News 13 - Naga Cyber Defense

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

April 27, 2023 by Mally

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record

DOJ Mendesak CISO untuk terus Bekerja Sama dengan Penegak Hukum menjelang Hukuman Kepala Keamanan Uber

April 27, 2023 by Mally

Wakil Jaksa Agung Lisa Monaco mendesak pemimpin keamanan siber dan kepatuhan untuk terus bekerja dengan lembaga penegak hukum, secara diam-diam menanggapi kekhawatiran yang diajukan oleh pejabat keamanan siber setelah vonis mantan kepala keamanan Uber.

Joe Sullivan, seorang jaksa sebelum menjadi kepala keamanan siber Uber, akan dijatuhi hukuman atas dua dakwaan terkait upayanya menutup-nutupi insiden keamanan 2016 di Uber, dimana peretas mencuri data pribadi dari 57 juta pelanggan dan informasi pribadi 600.000 pengemudi Uber.

Beberapa CISO sebelumnya memperingatkan dampak buruk kasus tersebut bagi mereka yang terlibat dalam menangani insiden keamanan perusahaan dan dapat membuat kepala keamanan siber berhati-hati dalam melibatkan penegak hukum karena takut dijadikan kambing hitam.

Uber diamanatkan oleh FTC untuk melaporkan semua pelanggaran setelah peretasan tahun 2014 mengungkap nama dan nomor SIM dari 50.000 orang. Tetapi ketika dua peretas mengirim email kepada Sullivan pada tahun 2016 untuk memberi tahu dia bahwa mereka telah membobol platform perusahaan rideshare, dia membayar mereka $100.000 bitcoin dan tidak memberi tahu FTC.

Beberapa CISO mempertanyakan mengapa tidak ada orang lain yang terkena dampak atas insiden tersebut. Kemudian CEO Uber Travis Kalanick dan pengacara internal Uber Craig Clark diberitahu tentang pelanggaran tersebut dalam waktu enam jam.

Mengenai aktivitas siber, Departemen Kehakiman dipaksa untuk beralih dari fokus pada penuntutan ke tindakan yang memiliki dampak dunia nyata pada para korban, Monaco menjelaskan kepada pewawancara dan mantan Direktur Badan Keamanan Infrastruktur dan Keamanan Siber Chris Krebs.

Monaco mengutip pekerjaan terbaru DOJ yang mematikan infrastruktur geng ransomware Hive, mencatat bahwa di masa lalu, operasi seperti itu akan dianggap ‘bid’ah’ karena tidak mungkin mengarah pada penuntutan.

Selengkapnya: The Record

Security expert menemukan bug besar di Google Cloud

April 26, 2023 by Mally

Security expert SADA mengklain telah menemukan kerentanan di Google Cloud Platform yang telah ditambal oleh raksasa teknolog tersebut.

Dikenal sebagai Asset Key Theft, kerentanan berpotensi memungkinkan pelaku encaman untuk mencuri kunci pribadi akun layanan Google Cloud. Dalam sebuah pernyataan (dibuka di tab baru), SADA mengatakan percaya bahwa cacat tersebut “akan member penyerang metode yang gigih dan andal untuk menyelahgunakan lingkungan Google CLoud.”

Sada memberi tahu Google tentang masalah ini dalam bisnis cloud hosting-nya melalui program hadiah Bug Hunters, di mana peneliti dapat memberi tahu raksasa teknologi itu tentang kekurangan yang mereka temukan dalam produknya dengan cara yang aman dan terjamin.

SADA percaya bahwa masalah ini kritis “karena kesamaan izin dengan alat kemanan cloud pihaj ketiga, seperti alat Cloud Security Posture Management (CSPM), untuk mengumpulkan data inventris cloud dari API.\

Cacat itu ditemukan di Google Cloud Platform API yang dikenal sebagai Cloud Asset Inventory API. Kerentanan ini memengaruhi semua pengguna Google Cloud yang telah mengaktifkan API ini dan yang memiliki izin cloudasset.assets.searchAllResources di lingkungan Google Cloud yang berlaku.

selengkapnya : techradar.com

Penipu Facebook Berpose Sebagai Staf Pendukung Pada 3.200 Profil Palsu

April 26, 2023 by Mally

Antara Februari dan Maret 2023, peneliti Grup-IB yang berbasis di Dubai mengidentifikasi lebih dari 3.200 profil Facebook yang diklaim ditulis oleh staf pendukung Meta dalam lebih dari 20 bahasa. Setelah menemukan akun scammers, Tim Tanggap Darurat Komputer Grup-IB berbagi informasi dengan Facebook, yang harus dicatat telah menghapus beberapa profil yang melanggar.

