Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas pro-Rusia Mengklaim Melanggar Samsung

by

Genesis Day, kelompok peretas pro-Rusia, mengklaim telah melanggar server internal Samsung atas kerja sama Korea Selatan dengan NATO.

Penyerang memposting iklan di forum peretasan populer, menuduh mereka melanggar konglomerat manufaktur Korea Selatan Samsung.

Genesis Day mengklaim menemukan jalan mereka ke layanan FTP internal Samsung yang digunakan oleh Samsung Group di Korea Selatan.

Pelaku ancaman mengumumkan dugaan pelanggaran (Cybernews)

Berdasarkan sampel data yang diselidiki oleh tim peneliti Cybernews, diduga mencakup manual perusahaan Samsung untuk masuk, kata sandi karyawan, dan beberapa video pendidikan. Namun, sampel data tidak dianggap mengandung data sensitif.

Penyerang mencoba membangun momentum, menjanjikan untuk membocorkan data tambahan sebesar 2,4 GB yang dicuri dari konglomerat Korea Selatan tersebut.

Sementara motivasi aktor ancaman pro-Rusia kemungkinan besar akan memajukan kepentingan Kremlin di Ukraina, alasan di balik serangan itu tampaknya tidak jelas.

Selengkapnya: cybernews

Royal Mail Mendesak Pelanggan untuk Tidak Mengirim Barang ke Luar Negeri Setelah Serangan Siber

by

Royal Mail mengeluarkan peringatan kepada pelanggan setelah serangan siber di luar negeri. Royal Mail belum membuat pembaruan apa pun tentang kapan insiden tersebut kemungkinan akan diselesaikan.

Layanan pos memperingatkan pelanggan untuk sementara tidak mengirim barang ke luar negeri dulu. Namun, Royal Mail tidak memberikan pembaruan apa pun mengenai kapan insiden tersebut kemungkinan akan diselesaikan dan pengiriman akan dilanjutkan.

Sebuah pusat distribusi Royal Mail di Irlandia Utara mengungkapkan printernya mulai memuntahkan salinan catatan tebusan pada hari Selasa, dengan mengatakan ‘data Anda dicuri dan dienkripsi’.

Royal Mail tidak akan mengomentari laporan peretasan tersebut, tetapi mengatakan telah meluncurkan penyelidikan insiden tersebut dan telah melaporkannya kepada regulator dan otoritas keamanannya.

Royal Mail juga meminta pelanggan untuk tidak mengirim barang internasional sampai pemberitahuan lebih lanjut demi mendukung pemulihan yang lebih cepat dan mencegah penumpukan barang yang diekspor di jaringannya.

Gangguan yang sudah dialami beberapa bulan terakhir ini menyebabkan malapetaka bagi bisnis yang mengandalkan layanan pengiriman.

Selengkapnya: edinburghlive

Sophos memberhentikan 450 karyawan secara global

by

Sophos memberhentikan sekitar 10% dari tenaga kerja globalnya, TechCrunch telah belajar. Sophos mengkonfirmasi PHK dalam email ke TechCrunch.

“Sophos hari ini mengumumkan restrukturisasi internal yang mengakibatkan hilangnya pekerjaan dan dimulainya periode konsultasi yang berpotensi memengaruhi 10% basis karyawan global kami,” kata Jitendra Bulani, juru bicara Sophos.

TechCrunch mengetahui bahwa sekitar 450 orang diberhentikan selama putaran PHK ini, meskipun Sophos tidak mengonfirmasi jumlah pasti karyawan yang terkena dampak.

Lebih dari setengah juta organisasi di seluruh dunia menggunakan teknologi Sophos, termasuk deteksi titik akhir dan jaringan, email, dan keamanan cloud, yang menghasilkan pendapatan lebih dari $1 miliar, kata perusahaan itu. Sophos mengatakan bisnis layanan terkelolanya menghasilkan lebih dari $175 juta per tahun dan tumbuh lebih dari 50% per tahun.

Pada Maret 2020, firma ekuitas swasta Thoma Bravo mengakuisisi Sophos dalam kesepakatan senilai $3,9 miliar.

Sophos bergabung dengan daftar perusahaan teknologi yang terus bertambah yang harus memberhentikan tenaga kerja mereka karena kesulitan keuangan. Raksasa teknologi termasuk Amazon, Meta, dan Microsoft juga harus melepaskan ribuan karyawan dalam beberapa bulan terakhir.

sumber : techcrunch

Peretas Dapat Menggunakan GitHub Codespaces untuk Menghosting dan Mengirimkan Malware

by

Para peneliti telah mendemonstrasikan bagaimana pelaku ancaman dapat menyalahgunakan fitur ‘penerusan port’ GitHub Codespaces untuk menghosting dan mendistribusikan malware dan skrip berbahaya.

