Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

Malware China Memukul Sistem di Guam. Apakah Taiwan Target Sebenarnya?

by

Sekitar waktu F.B.I. sedang memeriksa peralatan yang ditemukan dari balon mata-mata China yang ditembak jatuh di lepas pantai Carolina Selatan pada bulan Februari, badan intelijen Amerika dan Microsoft mendeteksi apa yang mereka khawatirkan sebagai penyusup yang lebih mengkhawatirkan: kode komputer misterius muncul dalam sistem telekomunikasi di Guam dan tempat lain di Amerika Serikat .

Kode tersebut, yang menurut Microsoft dipasang oleh kelompok peretasan pemerintah China, menimbulkan kekhawatiran karena Guam, dengan pelabuhan Pasifik dan pangkalan udara Amerika yang luas, akan menjadi pusat tanggapan militer Amerika terhadap invasi atau blokade Taiwan. Operasi itu dilakukan dengan sangat sembunyi-sembunyi, terkadang mengalir melalui router rumah dan perangkat konsumen umum lainnya yang terhubung ke internet, untuk membuat penyusupan lebih sulit dilacak.

Kode tersebut disebut “web shell”, dalam hal ini skrip berbahaya yang memungkinkan akses jarak jauh ke server. Router rumah sangat rentan, terutama model lama yang belum memiliki perangkat lunak dan perlindungan yang diperbarui.

Berbeda dengan balon yang membuat orang Amerika terpesona saat melakukan putaran di atas situs nuklir yang sensitif, kode komputer tidak dapat ditembak jatuh di televisi langsung. Jadi sebagai gantinya, Microsoft pada hari Rabu menerbitkan rincian kode yang memungkinkan pengguna korporat, produsen, dan lainnya untuk mendeteksi dan menghapusnya.

selengkapnya : nytimes.com

Pembatasan Data Terbaru China Dapat Menakuti Investor

by

Perluasan undang-undang anti-spionase mengkhawatirkan bisnis asing.

Presiden China Xi Jinping dan Presiden Ukraina Volodymyr Zelensky terhubung melalui panggilan yang telah lama ditunggu-tunggu, dan Penasihat Keamanan Nasional AS Jake Sullivan menjabarkan dan diversifikasi” terhadap kebijakan China.

Dalam rangka memperdalam pembatasan data, China telah mendorong basis data utama informasi keuangannya untuk sebagian besar menghentikan perusahaan asing. Langkah ini mengikuti pola terbaru Beijing yang memblokir akses ke data bisnis penting, dari paten hingga buku tahunan lokal, serta serangkaian penggerebekan terhadap perusahaan asing.

Amandemen minggu lalu juga memperluas jangkauan alasan hukum yang tersedia untuk menangkap orang asing di negara tersebut.

Sementara itu, China telah meningkatkan penggunaan larangan keluar, yang diterapkan terutama terhadap warga negara China tetapi terkadang terhadap pengusaha asing.

Pembatasan database adalah bagian dari kampanye yang lebih luas untuk menghapus data pemerintah yang pernah tersedia dari internet. China telah memutus akses ke sumber online termasuk keputusan dari kasus pengadilan dan dokumen pengadaan.

Selengkapnya: Foreign Policy

Pernyataan Komisaris eSafety Australia: Membanginkan Enkripsi yang Kuat dengan Membuka Pintu Bagi Penyusup

by

Pembalikan realitas adalah salah satu cara untuk mengatakannya: di Australia, komisaris eSafety telah membuat komentar aneh terkait enkripsi ujung-ke-ujung, membandingkan perusahaan-perusahaan yang tidak akan secara efektif menghapus fitur keamanan ini (yang melindungi komunikasi dari mata-mata) dengan… seseorang “meninggalkan rumah terbuka untuk penyusup.”

Enkripsi yang kuat ada justru untuk menjaga semua “aktor” – buruk dan sebaliknya – keluar dari tempat yang tidak semestinya, yaitu, komunikasi pribadi orang (“rumah online” mereka) – tetapi komisaris, Julie Inman Grant, tampaknya berpikir , dalam kutipan Politico, bahwa kecuali pintu benar-benar dibiarkan terbuka (karena mencemari enkripsi dengan perangkat lunak pintu belakang) – aktor jahat akan masuk. (?!)

Itu benar – “logika” di sini tampaknya terbuka, bukan pintu tertutup, yang mencegah masuknya tamu tak diundang.

Dorongan kuat oleh berbagai otoritas di seluruh dunia terhadap enkripsi end-to-end kini telah sampai pada titik menghasilkan senam politik yang tragis seperti ini.

Ketika mencoba untuk mengakhiri enkripsi di internet dan membuatnya tidak aman dan rentan terhadap semua jenis kejahatan dan penyalahgunaan untuk semua orang di internet, pemerintah memberikan alasan yang menurut mereka paling sulit untuk dibantah: kebutuhan untuk melindungi anak-anak, dan menghentikan ekstremisme .

Premis (kritikus mengatakan, salah) adalah bahwa penegakan hukum tidak dapat melakukan tugasnya dan menangani kejahatan ini lagi tanpa merusak keamanan setiap pengguna online; tetapi ini menghasilkan tekanan balik yang kuat tidak hanya di komunitas yang ramah privasi, tetapi juga oleh perusahaan teknologi itu sendiri.

Berbicara dalam konteks orang-orang seperti Apple dan bahkan Microsoft yang memiliki fitur enkripsi dalam produk mereka, Grant menyamakan ini dengan “menutup mata terhadap TKP langsung yang terjadi di platform mereka” tetapi juga – “gagal mengeraskan sistem mereka dengan benar dan penyimpanan terhadap penyalahgunaan.”

Dan itulah mengapa produk akhir dari proses pemikiran ini adalah komisaris yang berkata, “Ini mirip dengan membiarkan rumah terbuka untuk penyusup. Begitu aktor jahat itu ada di dalam rumah, semoga berhasil mengeluarkan mereka.”

selengkapnya : reclaimthenet.org

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

by

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Pemasok Air Italia yang Melayani 500.000 Orang terkena Serangan Ransomware

by

Perusahaan Italia tersebut mengalami beberapa gangguan teknis menyusul serangan ransomware.

Alto Calore Servizi SpA menjalankan pengumpulan, pasokan, dan distribusi air minum untuk 125 kota Avellino dan Benevento, dua provinsi di Italia selatan. Perusahaan yang dikelola pemerintah juga mengelola layanan pembuangan limbah dan pemurnian untuk kedua provinsi tersebut.

Perusahaan yang mengelola 58 juta meter kubik air per tahun itu mengatakan pada Jumat bahwa peretasan baru-baru ini membuat semua sistem TI mereka tidak dapat digunakan. Mereka juga memohon maaf atas pemadaman tersebut.

Kemudian pada hari Selasa, grup ransomware Medusa mengaku bertanggung jawab atas serangan tersebut dan mengatakan bahwa mereka memberi perusahaan air waktu tujuh hari untuk membayar uang tebusan.

Medusa memberikan sampel data yang dicurinya dan menawarkan pilihan membayar $10.000 untuk memperpanjang batas waktu tebusan satu hari atau $100.000 untuk menghapus semua data yang diambil.

Mereka membutuhkan data pelanggan, kontrak, risalah dari rapat dewan, laporan, informasi distribusi pipa, dokumen ekspansi dan banyak lagi.

Namun, perusahaan tidak menanggapi permintaan komentar tentang kapan sistem dapat dipulihkan atau jika uang tebusan akan dibayarkan.

Beberapa pejabat di Badan Perlindungan Lingkungan AS (EPA) mengatakan pada bulan Maret bahwa ransomware telah menjadi perhatian yang signifikan karena peningkatan serangan.

EPA pun mengeluarkan aturan baru tahun ini yang mengamanatkan penilaian keamanan siber dimasukkan sebagai bagian dari audit negara atas sistem air publik.

Namun aturan tersebut sekarang menghadapi tuntutan hukum dari jaksa agung di Iowa, Arkansas, dan Missouri yang mengklaim peningkatan keamanan siber yang diperlukan untuk lulus penilaian akan terlalu mahal bagi pemasok, yang berencana membebankan biaya tersebut kepada pelanggan.

Selengkapnya: The Record

Penurunan Drastis Ancaman Online di Vietnam

by

Perubahan Positif Postur Keamanan Siber Vietnam tersebut menurut laporan terbaru oleh perusahaan keamanan siber global, Kapersky.

Sudah 5 tahun sejak 2022 berturut-turut Vietnam menyaksikan penurunan jumlah insiden keamanan siber yang diblokir oleh perusahaan keamanan siber global.

Kaspersky mendeteksi dan memblokir total hampir 42 juta ancaman siber berbeda dari Internet di komputer peserta KSN di Vietnam pada tahun 2022, turun 34 persen dari tahun 2021.

Persentase pengguna Vietnam yang hampir terinfeksi oleh ancaman web selama periode ini tercatat sebesar 37,6 persen, menduduki peringkat ke-49 secara global dan turun 17 peringkat dibandingkan tahun sebelumnya.

Penurunan jumlah ancaman siber dapat dikaitkan dengan berbagai faktor. Selain peningkatan upaya Pemerintah untuk meningkatkan kesadaran dan meningkatkan langkah-langkah keamanan siber, pengguna Vietnam kini mengambil langkah lebih proaktif untuk melindungi diri mereka sendiri di ruang digital dengan berinvestasi pada perangkat lunak antivirus, memperbarui perangkat secara rutin, dan mempraktikkan kebiasaan online yang lebih aman.

Selengkapnya: bizhub

Peretas Cina menggunakan varian malware Linux baru untuk spionase

by

Peretas menyebarkan varian malware Linux baru dalam serangan cyberespionage, seperti varian PingPull baru dan backdoor yang sebelumnya tidak berdokumen yang dilacak sebagai ‘Sword2033.’

PingPull adalah RAT (trojan akses jarak jauh) yang pertama kali didokumentasikan oleh Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium yang disponsori negara China, juga dikenal sebagai Alloy Taurus. Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina.

Unit 42 terus memantau kampanye spionase ini dan hari ini melaporkan bahwa pelaku ancaman China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Unit 42 juga menemukan pintu belakang ELF baru yang berkomunikasi dengan server perintah dan kontrol yang sama (C2) dengan PingPull.

Ini adalah alat yang lebih sederhana dengan fungsi yang lebih mendasar seperti mengunggah file pada sistem yang dilanggar, mengekstraksi file, dan menjalankan perintah dengan “; echo \n” ditambahkan padanya.

Perintah gema menambahkan data acak pada log eksekusi, mungkin untuk membuat analisis lebih menantang atau mengaburkan aktivitasnya.

Unit 42 menemukan sampel Sword2023 kedua yang terkait dengan alamat C2 berbeda yang menyamar sebagai militer Afrika Selatan.

Sampel yang sama ditautkan ke alamat Soft Ether VPN, produk yang diketahui digunakan oleh Gallium dalam operasinya.

Peta C2 Gallium berdasarkan komunikasi malware (Unit 42)

Sebagai kesimpulan, Gallium terus menyempurnakan persenjataannya dan memperluas jangkauan targetnya menggunakan varian Linux baru dari PingPull dan backdoor Sword2023 yang baru ditemukan.

Organisasi harus mengadopsi strategi keamanan yang komprehensif untuk melawan ancaman canggih ini secara efektif daripada hanya mengandalkan metode deteksi statis.

selengkapnya : bleepingcomputer

AS dan Inggris Peringatkan Peretas Rusia yang Mengeksploitasi Cacat Router Cisco untuk Spionase

by

Badan keamanan siber dan intelijen Inggris dan AS telah memperingatkan aktor negara-bangsa Rusia yang mengeksploitasi kelemahan yang sekarang telah ditambal dalam peralatan jaringan dari Cisco untuk melakukan pengintaian dan menyebarkan malware terhadap target tertentu.

Gangguan tersebut, menurut pihak berwenang, terjadi pada tahun 2021 dan menargetkan sejumlah kecil entitas di Eropa, lembaga pemerintah AS, dan sekitar 250 korban Ukraina.

Aktivitas tersebut dikaitkan dengan aktor ancaman yang dilacak sebagai APT28, yang juga dikenal sebagai Fancy Bear, Forest Blizzard (sebelumnya Strontium), FROZENLAKE, dan Sofacy, dan berafiliasi dengan Direktorat Intelijen Utama (GRU) Staf Umum Rusia.

Dalam serangan yang diamati oleh agensi, pelaku ancaman mempersenjatai kerentanan untuk menyebarkan malware non-persisten yang dijuluki Jaguar Tooth pada router Cisco yang mampu mengumpulkan informasi perangkat dan memungkinkan akses pintu belakang yang tidak diautentikasi.

Meskipun masalah tersebut telah ditambal oleh Cisco pada Juni 2017, masalah tersebut telah dieksploitasi publik sejak 11 Januari 2018, menggarisbawahi perlunya praktik manajemen tambalan yang kuat untuk membatasi permukaan serangan.

Awal tahun ini, Mandiant milik Google menyoroti upaya yang dilakukan oleh aktor ancaman yang disponsori negara China untuk menyebarkan malware yang dipesan lebih dahulu pada perangkat Fortinet dan SonicWall yang rentan.

selengkapnya : thehackernews.com