Tujuan penjahat dunia maya adalah meretas akun Facebook tokoh masyarakat dan selebritas, bisnis, tim olahraga, dan akun individu. Sebagai bagian dari penipuan yang rumit, data cookie, dan pembajakan sesi digunakan, meskipun sebagian besar penjahat menggunakan teknik phishing tradisional untuk mengelabui orang agar secara sukarela memasukkan informasi email dan kata sandi.

Peneliti Grup-IB mulai melacak penipuan yang meluas ini pada Februari 2023. Selain 3.200 profil Facebook palsu yang berisi postingan penipuan, pakar keamanan siber juga menemukan 220 situs web yang dimaksudkan untuk mengelabui pengguna agar berpisah dengan data mereka.

Detail Penipuan
Penipu Facebook ini menggunakan teknik rekayasa sosial untuk mengelabui pengguna agar mengira akun mereka ditandai untuk ditangguhkan karena pelanggaran hak cipta. Jika korban berusaha memverifikasi profil mereka untuk mencegahnya diblokir, mereka akan dibawa ke situs web phishing, di mana mereka disajikan dengan halaman yang berisi merek Meta atau Facebook yang tampak resmi.

selengkapnya : techmgzn.com

Kurikulum Keamanan Siber NSA

April 26, 2023 by Mally

CLARK adalah platform untuk membangun dan berbagi kurikulum keamanan siber gratis. Ini memberi pendidik keamanan dunia maya blok bangunan untuk melatih gelombang peneliti berikutnya dan mempersiapkan tenaga kerja keamanan dunia maya dengan lebih baik.

Ini diambil dari kumpulan topik keamanan siber yang sangat besar dengan kurikulum keamanan siber berdampak tinggi yang dibuat oleh peneliti top dan ditinjau oleh rekan sejawat oleh perancang instruksional dan pakar materi pelajaran. Ini menyediakan akses ke lebih dari 700 “objek pembelajaran” termasuk lab, video, catatan kuliah, dan format lain yang gratis di bawah lisensi creative commons.

Untuk mendapatkan ide yang lebih baik, inilah beberapa kursus paling populer di CLARK:

Pengantar Cybercrime – Markus Rauschecker, Ben Yelin, University of Maryland-Baltimore
Primer tentang Kondisi Perlombaan dan Keamanan Komputer – Matt Bishop, University of California – Davis
Konsep Dasar Kriptografi Kuantum – Abhishek Parakh, Universitas Nebraska-Omaha
Lingkungan Ancaman Siber Global – John Heslen, Universitas Augusta
Jaringan yang Ditetapkan Perangkat Lunak – Virginia Tech

Pusat CLARK (Cybersecurity Labs and Resource Knowledge-base) dari Towson dan NSA telah menerbitkan ratusan kursus dan modul pembelajaran keamanan siber. Mari kita periksa apa yang ditawarkan.

selengkapnya : i-programmer.info

URL Berbahaya Terkait ChatGPT Meningkat

April 21, 2023 by Mally

Jumlah domain baru terdaftar dan squat yang terkait dengan ChatGPT tumbuh sebesar 910% setiap bulan antara November 2022 dan awal April 2023.

Temuan yang dibagikan oleh Unit 42 Palo Alto Networks hari ini juga menyebutkan pertumbuhan 17.818% domain squatting terkait dari log Keamanan DNS dalam jangka waktu yang sama.

Di antara tren yang diamati oleh para peneliti, beberapa URL phishing mencoba berpura-pura sebagai situs resmi OpenAI.

Palo Alto Networks juga mengamati beberapa scammer yang mengeksploitasi meningkatnya popularitas OpenAI untuk penipuan crypto, misalnya, mencoba menarik korban ke dalam acara giveaway crypto yang curang.

Tetapi beberapa situs penipuan sebenarnya memanfaatkan API ChatGPT resmi, yang disediakan oleh OpenAI pada bulan Maret.

Menurut tim, alat-alat ini, serta peningkatan umum dalam domain terdaftar dan domain jongkok yang terkait dengan ChatGPT, merupakan tren yang berkembang.

“Agar tetap aman, pengguna ChatGPT harus berhati-hati dengan email atau tautan mencurigakan yang terkait dengan ChatGPT,” bunyi peringatan tersebut. “Selain itu, penggunaan chatbot peniru akan membawa risiko keamanan ekstra. Pengguna harus selalu mengakses ChatGPT melalui situs resmi OpenAI.”

selengkapnya : infosecurity-magazine.com

Serangan Ransomware 2023: Sorotan Kuartal Pertama

April 21, 2023 by Mally

Pada Q1 2023, kami mengamati hampir 850 organisasi diberi nama di situs ransomware dan pemerasan data di web gelap. Ini adalah lompatan 22,4% dari kuartal sebelumnya, yang memiliki jumlah total mendekati 700. Tidak mengherankan, “LockBit” tetap menjadi grup yang paling aktif, dengan selisih yang lebar. Tapi tempat nomor dua datang dari pesaing di menit-menit terakhir: Clop, dengan eksploitasi GoAnywhere.

Jumlah korban disebutkan di 20 situs kebocoran data ransomware teratas, Q1 2023

Maret 2023 mencatat rekor bulan paling aktif yang pernah kami catat dalam sejarah ransomware pemerasan ganda. Lebih dari 400 organisasi disebutkan di situs kebocoran data ransomware; itu 35% lebih banyak dari rekor bulanan sebelumnya.

Aktivitas ransomware menurut bulan sejak Maret 2022

serangan hanya pemerasan berkurang secara substansial: sebesar 90%. Kita berbicara tentang kelompok ancaman yang mencuri data, mengancam untuk membocorkannya di situs kebocoran data, dan kemudian tidak mengenkripsi file. Terobosan dalam aktivitas hanya pemerasan mungkin dapat dijelaskan oleh kelompok pemerasan terkemuka, “Tim Peretasan Karakurt”, sebagian besar tidak aktif.

Aktivitas pemerasan berdasarkan bulan sejak Maret 2022

Ini tidak berarti bahwa serangan pemerasan saja sudah ketinggalan zaman. Jumlah yang dianalisis terbatas pada kelompok pemerasan yang dikonfirmasi yang menyebutkan nama korban di situs kebocoran data, dan ada ratusan pelaku ancaman yang mencuri data dan malah mengekspos organisasi di forum penjahat dunia maya bawah tanah, seperti XSS atau Exploit. Plus, kampanye terbaru Clop, yang menargetkan kelemahan GoAnywhere, dapat dianggap sebagai kampanye pemerasan saja.

Sebaran korban per sektor lebih merata, meski sektor industri barang dan jasa tetap menjadi target paling banyak dengan 21,1% dari seluruh korban. Peningkatan serangan industri perawatan kesehatan merupakan temuan penting; lebih dari 30 organisasi layanan kesehatan disebutkan di situs kebocoran data pada Maret 2023. Itu lebih dari yang kami amati selama empat kuartal terakhir.

selengkapnya : reliaquest.com

Memecah Pipa Bernama Docker Secara SISTEM

April 21, 2023 by Mally

Kami menemukan dan melaporkan beberapa kerentanan eskalasi hak istimewa di dalam Docker Desktop untuk Windows:

Penghapusan file sewenang-wenang yang dapat dimanfaatkan untuk peningkatan hak istimewa penuh: CVE-2022-37326, dan CVE-2022-38730.
Timpa file sewenang-wenang: CVE-2022-31647 dan CVE-2022-34292.

Kami mematuhi pedoman pengungkapan yang bertanggung jawab, dan Docker menangani pemberitahuan dengan cepat dan efisien.

Anggota DaemonJSON menyimpan nilai path untuk file daemon.json (file konfigurasi daemon Docker), dan anggota Settings adalah kelas yang berisi semua bidang (Lampiran A) yang ada di dalam file daemon JSON.

Pertama-tama mari kita jelaskan mengapa anggota Pengaturan tidak relevan bagi kami. Setelah panggilan ke _windowsDockerDaemon.Start (Gambar 1), ada urutan pemanggilan fungsi di mana argumen pengaturan diteruskan ke tiga fungsi: RewriteOptions, GetServiceEnv, dan TryToStartService (Gambar 2).

Tapi meskipun diteruskan sebagai argumen, itu hanya digunakan dalam metode GetServiceEnv dan hanya untuk bidang Proxy (Gambar 3).

Kami memahami bahwa kami tidak dapat memengaruhi setelan argumen untuk memanipulasi layanan. Kami melanjutkan ke argumen berikutnya yang dikontrol oleh kami dan memeriksa argumen daemonOptions, dan dari fungsi RewriteOptions, kami memahami bahwa itu digunakan sebagai parameter untuk file switch –config di dockerd (lihat cuplikan kode di bawah), yang berarti kami mengontrol pengaturan dockerd.

Untungnya, bidang JSON daemon Docker didokumentasikan di Docker, dan Anda dapat melihat banyak opsi di sana (Lampiran B). Satu hal yang akan Anda perhatikan adalah bahwa ada dua versi terpisah – satu untuk Linux dan satu lagi untuk Windows – yang dapat menimbulkan masalah ketika ada bidang yang seharusnya hanya berfungsi di Linux atau Windows.

selengkapnya : cyberark.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings