, satu Grup dan dua akun di Instagram.

    Sekitar 20 akun mengikuti satu atau lebih halaman. Sekitar 250 akun bergabung dengan satu atau lebih grup. Kurang dari 10 akun mengikuti satu atau lebih akun Instagram, menurut Meta.

    Meta mengatakan mereka menghapus semuanya karena melanggar kebijakannya terhadap “perilaku tidak autentik yang terkoordinasi.”

    Meta menghapus jaringan China lainnya pada tahun 2020 yang memposting tentang politik AS tetapi terutama menargetkan pengguna di Filipina dan Asia Tenggara.

    Pada bulan Agustus, Facebook, Instagram, WhatsApp, dan Twitter menghapus operasi pengaruh yang mempromosikan kepentingan kebijakan luar negeri AS di luar negeri.

    Operasi itu mempromosikan pandangan Amerika Serikat saat menyerang China, Iran, Rusia, dan negara-negara lain, menurut temuan para peneliti dari Stanford Internet Observatory dan perusahaan riset Graphika.

    Sumber: phys.org