Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

Eksploitasi dirilis untuk GoAnywhere MFT Zero-day yang Dieksploitasi Secara Aktif

by

Kode eksploit telah dirilis untuk kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi konsol administrator MFT GoAnywhere yang terpapar Internet.

GoAnywhere MFT adalah alat transfer file berbasis web dan terkelola yang dirancang untuk membantu organisasi mentransfer file secara aman dengan mitra dan menyimpan log audit siapa yang mengakses file bersama.

Pengembangnya adalah Fortra (sebelumnya dikenal sebagai HelpSystems), pakaian di balik alat emulasi ancaman Cobalt Strike yang banyak disalahgunakan.

Fortra mengatakan bahwa “vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam banyak kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di cloud lingkungan, seperti Azure atau AWS).”

Namun, pemindaian Shodan menunjukkan bahwa hampir 1.000 instans GoAnywhere terekspos di Internet, meskipun lebih dari 140 berada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).

Untuk menonaktifkan server lisensi, admin harus mengomentari atau menghapus servlet dan konfigurasi pemetaan servlet untuk Servlet Respons Lisensi di file web.xml untuk menonaktifkan titik akhir yang rentan. Restart diperlukan untuk menerapkan konfigurasi baru.

“Ini termasuk kata sandi dan kunci yang digunakan untuk mengakses sistem eksternal apa pun yang terintegrasi dengan GoAnywhere.

“Pastikan bahwa semua kredensial telah dicabut dari sistem eksternal tersebut dan tinjau log akses relevan yang terkait dengan sistem tersebut. Ini juga termasuk kata sandi dan kunci yang digunakan untuk mengenkripsi file di dalam sistem.”

Fortra juga merekomendasikan untuk mengambil langkah-langkah berikut setelah mitigasi di lingkungan dengan kecurigaan atau bukti adanya serangan:

  • Rotate Master Encryption Key.
  • Reset credentials – keys and/or passwords – for all external trading partners/systems.
  • Review audit logs dan delete semua suspicious admin and/or web user accounts
  • kontak support via the portal https://my.goanywhere.com/, email goanywhere.support@helpsystems.com, atau telephone 402-944-4242 for further assistance.

sumber : bleepingcomputer

Italia Memperingatkan Hacker yang Menargetkan Kerentanan Server yang Diketahui

by

Ribuan server komputer menjadi sasaran serangan peretasan ransomware global yang menargetkan server VMware (VMW.N) ESXi, Badan Keamanan Siber Nasional (ACN) Italia mengatakan pada hari Minggu, memperingatkan organisasi untuk mengambil tindakan untuk melindungi sistem mereka.

Serangan berusaha mengeksploitasi kerentanan perangkat lunak dalam skala besar. Perusahaan perangkat lunak mengetahui laporan tersebut dan mengeluarkan tambalan pada Februari 2021 ketika menemukan kerentanan yang sekarang sedang dieksploitasi, mendesak pelanggan untuk menerapkan tambalan jika mereka belum melakukannya.

Kepada pengguna yang terpengaruh diperingatkan untuk segera mengambil tindakan agar tidak terkunci dari sistem mereka. Pejabat keamanan dunia maya AS mengatakan mereka menilai dampak dari insiden yang dilaporkan.

Selengkapnya: Reuters

Jaksa Agung New York memerintahkan pembuat Stalkerware memberitahu Korban yang Diretas

by

Pembuat spyware yang berbasis di New York telah setuju untuk memberi tahu individu yang ponselnya disusupi oleh perangkat lunak pengawasan selulernya, menyusul kesepakatan dengan kantor jaksa agung New York yang diumumkan Kamis.

Berdasarkan perjanjian tersebut, Patrick Hinchy, yang 16 perusahaannya mempromosikan aplikasi seperti PhoneSpector dan Highster, juga akan membayar denda sipil sebesar $410.000 karena secara ilegal mempromosikan perangkat lunak pengawasan seluler yang memungkinkan pelanggannya memata-matai ponsel orang lain tanpa sepengetahuan mereka.

Aplikasi yang dijual oleh Hinchy memungkinkan pelanggannya untuk memantau ponsel korban secara diam-diam dan mengakses data perangkat mereka, termasuk pesan teks dan email, foto, riwayat penelusuran, dan data lokasi yang tepat.

Hinchy menggunakan konsorsium perusahaannya untuk “secara agresif mempromosikan” aplikasi penguntitnya. Kantor James juga menuduh perusahaan Hinchy gagal mengungkapkan bahwa pelanggan harus melakukan jailbreak perangkat korban sebelum mereka dapat menanam stalkerware.

Belum diketahui pasti berapa banyak pengguna yang terjerat oleh PhoneSpector, Highster, dan aplikasi stalkerware lainnya.

Selengkapnya: Tech Crunchh

Varian Spyware Gamaredon Baru yang Didukung Rusia Menargetkan Pihak Berwenang Ukraina

by

Pusat Perlindungan Siber Negara (SCPC) Ukraina telah memanggil aktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon atas serangan siber yang ditargetkan pada otoritas publik dan infrastruktur informasi penting di negara tersebut.

Ancaman gigih tingkat lanjut, juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.

Tujuan serangan lebih diarahkan pada spionase dan pencurian informasi daripada sabotase, catat agensi tersebut. SCPC juga menekankan evolusi taktik grup yang “terus-menerus” dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar, menyebut Gamaredon sebagai “ancaman dunia maya utama”.

Rantai serangan dimulai dengan email spear-phishing yang membawa arsip RAR yang, ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara – file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell.

Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh software yang mengklaim dapat mendeteksi komputer yang terinfeksi.

Namun, setelah meluncurkan file – skrip batch Windows bernama “Protector.bat” – itu mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.

CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern – sebuah cluster aktivitas yang di masa lalu memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.

Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi.

sumber : thehackernews

Administrasi Biden menjadi Lebih Agresif, Ketika Berbicara Tentang Keamanan Siber

by

Presiden Biden akan menyetujui kebijakan yang lebih jauh dari upaya sebelumnya untuk melindungi perusahaan swasta dari peretas jahat—dan untuk membalas para peretas itu dengan serangan siber kami sendiri.

Dokumen setebal 35 halaman, berjudul “Strategi Keamanan Siber Nasional”, berbeda dari selusin makalah serupa yang ditandatangani oleh presiden selama seperempat abad terakhir dalam dua cara yang signifikan: Pertama, ia memberlakukan peraturan wajib pada sebagian besar industri Amerika. Kedua, ia mengizinkan lembaga pertahanan, intelijen, dan penegakan hukum AS untuk menyerang, meretas jaringan komputer penjahat dan pemerintah asing, sebagai pembalasan—atau mendahului—serangan mereka terhadap jaringan Amerika.

Strategi baru — yang bekerja hampir sepanjang tahun 2022 di bawah pengawasan pejabat senior Gedung Putih — berasal dari semakin dikenalnya dua fakta, yang telah lama diketahui oleh para spesialis.

Pertama, pedoman tentang keamanan siber—yang sebelumnya diizinkan oleh Washington untuk diikuti oleh perusahaan swasta secara sukarela—sebagian besar gagal memblokir penyusupan besar oleh pemerintah asing atau penjahat siber.

Kedua, tindakan defensif murni juga memiliki dampak yang terbatas, karena peretas yang cerdik pada akhirnya akan menemukan jalan keluarnya.

Amerika Serikat telah melakukan operasi serangan siber selama beberapa dekade. Bill Clinton adalah presiden pertama yang mengakui fakta ini secara terbuka. Pada tahun 2012, Barack Obama mengeluarkan Petunjuk Kebijakan Presiden No. 20, yang menetapkan kontrol ketat, termasuk bahwa izin eksplisit presiden diperlukan untuk semua operasi serangan siber.

selengkapnya : slate.com

Laporan Baru Mengungkap Malware NikoWiper yang Menargetkan Sektor Energi Ukraina

by

Sandworm yang berafiliasi dengan Rusia menggunakan strain malware penghapus lain yang dijuluki NikoWiper sebagai bagian dari serangan yang terjadi pada Oktober 2022 yang menargetkan perusahaan sektor energi di Ukraina.

Perusahaan cybersecurity Slovakia mengatakan serangan itu bertepatan dengan serangan rudal yang diatur oleh angkatan bersenjata Rusia yang ditujukan pada infrastruktur energi Ukraina, menunjukkan tujuan yang tumpang tindih.

Pengungkapan itu terjadi hanya beberapa hari setelah ESET mengaitkan Sandworm dengan penghapus data berbasis Golang yang dikenal sebagai SwiftSlicer yang digunakan melawan entitas Ukraina yang tidak disebutkan namanya pada 25 Januari 2023.

Kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan badan intelijen militer asing Rusia GRU juga terlibat dalam serangan yang sebagian berhasil menargetkan kantor berita nasional Ukrinform, mengerahkan sebanyak lima wiper berbeda pada mesin yang disusupi.

Selain mempersenjatai SDelete, kampanye Sandworm baru-baru ini juga memanfaatkan keluarga ransomware pesanan, termasuk Prestige dan RansomBoggs, untuk mengunci data korban di balik penghalang enkripsi tanpa opsi apa pun untuk memulihkannya.

