News 113 - Naga Cyber Defense

Singtel mengkonfirmasi pencurian digital di anak perusahaan, Dialog

October 11, 2022 by Winnie the Pooh

Singtel telah mengkonfirmasi bahwa bisnis Australia lainnya yang dimilikinya, unit konsultan Dialog, telah menjadi korban perampokan dunia maya hanya beberapa minggu setelah kebocoran data raksasa di telco Optus terungkap.

Dalam sebuah pernyataan kepada bursa saham Singapura, Singtel mengatakan penyusup mungkin telah mengakses data perusahaan “berpotensi mempengaruhi kurang dari 20 klien dan 1.000 karyawan Dialog saat ini serta mantan karyawan”.

Akses tidak sah ke servernya pertama kali terdeteksi pada 10 September. Sistem ini ditutup sebagai “tindakan pencegahan” tetapi dipulihkan dan beroperasi penuh kembali dua hari kemudian.

Singtel telah memberi tahu pihak berwenang terkait dan menawarkan dukungan kepada mereka yang terjebak dalam kekacauan ini. Saat ini “tidak ada bukti” bahwa “insiden keamanan siber” di Dialog memiliki kaitan dengan insiden di Optus.

Singtel telah menyewa Deloitte untuk membantunya menginvestigasi insiden itu, dan Polisi Federal Australia (AFP) telah meminta FBI untuk membantu mereka menyisir jaring untuk menemukan para pelaku.

Selengkapnya: The Register

Laporan Baru Mengungkap Teknik Pengiriman dan Pengelakan Emotet yang Digunakan dalam Serangan Baru-baru ini

October 11, 2022 by Winnie the Pooh

Pelaku ancaman yang memiliki kaitan dengan malware Emotet yang terkenal terus-menerus mengubah taktik dan infrastruktur command-and-control (C2) mereka untuk menghindari deteksi, menurut penelitian baru dari VMware.

Kebangkitan Emotet, yang diatur oleh tim Conti yang sekarang sudah tidak aktif, telah membuka jalan bagi infeksi Cobalt Strike dan, baru-baru ini, serangan ransomware yang melibatkan Quantum dan BlackCat.

Alur serangan emotet juga ditandai dengan penggunaan vektor serangan yang berbeda dalam upaya untuk tetap terselubung untuk waktu yang lama.

Penyusupan ini biasanya bergantung pada gelombang pesan spam yang mengirimkan dokumen yang mengandung malware atau URL yang disematkan, yang ketika dibuka atau diklik, mengarah pada penyebaran malware.

Pada Januari 2022 saja, VMware mengatakan telah mengamati tiga rangkaian serangan yang berbeda di mana muatan Emotet dikirimkan melalui makro Excel 4.0 (XL4), makro XL4 dengan PowerShell, dan makro Aplikasi Visual Basic (VBA) dengan PowerShell.

Kemunculan kembali Emotet juga ditandai dengan perubahan infrastruktur C2, dengan aktor ancaman mengoperasikan dua klaster botnet baru yang dijuluki Epochs 4 dan 5. Sebelum penghapusan, operasi Emotet berjalan di atas tiga botnet terpisah yang disebut sebagai Epochs 1, 2, dan 3.

Selain itu, 10.235 muatan Emotet yang terdeteksi di alam liar antara 15 Maret 2022, dan 18 Juni 2022, menggunakan kembali server C2 milik Epoch 5.

Selengkapnya: The Hacker News

Apple merilis iOS 16.0.3

October 11, 2022 by Winnie the Pooh

Apple terus memperbaiki beberapa bug awal yang memengaruhi iOS 16 serta iPhone 14 dan iPhone 14 Pro. Perusahaan tersebut sekarang meluncurkan iOS 16.0.3, yang mencakup perbaikan bug tambahan dan peningkatan kinerja untuk notifikasi, aplikasi Kamera, dan banyak lagi.

Nomor build untuk pembaruan terbaru adalah 20A392 dan tersedia untuk iPhone apa pun yang mampu menjalankan iOS 16, yang mencakup iPhone 8 dan yang lebih baru.

Panggilan masuk dan pemberitahuan aplikasi mungkin tertunda atau tidak terkirim di iPhone 14 Pro dan iPhone 14 Pro Max.
Volume mikrofon rendah dapat terjadi selama panggilan telepon CarPlay pada model iPhone 14.
Kamera mungkin lambat diluncurkan atau beralih di antara mode di iPhone 14 Pro dan iPhone 14 Pro Max.
Email crash saat diluncurkan setelah menerima email yang salah format.

Salah satu hal terbesar yang kami perhatikan adalah apakah iOS 16.0.3 mengatasi keluhan masa pakai baterai yang saat ini membanjiri banyak pengguna iPhone atau tidak.

Selengkapnya: 9to5mac

Pengguna Microsoft Teams menggunakannya untuk alasan yang sangat buruk, jadi hentikan sekarang

October 10, 2022 by Winnie the Pooh

Perusahaan keamanan siber Hornetsecurity mendesak perusahaan untuk mengambil tindakan pencegahan yang lebih terhadap potensi ancaman menggunakan platform konferensi video Microsoft Teams.

Menurut penelitiannya, hampir setengah (45%) pengguna mengaku sering mengirim informasi “rahasia dan sensitif” melalui Microsoft Teams.

Lebih buruk lagi, angka yang lebih tinggi (51%) ditemukan di berbagi informasi “penting bisnis”, sementara jumlah yang sama (48%) dari responden secara tidak sengaja mengirim pesan Microsoft Teams yang seharusnya tidak dikirim, seperti kepada orang yang salah.

Ketika berbicara mengenai perangkat, pelanggar lebih cenderung berbagi informasi rahasia menggunakan perangkat pribadi (51%), dibandingkan dengan peralatan kerja (29%). Jelas, pentingnya menggunakan perangkat yang diamankan secara profesional perlu ditekankan dalam pelatihan staf.

Hornetsecurity mengusulkan ini sebagai salah satu solusi untuk mengurangi tekanan pada keamanan siber perusahaan, mengutip 56% dari peserta survei yang percaya bahwa pelatihan dan kesadaran karyawan adalah aspek terpenting untuk mengurangi risiko.

CEO perusahaan, Daniel Hofmann, menjelaskan bahwa “perusahaan harus memiliki perlindungan yang memadai untuk melindungi dan mengamankan data bisnis” karena lebih banyak pekerja beralih ke chat-like messaging services.

Jika pengguna ingin terus berbagi konten melalui obrolan, Hofmann mengatakan bahwa perusahaan harus “memastikan informasi dan file yang dibagikan di seluruh platform dicadangkan dengan cara yang aman dan bertanggung jawab.”

Selengkapnya: MSN

RPKI tidak aman – Mekanisme keamanan Internet rusak

October 10, 2022 by Winnie the Pooh

Menurut pakar keamanan dari ATHENE Jerman, Pusat Riset Nasional untuk Keamanan Siber Terapan, mekanisme keamanan internet yang disebut Resource Public Key Infrastructure (RPKI), yang dimaksudkan untuk melindungi routing lalu lintas data, rusak.

Internet adalah jaringan dari jaringan yang terhubung. Jaringan ini berkomunikasi menggunakan Border Gateway Protocol (BGP) untuk akhirnya membangun routing map internet, sehingga ketika Anda mencoba menyambung ke sesuatu, paket data Anda dikirim melalui pipa yang tepat ke tempat yang tepat.

Secara spesifik, internet terdiri dari jaringan yang disebut sistem otonom/autonomous systems (AS) yang mengiklankan prefix alamat IP mereka melalui router ke jaringan tetangga menggunakan BGP, untuk akhirnya membangun peta perutean ini (routing map internet). AS berbahaya dapat berbohong kepada tetangga mereka, mengklaim prefix alamat IP yang tidak mereka miliki.

RPKI ditujukan untuk mencegah pembajakan prefix dengan mengikat alamat IP ke AS menggunakan tanda tangan digital yang disebut ROA (Route Origin Authorizations). Hanya sekitar 40 persen dari semua blok alamat IP yang memiliki sertifikat RPKI dan hanya sekitar 27 persen yang memverifikasinya, menurut ATHENE.

Tetapi ketika digunakan, RPKI menyediakan AS dengan kemampuan untuk memvalidasi iklan prefix IP dari AS lainnya. Menggunakan ROV (Route Origin Validation), router BGP dapat mengklasifikasikan rute sebagai valid atau tidak valid. Tetapi ketika ROV tidak tersedia dari titik publikasi jaringan, router BGP menganggap rute tidak diketahui dan RPKI tidak digunakan untuk keputusan perutean.

Pilihan desain ini – memprioritaskan jangkauan jaringan daripada keamanan – mewakili sumber kerentanan, kata para peneliti ATHENE.

Selengkapnya: The Register

Tidak ada perbaikan yang terlihat untuk celah yang mengganggu pertahanan utama Windows selama bertahun-tahun

October 9, 2022 by Søren

Pekan lalu, peneliti dari perusahaan keamanan ESET mengungkapkan bahwa sekitar setahun yang lalu, Lazarus, sebuah kelompok peretasan yang didukung oleh pemerintah Korea Utara, mengeksploitasi celah selebar satu mil tahun lalu yang ada di driver signature enforcement (DSE) Microsoft sejak awal.

Dokumen berbahaya yang Lazarus mampu mengelabui target agar dibuka mampu mendapatkan kontrol administratif dari komputer target, tetapi perlindungan kernel modern Windows menghadirkan hambatan besar bagi Lazarus untuk mencapai tujuannya menyerbu kernel.

Jadi Lazarus memilih salah satu langkah tertua dalam buku pedoman eksploitasi Windows — teknik yang dikenal sebagai BYOVD, kependekan dari membawa driver Anda sendiri yang rentan.

Alih-alih menemukan dan mengembangkan beberapa zero-day yang eksotis untuk menembus perlindungan kernel Windows, anggota Lazarus hanya menggunakan akses admin yang sudah mereka miliki untuk menginstal driver yang telah ditandatangani secara digital oleh Dell sebelum ditemukannya kerentanan kritis tahun lalu yang dapat dieksploitasi untuk mendapatkan hak istimewa kernel.

