Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

APT34 Menargetkan Pemerintah Yordania Menggunakan Backdoor Baru Saitama

by

Pada tanggal 26 April, kami mengidentifikasi email mencurigakan yang menargetkan pejabat pemerintah dari kementerian luar negeri Yordania. Email tersebut berisi dokumen Excel berbahaya yang menjatuhkan pintu belakang baru bernama Saitama. Setelah penyelidikan kami, kami dapat menghubungkan serangan ini dengan Aktor Iran yang dikenal APT34.

Juga dikenal sebagai OilRig/COBALT GYPSY/IRN2/HELIX KITTEN, APT34 adalah kelompok ancaman Iran yang menargetkan negara-negara Timur Tengah dan korban di seluruh dunia setidaknya sejak 2014. Kelompok ini diketahui fokus pada keuangan, pemerintahan, energi, kimia, dan sektor telekomunikasi.

Dalam posting blog ini, kami menjelaskan alur serangan dan membagikan detail tentang pintu belakang Saitama.

File email berbahaya

Email jahat tersebut dikirim ke korban melalui akun Microsoft Outlook dengan subjek “Confirmation Receive Document” dengan file Excel bernama “Confirmation Receive Document.xls”. Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan lambangnya sebagai tanda tangan.

Selengkapnya: MalwareBytes

AS Mempertimbangkan Sanksi yang Belum Pernah Terjadi Sebelumnya pada Raksasa Teknologi China Hikvision

by

Saham Hangzhou Hikvision Digital Technology Co. anjlok 10% karena AS mempertimbangkan untuk menjatuhkan sanksi baru pada raksasa teknologi pengawasan, yang berpotensi sebagai tindakan paling keras sejauh ini terhadap perusahaan besar China.

Pemerintahan Biden sedang mempertimbangkan apakah akan menambahkan pembuat kamera dan sistem pengawasan ke dalam Daftar Warga Negara yang Ditunjuk dan Orang yang Diblokir, menurut orang-orang yang mengetahui situasi tersebut. Sanksi tersebut akan terkait dengan dugaan pelanggaran hak asasi manusia oleh China terhadap minoritas Muslim di wilayah barat jauh Xinjiang. Keputusan akhir tidak mungkin bulan ini, kata salah satu orang, yang menolak disebutkan namanya karena keputusan belum final.

Hikvision sudah masuk daftar hitam oleh AS pada tahun 2019 bersama dengan tujuh raksasa teknologi China lainnya, membuatnya lebih sulit untuk melakukan bisnis dengan perusahaan-perusahaan Amerika. Tetapi sanksi yang lebih berat yang sedang dipertimbangkan tidak hanya akan menghalangi orang Amerika melakukan bisnis dengan perusahaan itu, tetapi juga membuat pelanggan globalnya menjadi sasaran potensial tindakan AS.

“Tampaknya terbatas pada Hikvision untuk saat ini, tetapi ini menciptakan ketidakpastian baru karena di masa depan, perusahaan China yang sukses dapat ditargetkan dengan cara ini,” kata Wai Ho Leong, ahli strategi di Modular Asset Management SP Pte.

Sanksi baru yang lebih keras akan membawa perang ekonomi pemerintahan Biden melawan China ke arah yang baru: ini akan menjadi pertama kalinya sebuah perusahaan teknologi China ditambahkan dalam daftar SDN. Ini merupakan pukulan jangka panjang yang berpotensi berat terhadap Hikvision, karena perusahaan dan pemerintah di seluruh dunia akan dipaksa untuk mempertimbangkan kembali hubungan mereka dengan penyedia kamera.

Sumber: Bloomberg

Cina Tidak Bahagia: Badan Intelijen Korea Selatan Telah Bergabung dengan Unit Pertahanan Siber NATO

by

Pada hari Kamis, agen mata-mata Korea Selatan menjadi yang pertama di Asia yang bergabung dengan Grup Pertahanan Siber NATO dalam sebuah langkah yang berisiko mengobarkan ketegangan dengan negara adidaya regional China.

Dalam sebuah pernyataan, Badan Intelijen Nasional Korea Selatan (NIS) mengatakan telah diterima sebagai peserta yang berkontribusi untuk NATO Cooperative Cyber ​​Defense Center of Excellence (CCDCOE), pusat pertahanan cyber yang didirikan pada Mei 2008 di Tallinn, Estonia, yang berfokus pada penelitian, pelatihan, dan latihan di bidang keamanan siber.

“Ancaman siber menyebabkan kerusakan besar tidak hanya pada individu tetapi juga lintas negara, sehingga kerja sama internasional yang erat sangat penting,” kata NIS.

