Threat

Bank Diperintahkan Untuk Segera Menandai Insiden Keamanan Siber di bawah Aturan Baru AS

November 22, 2021 by Eevee

Regulator perbankan AS pada hari Kamis menyelesaikan aturan yang mengarahkan bank untuk melaporkan insiden cybersecurity besar kepada pemerintah dalam waktu 36 jam setelah penemuan.

Secara terpisah, industri perbankan mengatakan telah berhasil menyelesaikan latihan keamanan siber lintas industri besar-besaran yang bertujuan untuk memastikan Wall Street tahu bagaimana merespons jika terjadi serangan ransomware yang mengancam untuk mengganggu berbagai layanan keuangan.

Perkembangan tersebut menyoroti meningkatnya ancaman insiden cyber berskala besar terhadap stabilitas keuangan.

“Industri jasa keuangan adalah target utama, menghadapi puluhan ribu serangan siber setiap hari,” kata Kenneth Bentsen, CEO Asosiasi Industri Sekuritas dan Pasar Keuangan, yang mengorganisir dan memimpin latihan industri.

Aturan bank baru menetapkan bahwa bank harus memberi tahu regulator utama mereka tentang pelanggaran keamanan komputer yang signifikan sesegera mungkin, dan paling lambat 36 jam setelah penemuan.

Bank juga harus memberi tahu pelanggan sesegera mungkin tentang insiden cybersecurity jika mengakibatkan masalah yang berlangsung lebih dari 4 jam.

Persyaratan baru berlaku untuk setiap insiden cybersecurity yang diharapkan secara material berdampak pada kemampuan bank untuk menyediakan layanan, melakukan operasinya atau merusak stabilitas sektor keuangan. Aturan ini disetujui oleh Federal Reserve, Federal Deposit Insurance Corporation dan Kantor Pengawas Mata Uang.

Hal ini mengatur harapan eksplisit tentang seberapa cepat bank mengenal pelanggaran cybersecurity, karena regulator ingin mengejar teknologi yang berkembang pesat yang berperan di setiap jenis layanan perbankan. Sebelumnya, tidak ada persyaratan khusus untuk seberapa cepat bank harus melaporkan pelanggaran komputer besar.

Sumber: Reuters

Server Microsoft Exchange diretas dalam serangan rantai balasan internal

November 22, 2021 by Eevee

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email rantai balasan internal yang dicuri.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Aktor tersebut mengelabui target perusahaan agar membuka lampiran berbahaya, mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

Salah satu email Squirrelwaffle ke target
Sumber: TrendMicro

Karena email ini berasal dari jaringan internal yang sama dan tampaknya merupakan kelanjutan dari diskusi sebelumnya antara dua karyawan, ini mengarah pada tingkat kepercayaan yang lebih besar bahwa email tersebut sah dan aman.

Dokumen Microsoft Excel berbahaya yang digunakan oleh SquirrelWaffle

Menurut laporan Trend Micro, para peneliti mengatakan bahwa mereka telah melihat serangan ini mendistribusikan pemuat SquirrelWaffle, yang kemudian menginstal Qbot.

Namun, peneliti Cryptolaemus ‘TheAnalyst’ mengatakan bahwa dokumen berbahaya yang digunakan oleh aktor ancaman ini menjatuhkan kedua malware sebagai muatan terpisah, bukan SquirrelWaffle yang mendistribusikan Qbot.

Microsoft telah memperbaiki kerentanan ProxyLogon pada bulan Maret dan kerentanan ProxyShell pada bulan April dan Mei, menanganinya sebagai zero-day pada saat itu.

Pelaku ancaman telah menyalahgunakan kedua kerentanan untuk menyebarkan ransomware atau menginstal webshell untuk akses pintu belakang nanti. Serangan ProxyLogon menjadi sangat buruk sehingga FBI menghapus web shell dari server Microsoft Exchange yang berbasis di AS tanpa terlebih dahulu memberi tahu pemilik server.

Setelah sekian lama dan media luas kerentanan ini telah diterima, tidak menambal Exchange Server hanyalah undangan terbuka untuk peretas.

Sumber : Bleeping Computer

Dialog Siber Bilateral India-New Zealand Kedua

November 22, 2021 by Eevee

Dialog Siber Bilateral India-New Zealand edisi Kedua diadakan pada 16-17 November 2021 dalam mode virtual. Delegasi India dipimpin oleh Shri Atul Malhari Gotsurve, Sekretaris Bersama (Cyber Diplomacy) dari Kementerian Luar Negeri (MEA). Delegasi Selandia Baru dipimpin bersama oleh Mr. Dan Eaton, Direktur Kebijakan Keamanan Nasional, Departemen Perdana Menteri dan Kabinet (DPMC) dan Ms. Georgina Sargison, Penjabat Manajer Unit, Emerging Security Issues, International Security and Disarmament Division, Ministry of Luar Negeri dan Perdagangan (MFAT). Pejabat senior dari berbagai Kementerian dan Departemen pemerintah dari kedua negara berpartisipasi dalam Dialog Siber.