Menurut Recorded Future, yang melacak APT29 (alias Nobelium) di bawah moniker BlueBravo, APT telah terhubung ke infrastruktur baru yang dikompromikan yang kemungkinan digunakan sebagai umpan untuk mengirimkan pemuat malware dengan nama kode GraphicalNeutrino.

Saat perang Rusia-Ukraina secara resmi memasuki bulan kedua belas, masih harus dilihat bagaimana konflik berkembang ke depan di dunia maya.

“Selama setahun terakhir kami telah melihat gelombang peningkatan aktivitas – seperti pada musim semi setelah invasi, pada musim gugur dan bulan-bulan yang lebih tenang selama musim panas – tetapi secara keseluruhan ada aliran serangan yang hampir konstan,” kata Lipovsky. “Jadi satu hal yang bisa kita yakini adalah kita akan melihat lebih banyak serangan dunia maya.”

selengkapnya : thehackernews

Tim Biden Mempertimbangkan untuk Melepas Huawei dari Pemasok AS

by

Biden Sedang mempertimbangkan untuk menghentikan Huawei technologies Co. dari semua pemasoknya di Amerika, termasuk intel Corp. dan QUalcomm Inc., karena pemerintah AS mengintensifkan tindakan keras terhadap sektor teknologi China.

Pejabat di pemerintah Biden menganjurkan untuk melarang semua penjualan ke Huawei – yang telah lama dicurigai memiliki hubungan dengan pemerintah Beijing dan militer China- karena pemerintah memeperdebatkan apakah daan bagaimana menyesuaikan kebijakan perizinannya, menurut orang yang mengetahui mesalah tersebut.

“China sangat menentang penyalahgunaan kekuasaan negara oleh AS untuk membuat pincang perusahaan China dengan memperluas konsep keamanan nasional,” katanya, seraya menambahkan bahwa negara Asia akan melindungi perusahaannya tanpa mengatakan caranya.

Di bawah kebijakan baru yang dianjurkan beberapa pejabat, semua permintaan lisensi untuk memasok perusahaan akan ditolak. Sementara itu, sebagian besar permohonan izin baru saat ini merana dalam proses persetujuan yang macet, kata orang-orang, membuat penghentian secara de facto.

Huawei juga menimbun komponen asing seperti chip dan sumber atau mencari alternatif untuk sirkuit Amerika. Perwakilan perusahaan tidak segera menanggapi permintaan komentar.

Mematikan penjualan ke Huawei tidak akan menghancurkan perusahaan AS seperti dulu. Perusahaan China telah memutar sebagian besar bisnis ponsel cerdasnya, sebagian besar hanya menawarkan ponsel 4G dengan bandwidth rendah dengan namanya sendiri dan telah melihat mereknya dirusak oleh kampanye AS yang menentangnya.

selengkapnya : bloomberg

Anne Neuberger Membahas Pekerjaan untuk Melindungi Infrastruktur Kritikal

by

Gedung Putih Biden terus melakukan upaya luas untuk melindungi infrastruktur penting dari peretasan dengan berkoordinasi dengan lembaga federal, berkolaborasi dengan sekutu internasional, dan mendorong mandat pada sektor industri.

Rencana untuk pengamanan wajib tambahan tersebut merupakan bagian dari perubahan paradigma yang sedang berlangsung dalam administrasi menuju aturan yang lebih ketat. Itu tercermin dalam strategi keamanan siber nasional yang akan datang, bekerja di seluruh birokrasi federal dan pernyataan publik dari tokoh siber pemerintah terkemuka.

Pejabat AS dan pejabat asing memberi The Cybersecurity 202 ikhtisar upaya keamanan siber baru-baru ini dan dalam waktu dekat. Beberapa dari apa yang mereka gambarkan termasuk informasi yang sebelumnya tidak dilaporkan tentang lanskap peraturan dan apa yang akan terjadi selanjutnya untuk kebijakan keamanan siber federal.

Pendekatan AS secara keseluruhan adalah bersandar pada kombinasi lembaga dengan tanggung jawab untuk sektor industri tertentu dan keahlian Cybersecurity and Infrastructure Security Agency, kata Neuberger. Ketika praktik keamanan umum terjadi di seluruh sektor, itu melibatkan bersandar pada CISA, tetapi lembaga dengan tanggung jawab utama tahu kapan sesuatu perlu diamankan secara berbeda, katanya.

Badan-badan federal telah mengambil langkah-langkah untuk memberlakukan persyaratan keamanan siber pada beberapa sektor industri. Misalnya, Administrasi Keamanan Transportasi (TSA) memberlakukan aturan bagi operator saluran pipa yang kritis untuk memberi tahu agen tersebut dalam waktu 24 jam ketika mereka mengalami serangan siber besar. Tidak mengherankan, banyak aturan yang tidak populer di kalangan industri.

selengkapnya : washingtonpost