Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Miliaran Pengguna Android Diperingatkan untuk Menghapus 8 Jenis Aplikasi – Ini Cara Memeriksanya

by

Pengguna Android telah diperingatkan untuk menghapus delapan jenis aplikasi dari perangkat mereka. Ada beberapa hal yang dapat dilakukan pengguna telepon untuk meningkatkan kecepatan dan keamanan, menurut para ahli.

Kategori pertama yang harus dihapus adalah aplikasi bloatware, termasuk aplikasi pra-instal yang mungkin tidak digunakan.

Kemudian aplikasi utilitas lama yang mungkin telah disimpan di ponsel sejak tahun-tahun awal Android yang mana saat ini sudah tidak berguna dan menghabiskan penyimpanan. Ada lagi aplikasi flashlight, QR Scanner, dan Screen Recorder.

Tak terkecuali aplikasi peningkat performa seperti ‘penghemat baterai’ dan ‘pengoptimal game’ yang tampak seperti peningkat kinerja namun kenyataannya mereka menghabiskan ruang.

Selanjutnya ada aplikasi duplikat yang memiliki dua aplikasi browser menggunakan lebih banyak ruang daripada hanya satu. Dan cookie dan data yang digunakannya dapat membahayakan privasi online pengguna.

Cobalah untuk menghapus aplikasi media sosial seperti TikTok, Instagram, dan Snapchat untuk membantu kesehatan dan privasi perangkat.

Dengan menghapus aplikasi tersebut sama dengan menyingkirkan penggunaan penyimpanan yang tidak perlu dan juga meningkatkan keamanan ponsel. Awal pekan ini, pengguna Android diperingatkan untuk memeriksa ponsel mereka dari aplikasi pencuri uang yang berbahaya.

Selengkapnya: The U.S. Sun

Risiko yang ditimbulkan spyware komersial terhadap jurnalis, aktivis, dan pejabat pemerintah

by

Penggunaan spyware yang dikembangkan secara komersial yang memungkinkan pemerintah meretas ponsel dan mencuri datanya sedang booming. Awal tahun ini, pemerintahan Biden melarang agen federal menggunakan spyware komersial yang berisiko terhadap hak asasi manusia dan keamanan nasional. Tetapi seperti yang dilaporkan Nick Schifrin, spyware berkembang pesat dan telah menargetkan jurnalis, pembangkang, dan politisi di seluruh dunia.

Spyware komersial digunakan oleh pemerintah di seluruh dunia untuk menargetkan jurnalis, aktivis, dan pembangkang. Administrasi Biden telah melarang penggunaan spyware komersial oleh agen federal AS, tetapi teknologi pengawasan paling kuat telah digunakan untuk menargetkan aktivis hak asasi manusia.

Roman Gressier, seorang jurnalis investigasi yang bekerja untuk El Faro English di El Salvador, menjadi sasaran program Pegasus perusahaan spyware Israel NSO Group. Teknologi ini dapat mengumpulkan data telepon, pesan, interaksi dan lokasi media sosial, dan telah digunakan untuk menargetkan jurnalis dan pembangkang di seluruh dunia.

Setidaknya 35 pekerja media dan dua jurnalis independen diretas dengan Pegasus di El Salvador. Penggunaan spyware komersial telah meningkat selama dekade terakhir, dengan pemerintahan Biden berusaha membatasi penggunaan teknologi semacam itu. Namun, beberapa ahli berpendapat bahwa pembatasan AS tidak akan menghentikan pemerintah otoriter untuk menggunakan teknologi tersebut.

Selengkapnya: PBS NEWS HOUR

Blokir komunikasi C2 dengan Defender untuk Endpoint

by

Ransomware yang dioperasikan manusia (HumOR) berkembang dan membutuhkan lapisan perlindungan yang berbeda. Microsoft merilis beberapa fitur baru untuk melindungi dari komunikasi C2.

Penyerang sangat bergantung pada komunikasi C2 untuk beberapa tahap, dan memblokir koneksi langsung ini dapat mengganggu atau mengurangi serangan di status sebelumnya.

Server C&C command-and-control adalah komputer yang dikendalikan oleh penyerang yang mengirimkan perintah ke sistem yang disusupi malware dan menerima data dari jaringan.

Server Command and Control (C2) sering memanfaatkan lalu lintas yang jarang dipantau dan mengirimkan perintah kembali ke host yang terinfeksi. Server C2 sangat penting untuk serangan ransomware, komoditas, dan negara-bangsa. Mereka mengontrol perangkat yang terinfeksi dan melakukan aktivitas jahat (mengunduh; meluncurkan muatan, memerintah pasca eksploitasi).

Server Command and Control (C2) memanfaatkan lalu lintas tepercaya dan jarang dipantau untuk mengirimkan perintah kembali ke host yang terinfeksi.

Cara kerja server Command and Control (C2):

Langkah 1: Penyerang menginfeksi titik akhir dalam organisasi dengan malware. Ini dapat dilakukan dengan menggunakan phishing, malvertising, perangkat lunak yang rentan, perangkat lunak berbahaya, atau banyak serangan lainnya

Langkah 2: Saat inang terinfeksi; koneksi/ saluran C2 dibuat dan mengirimkan pemberitahuan kembali ke server C2; yang menunjukkan bahwa titik akhir siap menerima perintah.

Langkah 3: Saat malware tidak terdeteksi dan saluran C2 dibuat, sistem yang terinfeksi sekarang dapat menerima lebih banyak perintah dari server C2. Server C2 dapat digunakan untuk penginstalan perangkat lunak berbahaya, enkripsi, dan penerapan item berbahaya lebih lanjut.

Selengkapnya: Jeffrey Appel

Seni Pengungkapan Informasi: Mendalami CVE-2022-37985, Kerentanan Pengungkapan Informasi Unik di Komponen Grafis Windows

by

Pada Oktober 2022, Microsoft merilis tambalan keamanan untuk mengatasi kerentanan pengungkapan informasi unik di Komponen Grafik Windows. Kerentanan, yang dikenal sebagai CVE-2022-37985, ditemukan dan dilaporkan ke Microsoft oleh Trellix Advanced Research Center.

Kerentanan pengungkapan informasi ini unik karena memungkinkan penyerang jarak jauh mengekstraksi informasi sensitif, seperti alamat memori, melalui mekanisme jaringan asli dalam komponen yang rentan itu sendiri.

Kemampuan ini bisa sangat berguna dalam skenario eksploitasi kerentanan tertentu, seperti saat mengeksploitasi kerentanan kerusakan memori di Microsoft Word.

Memanfaatkan kerentanan semacam itu diyakini sangat menantang karena tidak ada runtime skrip interaktif, seperti mesin JavaScript, yang tersedia untuk memanipulasi data di memori.

Dalam skenario eksploitasi ini, penyerang dapat memanfaatkan dokumen Word yang berisi eksploitasi kerentanan ini untuk mendapatkan informasi alamat modul guna mengalahkan perlindungan Address Space Layout Randomization (ASLR).

Selain itu, ketika kerentanan ini digunakan secara berantai dengan kerentanan penulisan memori lainnya, dimungkinkan untuk mencapai eksekusi kode jarak jauh di Microsoft Word.

Dalam postingan blog ini, kami akan mendalami detail teknis CVE-2022-37985, menjelajahi akar penyebab kerentanan, dan mendiskusikan metode eksploitasi.

Selain itu, kami akan memeriksa bagaimana tambalan keamanan yang dirilis oleh Microsoft memperbaiki masalah ini dan memberikan panduan untuk mengurangi risiko yang terkait dengan kerentanan unik ini.

Selengkapnya: Trellix

Mengapa Hal-Hal yang Tidak Anda Ketahui tentang Web Gelap Bisa Menjadi Ancaman Keamanan Siber Terbesar Anda

by

Tim keamanan siber dan TI begitu dibanjiri dengan pemberitahuan dan peringatan keamanan di dalam sistem mereka sendiri, sehingga sulit untuk memantau lingkungan jahat eksternal – yang hanya membuat mereka jauh lebih mengancam.

Pada bulan Maret, pelanggaran data profil tinggi menjadi berita utama nasional ketika informasi identitas pribadi yang terkait dengan ratusan anggota parlemen dan stafnya bocor di web gelap. Insiden keamanan siber melibatkan DC Health Link, sebuah pasar online yang mengelola rencana kesehatan untuk anggota Kongres dan staf Capitol Hill. Menurut laporan berita, FBI telah berhasil membeli sebagian data – termasuk nomor jaminan sosial dan informasi sensitif lainnya – di web gelap.

Karena menonjolnya para korban, cerita tersebut diangkat oleh banyak media yang jarang meliput kejahatan keamanan siber terkait web gelap. Cerita ini tidak hanya menjelaskan salah satu aspek paling berbahaya dari internet, tetapi juga mengingatkan kita bahwa dark web terus menjadi lahan subur bagi penjahat dunia maya.

selengkapnya : thehackernews.com

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

by

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Pemasok Air Italia yang Melayani 500.000 Orang terkena Serangan Ransomware

by

Perusahaan Italia tersebut mengalami beberapa gangguan teknis menyusul serangan ransomware.

Alto Calore Servizi SpA menjalankan pengumpulan, pasokan, dan distribusi air minum untuk 125 kota Avellino dan Benevento, dua provinsi di Italia selatan. Perusahaan yang dikelola pemerintah juga mengelola layanan pembuangan limbah dan pemurnian untuk kedua provinsi tersebut.

Perusahaan yang mengelola 58 juta meter kubik air per tahun itu mengatakan pada Jumat bahwa peretasan baru-baru ini membuat semua sistem TI mereka tidak dapat digunakan. Mereka juga memohon maaf atas pemadaman tersebut.

Kemudian pada hari Selasa, grup ransomware Medusa mengaku bertanggung jawab atas serangan tersebut dan mengatakan bahwa mereka memberi perusahaan air waktu tujuh hari untuk membayar uang tebusan.

Medusa memberikan sampel data yang dicurinya dan menawarkan pilihan membayar $10.000 untuk memperpanjang batas waktu tebusan satu hari atau $100.000 untuk menghapus semua data yang diambil.

Mereka membutuhkan data pelanggan, kontrak, risalah dari rapat dewan, laporan, informasi distribusi pipa, dokumen ekspansi dan banyak lagi.

Namun, perusahaan tidak menanggapi permintaan komentar tentang kapan sistem dapat dipulihkan atau jika uang tebusan akan dibayarkan.

Beberapa pejabat di Badan Perlindungan Lingkungan AS (EPA) mengatakan pada bulan Maret bahwa ransomware telah menjadi perhatian yang signifikan karena peningkatan serangan.

EPA pun mengeluarkan aturan baru tahun ini yang mengamanatkan penilaian keamanan siber dimasukkan sebagai bagian dari audit negara atas sistem air publik.

Namun aturan tersebut sekarang menghadapi tuntutan hukum dari jaksa agung di Iowa, Arkansas, dan Missouri yang mengklaim peningkatan keamanan siber yang diperlukan untuk lulus penilaian akan terlalu mahal bagi pemasok, yang berencana membebankan biaya tersebut kepada pelanggan.

Selengkapnya: The Record

Botnet Mirai suka mengeksploitasi router TP-Link Anda yang belum ditambal, CISA memperingatkan

by

Cybersecurity and Infrastructure Security Agency (CISA) pemerintah AS menambahkan tiga kelemahan lagi ke dalam daftar kerentanan yang diketahui dieksploitasi, termasuk satu yang melibatkan router TP-Link yang menjadi sasaran operator botnet Mirai yang terkenal kejam.

Dua lainnya ditempatkan pada daftar minggu ini melibatkan versi perangkat lunak Server WebLogic Oracle dan perpustakaan log4j Java Log4j dari Apache Foundation.

Cacat injeksi perintah di router Wi-Fi 6 Archer AX21 TP-Link – dilacak sebagai CVE-2023-1389 – bersembunyi di firmware perangkat sebelum versi 1.1.4 Build 20230219, yang mengatasi masalah tersebut. Penyerang yang tidak sah dapat mengeksploitasi lubang ini untuk menyuntikkan perintah yang dapat menyebabkan eksekusi kode jarak jauh (RCE), yang memungkinkan penyusup mengambil kendali perangkat dari seluruh jaringan atau internet.

Malware Mirai menggulung perangkat Internet of Things (IoT) berbasis Linux yang terinfeksi ke dalam botnet yang kemudian dapat dikendalikan dari jarak jauh untuk melakukan serangan jaringan berskala besar, termasuk serangan denial-of-services (DDoS) terdistribusi.

Kerentanan command-injection ditemukan oleh beberapa tim yang berpartisipasi dalam kontes Pwn2Own Toronto ZDI tahun lalu dan seperti yang kami katakan, TP-Link telah mengeluarkan firmware untuk memperbaiki masalah tersebut. Setelah mendengar dari ZDI bahwa operator botnet Mirai mencoba mengeksploitasinya, TP-Link mengeluarkan pernyataan yang mendesak pengguna untuk menginstal firmware yang diperbarui.

Untuk perangkat yang ditautkan ke akun TP-Link Cloud, firmware diperbarui secara otomatis. Pengguna lain perlu memperbarui router sendiri.

Para peneliti ZDI menulis bahwa melihat kelemahan yang dieksploitasi begitu cepat setelah tambalan dirilis adalah contoh lain dari berkurangnya waktu antara kerentanan ditemukan dan upaya eksploitasi dimulai.

selengkapnya : theregister.com