Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pengalihan Roulette: Ribuan Situs Web yang dibajak di Asia Timur Mengalihkan Pengunjung ke Situs Lain

by

Beberapa bulan terakhir ini, peneliti telah menyelidiki operasi siber berskala besar yang memanfaatkan kredensial FTP sah yang diperoleh melalui vektor ancaman yang tidak diketahui. Kredensial FTP yang dibuat secara otomatis dan sangat aman yang entah bagaimana dapat diperoleh dan dimanfaatkan oleh penyerang untuk pembajakan situs web. Hingga saat ini kegiatan masih tetap berlangsung.

Ringkasan Eksekutif
Aktor ancaman tak dikenal berhasil menyusupi puluhan ribu situs web yang terutama ditujukan untuk pemirsa Asia Timur, mengalihkan ratusan ribu penggunanya ke konten bertema dewasa.

Pelaku ancaman selalu menyuntikkan kode berbahaya ke halaman web yang berhadapan dengan pelanggan yang dirancang untuk mengumpulkan informasi tentang lingkungan pengunjung dan terkadang mengarahkan mereka ke situs lain ini, bergantung pada peluang acak dan negara tempat pengguna berada.

Situs web yang disusupi adalah dimiliki oleh perusahaan kecil dan beberapa dioperasikan oleh perusahaan multinasional. Dalam beberapa kasus, termasuk honeypot yang disiapkan oleh peneliti untuk menyelidiki aktivitas ini, pelaku ancaman terhubung ke server web target menggunakan kredensial FTP sah yang mereka peroleh sebelumnya.

Ringkasan temuan investigasi
Ringkasan temuan investigasi

Ringkasan
Peneliti belum yakin bagaimana pelaku ancaman mendapatkan akses awal ke begitu banyak situs web, dan belum mengidentifikasi kesamaan yang signifikan antara server yang terpengaruh selain penggunaan FTP mereka.

Peneliti yakin bahwa motivasi pelaku ancaman kemungkinan besar bersifat finansial, dan mungkin mereka hanya bermaksud untuk meningkatkan lalu lintas ke situs web ini dari negara tertentu.

Hal ini tentunya berdampak terhadap situs web yang disusupi dan pengalaman penggunanya setara dengan perusakan. Kelemahan apapun yang dieksploitasi oleh pelaku ini untuk mendapatkan akses awal ke situs web ini dapat dimanfaatkan oleh pelaku lain untuk menimbulkan kerugian yang lebih besar.

Selengkapnya: Wiz Blog

SBOM Harus menjadi Pokok Keamanan dalam Rantai Pasokan Perangkat Lunak

by

Selain daftar bahan pada kemasan makanan yang memungkinkan konsumen mengetahui apa yang ada di dalam makanan, Software Bill of Material (SBOMs) juga merupakan inventaris komponen dalam perangkat lunak, alat penting pada saat aplikasi merupakan kumpulan kode dari berbagai sumber, banyak dari luar tim pengembangan organisasi.

SBOM selama beberapa tahun terakhir telah menjadi inti dari gambaran manajemen rantai pasokan perangkat lunak yang berkembang seiring dengan meningkatnya tingkat ancaman.

SBOM juga merupakan poin kunci dalam rencana keamanan siber nasional yang dikembangkan oleh Administrasi Biden dan dirilis minggu ini. Mereka memberitahu organisasi mengenai komponen apa yang membentuk perangkat lunak yang dibawa serta kode yang ada di sana.

Ketertarikan terbaru pada SBOM dapat ditelusuri kembali ke upaya pada tahun 2018 oleh Administrasi Telekomunikasi dan Informasi Nasional, divisi dari Departemen Perdagangan AS, dengan standar tentang masalah tersebut diterbitkan tiga tahun kemudian. Perintah Eksekutif Presiden Biden pada Mei 2021 meminta pemerintah federal untuk meningkatkan keamanan TI setelah SolarWinds dan Log4j, keduanya mempengaruhi lembaga pemerintah.

Tantangannya adalah penerapan dan pengelolaan SBOM sangat manual, berita buruk bagi admin dan developer. Ketegangan yang berkelanjutan ketika berbicara tentang keamanan rantai pasokan perangkat lunak memastikan bahwa tuntutan keamanan tidak menghalangi peningkatan kecepatan pengembangan perangkat lunak modern.

Yang dibutuhkan sekarang adalah pertukaran kerentanan yang aman dan terpusat di mana perusahaan dapat berbagi informasi tentang kelemahan. Memiliki data SBOM memang berguna, tetapi jika kerentanan terungkap, komunikasi tentangnya masih bersifat point-to-point dan informasi tersebut perlu disebarluaskan lebih cepat dan luas.

Masalah lain yang muncul adalah bahwa SBOM dan sejenisnya berarti lebih banyak pekerjaan bagi mereka yang memelihara perangkat lunak sumber terbuka yang digunakan di sebagian besar aplikasi, kata Fischer.

Selengkapnya: The Register

IBM Mengkontribusikan Alat Keamanan Rantai Pasokan ke OWASP

by

Pemindai Lisensi dan Utilitas SBOM akan meningkatkan kemampuan standar Bill of Material Perangkat Lunak CycloneDX OWASP.

SBOM adalah daftar inventaris semua komponen individu yang digunakan dalam perangkat lunak. IBM telah menyumbangkan dua alat rantai pasokan open-source ke standar CycloneDX Software Bill of Materials (SBOM) dari Open Worldwide Application Security Project (OWASP) Foundation. Alat tersebut akan mengisi dua celah penting di CycloneDX, digambarkan OWASP sebagai standar BOM “full-stack” yang memberikan pengurangan risiko rantai pasokan tingkat lanjut.

Menanggapi berbagai serangan rantai pasokan dan kekacauan Log4j, Gedung Putih mengeluarkan perintah eksekutif yang mengamanatkan developer meningkatkan keamanan rantai pasokan mereka.

Upaya untuk membakukan SBOM telah dipercepat dengan peningkatan tajam dalam serangan rantai pasokan perangkat lunak selama dua tahun terakhir.

Pendukung CycloneDX yang lebih baru menggambarkannya sebagai standar yang lebih ringan yang lebih cocok untuk mereka yang mencari cara yang dapat dibaca mesin untuk bertukar informasi. Linux Foundation pada tahun 2021 menyatakan SPDX sebagai standar SBOM, meski pada awalnya dibuat untuk kasus penggunaan kekayaan intelektual dan lisensi. Kedua organisasi memperluas upaya standar SBOM masing-masing.

Diirektur keamanan produk di ServiceNow dan ketua kelompok kerja CycloneDX OWASP mengatakan bahwa IBM telah secara aktif berpartisipasi dalam memajukan upaya standar CycloneDX.

SBOM Utility dapat memproses dokumen seperti Vulnerability Disclosure Reports (VDRs) dan format data Vulnerability Exploitability eXchange (VEX), yang telah ditentukan oleh CycloneDX untuk memberikan penilaian risiko.

Selengkapnya: DARK Reading

Peretas yang didukung Beijing menargetkan Perhimpunan Bangsa Bangsa Asia Tenggara

by

Joe Biden melakukan serangan pesona. Presiden AS mengundang para pemimpin 10 negara Asia Tenggara ke Gedung Putih untuk pertama kalinya untuk membicarakan kawasan itu, yang merupakan rumah bagi lebih dari 600 juta orang. Agenda utama adalah China—mitra dagang utama bagi semua negara, tetapi juga potensi ancaman terhadap stabilitas mereka. Biden menjanjikan $150 juta sebagai dukungan ekstra bagi negara-negara tersebut untuk membantu meningkatkan keamanan, infrastruktur, dan respons pandemi yang sedang berlangsung.

Namun, dalam minggu-minggu menjelang pertemuan tersebut, menurut peringatan keamanan siber yang dilihat oleh WIRED, peretas yang bekerja atas nama China mencuri ribuan email dan detail sensitif dari negara-negara Asia Tenggara. Spionase dunia maya, yang belum pernah dilaporkan sebelumnya, adalah yang terbaru dari serangkaian insiden di mana peretas yang memiliki hubungan dengan China secara diam-diam menyusup ke negara tetangga, untuk mendapatkan informasi politik dan ekonomi.

Menurut peringatan keamanan siber, peretas yang terkait dengan China dapat membobol server surat yang dioperasikan oleh Perhimpunan Bangsa Bangsa Asia Tenggara (ASEAN) pada Februari 2022 dan mencuri banyak data. Organisasi ASEAN adalah badan antar pemerintah yang terdiri dari 10 negara Asia Tenggara, termasuk Singapura, Malaysia, dan Thailand. Ini adalah ketiga kalinya organisasi itu dikompromikan sejak 2019, kata dokumen itu.

Para peretas mampu mencuri “gigabyte” email yang dikirim oleh negara-negara ASEAN, dan datanya dicuri “setiap hari”, menurut peringatan keamanan siber. Diyakini bahwa penyerang mencuri lebih dari 10.000 email, menghasilkan lebih dari 30 GB data. Insiden itu “memengaruhi semua anggota ASEAN karena korespondensi yang dikompromikan,” kata peringatan itu. Pemberitahuan tersebut dikirim ke badan keamanan siber, kementerian luar negeri, dan organisasi pemerintah lainnya di 10 negara anggota ASEAN.

Haji Amirudin Abdul Wahab, CEO CyberSecurity Malaysia, sebuah agensi di bawah Kementerian Sains, Teknologi, dan Inovasi negara tersebut, mengatakan telah menerima peringatan tersebut pada tahun 2022, memberi tahu pejabat di negara tersebut, dan secara umum mengutuk peretasan. Negara-negara lain yang terkena dampak menolak untuk berkomentar atau tidak menanggapi permintaan komentar dari WIRED. Kelompok ASEAN sendiri tidak menanggapi permintaan komentar berulang kali.

Kedutaan Besar China di AS tidak segera menanggapi permintaan komentar.

selengkapnya : wired.com

Medusa Mengklaim Serangan Ransomware PetroChina

by

Perusahaan regulator minyak dan gas PetroChina Indonesia diduga menjadi korban terbaru dari serangan ransomware, menambahkan satu perusahaan lagi ke dalam daftar infrastruktur penting yang menjadi sasaran peretas.

Profil perusahaan minyak dan gas tersebut dibagikan di postingan web gelap yang dipublikasikan di Blog Medusa. Kolektif peretas juga menuntut uang tebusan untuk penghapusan data, menambah tenggat waktu, dengan ancaman untuk menjual data. Peneliti keamanan siber Dominic Alvieri mengkonfirmasi insiden tersebut dengan The Cyber Express.

Detail tentang serangan ransomware PetroChina
Menurut Blog Medusa, batas waktu untuk menanggapi ancaman ransomware adalah 7 hari dan beberapa jam. $10.000 dituntut untuk menambah tenggat waktu sehari, $400.000 untuk menghapus semua data, dan $400.000 untuk mengunduh data.

Cyber Express tidak menerima tanggapan dari perusahaan terkait serangan ransomware PetroChina pada saat penulisan.

Serangan siber terhadap perusahaan minyak dan gas

Ini adalah serangan dunia maya kedua secara berurutan pada perusahaan minyak dan gas setelah LockBit diduga melanggar Grupo Albanesi hanya beberapa jam di belakang PetroChina. Situs web resmi dapat diakses pada saat penulisan.

Menyerang Grupo Albanesi berdampak langsung pada 9 pabrik yang menghasilkan tenaga di Argentina.

Pada tahun 2021, Colonial Pipeline yang berbasis di Georgia, yang menyediakan hampir 45% solar, bahan bakar jet, dan bensin dari Pantai Timur, mengalami serangan ransomware. Keadaan darurat diumumkan oleh Presiden Joe Biden karena dampaknya terhadap perekonomian negara, dan pelakunya ditangkap tepat pada waktunya.

Anggota geng ransomware TrickBot ditangkap oleh Inggris dan AS dalam kampanye yang dipimpin oleh National Crime Agency (NCA), pejabat dari Departemen Keuangan, dan Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.

Kampanye ini menyaksikan penangkapan 7 anggota TrickBot bersama dengan Ryuk, Wizard Spider atau Darkside, dan anggota geng Conti ransomware.

selengkapnya : thecyberexpress

Pemerintah AS memperingatkan ransomware Royal menargetkan infrastruktur penting

by

The U.S. government is sounding the alarm about the Royal ransomware operation, which it says has targeted numerous critical infrastructure sectors across the United States.

Peringatan tersebut muncul setelah Departemen Kesehatan dan Layanan Kemanusiaan AS memperingatkan pada bulan Desember bahwa ransomware Royal “secara agresif” menargetkan sektor kesehatan AS. Situs kebocoran web gelap Royal saat ini mencantumkan Layanan Kesehatan Michigan Barat Laut dan Konsultan Ortopedi Midwest di antara para korbannya.

Pakar keamanan percaya bahwa Royal terdiri dari aktor ransomware berpengalaman dari operasi sebelumnya, mencatat kesamaan antara Royal dan Conti, grup peretasan terkait Rusia yang produktif yang dibubarkan pada Juni 2022.

Pada November 2022, ransomware Royal dilaporkan sebagai operasi ransomware paling produktif, menyalip Lockbit. Data terbaru menunjukkan bahwa Royal bertanggung jawab atas setidaknya 19 serangan ransomware pada bulan Februari, di balik 51 serangan yang dikaitkan dengan LockBit, dan 22 serangan terkait dengan Vice Society.

Meskipun sebagian besar korban Royal berbasis di Amerika Serikat, salah satu korbannya yang terkenal adalah Sirkuit Silverstone, salah satu sirkuit balap motor terbesar di Inggris Raya. Korban lain yang diklaim oleh geng tersebut termasuk ICS, sebuah organisasi yang menyediakan layanan keamanan siber ke Departemen Pertahanan AS, Distrik Sekolah Dallas, dan lainnya.

Menurut penasehat pemerintah AS, permintaan tebusan yang dibuat oleh Royal bervariasi dari $1 juta sampai $11 juta, tetapi belum jelas berapa banyak operasi yang telah dilakukan dari para korbannya. Penasihat mencatat bahwa aktor Kerajaan juga terlibat dalam taktik pemerasan ganda, di mana mereka mengancam untuk merilis data terenkripsi secara publik jika korban tidak membayar uang tebusan.

selengkapnya : techcrunch

Peretas Menyerang Karyawan dari Enam Firma Hukum dengan Malware GootLoader Menggunakan Perjanjian Hukum Palsu dan Lubang Air Berbahaya, lapor eSentire

by

GootLoader adalah malware populer yang memberi pelaku ancaman akses awal ke lingkungan TI korban. Begitu berada di komputer korban, GootLoader diketahui mengunduh GootKit Remote Access Trojan (RAT), ransomware REvil, atau Cobalt Strike, alat populer yang digunakan untuk mendapatkan pijakan di lingkungan target dan memperluas jaringan target.

Sepanjang tahun 2022, sementara infeksi GootLoader terus meningkat menjadi intrusi langsung, tidak ada ransomware yang diamati bahkan ketika penyusup diizinkan untuk memerintah hampir bebas. Dalam kasus tersebut, hanya Koleksi yang diamati. Mengingat target utama GootLoader adalah firma hukum, TRU mengakui kemungkinan bahwa GootLoader telah beralih ke operasi spionase dan eksfiltrasi. Untuk mencapai akses awal, seperti dalam kampanye GootLoader sebelumnya, pelaku ancaman menggunakan peracunan Search Engine Optimization (SEO) untuk memikat dan menginfeksi korban dengan malware GootLoader.

Dalam kampanye ini, cybercriminal mengkompromikan situs web WordPress yang sah (tetapi rentan) dan tanpa sepengetahuan pemilik situs web, menambahkan posting blog baru ke situs tersebut. Judul yang efektif untuk mengelabui karyawan firma hukum termasuk “perjanjian lisan antara pembeli dan penjual real estat dipertimbangkan” (Gambar 1) dan “perjanjian bersama asosiasi petugas pemadam kebakaran profesional.”

rekomendasi
GootLoader: Jangan percayai dokumen yang diposting di forum acak. Memiliki proses bagi karyawan untuk mengunduh dokumen hanya dari sumber tepercaya.

selengkaspnya : esentire

Didalam Neural Networks, Unbreakable Locks Bisa Menyembunyikan Invisible Doors

by

peneliti telah mengembangkan berbagai trik untuk menyembunyikan backdoor sampel mereka sendiri dalam model pembelajaran mesin. Tapi pendekatannya sebagian besar trial and error, kurang analisis matematis formal tentang seberapa baik pintu belakang itu disembunyikan.

Para peneliti kini mulai menganalisis keamanan model pembelajaran mesin dengan cara yang lebih teliti. Dalam sebuah makalah yang dipresentasikan pada konferensi Foundations of Computer Science tahun lalu, tim ilmuwan komputer mendemonstrasikan cara menanam pintu belakang yang tidak terdeteksi yang tembus pandangnya sama pastinya dengan keamanan metode enkripsi canggih.

Kekakuan matematis dari karya baru ini hadir dengan kompromi, seperti fokus pada model yang relatif sederhana. Tetapi hasilnya menetapkan hubungan teoretis baru antara keamanan kriptografi dan kerentanan pembelajaran mesin, menyarankan arah baru untuk penelitian masa depan di persimpangan dua bidang tersebut.

“Itu adalah makalah yang sangat menggugah pikiran,” kata Ankur Moitra, seorang peneliti pembelajaran mesin di Massachusetts Institute of Technology. “Harapannya adalah ini menjadi batu loncatan menuju model yang lebih dalam dan lebih rumit.”

selengkapnya : quantanmagazine