Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas berusaha menggulingkan diktator Belarusia, dengan bantuan dari dalam

by

Sejak menjadi presiden Belarus pada tahun 1994, Alexander Lukashenko telah membangun negara polisi paling represif di Eropa dan dengan kejam menggunakan kekuasaannya untuk tetap menjabat sebagai diktator.

Sekarang para peretas mencoba mengubah status pengawasan ekstensif terhadap Lukashenko untuk mengakhiri pemerintahannya—dan untuk melakukannya, mereka mengklaim telah melakukan salah satu peretasan paling komprehensif di suatu negara dalam sejarah.

Para peretas, yang dikenal sebagai Belarus Cyber Partisans, telah secara teratur membocorkan informasi yang mereka katakan telah diperoleh dengan membobol lusinan basis data polisi dan pemerintah yang sensitif.

Sejauh ini mereka telah menerbitkan apa yang mereka katakan sebagai bukti kejahatan oleh polisi, informasi yang menunjukkan bahwa rezim menutupi tingkat kematian covid-19 yang sebenarnya di negara itu, dan rekaman perintah ilegal untuk menindak keras protes damai.

Para partisan juga mengatakan bahwa mereka telah berhasil meretas hampir setiap bagian dari administrasi Lukashenko dan bahwa informasi yang dirilis sejauh ini hanyalah sebagian kecil dari data yang mereka miliki.

Tapi Partisan tidak beroperasi sendiri. Menurut sebuah wawancara, para peretas mendapat manfaat dari kemitraan dengan kelompok kunci petugas penegak hukum dan intelijen Belarusia.

Sebuah kelompok bernama BYPOL, yang mencakup pejabat rezim saat ini dan mantan pejabat rezim, telah menawarkan bimbingan ketat selama berbulan-bulan.

Beberapa dari mereka memberikan bantuan dari luar negeri, setelah membelot setelah klaim kemenangan palsu Lukashenko dalam pemilihan presiden 2020 dan tindakan brutal yang mengikutinya.

Tetapi yang lain, kata kelompok itu, bekerja melawan Lukashenko dari dalam dengan keyakinan bahwa rezimnya—yang menangkap lebih dari 27.000 orang setelah protes tahun lalu—harus tumbang.

Selengkapnya: Technology Review

CISA: Jangan gunakan autentikasi satu faktor pada sistem yang terpapar Internet

by

Single-factor authentication (SFA) telah ditambahkan hari ini oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) ke daftar singkat praktik buruk keamanan siber yang disarankan untuk tidak dilakukan.

Katalog Praktik Buruk CISA mencakup praktik yang oleh badan federal dianggap “sangat berisiko” dan tidak boleh digunakan oleh organisasi di pemerintah dan sektor swasta karena hal itu memaparkan mereka pada risiko dimana sistem mereka disusupi oleh pelaku ancaman.

Mereka sangat berbahaya bagi organisasi yang mendukung Infrastruktur Kritis atau Fungsi Kritis Nasional (NCF) yang bertanggung jawab atas keamanan nasional dan stabilitas ekonomi, serta keselamatan publik.

Selain itu, praktik berbahaya ini “sangat mengerikan” pada sistem yang terpapar Internet yang dapat ditargetkan dan dikompromikan oleh aktor ancaman dari jarak jauh.

Seperti yang dikatakan oleh badan keamanan siber federal, SFA (metode otentikasi keamanan rendah yang hanya mengharuskan pengguna untuk memberikan nama pengguna dan kata sandi) “sangat berisiko” ketika digunakan untuk otentikasi jarak jauh atau masuk ke akun dengan izin administratif.

Penyerang dapat dengan cepat mendapatkan akses ke sistem yang dilindungi menggunakan metode keamanan rendah ini mengingat kata sandi dapat dengan mudah dicuri atau ditebak melalui berbagai teknik (misalnya, phishing, keylogging, network sniffing, social engineering, malware, serangan brute force, credential dumping).

Selengkapnya: Bleeping Computer

Bangkok Airways terkena serangan ransomware LockBit, kehilangan banyak data setelah menolak membayar

by

Bangkok Airways telah mengungkapkan bahwa mereka adalah korban serangan siber dari kelompok ransomware LockBit pada 23 Agustus, yang mengakibatkan penerbitan data curian.

Pengumuman Bangkok Airways tentang masalah itu datang Kamis lalu, sehari setelah LockBit memposting pesan di portal web gelapnya yang mengancam maskapai untuk membayar uang tebusan atau data mereka akan dibocorkan.

Maskapai ini diberi waktu lima hari untuk menyortir pembayaran, tetapi alih-alih membayar, mereka malah mengungkapkan pelanggaran tersebut. LockBit merespons dengan menerbitkan lot. Mengklaim bahwa data yang di dump lebih dari 200GB.

Data tersebut sebagian besar berisi dokumen terkait bisnis, tetapi ada beberapa data pribadi penumpang yang tercampur. Data pribadi mungkin termasuk nama, kewarganegaraan, jenis kelamin, nomor telepon, email, alamat, informasi paspor, riwayat perjalanan, sebagian nomor kartu kredit, dan bahkan preferensi makanan.

Maskapai regional Thailand mengatakan tidak ada sistem keamanan operasional atau aeronautika yang terpengaruh.

Maskapai mengatakan sedang menyelidiki insiden tersebut dan telah memberi tahu lembaga penegak hukum dan pelanggan. Kelompok terakhir disarankan untuk berhati-hati terhadap scammer – terutama siapa pun yang menyamar sebagai Bangkok Airways yang meminta informasi seperti detail kartu kredit.

Selengkapnya: The Register

Bug Microsoft Exchange ProxyToken dapat membuat peretas mencuri email pengguna

by

Detail teknis telah muncul pada kerentanan serius di Microsoft Exchange Server yang dijuluki ProxyToken yang tidak memerlukan otentikasi untuk mengakses email dari akun target.

Penyerang dapat mengeksploitasi kerentanan dengan membuat permintaan ke layanan web dalam aplikasi Exchange Control Panel (ECP) dan mencuri pesan dari kotak masuk korban.

Dilacak sebagai CVE-2021-33766, ProxyToken memberi penyerang yang tidak diautentikasi akses ke opsi konfigurasi kotak surat pengguna, tempat mereka dapat menentukan aturan penerusan email.

Akibatnya, pesan email yang ditujukan untuk pengguna target juga dapat dikirimkan ke akun yang dikontrol penyerang.

Bug tersebut ditemukan oleh Le Xuan Tuyen, seorang peneliti di Information Security Center of Vietnam Posts and Telecommunications Group (VNPT-ISC) dan dilaporkan melalui program Zero-Day Initiative (ZDI) pada bulan Maret.

Meskipun detail teknis untuk ProxyToken baru dirilis hari ini, upaya eksploitasi telah dicatat sejak tiga minggu lalu.

Menurut Rich Warren, red team untuk NCC Group, ia melihat lebih banyak upaya eksploitasi pada 10 Agustus.

Seperti dalam kasus kerentanan ProxyShell, jika administrator server Microsoft Exchange belum menginstal patch untuk ProxyToken, mereka harus memprioritaskan tugas tersebut.

Selengkapnya: Bleeping Computer

Peneliti Mengungkapkan Kerentanan Seperti Meltdown untuk Prosesor AMD Zen+ dan Zen 2

by

Menurut peneliti keamanan dan AMD, prosesor Zen 2 dan Zen+ perusahaan mengalami kerentanan baru seperti Meltdown. AMD telah menyiapkan panduan untuk mengurangi kerentanan dan mempublikasikan detail tentang cara kerja kerentanan.

Disebut “Eksekusi Transien Akses Non-kanonik,” kerentanan ini bertindak sangat mirip dengan kerentanan Meltdown yang sudah diungkapkan yang hanya berdampak pada CPU Intel.

Saidgani Musaev dan Christof Fetzer, peneliti dari Dresden Technology University, menemukan kerentanan pada prosesor AMD Zen+ dan Zen 2. Para peneliti mengungkapkan kerentanan CVE-2020-12965 terhadap AMD pada Oktober 2020, memberi perusahaan cukup waktu untuk mengembangkan teknik mitigasi yang telah dibahas AMD dalam makalah resmi tentang Arxiv (PDF) dan situs web keamanan AMD.

Kerentanan Eksekusi Transien Akses Non-kanonik bekerja hanya dengan menggabungkan urutan perangkat lunak tertentu, di mana CPU AMD “dapat secara sementara mengeksekusi beban non-kanonik dan menyimpan hanya menggunakan 48 bit alamat yang lebih rendah yang berpotensi mengakibatkan kebocoran data.” Kebocoran data ini kemudian dimanfaatkan untuk mengakses kemungkinan rahasia yang tersimpan di komputer, yang menyebabkan masalah keamanan.

AMD merekomendasikan agar semua vendor perangkat lunak yang mengirimkan kode untuk platform Zen+ dan Zen 2 mengunjungi kembali program mereka dan menambahkan mitigasi. Misalnya, perusahaan merekomendasikan penggunaan instruksi LFENCE (Load Fence) dalam perangkat lunak atau salah satu mitigasi eksekusi spekulatif yang ada yang diungkapkan dalam manual perangkat lunak di sini.

Selengkapnya: Tom’s Hardware

Ragnarok ransomware merilis master decryptor setelah penonaktifan grup

by

Geng ransomware Ragnarok tampaknya telah berhenti dan merilis kunci master yang dapat mendekripsi file yang dikunci dengan malware mereka.

Pelaku ancaman tidak meninggalkan catatan yang menjelaskan tindakan tersebut; tiba-tiba, mereka mengganti semua korban di situs kebocoran mereka dengan instruksi singkat tentang cara mendekripsi file.

Situs kebocoran telah dilucuti dari elemen visual. Yang tersisa hanyalah teks singkat yang menghubungkan ke arsip yang berisi kunci master dan binari yang menyertainya untuk menggunakannya.

Hingga hari ini, situs kebocoran ransomware Ragnarok menunjukkan 12 korban, ditambahkan antara 7 Juli dan 16 Agustus, kata penyedia intelijen ancaman HackNotice kepada BleepingComputer.

Dengan mencantumkan korban di situs web mereka, Ragnarok berusaha memaksa mereka untuk membayar uang tebusan, di bawah ancaman membocorkan file tidak terenkripsi yang dicuri selama penyusupan.

Perusahaan yang terdaftar berasal dari Prancis, Estonia, Sri Lanka, Turki, Thailand, AS, Malaysia, Hong Kong, Spanyol, dan Italia dan aktif di berbagai sektor mulai dari manufaktur hingga layanan hukum.

Decryptor universal untuk ransomware Ragnarok saat ini sedang dalam pengerjaan. Ini akan segera tersedia dari Emsisoft, sebuah perusahaan yang terkenal karena membantu korban ransomware dengan dekripsi data.

Grup ransomware Ragnarok telah ada setidaknya sejak Januari 2020 dan merenggut puluhan korban setelah menjadi berita utama karena mengeksploitasi kerentanan Citrix ADC tahun lalu.

Selengkapnya: Bleeping Computer

PERINGATAN ANCAMAN: Serangan penambang Crypto – Sysrv-Hello Botnet menargetkan pod WordPress

by

Tim Riset Keamanan Sysdig telah mengidentifikasi serangan Cryptominer yang menyerang pod Kubernetes yang menjalankan WordPress, terkait dengan Botnet Sysrv-Hello baru-baru ini.

Tujuan serangan itu adalah untuk mengontrol pod, menambang cryptocurrency, dan mereplikasi dirinya dari sistem yang disusupi.

Secara khusus, penyerang menargetkan WordPress yang salah dikonfigurasi untuk melakukan akses awal. Mereka kemudian mencoba menghentikan malware potensial lainnya, menginstal dan mengeksekusi cryptominer, dan akhirnya, mencoba mereplikasi dirinya sendiri (dalam infrastruktur honeypot Sysdig dan di internet).

Yang perlu diperhatikan tentang serangan ini adalah bahwa hash biner dari skrip serangan dan cryptominer sangat baru, dan pendaftar pada basis data malware menunjukkan bahwa sangat sedikit orang yang mendeteksinya. Jadi, sebagian besar perangkat lunak keamanan tidak akan dapat mendeteksi serangan tersebut, dan Anda harus bergantung pada pendeteksian perilakunya untuk mendapatkan peringatan.

Apa itu Botnet Sysrv-Hello?

Botnet Sysrv-hello adalah infeksi Windows dan Linux yang pertama kali diidentifikasi pada akhir Desember 2020, yang mengeksploitasi banyak kerentanan dan disebarkan melalui skrip shell.

sejak identifikasi pertama, penyerang melakukan beberapa perubahan dalam skrip shell yang menginstal implan Sysrv-hello, yang merupakan cara malware executable disebarkan pada sistem host.

Dalam perubahan terbaru mereka, botnet memiliki fitur dan eksploitasi baru untuk replikasi. Fitur baru yang paling penting adalah kemampuan untuk mengunduh penambang seperti Monero dan mulai menambang cryptocurrency.

Selengkapnya: Sysdig

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

by

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News