News 50 - Naga Cyber Defense

Geng Ransomware menggunakan Zero-Day Baru Untuk Mencuri Data 1 Juta Pasien

February 20, 2023 by Coffee Bean

CHS belum mengatakan jenis data apa yang terungkap dan juru bicara belum menjawab pertanyaan TechCrunch. Ini adalah pelanggaran data pasien kedua yang diketahui CHS dalam beberapa tahun terakhir.

Geng ransomware yang terkait dengan Rusia, Clop dilaporkan telah mengambil tanggung jawab untuk mengeksploitasi zero-day baru dalam kampanye peretasan baru dan mengklaim telah melanggar lebih dari seratus organisasi yang menggunakan teknologi transfer file Fortra — termasuk CHS.

Meskipun CHS dengan cepat tampil sebagai korban, klaim Clop menunjukkan bahwa mungkin ada lebih banyak organisasi yang terpengaruh di luar sana — dan jika Anda adalah salah satu dari ribuan pengguna GoAnywhere, perusahaan Anda mungkin termasuk di antara mereka. Untungnya, pakar keamanan telah membagikan banyak informasi tentang zero-day dan apa yang dapat Anda lakukan untuk melindunginya.

Sekarang geng ransomware Clop — yang baru-baru ini menjadi berita utama dengan varian Linux barunya — memberi tahu Bleeping Computer bahwa mereka telah mengeksploitasi kerentanan GoAnywhere untuk mencuri data dari lebih dari 130 organisasi. Clop tidak memberikan bukti untuk klaimnya, dan pada saat penulisan, situs kebocoran web gelap Clop tidak menyebutkan Fortra atau GoAnywhere.

Perusahaan cybersecurity Huntress melaporkan minggu lalu bahwa mereka menyelidiki intrusi ke dalam jaringan pelanggan yang melibatkan eksploitasi GoAnywhere zero-day. Huntress mengaitkan intrusi tersebut dengan aktor ancaman berbahasa Rusia yang disebutnya “Silence”, yang memiliki tautan ke grup lain yang disebut TA505, kru peretasan kriminal yang telah aktif setidaknya sejak 2016 dan dikenal dengan kampanye bertarget yang melibatkan penyebaran dari Clop ransomware.

selengkapnya : techcrunch

Malware WhiskerSpy Baru Dikirimkan Melalui Penginstal Codec Trojanized

February 20, 2023 by Coffee Bean

Peneliti keamanan telah menemukan pintu belakang baru yang disebut WhiskerSpy yang digunakan dalam kampanye dari aktor ancaman tingkat lanjut yang relatif baru dilacak sebagai Earth Kitsune, yang dikenal menargetkan individu yang menunjukkan minat di Korea Utara.

Aktor tersebut menggunakan metode yang telah dicoba dan diuji dan mengambil korban dari pengunjung situs web pro Korea Utara, sebuah taktik yang dikenal sebagai serangan lubang berair.

Menurut Trend Micro, WhiskerSpy disampaikan saat pengunjung mencoba menonton video di website. Penyerang mengkompromikan situs web dan menyuntikkan skrip jahat yang meminta korban untuk memasang codec video agar media dapat dijalankan.

Untuk menghindari kecurigaan, aktor ancaman memodifikasi penginstal codec yang sah sehingga pada akhirnya memuat “pintu belakang yang sebelumnya tidak terlihat” pada sistem korban.

WhiskerSpy backdoor infection chain
source: Trrend Micro

Para peneliti mengatakan bahwa pelaku ancaman hanya menargetkan pengunjung situs web dengan alamat IP dari Shenyang, China; Nagoya, Jepang; dan Brasil.

Kemungkinan Brasil hanya digunakan untuk menguji serangan lubang air menggunakan koneksi VPN dan target sebenarnya adalah pengunjung dari dua kota di China dan Jepang. Korban yang relevan akan disajikan pesan kesalahan palsu di bawah ini yang meminta mereka memasang codec untuk menonton video.

Trend Micro telah menemukan versi sebelumnya dari WhiskerSpy yang menggunakan protokol FTP alih-alih HTTP untuk komunikasi C2. Varian yang lebih lama ini juga memeriksa keberadaan debugger pada saat eksekusi dan menginformasikan C2 dengan kode status yang sesuai.

Untuk dicatat, kepercayaan para peneliti dalam mengaitkan serangan lubang air ini dengan Earth Kitsune adalah sedang tetapi modus operandi dan targetnya mirip dengan aktivitas yang sebelumnya terkait dengan grup.

selengkapnya : bleepingcomputer

Twitter Menghilangkan SMS 2FA untuk Anggota Non-Biru — Apa yang Perlu Anda Lakukan

February 20, 2023 by Coffee Bean

Twitter telah mengumumkan bahwa itu tidak akan lagi mendukung otentikasi dua faktor SMS kecuali anda membayar langganan Twitter Blue. Namun, ada opsi yang lebih aman untuk autenthikasi multi-faktor, yang kamu jelaskan di bawah.

Dalam posting blog yang dirilis minggu ini, Twitter mengatakan bahwa pengguna non-Twitter blue yang menggunakan otentikasi SMS 2FA memiliki waktu hingga 20 maret 2023 untuk beralih ke metode

Berdasarkan laporan keamanan akun Twitter, yang mencakup data antara Juli 2021 hingga Desember 2021, hanya 2,6% pengguna yang menggunakan autentikasi dua faktor. Dari pengguna tersebut, 74,4% menggunakan SMS 2FA, 28,9% menggunakan aplikasi autentikator, dan 0,5% menggunakan kunci keamanan perangkat keras.

Elon Musk mengatakan mereka membuat perubahan ini karena mereka kehilangan $60 juta per tahun karena pesan SMS palsu 2FA.

Meskipun banyak yang tidak setuju dengan bagaimana kebijakan baru ini ditangani dan diluncurkan, hal ini pada akhirnya dapat menghasilkan keamanan yang lebih baik bagi pengguna yang memilih untuk tidak berlangganan Twitter Blue.

Ini karena Anda akan dipaksa untuk menggunakan opsi yang lebih aman untuk mengamankan akun Anda.

Opsi paling aman adalah menggunakan kunci keamanan perangkat keras, seperti Google Titan atau Yubikey, yang merupakan perangkat kecil dengan konektivitas USB atau NFC untuk merespons permintaan 2FA secara otomatis dan membuat Anda masuk ke akun.

Mereka dianggap paling aman karena merupakan perangkat fisik yang harus dicolokkan ke komputer dan menjadi milik Anda untuk memasukkan Anda ke akun Anda.

Oleh karena itu, jika ada yang mendapatkan akses ke kredensial Anda, mereka tidak dapat melewati 2FA bahkan jika mereka mencuri token 2FA Anda entah bagaimana, baik melalui serangan phishing lanjutan musuh atau serangan pertukaran SIM.

Pilihan lainnya adalah menggunakan aplikasi autentikasi dua faktor, seperti Google Authenticator, Microsoft Authenticator, dan Authy.

Terlepas dari metode autentikasi yang Anda gunakan, laporan keamanan Twitter menunjukkan bahwa terlalu banyak orang yang tidak mengamankan akun mereka dengan 2FA, meskipun ini meningkatkan keamanan akun Anda.

Sangat disarankan untuk mengaktifkan 2FA di semua akun online yang Anda gunakan, termasuk Twitter, dan menggunakan autentikator atau kunci keamanan perangkat keras, karena pada akhirnya akan lebih aman.

selengkapnya : bleepingcomputer

Eksploitasi RCE Massive GoAnywhere: Semua yang Perlu Anda Ketahui

February 19, 2023 by Søren

Pekan lalu, Cybersecurity and Infrastructure Security Agency (CISA) menambahkan tiga entri baru ke katalog Known Exploited Vulnerabilities. Diantaranya adalah CVE-2023-0669, bug yang membuka jalan bagi eksploitasi dan serangan ransomware lanjutan terhadap ratusan organisasi dalam beberapa minggu terakhir.

Bug tersebut ditemukan di GoAnywhere, perangkat lunak berbagi file berbasis Windows dari Fortra, sebelumnya HelpSystems. Menurut situs webnya, GoAnywhere digunakan di lebih dari 3.000 organisasi untuk mengelola semua jenis dokumen. Menurut data dari Enlyft, sebagian besar adalah organisasi besar — dengan sedikitnya 1.000 dan, seringkali, lebih dari 10.000 karyawan — sebagian besar berbasis di Amerika Serikat.