Dialog Siber membahas berbagai aspek kerja sama bilateral yang ada di dunia maya, bertukar pandangan tentang perkembangan terkini isu-isu siber di forum bilateral, regional dan multilateral serta menjajaki inisiatif untuk lebih memperdalam kerja sama siber.

Delegasi membahas berbagai topik yang menjadi kepentingan bersama dan sepakat untuk bekerja sama erat satu sama lain di bidang keamanan siber, kejahatan siber, dan pembangunan kapasitas.

New Delhi
November 17, 2021

Sumber : Mea

Grup ransomware Conti telah mengalami pelanggaran data yang memungkinkan peneliti untuk mengaksesnya.

November 22, 2021 by Eevee

Para peneliti Prodaft dapat mengidentifikasi alamat IP asli dari salah satu server yang digunakan oleh grup ransomware Conti dan mengakses konsol selama lebih dari sebulan. Server yang terpapar menjadi tuan rumah portal pembayaran yang digunakan oleh geng untuk negosiasi tebusan dengan korbannya.

“Tim PTI mengakses infrastruktur Conti dan Mengidentifikasi alamat IP sebenarnya dari server yang dimaksud.” membaca laporan yang diterbitkan oleh para ahli. “Tim kami mendeteksi kerentanan di server pemulihan yang digunakan Conti, dan memanfaatkan kerentanan itu untuk menemukan alamat IP asli dari tersembunyi yang menghosting situs web pemulihan grup”

Para peneliti dapat membuka kedok alamat IP yang sebenarnya dari layanan tersembunyi TOR Conti dan contirecovery.ws dan 217.12.204.135. Yang terakhir adalah alamat IP yang dimiliki oleh perusahaan hosting web Ukraina ITL LLC.

Peneliti Prodaft mampu mengkompromikan server dan menyatukan koneksi lintas jaringan untuk koneksi masuk, termasuk SSH yang digunakan oleh anggota Conti untuk mengakses server.

Namun, alamat IP yang terkait dengan koneksi SSH milik node keluar Tor yang digunakan oleh operator Conti untuk menyembunyikan identitasnya.

Para ahli juga dapat menentukan OS server di balik layanan tersembunyi, distro Debian dengan nama host ”dedic-cuprum-617836”. Para ahli berspekulasi nilai numerik dalam nama host adalah nomor faktur untuk server, yang ditetapkan oleh perusahaan hosting ITLDC.

“Linux version 4.9.0-16-amd64 (Debian 6.3.0-18deb9u1) #1 SMP Debian 4.9.272-2
(2021-07-19)

217.12.204.135 dedic-cuprum-617836.hosted-by-itldc.com dedic-cuprum-617836”

Para ahli juga membagikan konten file htpasswd dari host subjek yang dapat digunakan dalam penyelidikan selanjutnya pada operasi Conti.

Tim PTI juga dapat menemukan beberapa sesi obrolan korban dan menangkap kredensial login untuk akun MEGA yang digunakan saat menghubungi para korban. Para ahli dapat menemukan alamat IP penghubung, tanggal, metode pembelian, dan perangkat lunak yang digunakan untuk mengakses layanan berbagi dan mengunggah file.

Selengkapnya : Security Affairs

Server Microsoft Exchange Diretas Dalam Serangan Reply-Chain Internal

November 21, 2021 by Søren

Saat pelaku ancaman melakukan kampanye email berbahaya, bagian tersulit adalah mengelabui pengguna agar cukup memercayai pengirim sehingga mereka membuka tautan atau menyertakan lampiran yang menyebarkan malware.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Sebagai cara untuk mengelabui target perusahaan agar membuka lampiran berbahaya, pelaku ancaman mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

“Dalam gangguan yang sama, kami menganalisis header email untuk email berbahaya yang diterima, jalur email internal (antara tiga kotak pesan server pertukaran internal), menunjukkan bahwa email tidak berasal dari pengirim eksternal, relai email terbuka, atau semua agen transfer pesan (MTA),” jelas laporan Trend Micro.

Selengkapnya: Bleeping Computer

Kampanye Phishing ‘PerSwaysion’ Masih Berlangsung, dan Menyebar

November 20, 2021 by Søren

Kit phishing yang telah digunakan dalam ribuan serangan di seluruh dunia telah aktif secara signifikan lebih lama dari yang diperkirakan sebelumnya — dan terus menimbulkan ancaman potensial bagi organisasi di berbagai sektor, analisis baru menunjukkan.

Kit tersebut bernama PerSwaysion, dirancang untuk memberikan cara bagi penjahat dunia maya untuk meluncurkan kampanye phishing dengan relatif mudah dan dengan sedikit usaha di muka.

Aspek yang paling menonjol tentang ancaman tersebut adalah penggunaan layanan berbagi file Microsoft, seperti Sway, SharePoint, dan OneNote, untuk memikat pengguna ke situs pencuri kredensial.

David Pearson, salah satu pendiri dan CEO SeclarityIO yang baru diluncurkan, mengatakan bahwa analisis data perusahaannya di PerSwaysion menunjukkan kampanye tersebut, sebenarnya, diluncurkan setidaknya pada Oktober 2017 dan saat ini aktif meskipun ada pengungkapan publik tentang kit phishing grup dan TTP.

Analisis data dari URLscan menunjukkan bahwa selama 18 bulan terakhir saja, sekitar 7.403 orang dari 14 sektor industri mendarat di 444 portal phishing PerSwaysion yang unik di beberapa titik.

Korban berasal dari organisasi dalam pemerintahan AS, jasa keuangan, farmasi, perawatan kesehatan, kedirgantaraan, teknik, teknologi, dan sektor lainnya. Pearson memperkirakan jumlah organisasi yang terkena dampak kampanye sejak Mei 2020 setidaknya mencapai ratusan.

Selengkapnya: Dark Reading

Pemerintah Memperingatkan Iran Menargetkan Kelemahan Microsoft dan Fortinet untuk Menanam Ransomware

November 20, 2021 by Søren

Badan keamanan siber AS, Inggris, dan Australia mendesak organisasi infrastruktur untuk menambal kerentanan dalam produk Microsoft dan Fortinet yang menurut mereka digunakan peretas yang terkait dengan Iran dalam serangan ransomware.

“FBI dan CISA telah mengamati bahwa kelompok APT (Advanced Persistent Threat) yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang termasuk menyebarkan ransomware,” ungkap nasihat yang dikeluarkan bersama oleh agensi pada hari Rabu.

Aktivitas siber Iran sebelumnya lebih terkait erat dengan permainan kekuatan regional dan tujuan geopolitiknya. Para pejabat memperkirakan operasi spionase dan bersiap untuk serangan balasan setelah pemerintahan Trump menarik diri dari perjanjian nuklir yang ditengahi oleh Presiden Barack Obama dan membunuh seorang jenderal top Iran, misalnya. Tetapi September lalu, FBI dan CISA memperingatkan bahwa Iran kemungkinan akan mulai menggunakan kemampuan mereka untuk memperbaiki situasi keuangannya melalui operasi ransomware.

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” bunyi nasihat itu. “FBI, CISA, [Pusat Keamanan Siber Australia] dan [Pusat Keamanan Siber Nasional Inggris] menilai para pelaku berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu.”

Kerentanan Fortinet dan Microsoft Exchange yang ditandai di penasihat semuanya terdaftar dalam katalog ratusan kerentanan yang diketahui sedang dieksploitasi secara aktif. CISA merilis katalog tepat dua minggu lalu bersama dengan arahan operasional yang mengikat dan tenggat waktu untuk menambalnya.

Selengkapnya: Nextgov

Bug XSS berbahaya di halaman ‘Tab Baru’ Google Chrome melewati fitur keamanan

November 19, 2021 by Winnie the Pooh

Tim Chromium telah menambal kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang menjalankan kode JavaScript arbitrer di halaman ‘Tab Baru’ Chrome.

Menurut utas diskusi dan bukti konsep di portal bug Chromium, penyerang dapat mengeksploitasi bug dengan mengirimkan file HTML ke korban yang berisi skrip cross-site request forgery (CSRF), yang mengirimkan snippet kode JavaScript berbahaya sebagai permintaan pencarian ke Google.

Saat pengguna membuka file, skrip CSRF berjalan dan kueri disimpan dalam riwayat pencarian browser. Saat berikutnya pengguna membuka Halaman Tab Baru dan mengklik bilah pencarian Google, kode berbahaya akan berjalan.

Yang mengkhawatirkan, jika korban masuk ke akun Google mereka saat membuka file berbahaya, permintaan akan disimpan ke riwayat pencarian akun mereka dan dipicu di perangkat lain tempat akun Google mereka masuk.

Ashish Dhone, peneliti yang menemukan bug tersebut, memiliki rekam jejak berburu bug XSS di aplikasi web dan seluler Google. “Saya ingin menemukan XSS di Chrome, maka perburuan saya dimulai dengan aplikasi desktop Google Chrome,” katanya kepada The Daily Swig.

“Saya sedang mencari fungsionalitas markup HTML di mana XSS dapat dieksekusi. Setelah menghabiskan berjam-jam, entah bagaimana saya menemukan bahwa di halaman Tab Baru, kueri pencarian yang disimpan tidak dibersihkan dan kemudian saya dapat menjalankan [uXSS]”.

Serangan UXSS mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS dan mengeksekusi kode berbahaya.

Dhone mengambil hadiah bug bounty sebesar $ 1.000 untuk penemuan serta beberapa pelajaran penting tentang keamanan browser. “Selalu periksa fitur dan fungsionalitas di mana markup HTML digunakan – di sinilah sebagian besar serangan XSS dapat ditemukan dan dieksploitasi,” katanya.

Selengkapnya: Portswigger

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings