Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

by

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Pemasok Air Italia yang Melayani 500.000 Orang terkena Serangan Ransomware

by

Perusahaan Italia tersebut mengalami beberapa gangguan teknis menyusul serangan ransomware.

Alto Calore Servizi SpA menjalankan pengumpulan, pasokan, dan distribusi air minum untuk 125 kota Avellino dan Benevento, dua provinsi di Italia selatan. Perusahaan yang dikelola pemerintah juga mengelola layanan pembuangan limbah dan pemurnian untuk kedua provinsi tersebut.

Perusahaan yang mengelola 58 juta meter kubik air per tahun itu mengatakan pada Jumat bahwa peretasan baru-baru ini membuat semua sistem TI mereka tidak dapat digunakan. Mereka juga memohon maaf atas pemadaman tersebut.

Kemudian pada hari Selasa, grup ransomware Medusa mengaku bertanggung jawab atas serangan tersebut dan mengatakan bahwa mereka memberi perusahaan air waktu tujuh hari untuk membayar uang tebusan.

Medusa memberikan sampel data yang dicurinya dan menawarkan pilihan membayar $10.000 untuk memperpanjang batas waktu tebusan satu hari atau $100.000 untuk menghapus semua data yang diambil.

Mereka membutuhkan data pelanggan, kontrak, risalah dari rapat dewan, laporan, informasi distribusi pipa, dokumen ekspansi dan banyak lagi.

Namun, perusahaan tidak menanggapi permintaan komentar tentang kapan sistem dapat dipulihkan atau jika uang tebusan akan dibayarkan.

Beberapa pejabat di Badan Perlindungan Lingkungan AS (EPA) mengatakan pada bulan Maret bahwa ransomware telah menjadi perhatian yang signifikan karena peningkatan serangan.

EPA pun mengeluarkan aturan baru tahun ini yang mengamanatkan penilaian keamanan siber dimasukkan sebagai bagian dari audit negara atas sistem air publik.

Namun aturan tersebut sekarang menghadapi tuntutan hukum dari jaksa agung di Iowa, Arkansas, dan Missouri yang mengklaim peningkatan keamanan siber yang diperlukan untuk lulus penilaian akan terlalu mahal bagi pemasok, yang berencana membebankan biaya tersebut kepada pelanggan.

Selengkapnya: The Record

Google Mengambil Langkah Pertama ‘Passwordless Future’, Memulai Peluncuran ‘Passkey’

by Leave a Comment

Google mengambil langkah pertamanya untuk mencapai sebuah masa depan tanpa kata sandi dengan menambahkan opsi kunci sandi untuk masuk.

Menjelang Hari Kata Sandi Dunia, Google akan memperkenalkan cara baru yang lebih aman untuk masuk akun Google.

Kunci sandi atau ‘passkey’ memungkinkan pengguna untuk masuk ke aplikasi dan situs dengan cara yang sama seperti membuka kunci perangkat mereka misalnya dengan fingerprint, face recognition, atau PIN. ‘Passkey’ tentu lebih aman dari OTP karena lebih tahan terhadap ancaman seperti ‘phishing’.

Dari kiri ke kanan: ketik nama pengguna Anda, pilih kunci sandi, pindai jari. Gambar: ArsTechnica
Dari kiri ke kanan: ketik nama pengguna Anda, pilih kunci sandi, pindai jari. Gambar: ArsTechnica

Disamping harapan kunci sandi yang menggantikan kata sandi, Google menyatakan bahwa kata kata sandi dan verifikasi dua langkah (2SV) masih akan ada untuk saat ini.

Selengkapnya: Android Authority

Botnet Mirai suka mengeksploitasi router TP-Link Anda yang belum ditambal, CISA memperingatkan

by

Cybersecurity and Infrastructure Security Agency (CISA) pemerintah AS menambahkan tiga kelemahan lagi ke dalam daftar kerentanan yang diketahui dieksploitasi, termasuk satu yang melibatkan router TP-Link yang menjadi sasaran operator botnet Mirai yang terkenal kejam.

Dua lainnya ditempatkan pada daftar minggu ini melibatkan versi perangkat lunak Server WebLogic Oracle dan perpustakaan log4j Java Log4j dari Apache Foundation.

Cacat injeksi perintah di router Wi-Fi 6 Archer AX21 TP-Link – dilacak sebagai CVE-2023-1389 – bersembunyi di firmware perangkat sebelum versi 1.1.4 Build 20230219, yang mengatasi masalah tersebut. Penyerang yang tidak sah dapat mengeksploitasi lubang ini untuk menyuntikkan perintah yang dapat menyebabkan eksekusi kode jarak jauh (RCE), yang memungkinkan penyusup mengambil kendali perangkat dari seluruh jaringan atau internet.

Malware Mirai menggulung perangkat Internet of Things (IoT) berbasis Linux yang terinfeksi ke dalam botnet yang kemudian dapat dikendalikan dari jarak jauh untuk melakukan serangan jaringan berskala besar, termasuk serangan denial-of-services (DDoS) terdistribusi.

Kerentanan command-injection ditemukan oleh beberapa tim yang berpartisipasi dalam kontes Pwn2Own Toronto ZDI tahun lalu dan seperti yang kami katakan, TP-Link telah mengeluarkan firmware untuk memperbaiki masalah tersebut. Setelah mendengar dari ZDI bahwa operator botnet Mirai mencoba mengeksploitasinya, TP-Link mengeluarkan pernyataan yang mendesak pengguna untuk menginstal firmware yang diperbarui.

Untuk perangkat yang ditautkan ke akun TP-Link Cloud, firmware diperbarui secara otomatis. Pengguna lain perlu memperbarui router sendiri.

Para peneliti ZDI menulis bahwa melihat kelemahan yang dieksploitasi begitu cepat setelah tambalan dirilis adalah contoh lain dari berkurangnya waktu antara kerentanan ditemukan dan upaya eksploitasi dimulai.

selengkapnya : theregister.com

Google Mengubah Ikon Kunci Chrome, karena Tidak Ada yang Tahu Artinya

by

Ikon baru akan menggantikannya akhir tahun ini untuk menghindari menyesatkan pengguna tentang bagaimana situs web ‘terpercaya’ saat browsing.

Pada hari Selasa, Google mengumumkan akan mengganti ikon kunci dengan ikon “tune” baru dengan rilis Chrome 117 pada bulan September sebagai bagian dari desain ulang browser bertema Material You yang lebih luas.

Google mengklaim bahwa dalam sebuah penelitian pada tahun 2021, hanya 11 persen peserta yang benar-benar memahami tujuan yang dimaksud dari ikon gembok. Ini pertama kali muncul kembali di tahun 90-an setelah Netscape memperkenalkan HTTPS, protokol yang memungkinkan pengguna mengirim data sensitif dengan aman. Dengan demikian, ikon gembok akan ditampilkan saat menelusuri situs web menggunakan HTTPS untuk memberi sinyal bahwa koneksi jaringan aman.

Sementara saat ini lebih dari 95% halaman web chrome menggunakan protokol dan itu menjadi koneksi default.

Sebelumnya, ikon kunci telah mengalami beberapa perubahan pada tahun 2016 dan 2021. Ikon ‘tune’ yang akan hadir ini tidak akan mendapatkan fitur tambahan dan akan terus menandai HTTP teks biasa (sedikit mungkin) sebagai tidak aman di semua platform.

Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google
Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google

Ikon kunci Chrome saat ini di desktop dan Android akan diganti pada waktu yang sama pada “awal September 2023”. Sementara itu, Google akan menariknya sepenuhnya dari Chrome di iOS, karena ikon kunci tidak dapat diketuk di platform tersebut.

Selengkapnya: The Verge

FBI GANGGU BURSA MATA UANG VIRTUAL YANG DIGUNAKAN UNTUK MEMFASILITASI KEGIATAN KRIMINAL

by

Pada tanggal 25 April, Kantor Lapangan FBI di Detroit, dengan bantuan dari Tim Respons Mata Uang Virtual (VCRT), Departemen Polisi Dunia Maya dan Departemen Investigasi Utama Kepolisian Nasional Ukraina, dan Kantor Kejaksaan Agung Ukraina melakukan kegiatan yang terkoordinasi dan disahkan oleh pengadilan melibatkan sembilan layanan penukaran mata uang virtual.

Nama domain yang ditawarkan oleh organisasi yang terlibat dalam konversi mata uang kripto dan memberikan bantuan kepada penjahat dunia maya disita, dan server terkait ditutup. Server berbasis A.S. yang digunakan dalam skema diambil offline oleh otoritas A.S. Sembilan domain yang disita ini, 24xbtc.com, 100btc.pro, pridechange.com, 101crypta.com, uxbtc.com, trust-exchange.org, bitcoin24.exchange, paybtc.pro, dan owl.gold menawarkan layanan pertukaran cryptocurrency anonim ke situs web pengunjung.

Pertukaran mata uang virtual yang tidak patuh, yang memiliki program anti-pencucian uang yang longgar atau mengumpulkan informasi Kenali Pelanggan Anda minimal atau tidak sama sekali, berfungsi sebagai pusat penting dalam ekosistem kejahatan dunia maya dan beroperasi dengan melanggar Judul 18 Kode Amerika Serikat, Bagian 1960 dan 1956 Banyak dari layanan ini diiklankan di forum online yang didedikasikan untuk membahas aktivitas kriminal. Dengan menyediakan layanan ini, pertukaran mata uang virtual secara sadar mendukung aktivitas kriminal klien mereka dan menjadi rekan konspirator dalam skema kriminal.

Sebagian besar aktivitas kriminal yang terjadi di bursa yang terpengaruh melibatkan aktor dunia maya yang bertanggung jawab atas ransomware, tetapi juga scammer lain, dan penjahat dunia maya. Situs web layanan menawarkan dukungan dalam bahasa Rusia dan Inggris.

Investigasi sedang berlangsung. Pengunjung situs sekarang akan menemukan spanduk penyitaan yang memberi tahu mereka bahwa nama domain telah disita oleh otoritas federal dan mengoperasikan bisnis layanan uang tanpa izin dan memfasilitasi pencucian uang adalah kejahatan federal.

selengkapnya : justice.gov

CISA Memperingatkan Bug Kritis Dalam Sistem Pengurutan DNA Illumina

by

Badan Keamanan Infrastruktur Cybersecurity A.S. (CISA) dan FDA telah mengeluarkan peringatan darurat tentang dua kerentanan yang mempengaruhi Layanan Salinan Universal (UCS) Illumina, yang digunakan untuk pengurutan DNA di fasilitas medis dan laboratorium di seluruh dunia.

Kerentanan tersebut memungkinkan aktor jahat yang tidak diautentikasi dapat mengunggah dan mengeksekusi kode secara remote di tingkat sistem operasi, membuat penyerang dapat mengubah pengaturan, konfigurasi, perangkat lunak, atau mengakses data sensitif pada produk yang terpengaruh.

Illumina merupakan perusahaan teknologi medis di California yang mengembangkan dan memproduksi bioanalisis canggih dan mesin pengurutan DNA.

Penasehat oleh FDA mengatakan bahwa pada 5 April, Illumina mengirimkan pemberitahuan pada pelanggan yang terkena dampak, menginstruksikan mereka untuk mencari tanda-tanda potensi eksploitasi kerentanan.

Kerentanan pertama yaitu CVE-2023-1968 (skor CVSS v3: 10.0, “kritis”), memungkinkan penyerang jarak jauh mengikat ke alamat IP yang terbuka, memungkinkan penyerang yang tidak diautentikasi untuk mendengarkan semua lalu lintas jaringan untuk menemukan host yang lebih rentan di jaringan.

Sementara kerentanan kedua adalah CVE-2023-1966 (skor CVSS v3: 7.4, “tinggi”), merupakan kesalahan konfigurasi keamanan yang memungkinkan pengguna UCS untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

Beberapa produk Illumina yang terdampak membuatnya menerbitkan saran mengenai langkah apa yang harus diambil dalam setiap kasus. CISA turut merekomendasikan pengguna agar meminimalkan paparan sistem kontrol ke internet, menggunakan firewall, dan VPN saat diperlukan akses jarak jauh.

Selengkapnya: BleepingComputer

Mengamankan lingkungan multi-cloud adalah salah satu tantangan utama DoD. Inilah cara mereka bisa berhasil

by

Saat Departemen Pertahanan mengumumkan kontrak Joint Warfighting Cloud Capability pada bulan Desember, ini merupakan langkah besar dalam perjalanan multi-cloud DoD. Dengan menerapkan tata kelola multi-cloud, yang berpusat pada keamanan, DoD memiliki peluang untuk menyelaraskan adopsi multi-cloud ini dengan strategi tanpa kepercayaan. Strategi tersebut sangat eksplisit tentang hasil yang dicari untuk mengamankan lingkungan dan memberikan metrik untuk menentukan keberhasilan – misalnya, dapatkah DoD mengidentifikasi dan melacak individu yang sama di beberapa lingkungan? Ini juga memberikan fleksibilitas, memberi DoD kemampuan untuk mencoba berbagai pendekatan untuk mencapai hasil yang diinginkan, dan memilih opsi terbaik.

“Meskipun ada manfaat operasional bagi DoD yang memanfaatkan berbagai lingkungan penyedia layanan cloud dan semua kemampuan keamanan asli yang ada, memiliki kemampuan keamanan yang dapat memperluas dan menutupi celah di lingkungan CSP tertentu akan memberi mereka pandangan holistik di seluruh sistem mereka,” kata Steve Faehl, kepala petugas teknologi keamanan untuk Microsoft Federal. “Kemampuan keamanan Azure juga dapat membantu mempertahankan cloud lain, di mana kita dapat melihat DoD menghasilkan efisiensi dan skala ekonomis yang signifikan: memiliki gambaran operasional yang sama dengan memanfaatkan komponen Azure yang terbentang secara menyeluruh.”

Untuk lebih mengamankan jaringan dan sistem DoD, dan mencapai tujuan dari strategi tanpa kepercayaannya, analis dan pembela dunia maya DoD akan membutuhkan visibilitas di seluruh lanskap cloud, daripada harus beralih di antara instance yang terpisah. DoD membutuhkan gambaran umum tentang identitas pengguna, cara umum untuk menempatkan kebijakan dan perlindungan ke titik akhir, dan lapisan pertahanan umum.

“Kami yakin bahwa kepercayaan nol dapat diukur,” kata Jay Bhalodia, direktur kesuksesan pelanggan di divisi keamanan Microsoft Federal. “Dengan memulai dengan lapisan umum untuk dapat melihat segalanya, Anda kemudian dapat menambahkan kebijakan dan tata kelola tersebut. Dan harus ada perubahan terukur dalam lingkungan yang mencerminkan hal itu. Jika Anda menangkap telemetri terlebih dahulu, dan memahami apa titik awal Anda, Anda memiliki kemampuan untuk mengukur kematangan lingkungan relatif tersebut, dan mengetahui di mana Anda perlu menghilangkan risiko atau mengatasi masalah tertentu. Pengukuran dimulai dengan visibilitas.”

Tapi ini bukan hanya tentang kemampuan itu sendiri; Analis dan pembela DoD harus dididik tentang cara mengoperasikan kemampuan ini juga. Mereka memerlukan pelatihan untuk mempelajari cara kerja alat, dan cara memahami dasbor dan visibilitas di berbagai solusi cloud. Mereka juga memerlukan pelatihan tentang cara menerapkan pengetahuan itu ke dalam konteks organisasi untuk mencapai tujuan dan hasil spesifik yang dicari DoD. Microsoft telah berinvestasi dalam keterlibatan khusus hasil DOD untuk jalur implementasi yang lebih cepat dan program pelatihan langsung untuk mendukung pengembangan kemampuan bagi karyawan DoD dan Federal.

sekengkapnya : federalnewsnetwork.com