GitHub Codespaces memungkinkan pengembang menerapkan platform IDE yang dihosting cloud dalam wadah virtual untuk menulis, mengedit, dan menjalankan kode langsung di dalam browser web.

Menggunakan GitHub Codespaces sebagai Server Malware
Dalam laporan terbaru Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi sebagai server web, mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Penyerang dapat menjalankan server web Python sederhana, mengunggah skrip berbahaya atau malware ke Codespace mereka, membuka port server web di VM mereka, dan menetapkan visibilitas publik.

Pengaturan visibilitas port pada Codespaces (Trend Micro)

URL yang dihasilkan dapat digunakan untuk mengakses file yang dihosting, baik untuk kampanye phishing atau untuk menghosting executable berbahaya yang diunduh oleh malware lain.

Karena GitHub adalah ruang terpercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Diagram serangan penyalahgunaan ruang kode (Trend Micro)

Melanjutkan Serangan
Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien. Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform bebas penggunaan yang juga dipercaya oleh produk keamanan.

Selengkapnya: BleepingComputer

Mailchimp mengatakan itu diretas – lagi

by

Pemasaran email dan raksasa buletin Mailchimp mengatakan itu diretas dan lusinan data pelanggan terungkap. Ini adalah kedua kalinya perusahaan itu diretas dalam enam bulan terakhir. Lebih buruk lagi, pelanggaran ini tampaknya hampir identik dengan insiden sebelumnya.

Perusahaan milik Intuit mengatakan dalam posting blog tanpa atribut bahwa tim keamanannya mendeteksi penyusup pada 11 Januari mengakses salah satu alat internalnya yang digunakan oleh dukungan pelanggan Mailchimp dan administrasi akun, serangan rekayasa sosial, menggunakan teknik manipulasi melalui telepon, email, atau teks untuk mendapatkan informasi pribadi, seperti kata sandi. Peretas kemudian menggunakan kata sandi karyawan yang dikompromikan itu untuk mendapatkan akses ke data di 133 akun Mailchimp, yang diberitahukan oleh perusahaan tentang gangguan tersebut.

Dalam pelanggaran itu, data pada sekitar 214 akun Mailchimp disusupi, sebagian besar akun terkait cryptocurrency dan keuangan. Raksasa cloud DigitalOcean mengonfirmasi bahwa akunnya dikompromikan dalam insiden tersebut, dan dengan keras mengkritik penanganan Mailchimp atas pelanggaran tersebut.

Salah satu akun yang ditargetkan itu adalah milik raksasa e-niaga WooCommerce. Mailchimp mengatakan pada saat itu bahwa ia telah menerapkan “serangkaian tindakan keamanan tambahan yang ditingkatkan”, tetapi menolak untuk memberi tahu TechCrunch apa yang diperlukan oleh tindakan tersebut.

Tidak segera jelas siapa, jika ada, yang bertanggung jawab atas keamanan siber di Mailchimp setelah kepergian kepala petugas keamanan informasinya, Siobhan Smyth, tak lama setelah pelanggaran Agustus.

selengkapnya : techcrunch

Kerentanan Keamanan Kritis Ditemukan di Router Netcomm dan TP-Link

by

Kerentanan keamanan telah diungkapkan di router Netcomm dan TP-Link, beberapa di antaranya dapat dipersenjatai untuk mencapai eksekusi kode jarak jauh.

Cacat, dilacak sebagai CVE-2022-4873 dan CVE-2022-4874, menyangkut kasus buffer overflow berbasis stack dan bypass otentikasi dan berdampak pada model router Netcomm NF20MESH, NF20, dan NL1902 yang menjalankan versi firmware lebih awal dari R6B035.

“Dua kerentanan, ketika dirangkai bersama, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah penasehat yang diterbitkan Selasa.

Peneliti keamanan Brendan Scarvell telah dipuji karena menemukan dan melaporkan masalah tersebut pada Oktober 2022.