Sebagai tanggapan, Hu Xijin, editor lantang corong Partai Komunis China The Global Times, mentweet bahwa langkah itu merupakan penghinaan terhadap Beijing dan bahkan meletakkan dasar untuk perang di Asia. “Jika Korea Selatan mengambil jalan untuk memusuhi tetangganya, akhir dari jalan ini adalah Ukraina,” tulisnya.

Dengan latar belakang invasi Rusia ke Ukraina, masuknya Korea Selatan ke kelompok itu tampaknya mencerminkan tekad yang keras di antara sekutu AS dalam menanggapi meningkatnya ancaman dari Moskow dan Beijing, yang telah mendukung petualangan Vladimir Putin.

Apakah NATO dimotivasi oleh peristiwa di Ukraina untuk akhirnya menandatangani keanggotaan Korea Selatan tidak jelas. NIS mengajukan permohonannya untuk bergabung dengan grup pada tahun 2019 dan telah berpartisipasi dalam dua Locked Shields terbaru, latihan pertahanan siber internasional terbesar di dunia. CCDCOE sekarang memiliki 27 negara anggota NATO dan lima peserta non-NATO yang berkontribusi.

Prof. Sean O’Malley, seorang ilmuwan politik di Universitas Dongseo di Busan, mengatakan keanggotaan Korea Selatan adalah “puncak dari evolusi yang sangat lambat selama dekade terakhir untuk membuat keamanan siber diakui sebagai ancaman yang sangat serius.”

Meskipun menjadi tuan rumah bagi beberapa perusahaan teknologi top dunia, seperti LG dan Samsung, Korea Selatan telah menjadi negara yang lambat dalam menangani kejahatan dunia maya dan baru meluncurkan Strategi Keamanan Siber Nasional di bawah pemerintahan Moon Jae-in pada tahun 2018.

Korea Selatan menjadi target utama serangan siber yang semakin sering dari seluruh DMZ. Sebuah regu crack yang terdiri dari 6.800 agen Korea Utara terlibat dalam penipuan, pemerasan, dan perjudian online yang bersama-sama menghasilkan sekitar $860 juta per tahun, menurut Institut Demokrasi Liberal Korea di Seoul. Banyak serangan berasal dari dalam China.

Dan apakah dimotivasi oleh dukungan Beijing terhadap Rusia atau tidak, langkah itu tentu saja membawa sekutu AS lebih dekat.

Sumber MSN

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Google Merilis Pembaruan Keamanan untuk Chrome

by

Google mengumumkan pembaruan keamanan pada situs resminya dihari rabu, 11 mei. Versi baru Chrome ini adalah 101.0.4951.64 dan tersedia untuk Windows, Mac dan Linux yang akan diluncurkan dalam beberapa hari/minggu mendatang.

Pembaruan ini mencakup 13 perbaikan keamanan, 8 diantaranya dinilai sebagai tingkat “tinggi” yang merupakan kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh.

[$5000][1316990] CVE-2022-1633 Tinggi: Gunakan setelah gratis di Sharesheet. Dilaporkan oleh Khalil Zhani pada 2022-04-18

[$3000][1314908] CVE-2022-1634 Tinggi: Gunakan setelah gratis di UI Browser. Dilaporkan oleh Khalil Zhani pada 2022-04-09

[$3000][1319797] CVE-2022-1635 Tinggi: Gunakan setelah gratis di Permintaan Izin. Dilaporkan oleh Anonymous pada 2022-04-26

[$NA][1297283] CVE-2022-1636 Tinggi: Gunakan setelah gratis di Performance API. Dilaporkan oleh Seth Brenith, Microsoft pada 2022-02-15

[$TBD][1311820] CVE-2022-1637 Tinggi: Implementasi yang tidak tepat dalam Konten Web. Dilaporkan oleh Alesandro Ortiz pada 2022-03-31

[$TBD][1316946] CVE-2022-1638 Tinggi: Heap buffer overflow di Internasionalisasi V8. Dilaporkan oleh DoHyun Lee (@l33d0hyun) dari DNSLab, Universitas Korea pada 2022-04-17

[$TBD][1317650] CVE-2022-1639 Tinggi: Gunakan setelah gratis di ANGLE. Dilaporkan oleh SeongHwan Park (SeHwa) pada 2022-04-19

[$TBD][1320592] CVE-2022-1640 Tinggi: Gunakan setelah gratis di Berbagi. Dilaporkan oleh Weipeng Jiang (@Krace) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-28

[$5000][1305068] Medium CVE-2022-1641: Gunakan setelah gratis di Diagnostik UI Web. Dilaporkan oleh Rong Jian dari VRI pada 2022-03-10

[1323855] Berbagai perbaikan dari audit internal, fuzzing, dan inisiatif lainnya

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Google Chrome releases

Apple, Google, dan Microsoft Akan Segera Menerapkan Masuk Tanpa Kata Sandi di Semua Platform Utama

by

Pada tanggal 5 Mei — Hari Kata Sandi Sedunia — kita mungkin telah selangkah lebih dekat dengan kata sandi yang sudah ketinggalan zaman.

