Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Here’s How to Find if WhatsApp Web Code on Your Browser Has Been Hacked

by

WhatsApp dan Cloudflare dari Meta Platform telah bersatu untuk inisiatif baru yang disebut Verifikasi Kode untuk memvalidasi keaslian aplikasi web layanan pesan di komputer desktop.

Tersedia dalam bentuk ekstensi browser Chrome dan Edge, add-on open-source ini dirancang untuk “secara otomatis memverifikasi keaslian kode Web WhatsApp yang disajikan ke browser Anda,” kata Facebook dalam sebuah pernyataan.

Sistem ini bekerja dengan Cloudflare yang bertindak sebagai audit pihak ketiga untuk membandingkan hash kriptografi dari kode JavaScript WhatsApp Web yang dibagikan oleh Meta dengan hash yang dihitung secara lokal dari kode yang dijalankan pada klien browser.

Verifikasi Kode juga dimaksudkan untuk fleksibel karena setiap kali kode untuk WhatsApp Web diperbarui, nilai hash kriptografik akan diperbarui secara otomatis secara bersamaan, sehingga kode yang disajikan kepada pengguna disertifikasi dengan cepat.

WhatsApp, dalam FAQ terpisah tentang fitur keamanan terbaru, menekankan bahwa “ekstensi tidak akan membaca atau mengakses pesan yang Anda kirim atau terima, dan kami tidak akan tahu apakah Anda telah mengunduh ekstensi tersebut.” Add-on juga tidak akan mencatat data, metadata, atau data pengguna apa pun, dan tidak membagikan informasi apa pun dengan WhatsApp, katanya.

“Idenya sendiri – membandingkan hash untuk mendeteksi gangguan atau bahkan file yang rusak – bukanlah hal baru, tetapi mengotomatiskannya, menyebarkannya dalam skala besar, dan memastikannya ‘berfungsi’ untuk pengguna WhatsApp,” kata Cloudflare.

Selengkapnya: The Hacker News

Anomaly Six, kontraktor rahasia Amerika mengklaim dapat memata-matai ponsel

by

Menurut Brendon Clark dari Anomaly Six – atau “A6” – kombinasi teknologi pelacakan lokasi ponselnya dengan pengawasan media sosial yang disediakan oleh Zignal Labs akan memungkinkan pemerintah AS untuk dengan mudah memata-matai pasukan Rusia saat mereka berkumpul di sepanjang perbatasan Ukraina, atau sama melacak kapal selam nuklir China. Untuk membuktikan bahwa teknologi itu bekerja, Clark mengarahkan kekuatan A6 ke dalam, memata-matai Badan Keamanan Nasional dan CIA, menggunakan ponsel mereka sendiri untuk melawan mereka.

Anomaly Six yang berbasis di Virginia didirikan pada tahun 2018 oleh dua mantan perwira intelijen militer dan mempertahankan kehadiran publik yang nyaris misterius, situs webnya tidak mengungkapkan apa pun tentang apa yang sebenarnya dilakukan perusahaan tersebut. Tetapi ada kemungkinan besar bahwa A6 tahu banyak tentang Anda.

Perusahaan ini adalah salah satu dari banyak perusahaan yang membeli banyak sekali data lokasi, melacak ratusan juta orang di seluruh dunia dengan mengeksploitasi fakta yang kurang dipahami: Aplikasi ponsel cerdas umum yang tak terhitung jumlahnya terus-menerus memanen lokasi Anda dan menyampaikannya kepada pengiklan, biasanya tanpa sepengetahuan Anda atau persetujuan berdasarkan informasi, mengandalkan pengungkapan yang terkubur dalam hukum persyaratan layanan yang luas yang tidak pernah Anda baca oleh perusahaan yang terlibat.

Setelah lokasi Anda dikirimkan ke pengiklan, saat ini tidak ada undang-undang di Amerika Serikat yang melarang penjualan dan penjualan kembali informasi tersebut kepada perusahaan seperti Anomaly Six, yang bebas menjualnya ke sektor swasta dan klien pemerintah mereka. Bagi siapa pun yang tertarik untuk melacak kehidupan sehari-hari orang lain, industri periklanan digital mengurus pekerjaan kasar hari demi hari — yang perlu dilakukan pihak ketiga hanyalah membeli akses.

Selengkapnya: The Intercept

Banyak Pembuat Perangkat Medis Melewatkan Praktik Keamanan

by

Menurut laporan yang diterbitkan minggu ini oleh Cybellum. Laporan berjudul “Medical Device Cybersecurity: Trends and Predictions,” mengumpulkan tanggapan dari 150 pembuat keputusan keamanan dan kepatuhan di industri perangkat medis di seluruh dunia.

Tindakan keamanan yang paling banyak diterapkan dalam survei Cybellum adalah menjalankan analisis kode biner (47%) dan menetapkan persyaratan keamanan selama fase desain (46%). Analisis biner dapat mengungkapkan pola kelemahan keamanan dan mengaudit elemen perangkat lunak rentan yang diketahui. Mengatasi masalah keamanan lebih awal, alias “bergeser ke kiri,” berarti pengembang dapat menemukan dan memperbaiki masalah sebelum mereka tertanam dalam dan sulit untuk diuraikan. Kabar baiknya adalah bahwa hampir setengah dari pembuat keputusan keamanan di perusahaan perangkat medis mengatakan bahwa mereka menggunakan setidaknya salah satu dari teknik tersebut; sisi sebaliknya adalah lebih dari setengahnya tidak menggunakannya.

Teknik lain yang digunakan perusahaan perangkat medis untuk mengamankan produk mereka termasuk analisis kode statis kode sumber (SAST), dilakukan oleh 41% responden; intelijen ancaman, sebesar 39%; pengujian keamanan berkelanjutan di seluruh siklus hidup perangkat, sebesar 38%; mendidik pengembang tentang pengkodean yang aman, sebesar 27%; pen-testing/fuzzing, sebesar 16%; dan pengujian keamanan aplikasi dinamis (DAST), sebesar 14%.

Laporan Cybellum mencatat bahwa “melihat data yang disegmentasi berdasarkan jenis perusahaan, SBOM lebih populer di kalangan OEM (34%), dibandingkan dengan pemasok komponen perangkat medis (20%). Tanggung jawab utama atas keselamatan dan keamanan perangkat ada di tangan pada OEM, yang dapat menjelaskan mengapa mereka menjadikannya prioritas. Tentu saja, perjalanan kedua audiens masih panjang.”

Selengkapnya: Dark Reading

Pelanggaran Dalam Angka: Mengapa Beradaptasi dengan Tantangan Regional Sangat Penting

by

Setiap tahun, Forrester memberikan Forrester Analytics Business Technographics® Security Survey, yang memberi kita wawasan tentang keadaan saat ini, tantangan, dan prioritas berwawasan ke depan dari para pembuat keputusan keamanan. Tahun ini, kami menganalisis data untuk melihat bagaimana keraguan transformasi digital, kesiapsiagaan pemulihan bencana, dan menyeimbangkan harapan dengan data mempengaruhi biaya dan efek pelanggaran. Penelitian kami, termasuk dalam laporan The 2021 State Of Enterprise Breach, mengungkapkan hal-hal berikut:

  • Enam puluh tiga persen organisasi dilanggar pada tahun lalu, 4% lebih banyak dari tahun sebelumnya. Dalam 12 bulan terakhir, organisasi menghadapi rata-rata tiga pelanggaran. Tidak mengherankan bahwa ini kurang dari tahun sebelumnya, mengingat pergeseran ke pekerjaan jarak jauh selama pandemi COVID-19. Daerah yang ragu-ragu untuk mengatasi tantangan dengan penyelarasan bisnis mengalami pelanggaran lebih tinggi daripada yang mengatasi tantangan tersebut sejak dini.
  • Perusahaan menghabiskan rata-rata 37 hari dan rata-rata $ 2,4 juta untuk menemukan dan pulih dari pelanggaran. Secara global, organisasi membutuhkan waktu rata-rata 27 hari untuk menemukan musuh dan memberantas serangan dan rata-rata 10 hari untuk pulih dari pelanggaran, dengan total 37 hari untuk menemukan dan pulih dari pelanggaran. Biaya keluar ke rata-rata global $ 2,4 juta total per pelanggaran.
  • Kekhawatiran atas jenis pelanggaran jauh dari kenyataan di lapangan. Pembuat keputusan keamanan lebih peduli tentang serangan eksternal daripada vektor serangan lainnya, sebesar 47%. Pelanggaran datang dalam berbagai cara, bagaimanapun, dan jauh lebih merata dalam frekuensi antara serangan eksternal, aset hilang / dicuri, insiden internal, dan penyedia pihak ketiga.

Apa yang harus diambil dari data ini

Temuan dalam penelitian ini jauh melampaui apa yang disebutkan di atas untuk menggali bagaimana perbedaan geografis memainkan peran besar dalam bagaimana perusahaan dipengaruhi oleh pelanggaran. Dalam laporan lengkap, kami menyelami nuansa berdasarkan wilayah dan menganalisis mengapa nuansa ini muncul. Melalui temuan kami, kami menyoroti poin-poin utama berikut untuk para profesional keamanan:

  • Masa depan tidak menunggu siapa pun. Menunda-nunda upaya transformasi digital dan prioritas TI lainnya bekerja… sampai fungsi memaksa mendesak mengubah segalanya. Sebagai profesional keamanan, Anda perlu mengadvokasi pembaruan teknologi secara internal untuk membantu organisasi menjadi lebih fleksibel, mudah beradaptasi, dan siap untuk perubahan dramatis, yang akan berlanjut ke masa mendatang.
  • Metrik berikut mengarah pada hasil yang lebih baik. Begitu konstannya pembuatan judul headline pelanggaran, tidak heran bahwa profesional keamanan paling peduli dengan serangan eksternal. Penting untuk memimpin organisasi Anda dengan data dan metrik untuk memastikan bahwa Anda tidak kelewatan serangan dari vektor lain yang lebih umum. Sesuaikan strategi Anda sesuai dengan data, bukan judul headline.
  • Beradaptasi dengan tantangan regional dalam perusahaan global sangat penting. Tidak semua wilayah dibangun sama – konflik geopolitik, peraturan, budaya, ketersediaan kepegawaian, dan peristiwa dunia lainnya sangat mempengaruhi tingkat pelanggaran dan respons tepat waktu. Strategi global Anda akan menghadapi tantangan di berbagai wilayah karena ini. Sesuaikan jadwal, strategi, dan metrik Anda untuk mengatasi batasan regional, dan tetapkan harapan yang sesuai.

Sumber: ZDNet

Hacker Menyisipkan Malware ‘More_Eggs’ ke dalam Resume Dikirim ke Manajer Perekrutan Perusahaan

by

Satu set baru serangan phishing yang memberikan malware more_eggs telah diamati menyerang manajer perekrutan perusahaan dengan resume palsu sebagai vektor infeksi, setahun setelah kandidat potensial yang mencari pekerjaan di LinkedIn terpikat dengan tawaran pekerjaan bersenjata.

“Tahun ini operasi more_eggs telah membalik skrip rekayasa sosial, menargetkan manajer perekrutan dengan resume palsu alih-alih menargetkan pencari kerja dengan tawaran pekerjaan palsu,” kata pemimpin penelitian dan pelaporan eSentire, Keegan Keplinger, dalam sebuah pernyataan.

Perusahaan cybersecurity Kanada mengatakan telah mengidentifikasi dan mengganggu empat insiden keamanan terpisah, tiga di antaranya terjadi pada akhir Maret. Entitas yang ditargetkan termasuk perusahaan kedirgantaraan yang berbasis di AS, bisnis akuntansi yang berlokasi di Inggris, sebuah firma hukum, dan agen kepegawaian, keduanya berbasis di Kanada.

Malware, yang diduga merupakan hasil karya aktor ancaman yang disebut Golden Chickens (alias Venom Spider), adalah suite backdoor modular yang tersembunyi yang mampu mencuri informasi berharga dan melakukan gerakan lateral di seluruh jaringan yang dikompromikan.

“More_eggs mencapai eksekusi dengan meneruskan kode berbahaya ke proses windows yang sah dan membiarkan proses windows tersebut melakukan pekerjaan untuk mereka,” kata Keplinger. Tujuannya adalah untuk memanfaatkan resume sebagai umpan untuk meluncurkan malware dan menghindari deteksi.

“Aktor ancaman di balik more_eggs menggunakan pendekatan spear-phishing yang terukur yang mempersenjatai komunikasi yang diharapkan, seperti resume, yang sesuai dengan harapan manajer perekrutan atau tawaran pekerjaan, menargetkan kandidat yang penuh harapan yang sesuai dengan jabatan mereka saat ini atau masa lalu,” kata Keplinger.

Sumber: The Hacker News

Situs TOR REvil menjadi hidup untuk dialihkan ke operasi ransomware baru

by

Server REvil ransomware di jaringan TOR dicadangkan setelah berbulan-bulan tidak aktif dan dialihkan ke operasi baru yang tampaknya telah dimulai setidaknya sejak pertengahan Desember tahun lalu.

Tidak jelas siapa yang berada di balik operasi baru yang terhubung dengan REvil tetapi situs kebocoran baru mencantumkan katalog besar korban dari serangan REvil sebelumnya ditambah dua yang baru.

Namun, beberapa hari yang lalu, peneliti keamanan pancak3 dan Soufiane Tahiri melihat situs kebocoran REvil baru sedang dipromosikan di RuTOR, sebuah forum pasar yang berfokus pada wilayah berbahasa Rusia.

Situs kebocoran memberikan rincian tentang kondisi untuk afiliasi, yang diduga mendapatkan versi perbaikan dari ransomware REvil dan pembagian 80/20 untuk afiliasi yang mengumpulkan uang tebusan.

sumber: BleepingComputer

Situs tersebut mencantumkan 26 halaman korban, kebanyakan dari serangan REvil lama, dan hanya dua yang terakhir tampaknya terkait dengan operasi baru. Salah satunya adalah Minyak India.

Peneliti keamanan MalwareHunterTeam pada bulan Januari, beberapa minggu setelah 14 tersangka anggota geng ditangkap di Rusia, mengatakan bahwa mulai pertengahan Desember tahun lalu mereka melihat aktivitas dari geng ransomware baru yang terkait dengan REvil, meskipun tidak ada hubungan yang jelas.

Peneliti kemudian mengamati situs kebocoran terkait REvil saat ini naik antara 5 April dan 10 April tetapi tanpa konten dan mulai diisi sekitar seminggu setelahnya.

Pengamatan lain dari MalwareHunterTeam adalah bahwa sumber umpan RSS menunjukkan string Corp Leaks, yang telah digunakan oleh geng ransomware Nefilim yang sekarang sudah tidak berfungsi [1, 2].

sumber: BleepingComputer

Blog dan situs pembayaran aktif dan berjalan di server yang berbeda. Melihat yang pertama, blog operasi ransomware baru menjatuhkan cookie bernama DEADBEEF, istilah komputer yang digunakan sebagai penanda file oleh geng ransomware TeslaCrypt.

source: BleepingComputer

Koneksi ke pelaku ancaman ransomware tidak dimungkinkan saat ini karena sampel muatan berbasis REvil baru harus dianalisis dan siapa pun yang berada di balik situs kebocoran baru belum mengklaim nama atau afiliasi apa pun.

Saat berada di bawah kendali FBI pada November 2021, kebocoran data dan situs pembayaran REvil menunjukkan halaman berjudul “REvil buruk” dan formulir login, awalnya melalui gateway TOR dan di lokasi .Onion.

sumber: Lawrence Abrams

Misteri pengalihan, baik baru-baru ini dan dari tahun lalu, semakin dalam, karena ini menunjukkan bahwa seseorang selain penegak hukum, memiliki akses ke kunci pribadi TOR yang memungkinkan mereka membuat perubahan untuk situs .Onion.

Di forum peretas berbahasa Rusia yang populer, pengguna berspekulasi antara operasi baru sebagai scam, honeypot, atau kelanjutan resmi dari bisnis REvil lama yang kehilangan reputasinya dan memiliki banyak hal yang harus dilakukan untuk mendapatkannya kembali.

Ransomware REvil memiliki jangka panjang yang dimulai pada April 2019 sebagai kelanjutan dari operasi GandCrab, yang pertama kali membentuk model ransomware-as-a-service (RaaS).

Pada Agustus 2019 geng itu menyerang beberapa administrasi lokal di Texas dan menuntut tebusan kolektif sebesar $2,5 juta – tertinggi pada waktu itu.

Kelompok ini bertanggung jawab atas serangan rantai pasokan Kaseya yang mempengaruhi sekitar 1.500 bisnis dan juga menyebabkan kehancuran mereka tahun lalu ketika penegak hukum di seluruh dunia mengintensifkan kolaborasi mereka untuk menjatuhkan geng tersebut.

Pada pertengahan Januari, Rusia mengumumkan bahwa mereka menutup REvil setelah mengidentifikasi semua anggota geng dan menangkap 14 orang.

Dalam sebuah wawancara dengan Rossiyskaya Gazeta, Wakil Sekretaris Dewan Keamanan Federasi Rusia, Oleg Khramov, mengatakan bahwa lembaga penegak hukum Rusia memulai penyelidikannya terhadap REvil dari nama Puzyrevsky dan alamat IP yang dikirimkan oleh Amerika Serikat sebagai milik peretas utama grup.

Sumber : Bleeping Computer

Server Microsoft Exchange diretas untuk menyebarkan ransomware Hive

by

Afiliasi ransomware Hive telah menargetkan server Microsoft Exchange yang rentan terhadap masalah keamanan ProxyShell untuk menyebarkan berbagai pintu belakang, termasuk suar Cobalt Strike.

Dari sana, pelaku ancaman melakukan pengintaian jaringan, mencuri kredensial akun admin, mengekstrak data berharga, dan akhirnya menyebarkan muatan enkripsi file.

ProxyShell adalah kumpulan tiga kerentanan di Microsoft Exchange Server yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi pada penyebaran yang rentan. Cacat telah digunakan oleh beberapa pelaku ancaman, termasuk ransomware seperti Conti, BlackByte, Babuk, Kuba, dan LockFile, setelah eksploitasi tersedia.

Cacat dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31297, dan peringkat keparahannya berkisar dari 7,2 (tinggi) hingga 9,8 (kritis).

Kerentanan keamanan dianggap sepenuhnya ditambal pada Mei 2021, tetapi detail teknis ekstensif tentang mereka hanya tersedia pada Agustus 2021, dan segera setelah itu, eksploitasi berbahaya dimulai [1, 2].

Fakta bahwa afiliasi Hive berhasil mengeksploitasi ProxyShell dalam serangan baru-baru ini menunjukkan bahwa masih ada ruang untuk menargetkan server yang rentan.

Setelah eksploitasi ProxyShell, para peretas menanam empat web shell di direktori Exchange yang dapat diakses, dan mengeksekusi kode PowerShell dengan hak istimewa tinggi untuk mengunduh stager Cobalt Strike.

Shell web yang digunakan dalam serangan khusus ini bersumber dari repositori Git publik dan hanya diganti namanya untuk menghindari deteksi selama kemungkinan inspeksi manual.

Web shell dengan nama acak (Varonis)

Dari sana, penyusup menggunakan Mimikatz, pencuri kredensial, untuk mengambil kata sandi akun admin domain dan melakukan gerakan lateral, mengakses lebih banyak aset di jaringan.

Meluncurkan prompt perintah baru pada sistem yang terpengaruh (Varonis)

Selanjutnya, pelaku ancaman melakukan operasi pencarian file ekstensif untuk menemukan data paling berharga untuk menekan korban agar membayar uang tebusan yang lebih besar.

Analis Varonis telah melihat sisa-sisa pemindai jaringan yang hilang, daftar alamat IP, enumerasi perangkat dan direktori, RDP ke server cadangan, pemindaian database SQL, dan banyak lagi.

Salah satu kasus penting penyalahgunaan perangkat lunak pemindaian jaringan adalah “SoftPerfect”, alat ringan yang digunakan aktor ancaman untuk menghitung host langsung dengan melakukan ping ke mereka dan menyimpan hasilnya pada file teks.

Akhirnya, dan setelah semua file dieksfiltrasi, muatan ransomware bernama “Windows.exe” dijatuhkan dan dijalankan di banyak perangkat.

Sebelum mengenkripsi file organisasi, muatan Golang menghapus salinan bayangan, menonaktifkan Windows Defender, menghapus log peristiwa Windows, menghentikan proses pengikatan file, dan menghentikan Manajer Akun Keamanan untuk menonaktifkan peringatan.

Perintah yang dijalankan oleh muatan akhir (Varonis)

Hive telah berjalan jauh sejak pertama kali diamati di alam liar pada Juni 2021, memiliki awal yang sukses yang mendorong FBI untuk merilis laporan khusus tentang taktik dan indikator komprominya.

Pada Oktober 2021, geng Hive menambahkan varian Linux dan FreeBSD, dan pada Desember menjadi salah satu operasi ransomware paling aktif dalam frekuensi serangan.

Sumber : Bleeping Computer

Okta: Pelanggaran Lapsus$ hanya berlangsung 25 menit, mengenai 2 pelanggan

by

Perusahaan manajemen identitas dan akses Okta mengatakan penyelidikan atas pelanggaran Lapsus$ Januari menyimpulkan dampak insiden itu secara signifikan lebih kecil dari yang diperkirakan.

Berdasarkan laporan forensik akhir, Chief Security Officer Okta David Bradbury mengatakan penyerang hanya mengakses dua penyewa pelanggan aktif setelah menguasai satu stasiun kerja yang digunakan oleh seorang insinyur yang bekerja untuk Sitel, penyedia layanan dukungan pelanggan pihak ketiga di pusat kecelakaan.

Dampak terbatas yang tak terduga ini berasal dari jendela waktu yang sempit hanya 25 menit berturut-turut yang dikendalikan oleh aktor ancaman atas workstation yang disusupi pada 21 Januari 2022.

“Selama jangka waktu terbatas itu, pelaku ancaman mengakses dua penyewa pelanggan aktif dalam aplikasi SuperUser (yang telah kami beri tahu secara terpisah), dan melihat informasi tambahan terbatas di aplikasi tertentu lainnya seperti Slack dan Jira yang tidak dapat digunakan untuk melakukan tindakan di Okta penyewa pelanggan,” jelas Bradbury, Selasa.

“Aktor ancaman tidak berhasil melakukan perubahan konfigurasi apa pun, pengaturan ulang MFA atau kata sandi, atau peristiwa ‘peniruan identitas’ dukungan pelanggan.”

CSO Okta menambahkan bahwa perusahaan akan memastikan bahwa penyedia layanannya mematuhi persyaratan keamanan baru, termasuk mengadopsi arsitektur keamanan Zero Trust dan mengautentikasi melalui solusi IDAM Okta untuk semua aplikasi tempat kerja.

Okta juga mengakhiri hubungannya dengan Sitel dan sekarang secara langsung mengelola semua perangkat pihak ketiga dengan akses ke alat dukungan pelanggannya.

Okta mengaku bulan lalu melakukan kesalahan dengan menunda pengungkapan pelanggaran Januari dari kelompok pemerasan data Lapsus$, kesalahan yang disebabkan oleh perusahaan yang tidak mengetahui sejauh mana insiden itu dan dampaknya terhadap pelanggan.

Seperti dilansir BleepingComputer, Okta mulai menyelidiki klaim peretasan setelah Lapsus$ membagikan tangkapan layar di saluran Telegram yang menyiratkan bahwa mereka telah melanggar jaringan pelanggan Okta.

Awalnya, Okta mengatakan bahwa peretas Lapsus$ memperoleh akses Remote Desktop (RDP) ke laptop teknisi dukungan Situs melalui “jendela lima hari” antara 16 Januari dan 21 Januari.

Sitel kemudian menyalahkan pelanggaran pada infrastruktur “warisan” di Sykes yang baru diakuisisi, yang berkontribusi pada insiden itu dan memungkinkan penyerang mengakses sistem insinyur

Sehari setelah itu diungkapkan, CEO Okta Todd McKinnon melabeli brach sebagai “upaya” untuk mengkompromikan akun seorang insinyur dukungan tunggal. Namun, Okta kemudian mengatakan bahwa 366 pelanggannya terkena dampak insiden tersebut.

Okta adalah perusahaan publik yang bernilai lebih dari $6 miliar dan mempekerjakan lebih dari 5.000 orang di seluruh dunia yang menyediakan layanan manajemen identitas dan otentikasi ke lebih dari 15.000 organisasi di seluruh dunia.

Sumber : Bleeping Computer