Peneliti Microsoft James Hull telah diakui untuk mengungkap dua bug. The Hacker News telah menghubingi TP-Link untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

sumber :thehackernews

Ransomware Vice Society Membocorkan Data University of Duisburg-Essen

by

Geng ransomware Vice Society telah mengaku bertanggung jawab atas serangan dunia maya November 2022 di Universitas Duisburg-Essen (UDE) yang memaksa universitas untuk merekonstruksi infrastruktur TI-nya, sebuah proses yang masih berlangsung.

Pelaku ancaman juga membocorkan file yang mereka klaim telah dicuri dari universitas selama pelanggaran jaringan, mengungkap detail yang berpotensi sensitif tentang operasi, mahasiswa, dan personil universitas.

Kemudian UDE mengkonfirmasi bahwa mereka mengetahui pelaku ancaman menerbitkan data yang dicuri dan mengatakan bahwa mereka tidak akan membayar uang tebusan.

File yang bocor termasuk arsip cadangan, dokumen keuangan, makalah penelitian, dan spreadsheet siswa. Meskipun tampaknya asli, kami tidak memiliki cara untuk memastikan keasliannya.

Serangan yang banyak terjadi membuat FBI, CISA, dan MS-ISAC merilis peringatan penasehat bersama bahwa geng ransomware semakin menargetkan distrik sekolah AS.

Membangun Kembali Infrastruktur TI UDE
Serangan dunia maya diungkapkan oleh UDE pada 28 November 2022, memaksa universitas untuk menutup semua email, komunikasi, dan sistem TI hingga pemberitahuan lebih lanjut.

Meski spesialis TI UDE telah mengembalikan beberapa sistem inti ke status fungsional dan melakukan penyetelan ulang kata sandi secara luas untuk platform pembelajaran online yang memengaruhi 40.000 orang, UDE masih jauh dari kembali ke operasi normal.

UDE menjelaskan bahwa serangan siber telah memengaruhi 1.200 server dan membahayakan sistem otorisasi pusat, jadi memulihkan semua ini tidak praktis.

CISO UDE, Marius Mertens, pada wawancara tahun 2019, membahas keberhasilan mitigasi serangan ransomware. Menyoroti pentingnya superkomputer universitas, yang menempati peringkat 500 teratas di Eropa, dan menjelaskan bahwa gangguan pada operasinya akan mengakibatkan kerugian finansial yang signifikan.

Selengkapnya: BleepingComputer

Git menambal dua kelemahan keamanan eksekusi kode jarak jauh yang kritis

by

Git telah menambal dua kerentanan keamanan tingkat kritis yang memungkinkan penyerang mengeksekusi kode arbitrer setelah berhasil mengeksploitasi kelemahan buffer overflow berbasis heap.

Cacat khusus Windows ketiga yang memengaruhi alat Git GUI yang disebabkan oleh kelemahan jalur pencarian yang tidak tepercaya memungkinkan pelaku ancaman yang tidak diautentikasi untuk menjalankan serangan dengan kompleksitas kode rendah yang tidak tepercaya.

Dua kerentanan pertama (CVE-2022-41903 dalam mekanisme pemformatan komit dan CVE-2022-23521 dalam parser .gitattributes) ditambal pada hari Rabu dalam versi baru kembali ke v2.30.7.

Yang ketiga, dilacak sebagai CVE-2022-41953, masih menunggu tambalan, tetapi pengguna dapat mengatasi masalah tersebut dengan tidak menggunakan perangkat lunak Git GUI untuk mengkloning repositori atau menghindari kloning dari sumber yang tidak tepercaya.

Pakar keamanan dari X41 (Eric Sesterhenn dan Markus Vervier) dan GitLab (Joern Schneeweisz) menemukan kerentanan ini sebagai bagian dari audit kode sumber keamanan Git yang disponsori oleh OSTIF.

Pengguna yang tidak dapat segera memperbarui untuk mengatasi bug eksekusi kode jarak jauh kritis CVE-2022-41903 juga dapat mengambil tindakan berikut untuk memastikan bahwa penyerang tidak dapat menyalahgunakan fungsionalitas Git yang rentan:

  • Nonaktifkan ‘arsip git’ di repositori yang tidak dipercaya atau hindari menjalankan perintah pada repo yang tidak dipercaya
  • Jika ‘arsip git’ diekspos melalui ‘daemon git,’ nonaktifkan saat bekerja dengan repositori yang tidak tepercaya dengan menjalankan perintah ‘git config –global daemon.uploadArch false’

“Kami sangat menyarankan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah [..] dimutakhirkan ke versi terbaru sesegera mungkin,” GitLab memperingatkan.

sumber : bleepingcomputer