News 404 - Naga Cyber Defense

Grup peretas Cina mencuri detail penumpang maskapai penerbangan

January 21, 2021 by Winnie the Pooh

Sebuah kelompok peretas Cina yang dicurigai telah menyerang industri penerbangan selama beberapa tahun terakhir dengan tujuan mendapatkan data penumpang untuk melacak pergerakan orang-orang yang mereka targetkan.

Gangguan ini telah dikaitkan dengan aktor ancaman yang telah dilacak oleh keamanan siber dengan nama Chimera.

Dalam laporan baru yang diterbitkan minggu lalu oleh NCC Group dan anak perusahaannya Fox-IT, kedua perusahaan tersebut mengatakan gangguan grup lebih luas dari yang diperkirakan, karena juga menargetkan industri penerbangan.

Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai wilayah geografis, dan bukan hanya Asia, kata NCC dan Fox-IT.

“Tujuannya adalah untuk menargetkan beberapa korban tampaknya untuk mendapatkan Passenger Name Records (PNR),” kata kedua perusahaan itu.

Laporan gabungan NCC dan Fox-IT juga menjelaskan modus operandi khas grup Chimera, yang biasanya dimulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik setelah pelanggaran data di perusahaan lain.

Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, kerangka kerja penetration-testing, yang mereka gunakan untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari IP dan detail penumpang.

Begitu mereka menemukan dan mengumpulkan data yang mereka kejar; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive, mengetahui bahwa lalu lintas ke layanan ini tidak akan diperiksa atau diblokir di dalam jaringan yang dibobol.

Sumber: ZDNet

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

January 20, 2021 by Winnie the Pooh

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer

Google Chrome 88 dirilis tanpa adanya dukungan untuk Flash

January 20, 2021 by Winnie the Pooh

Google telah merilis Chrome 88 hari ini, secara permanen menghapus dukungan untuk Adobe Flash Player.

Flash mencapai akhir masa pakai (EOL) resminya pada tanggal 31 Desember 2020, ketika Adobe secara resmi berhenti mendukung perangkat lunak tersebut. Pada 12 Januari, Adobe juga mulai memblokir konten agar tidak diputar di dalam Flash, sebagai bagian dari langkah terakhir.

Berbicara pada konferensi pada Februari 2018, Parisa Tabriz, Direktur Teknik di Google, mengatakan persentase pengguna Chrome harian yang memuat setidaknya satu halaman yang berisi konten Flash per hari turun dari sekitar 80% pada tahun 2014 menjadi di bawah 8% pada awal 2018, angka yang kemungkinan besar terus anjlok sejak itu.

Namun rilis Chrome 88 hari ini juga dilengkapi dengan fitur, penghentian, perbaikan bug, dan patch keamanan lainnya. Salah satu perubahan terpenting adalah penghapusan dukungan untuk mengakses tautan FTP (ftp://) di dalam Chrome, sebuah proses yang dimulai kembali di Chrome 86.

Di Chrome 88, Google juga telah menyelesaikan rencana yang dimulai tahun lalu. Datang bersama dengan rilis hari ini, Chrome sekarang memblokir unduhan file HTTP tertentu.

Kasus di mana Chrome akan menghentikan unduhan termasuk ketika pengguna mengakses laman web yang dimulai dengan HTTPS, tetapi file diunduh dari URL yang dimulai dengan HTTP. Chrome menganggap kasus ini sebagai unduhan “campuran” dan “tidak aman”, dan dimulai dari Chrome 88 akan memblokir sepenuhnya untuk perlindungan pengguna.

Selain itu, Chrome 88 juga telah menghapus dukungan untuk protokol DTLS 1.0 lama, yang digunakan di dalam Chrome sebagai bagian dari dukungan WebRTC-nya.

Sumber: ZDNet

Bagaimana mengamankan akun Google Anda dan menjaganya tetap aman dari serangan

January 20, 2021 by Winnie the Pooh

Jika Anda menggunakan di Gmail dan layanan Google lainnya, akun Google Anda adalah salah satu aset online Anda yang paling berharga. Ikuti tujuh langkah ini untuk menetapkan dasar keamanan yang kokoh dan melindungi akun tersebut dari penyusup.

Dan perlu diketahui bahwa langkah-langkah yang dijelaskan dalam artikel ini adalah tentang akun pribadi yang terkait dengan alamat Gmail gratis. Layanan bisnis berbayar Google, termasuk Google Workspace, dikelola oleh administrator domain. Meskipun beberapa langkah konfigurasi pengguna sama, administrator dapat menetapkan kebijakan yang mempengaruhi pengaturan keamanan. Jika akun Gmail Anda disediakan oleh perusahaan Anda, tanyakan kepada mereka tentang praktik terbaik untuk mengamankan akun itu.

Untuk membantu tindakan penyeimbangan antara kenyamanan dan keamanan, pada artikel ini langkah-langkah dibagi menjadi tiga kelompok, berdasarkan seberapa kuat Anda ingin mengunci akun Google Anda.

KEAMANAN DASAR

Tingkat ini cukup untuk sebagian besar pengguna PC biasa, terutama mereka yang tidak menggunakan alamat Gmail mereka sebagai faktor utama untuk masuk ke situs lain. Minimal, Anda harus membuat kata sandi yang kuat untuk akun Google Anda. Kata sandi itu haruslah yang tidak digunakan oleh akun lain.

Selain itu, Anda harus mengaktifkan verifikasi 2 langkah (istilah Google untuk autentikasi multi-faktor) untuk melindungi diri Anda dari phishing dan bentuk pencurian sandi lainnya.

KEAMANAN YANG LEBIH BAIK

Pertama, siapkan ponsel cerdas Anda sebagai faktor autentikasi, menggunakan aplikasi seperti Google Authenticator. Kemudian hapus opsi untuk menggunakan pesan teks SMS untuk memverifikasi identitas Anda.

Dengan konfigurasi tersebut, Anda masih dapat menggunakan ponsel Anda sebagai faktor autentikasi, tetapi calon penyerang tidak akan dapat mencegat pesan teks atau memalsukan nomor telepon Anda.

KEAMANAN MAKSIMUM

Untuk keamanan yang paling ekstrem, tambahkan setidaknya satu kunci perangkat keras fisik bersama dengan aplikasi Google Authenticator dan, secara opsional, hapus alamat email pribadi sebagai faktor verifikasi cadangan.

LANGKAH 1: BUAT KATA SANDI BARU DAN KUAT

Untuk mengubah sandi Anda, buka halaman Keamanan Akun Google di https://myaccount.google.com/security. Masuk, jika perlu, lalu klik Password (di bawah tajuk Signing In To Google) dan ikuti petunjuk untuk mengubah kata sandi Anda.

LANGKAH 2: AKTIFKAN VERIFIKASI DUA LANGKAH

Jangan tinggalkan halaman Keamanan Akun Google dulu. Sebaliknya, gulir ke atas ke bagian Two-Step Verification dan pastikan opsi ini diaktifkan. Gunakan opsi default untuk menerima kode melalui pesan teks di ponsel yang Anda miliki. (Anda juga dapat menyiapkan bentuk verifikasi lain yang lebih canggih, tetapi kita akan membahasnya nanti.)

LANGKAH 3: CETAK KODE PEMULIHAN

Langkah selanjutnya adalah menyimpan satu set kode pemulihan. Memiliki akses ke salah satu kode ini akan memungkinkan Anda untuk masuk ke akun Anda jika Anda lupa kata sandi atau jika Anda kehilangan ponsel.

Di halaman Keamanan Akun Google, temukan opsi Backup Codes dan klik Set Up. Lalu kotak dialog pop-up akan terbuka seperti yang ditunjukkan di sini, berisi 10 kode yang dapat Anda gunakan ketika Anda diminta untuk faktor verifikasi kedua.

LANGKAH 4: TAMBAHKAN ALAMAT EMAIL PEMULIHAN

Mendaftarkan alamat email pemulihan adalah tindakan pengamanan yang penting. Jika Google mendeteksi aktivitas yang mencurigakan di akun Anda, Anda akan menerima pemberitahuan di alamat email ini.

Kembali ke halaman Keamanan Akun Google dan klik Recovery Email (di bawah Ways We Can Verify It’s You). Masukkan atau ubah alamat email pemulihan. Anda akan menerima pemberitahuan di alamat itu untuk mengonfirmasi bahwa itu tersedia untuk pemulihan,

LANGKAH 5: SIAPKAN SMARTPHONE ANDA SEBAGAI AUTENTIKATOR

Saat Anda mendaftarkan ponsel cerdas Anda sebagai perangkat tepercaya, Google memberi Anda dua cara untuk menggunakannya untuk tujuan autentikasi. Selain itu, Anda dapat menggunakan Google Authenticator atau aplikasi ponsel cerdas lain yang menghasilkan kode Algoritma Kata Sandi Satu Kali Berbasis Waktu (TOTP) untuk autentikasi multi-faktor.

Untuk menyiapkan Google Authenticator (atau aplikasi pengautentikasi lainnya) untuk digunakan dengan akun Google, buka halaman Google Account 2-Step Verification. Di bawah Authenticator App, klik Set Up. Instal aplikasi, jika perlu, lalu ikuti petunjuk untuk menambahkan akun Anda menggunakan bar code yang ditampilkan oleh aplikasi pengautentikasi.

LANGKAH 6: HAPUS PESAN TEKS SMS SEBAGAI BENTUK VERIFIKASI

Apa yang membuat pesan teks SMS begitu bermasalah dari sudut pandang keamanan adalah kenyataan bahwa penyerang dapat membajak akun seluler Anda. Dari halaman Google Account 2-Step Verification, buka bagian Voice atau Text Message. Di sana, Anda akan menemukan entri untuk setiap nomor telepon yang terdaftar sebagai faktor 2FA untuk akun Anda. Klik ikon pensil di sebelah kanan nomor untuk membuka propertinya dan klik Remove Phone untuk menghilangkan entri. Ulangi untuk nomor lain yang ingin Anda hapus.

LANGKAH 7: GUNAKAN KUNCI KEAMANAN PERANGKAT KERAS UNTUK AUTENTIKASI

Langkah ini adalah yang paling maju dari semuanya. Ini membutuhkan investasi dalam perangkat keras tambahan, tetapi persyaratan untuk memasukkan perangkat ke port USB atau membuat koneksi melalui Bluetooth atau NFC menambah tingkat keamanan tertinggi.

Untuk gambaran umum tentang bagaimana jenis perangkat keras ini bekerja, baca “YubiKey hands-on: Hardware-based 2FA is more secure, but watch out for these gotchas.”

Untuk mengonfigurasi kunci hardware, buka halaman Google Account 2-Step Verification, klik Add Security Key, lalu ikuti petunjuknya.

Sumber: ZDNet

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

January 20, 2021 by Winnie the Pooh

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet

Peretas ‘memanipulasi’ data vaksin COVID-19 curian sebelum membocorkannya secara online

January 20, 2021 by Winnie the Pooh

Peretas yang mencuri informasi tentang vaksin COVID-19 dalam serangan siber terhadap badan medis Uni Eropa dan kemudian mempublikasikannya secara online juga memanipulasi apa yang mereka temukan untuk menyebarkan disinformasi yang dirancang untuk merusak kepercayaan pada vaksin.

Dalam pembaruan terbaru tentang serangan siber yang pertama kali diungkapkan bulan lalu, European Medicines Agency (EMA) telah mengungkapkan bagaimana peretas mengakses email internal rahasia tentang proses evaluasi untuk vaksin COVID-19 mulai bulan November.

Investigasi yang sedang berlangsung menemukan bahwa beberapa isi email tersebut telah dimanipulasi oleh mereka yang berada di balik serangan tersebut dalam upaya untuk menciptakan ketidakpercayaan dengan menyebarkan disinformasi tentang vaksin.

Tidak pasti siapa pelaku serangan siber EMA atau mengapa tepatnya mereka memanipulasi dokumen untuk menyebarkan disinformasi dalam upaya merusak kepercayaan pada vaksin. Teori konspirasi anti-vax tentang virus corona telah menjadi masalah bagi media sosial dan dunia luas sejak dimulainya pandemi.

Sumber: ZDNet

Forum IObit Diretas Untuk Mendistribusikan DeroHE Ransomware

January 19, 2021 by Winnie the Pooh

IObit, pembuat perangkat lunak seperti pengoptimal sistem dan anti-malware untuk OS Windows, forumnya telah dilanggar. Ini diketahui setelah anggota forum terinfeksi kampanye jahat bundel IObit gratis, karena menjadi anggota.

Mereka melaporkan menerima email dari IObit tentang paket satu tahun gratis dari bundel mereka, yang memiliki tautan ke situs hxxps: //forums.iobit.com/promo.html dan akhirnya dibawa ke hxxps: //forums.iobit. situs com / free-iobit-license-promo.zip unduh file zip.

Meskipun file zip ini ditandatangani secara digital oleh program IObit License Manager yang sah, file IObitUnlocker.dll diganti oleh file berbahaya yang akan menginstal ransomware DeroHE ke dalam C: \ Program Files (x86) \ IObit \ iobit.dll dan menjalankannya.

Ini terjadi karena pengguna percaya perangkat lunak itu sah, karena memiliki tanda tangan digital dari IObit dan dihosting di situs resmi mereka. Saat membukanya, mereka akan melihat kotak dialog untuk tidak mengunci layar atau sistem saat sedang memproses. Namun di latar belakang, ransomware sedang mengenkripsi file host.

Setelah melakukannya, grup ransomware membuat dua folder di layar desktop, satu untuk memberi tahu korban tentang semua file yang dienkripsi dan yang lainnya adalah catatan tebusan. Anehnya, para peretas meminta pembayaran dalam bentuk koin DeroHE, yang merupakan cryptocurrency seperti Bitcoin.

Ini memberi korban tautan darknet ke halaman pembayaran, di mana ia meminta 200 koin DeroHE, yang diterjemahkan menjadi sekitar $ 100. Selain itu, ia menyalahkan IObit atas peretasannya dan membujuk para korban untuk membuat IObit membayar 100.000 dalam bentuk koin Dero untuk mendekripsi sistem semua orang.

Source : Techdator

OpenWRT melaporkan pelanggaran data setelah peretas memperoleh akses ke akun admin forum

January 19, 2021 by Winnie the Pooh

Pengelola OpenWRT, proyek sumber terbuka yang menyediakan firmware gratis dan dapat disesuaikan untuk router rumah, telah mengungkapkan pelanggaran keamanan yang terjadi selama akhir pekan.

Menurut pesan yang diposting di forum proyek dan didistribusikan melalui beberapa milis bertema Linux dan FOSS, pelanggaran keamanan terjadi pada hari Sabtu, 16 Januari, sekitar pukul 16:00 GMT, setelah seorang peretas mengakses akun administrator forum.

Tim OpenWRT mengatakan bahwa meskipun penyerang tidak dapat mengunduh salinan lengkap database nya, serangan tersebut mengunduh daftar pengguna forum, yang menyertakan detail pribadi seperti nama pengguna forum dan alamat email.

Tidak ada sandi yang disertakan dalam data yang diunduh, tetapi untuk berjaga-jaga, administrator OpenWRT telah menyetel ulang semua sandi pengguna forum dan kunci API.

Proyek ini sekarang memberi tahu pengguna bahwa saat mereka masuk ke akun mereka lagi, mereka harus melalui prosedur pemulihan kata sandi. Proses ini juga wajib bagi mereka yang menggunakan token OAuth, yang perlu menyinkronkan ulang akun mereka.

Admin OpenWRT mengatakan bahwa hanya data pengguna forum yang tampaknya telah disusupi untuk saat ini. Wiki OpenWRT, yang menyediakan tautan unduhan resmi dan informasi tentang bagaimana pengguna dapat menginstal firmware pada berbagai model router yang berhak paten, tidak dilanggar, berdasarkan bukti saat ini.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

KEAMANAN DASAR

KEAMANAN YANG LEBIH BAIK

KEAMANAN MAKSIMUM

LANGKAH 1: BUAT KATA SANDI BARU DAN KUAT

LANGKAH 2: AKTIFKAN VERIFIKASI DUA LANGKAH

LANGKAH 3: CETAK KODE PEMULIHAN

LANGKAH 4: TAMBAHKAN ALAMAT EMAIL PEMULIHAN

LANGKAH 5: SIAPKAN SMARTPHONE ANDA SEBAGAI AUTENTIKATOR

LANGKAH 6: HAPUS PESAN TEKS SMS SEBAGAI BENTUK VERIFIKASI

LANGKAH 7: GUNAKAN KUNCI KEAMANAN PERANGKAT KERAS UNTUK AUTENTIKASI

Cookies Settings