Dalam upaya bersama, raksasa teknologi Apple, Google, dan Microsoft mengumumkan Kamis pagi bahwa mereka telah berkomitmen untuk membangun dukungan untuk masuk tanpa kata sandi di semua platform seluler, desktop, dan browser yang mereka kendalikan di tahun mendatang. Secara efektif, ini berarti bahwa otentikasi tanpa kata sandi akan datang ke semua platform perangkat utama dalam waktu yang tidak terlalu lama: sistem operasi seluler Android dan iOS; Browser Chrome, Edge, dan Safari; dan lingkungan desktop Windows dan macOS.

“Sama seperti kami mendesain produk kami agar intuitif dan mampu, kami juga mendesainnya untuk menjadi pribadi dan aman,” kata Kurt Knight, direktur senior pemasaran produk platform di Apple. “Bekerja dengan industri untuk membangun metode masuk baru yang lebih aman yang menawarkan perlindungan yang lebih baik dan menghilangkan kerentanan kata sandi adalah inti dari komitmen kami untuk membangun produk yang menawarkan keamanan maksimum dan pengalaman pengguna yang transparan — semua dengan tujuan menjaga pengguna ‘ informasi pribadi aman.”

Proses masuk tanpa kata sandi akan memungkinkan pengguna memilih ponsel mereka sebagai perangkat otentikasi utama untuk aplikasi, situs web, dan layanan digital lainnya, seperti yang dirinci Google dalam posting blog yang diterbitkan Kamis. Membuka kunci ponsel dengan apa pun yang ditetapkan sebagai tindakan default — memasukkan PIN, menggambar pola, atau menggunakan buka kunci sidik jari — akan cukup untuk masuk ke layanan web tanpa perlu memasukkan kata sandi, yang dimungkinkan melalui penggunaan token kriptografi unik yang disebut kunci sandi yang dibagikan antara ponsel dan situs web.

Dengan membuat login bergantung pada perangkat fisik, idenya adalah bahwa pengguna secara bersamaan akan mendapatkan keuntungan dari kesederhanaan dan keamanan. Tanpa kata sandi, tidak ada kewajiban untuk mengingat detail login di seluruh layanan atau membahayakan keamanan dengan menggunakan kembali kata sandi yang sama di banyak tempat. Sama halnya, sistem tanpa kata sandi akan mempersulit peretas untuk mengkompromikan detail login dari jarak jauh karena proses masuk memerlukan akses ke perangkat fisik; dan, secara teoritis, serangan phishing di mana pengguna diarahkan ke situs web palsu untuk menangkap kata sandi akan jauh lebih sulit untuk dipasang.

Vasu Jakkal, wakil presiden Microsoft untuk keamanan, kepatuhan, identitas, dan privasi, menekankan tingkat kompatibilitas di seluruh platform. “Dengan kunci sandi di perangkat seluler Anda, Anda dapat masuk ke aplikasi atau layanan di hampir semua perangkat, terlepas dari platform atau browser yang digunakan perangkat tersebut,” kata Jakkal dalam pernyataan melalui email. “Misalnya, pengguna dapat masuk ke browser Google Chrome yang berjalan di Microsoft Windows—menggunakan kunci sandi di perangkat Apple.”

Fungsionalitas lintas platform dimungkinkan oleh standar yang disebut FIDO, yang menggunakan prinsip-prinsip kriptografi kunci publik untuk mengaktifkan otentikasi tanpa kata sandi dan otentikasi multi-faktor dalam berbagai konteks. Ponsel pengguna dapat menyimpan kunci sandi unik yang sesuai dengan FIDO dan akan membagikannya dengan situs web untuk autentikasi hanya saat ponsel tidak terkunci. Per pos Google, kunci sandi juga dapat dengan mudah disinkronkan ke perangkat baru dari cadangan cloud jika ponsel hilang.

Sejauh ini, Apple, Google, dan Microsoft semuanya mengatakan bahwa mereka mengharapkan kemampuan masuk baru tersedia di seluruh platform di tahun depan, meskipun peta jalan yang lebih spesifik belum diumumkan. Meskipun plot untuk membunuh kata sandi telah berlangsung selama bertahun-tahun, ada tanda-tanda bahwa kali ini mungkin akhirnya berhasil.

Sumber: The Verge

Antivirus Trend Micro Memodifikasi Registri Windows Secara Tidak Sengaja — Bagaimana Memperbaikinya?

by

Antivirus Trend Micro telah memperbaiki kesalahan positif yang memengaruhi solusi keamanan sistem Apex One-nya yang menyebabkan pembaruan Microsoft Edge ditandai sebagai malware dan registri Windows dimodifikasi secara tidak benar.

Menurut ratusan laporan pelanggan yang mulai streaming pada awal minggu ini di forum perusahaan dan di jejaring sosial, paket pembaruan yang terpengaruh positif palsu disimpan di folder instalasi Microsoft Edge.

Seperti yang diungkapkan lebih lanjut oleh pengguna, Trend Micro Apex One menandai pembaruan browser sebagai Virus/Malware: TROJ_FRS.VSNTE222 dan Virus/Malware: TSC_GENCLEAN.

Perbaikan yang disediakan oleh Trend Micro untuk kesalahan positif dapat dengan mudah diterapkan dengan memperbarui Apex One. Sementara itu beberapa pelanggan juga melaporkan bahwa masalah ini juga menyebabkan entri registri Windows diubah setelah agent Damage Cleanup dijalankan.

“Dilaporkan bahwa beberapa pelanggan mengamati beberapa perubahan registri sebagai hasil dari deteksi tergantung pada pengaturan konfigurasi pembersihan titik akhir mereka,” tambah Trend Micro.

Ini mengharuskan pengguna yang terpengaruh untuk memulihkan backup yang dibuat oleh agen Apex One melalui prosedur yang akan membantu mengembalikan perubahan yang dibuat oleh Damage Cleanup.

Perusahaan juga membagikan skrip yang akan membantu admin sistem untuk mengotomatiskan prosedur pemulihan registri dengan bantuan kebijakan grup atau alat skrip perusahaan lainnya.
Namun, Anda harus terlebih dahulu menguji alat otomatisasi ini sebelum menjalankannya di seluruh lingkungan.

“Harap dicatat bahwa administrator yang ingin menggunakan skrip ini sebagai file batch atau melalui metode lain harus terlebih dahulu meninjau skrip dan mengujinya dengan cermat di lingkungan mereka sebelum pengembangan meluas,” Trend Micro menjelaskan.

“Pelanggan yang terus mengalami masalah disarankan untuk menghubungi perwakilan resmi Trend Micro mereka untuk bantuan lebih lanjut.”

Sumber: Bleepingcomputer

Chip PC dan Ponsel Apple Mengalami Eksploitasi Pencurian Data Pertama di Dunia

by

Sejumlah perangkat Apple yang lebih baru membawa kelemahan unik, yang mengingatkan kita pada Spectre/Meltdown, yang dapat memungkinkan pelaku ancaman untuk mencuri data sensitif, para ahli telah memperingatkan.

Sebuah tim peneliti dari University of Illinois Urbana-Champaign, Tel Aviv University, dan University of Washington, telah menemukan cacat dalam fitur unik untuk silikon Apple, yang disebut Data Memory-Dependent Prefetcher (DMP).

Cacat itu mungkin memengaruhi seluruh host silikon Apple, termasuk chip M1 dan M1 Max internalnya sendiri.

Ide di balik DMP adalah untuk meningkatkan kinerja sistem dengan mengambil data terlebih dahulu, bahkan sebelum dibutuhkan – data yang pada dasarnya tidak aktif. Biasanya, karena alasan keamanan, data akan dibatasi dan dibagi di antara berbagai kompartemen, dan hanya ditarik saat dibutuhkan.

Dengan DMP, data diambil terlebih dahulu, dan data inilah yang dapat diakses oleh pihak ketiga yang tidak berwenang, mirip dengan cacat Spectre/Meltdown. Pada Spectre/Meltdown, silikon akan mencoba untuk berspekulasi data mana yang dapat digunakan dalam waktu dekat, agak membatasi permukaan serangan. Sedangkan pada DMP Apple, seluruh isi memori bisa bocor.

Para peneliti menamakan cacat itu “Augury”. Sejauh ini, A14 System on Chip (SoC) Apple, yang ditemukan di iPad Air Generasi ke-4 dan perangkat iPhone Generasi ke-12, M1, dan M1 Max, semuanya ditemukan rentan. Meskipun mereka mencurigai silikon yang lebih tua (M1 Pro, dan M1 Ultra, misalnya) mungkin juga rentan terhadap Augury, mereka hanya berhasil menunjukkan kelemahan pada titik akhir ini.

Apple diduga “sepenuhnya menyadari” penemuan tersebut, yang dilaporkan telah didiskusikan dengan para peneliti, tetapi belum membagikan rencana mitigasi dan garis waktu patch.

Sumber: TechRadar