Peneliti ESET Peter Kálnai mengatakan Lazarus mengirim dua target—satu karyawan perusahaan kedirgantaraan di Belanda dan yang lainnya seorang jurnalis politik di Belgia—dokumen Microsoft Word yang telah dijebak dengan kode berbahaya yang menginfeksi komputer yang membukanya.

Tujuan peretas adalah memasang pintu belakang canggih yang disebut Blindingcan, tetapi untuk mewujudkannya, pertama-tama mereka harus menonaktifkan berbagai perlindungan Windows. Jalur yang paling sedikit resistensinya, dalam hal ini, hanyalah menginstal dbutil_2_3.sys, driver Dell buggy, yang bertanggung jawab untuk memperbarui firmware Dell melalui Utilitas Bios kustom Dell.

Selengkapnya: ars TECHNICA

Cacat Zimbra yang belum ditambal sedang diserang memungkinkan peretas untuk melakukan backdoor server

October 9, 2022 by Søren

Kerentanan eksekusi kode yang tidak ditambal dalam perangkat lunak Kolaborasi Zimbra sedang dieksploitasi secara aktif oleh penyerang yang menggunakan serangan ke server pintu belakang.

Serangan dimulai paling lambat 7 September, ketika seorang pelanggan Zimbra melaporkan beberapa hari kemudian bahwa server yang menjalankan mesin penyaringan spam Amavis perusahaan memproses email yang berisi lampiran berbahaya.

Dalam hitungan detik, pemindai menyalin file Java berbahaya ke server dan kemudian menjalankannya. Dengan itu, penyerang telah menginstal web shell, yang kemudian dapat mereka gunakan untuk masuk dan mengambil kendali server.

Zimbra belum merilis tambalan yang memperbaiki kerentanan. Sebagai gantinya, perusahaan menerbitkan panduan ini yang menyarankan pelanggan untuk memastikan pengarsipan file yang dikenal sebagai pax diinstal.

Kecuali pax diinstal, Amavis memproses lampiran yang masuk dengan cpio, pengarsip alternatif yang mengetahui kerentanan yang tidak pernah diperbaiki.

“Jika paket pax tidak diinstal, Amavis akan kembali menggunakan cpio,” tulis karyawan Zimbra Barry de Graaff. “Sayangnya fall-back diimplementasikan dengan buruk (oleh Amavis) dan akan memungkinkan penyerang yang tidak diautentikasi untuk membuat dan menimpa file di server Zimbra, termasuk webroot Zimbra.”

Posting selanjutnya menjelaskan cara menginstal pax. Utilitas ini dimuat secara default pada distribusi Ubuntu di Linux, tetapi harus diinstal secara manual di sebagian besar distribusi lainnya. Kerentanan Zimbra dilacak sebagai CVE-2022-41352.

Selengkapnya: ars TECHNICA

Facebook memperingatkan 1 juta pengguna tentang nama pengguna dan kata sandi yang dicuri

October 9, 2022 by Søren

Meta Platforms mengatakan akan memberi tahu sekitar 1 juta pengguna Facebook bahwa kredensial akun mereka mungkin telah disusupi karena masalah keamanan dengan aplikasi yang diunduh dari toko perangkat lunak Apple dan Alphabet.

Perusahaan mengumumkan pada hari Jumat bahwa mereka mengidentifikasi lebih dari 400 aplikasi Android dan iOS berbahaya tahun ini yang menargetkan pengguna internet untuk mencuri informasi login mereka. Meta mengatakan itu memberi tahu Apple dan Google tentang masalah ini untuk memfasilitasi penghapusan aplikasi.

Aplikasi tersebut bekerja dengan menyamar sebagai editor foto, game seluler, atau pelacak kesehatan, kata Facebook.

Apple mengatakan 45 dari 400 aplikasi bermasalah ada di App Store dan telah dihapus. Google menghapus semua aplikasi berbahaya yang dimaksud, kata seorang juru bicara.

“Penjahat dunia maya tahu betapa populernya jenis aplikasi ini, dan mereka akan menggunakan tema serupa untuk mengelabui orang dan mencuri akun dan informasi mereka,” kata David Agranovich, direktur gangguan ancaman global di Meta. “Jika sebuah aplikasi menjanjikan sesuatu yang terlalu bagus untuk menjadi kenyataan, seperti fitur yang belum dirilis untuk platform lain atau situs media sosial, kemungkinan besar aplikasi tersebut memiliki motif tersembunyi.”

Penipuan tipikal akan terungkap, misalnya, setelah pengguna mengunduh salah satu aplikasi berbahaya. Aplikasi akan membutuhkan login Facebook untuk bekerja di luar fungsi dasar, sehingga menipu pengguna untuk memberikan nama pengguna dan kata sandi mereka. Pengguna kemudian dapat, misalnya, mengunggah foto yang diedit ke akun Facebook mereka. Namun dalam prosesnya, mereka tanpa sadar mengkompromikan akun mereka dengan memberi penulis akses aplikasi.

Selengkapnya: Seattle Times

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings