Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

by

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

by

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

Pemerintah Inggris membagikan 585 juta kata sandi dengan Have I Been Pwned

by

Badan Kejahatan Nasional Inggris telah menyumbangkan lebih dari 585 juta kata sandi ke layanan Have I Been Pwned yang memungkinkan pengguna memeriksa apakah informasi login mereka telah bocor secara online.

Sama seperti kata sandi yang berasal dari FBI, kumpulan besar password ini telah ditambahkan ke data Kata Sandi Pwned yang dapat dicari jika kata sandi telah disusupi.

Pengumpulan kata sandi NCA berasal dari Unit Kejahatan Siber Nasional (NCCU), yang dikumpulkan selama investigasi insiden keamanan siber.

Troy Hunt, pencipta layanan Have I Been Pwned (HIBP), hari ini mengumumkan bahwa setelah mengimpor dan menguraikan data dari NCA, satu set 225.665.425 kata sandi ditemukan benar-benar baru.

Proyek Kata Sandi Pwned HIBP memungkinkan lembaga penegak hukum di banyak negara menambahkan kata sandi yang ditemukan selama penyelidikan. Dengan demikian, layanan lain yang menggunakan Pwned Passwords API dapat melindungi penggunanya dari serangan pengambilalihan akun.

NCA memberi tahu Hunt bahwa sumber kata sandi adalah lokasi penyimpanan cloud milik perusahaan Inggris yang digunakan aktor tak dikenal untuk menyimpan data login yang disusupi.

Para penyelidik menyadari bahwa kredensial berasal dari beberapa pelanggaran data dan bahwa pihak ketiga dapat mengaksesnya “untuk melakukan penipuan lebih lanjut atau pelanggaran dunia maya.”

Selengkapnya: Bleeping Computer

Kerentanan Log4j sekarang digunakan untuk menginstal malware perbankan Dridex

by

Pelaku ancaman sekarang mengeksploitasi kerentanan penting Apache Log4j bernama Log4Shell untuk menginfeksi perangkat yang rentan dengan trojan perbankan Dridex atau Meterpreter yang terkenal jahat.

Malware Dridex adalah trojan perbankan yang awalnya dikembangkan untuk mencuri kredensial perbankan online dari para korban. Namun, seiring waktu, malware telah berkembang menjadi pemuat yang mengunduh berbagai modul yang dapat digunakan untuk melakukan berbagai perilaku jahat, seperti memasang muatan tambahan, menyebar ke perangkat lain, mengambil tangkapan layar, dan banyak lagi.

Kemarin, kelompok riset keamanan siber Cryptolaemus memperingatkan bahwa kerentanan Log4j sekarang dieksploitasi untuk menginfeksi perangkat Windows dengan Trojan Dridex dan perangkat Linux dengan Meterpreter.

Anggota Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa pelaku ancaman menggunakan varian eksploitasi Log4j RMI (Remote Method Invocation) untuk memaksa perangkat yang rentan memuat dan mengeksekusi Java class dari server jarak jauh yang dikendalikan penyerang.

Saat dijalankan, Java class pertama-tama akan mencoba mengunduh dan meluncurkan file HTA dari berbagai URL, yang akan menginstal trojan Dridex.

Jika tidak dapat menjalankan perintah Windows, itu akan menganggap perangkat menjalankan Linux/Unix dan mengunduh dan menjalankan skrip Python untuk menginstal Meterpreter.

Menjalankan Meterpreter pada Linux akan memberi pelaku ancaman shell jarak jauh yang dapat mereka gunakan untuk menyebarkan muatan lebih lanjut atau menjalankan perintah.

Dengan Log4j dieksploitasi oleh pelaku ancaman untuk menginstal berbagai malware, tidak mengherankan bahwa operasi malware yang lebih aktif akan mulai menargetkan kerentanan.

Oleh karena itu, sangat disarankan agar semua organisasi memindai aplikasi rentan yang menggunakan Log4j dan memperbaruinya ke versi terbaru.

Ini termasuk memperbarui Log4j ke versi terbaru, versi 2.17, dirilis Sabtu ini untuk memperbaiki kerentanan penolakan layanan baru.

Selengkapnya: Bleeping Computer

Serangan phishing menyamar sebagai Pfizer dalam permintaan penawaran palsu

by

Pelaku ancaman sedang melakukan kampanye phishing yang sangat bertarget yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan keuangan dari korban.

Pfizer adalah perusahaan farmasi terkenal yang memproduksi salah satu vaksin mRNA yang saat ini tersedia untuk melawan COVID-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek Pfizer, karena peluang keberhasilan mereka meningkat secara dramatis dibandingkan dengan meniru entitas fiksi.

Dalam laporan baru INKY, para peneliti menjelaskan bahwa pelaku ancaman meniru Pfizer dalam kampanye email phishing yang dimulai sekitar 15 Agustus 2021.

Pelaku di balik kampanye ini rajin dalam operasi phishing mereka, menggabungkan lampiran PDF “bersih” dengan domain baru terdaftar yang muncul sebagai online space resmi Pfizer.

Kemudian, mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati solusi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor untuk tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah:

  • pfizer-nl[.]com
  • pfizer-bv[.]org
  • pfizerhtlinc[.]xyz
  • pfizertenders[.]xyz

Baris subjek biasanya melibatkan kutipan mendesak, undangan untuk menawar, dan topik terkait pasokan peralatan industri.

Sementara tujuan yang sebenernya dari kampanye ini kurang jelas, fakta bahwa persyaratan pembayaran termasuk dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta penerima untuk membagikan rincian perbankan mereka.

Jika informasi pembayaran diberikan, itu dapat digunakan oleh penyerang dalam kampanye BEC di masa mendatang yang dapat digunakan terhadap pelanggan perusahaan yang ditargetkan.

Selengkapnya: Bleeping Computer

Mengapa Kamu Harus Menghapus Cookie, Cache Di Browser Ponsel Android Kamu

by

Aplikasi browser web ponsel Android kamu mungkin diisi dengan data yang terkumpul setiap hari saat kamu menjelajah internet. Data ini memiliki beberapa fungsi yang berbeda, biasanya mengisi cache dan cookie browser web kamu. Ini dapat membantu meningkatkan seberapa cepat browser mu memuat dengan menyimpan aset dari situs web yang sering kamu kunjungi serta menyimpan preferensi, seperti membiarkan kamu tetap login ke situs web tertentu.

Tapi, cookie juga dapat digunakan oleh situs web untuk melacak riwayat penjelajahan kamu, seringkali dengan tujuan untuk menayangkan iklan yang dipersonalisasi hampir ke mana pun kamu pergi.

Selain itu, semakin besar cache browser mu, semakin membengkak aplikasi browser kamu dengan data dari situs web yang mungkin tidak kamu kunjungi lagi — namun beberapa aset mereka dan mungkin beberapa cookie pelacak mungkin masih tersimpan di sana.

Jadi, tidak ada salahnya untuk sesekali menghapus data ini agar browser web kamu tetap ramping, berjalan efisien dan ideal, menyimpan cookie pelacakan sesedikit mungkin.

Google Chrome

Kamu dapat menghapus cookie dan cache dari dalam Google Chrome versi Android dengan mengikuti langkah berikut:

  • Tap Tombol More (dilambangkan sebagai tiga titik vertikal) di pojok kanan atas browser
  • Kemudian tap tombol History, lalu pilih Clear browsing data

Atau :

  • Kamu juga dapat mengakses ini dari menu Chrome Settings
  • Kemudian pilih Privacy and Security
  • Pilih Time Range yang diinginkan
  • lalu Klik Clear browsing data.

Mozilla Firefox

Kamu dapat menghapus cookie dan cache dari dalam Mozilla Firefox versi Android dengan mengikuti langkah berikut:

  • Tap Tombol More (dilambangkan sebagai tiga titik vertikal) di pojok kanan atas browser
  • Kemudian tap tombol Settings, lalu pilih Delete browsing data

Firefox juga memberi opsi terbanyak di bawah menu Delete browsing data, yang memungkinkan kamu untuk menghapus Open tabs, Browsing history dan site data, Site permissions dan bahkan folder Downloads kamu bersama dengan Cookie dan Cached Gambar dan file.

Selengkapnya: CNET

JPMorgan terkena denda $200 juta karena membiarkan karyawan menggunakan WhatsApp untuk menghindari jangkauan regulator

by

JPMorgan Chase membayar denda $200 juta kepada dua regulator perbankan AS untuk menyelesaikan tuduhan bahwa divisi Wall Street-nya mengizinkan karyawannya menggunakan WhatsApp dan platform lain untuk menghindari undang-undang penyimpanan catatan federal.

Komisi Sekuritas dan Bursa mengatakan pada hari Jumat bahwa JPMorgan Securities setuju untuk membayar $125 juta setelah mengakui kegagalan pencatatan “meluas” dalam beberapa tahun terakhir.

Komisi Perdagangan Berjangka Komoditas juga mengatakan pada hari Jumat bahwa mereka telah mendenda bank tersebut $75 juta karena mengizinkan komunikasi yang tidak disetujui setidaknya sejak tahun 2015.

Pejabat SEC yang berbicara kepada wartawan Kamis malam mengatakan kegagalan JPMorgan untuk mempertahankan percakapan offline itu melanggar undang-undang sekuritas federal dan membuat regulator buta terhadap pertukaran antara bank dan kliennya.

Undang-undang federal mengharuskan perusahaan keuangan untuk menyimpan catatan pesan elektronik yang cermat antara pialang dan klien sehingga regulator dapat memastikan perusahaan tersebut tidak mengabaikan undang-undang anti-penipuan atau antitrust.

Penyelidikan di JPMorgan sedang berlangsung, dan SEC telah meluncurkan penyelidikan serupa di perusahaan-perusahaan di seluruh dunia keuangan.

JPMorgan memerintahkan para pedagang, bankir, dan penasihat keuangannya untuk menyimpan pesan terkait pekerjaan di perangkat pribadi awal tahun ini, Bloomberg melaporkan pada bulan Juni.

Pesan termasuk konten pada berbagai diskusi, termasuk strategi investasi, pertemuan klien dan pengamatan pasar, kata pejabat SEC.

JPMorgan menolak berkomentar di luar pengungkapan peraturan yang mengakui penyelesaian dengan kedua agensi.

Selain denda, JPMorgan setuju untuk menyewa konsultan kepatuhan untuk meninjau kebijakan dan pelatihan bank, kata SEC. Bank telah mulai meningkatkan perangkat lunak karyawan untuk meningkatkan kepatuhan, kata SEC.

Selengkapnya: CNBC

CISA meminta Admin untuk menambal kerentanan VMware Workspace ONE UEM

by

CISA telah meminta pengguna VMware untuk menambal kerentanan kritis di Workspace ONE UEM yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses data sensitif.

Bagi mereka yang tidak mengetahui tentang Workspace ONE, ini adalah Solusi Manajemen Titik Akhir Terpadu dari VMware untuk manajemen perangkat over-the-air.

Kerentanan dilacak sebagai CVE-2021-22054 dan ditandai pada peringkat keparahan 9.1/10.

Peretas dapat memanfaatkan kerentanan ini dari jarak jauh dan mendapatkan akses ke informasi sensitif menggunakan konsol UEM. VMware juga telah merilis penasihat keamanan yang menangani kasus ini.

VMware mengatakan bahwa reset IIS akan membuat admin yang login ke instance server dengan patch untuk logout. Setelah beberapa saat, admin akan dapat masuk ke konsol.

Meskipun solusinya bagus, merupakan langkah yang terbaik untuk menambalnya karena kerentanan VMware Workspace ONE UEM adalah eksploitasi keamanan yang kritis dan karenanya yang terbaik adalah jika pengguna dapat memperbaruinya ke versi terbaru dengan menerapkan tambalan sebelum terlambat.

Selengkapnya: The Cybersecurity Times