Bug yang dilacak sebagai CVE-2023-0669 memungkinkan peretas untuk mengeksekusi kode dari jarak jauh dalam sistem target, melalui internet, tanpa perlu otentikasi. Sampai tulisan ini dibuat, kerentanan ini belum menerima peringkat CVSS resmi dari Database Kerentanan Nasional.

Tapi kita tidak perlu bertanya-tanya betapa berbahayanya itu, karena para peretas telah menerkam. Pada 10 Februari — beberapa hari setelah Fortra merilis tambalan — geng ransomware Clop mengklaim telah mengeksploitasi CVE-2023-0669 di lebih dari 130 organisasi.

Setelah tiga minggu dan terus bertambah, tidak jelas apakah lebih banyak organisasi masih berisiko atau tidak.

Selengkapnya: Dark Reading

Peringatan: Pelaku ancaman menggunakan sertifikat penandatanganan kode Emsisoft palsu untuk menyamarkan serangan mereka

February 18, 2023 by Søren

Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami. Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi tersebut mengizinkan aplikasi yang dipasang dan ingin digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.

Serangan gagal – produk kami mendeteksi dan memblokirnya – tetapi kami mengeluarkan peringatan ini agar pelanggan dan pengguna produk perusahaan lain mengetahui taktik yang digunakan dalam kasus ini.

Sementara metode akses awal diperoleh tidak jelas, kemungkinan besar melalui serangan brute-force pada RDP atau penggunaan kredensial yang disusupi (login yang dicuri).

Setelah penyerang mengamankan akses ke titik akhir, mereka memasang aplikasi akses jarak jauh sumber terbuka yang disebut MeshCentral. Ini adalah aplikasi tujuan ganda, artinya ini adalah alat yang sah yang dapat digunakan untuk tujuan jahat. Karena dapat digunakan untuk tujuan yang sah dan tidak berbahaya, keberadaannya di titik akhir tidak serta merta memicu alarm apa pun, baik dari solusi keamanan atau dari manusia.

Penyerang menandatangani eksekusi MeshCentral dengan sertifikat yang disebut “Emsisoft Server Trusted Network CA”. Kami yakin ini dilakukan untuk membuat pendeteksian aplikasi apa pun tampak positif palsu. Bagaimanapun, salah satu produk kami diinstal dan dijalankan pada titik akhir yang disusupi, sehingga aplikasi yang diduga telah ditandatangani oleh sertifikat Emsisoft dapat dianggap aman dan diizinkan.

Selengkapnya: Emisoft

Aplikasi antivirus tersedia untuk melindungi Anda – Cisco’s ClamAV memiliki kekurangan

February 18, 2023 by Søren

Perangkat lunak antivirus seharusnya menjadi bagian penting dari pertahanan organisasi melawan gelombang malware yang tak ada habisnya.

ClamAV open source Cisco dapat mengisi peran itu – setelah Anda menambal cacat eksekusi kode arbitrer berperingkat 9.8/10 yang diungkapkan raksasa jaringan pada hari Rabu.

“Kerentanan dalam parser file partisi HFS+ dari ClamAV versi 1.0.0 dan sebelumnya, 0.105.1 dan sebelumnya, dan 0.103.7 dan sebelumnya dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer,” kata penasehat keamanan Cisco, yang mengidentifikasi masalah sebagai CVE-2023-20032.

“Kerentanan ini disebabkan oleh pemeriksaan ukuran buffer yang hilang yang dapat mengakibatkan penulisan buffer overflow heap,” dokumen tersebut menjelaskan. “Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan file partisi HFS+ yang dibuat untuk dipindai oleh ClamAV pada perangkat yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dengan hak istimewa proses pemindaian ClamAV, atau merusak proses, mengakibatkan kondisi denial of service (DoS).”

Namun memperbaiki ClamAV bukanlah akhir dari cerita. Mengatasi parser file yang salah juga memerlukan pembaruan untuk produk Cisco lainnya, termasuk perangkat keras Secure Web Appliance. Secure Endpoint Private Cloud juga memerlukan perbaikan, seperti halnya produk Secure Endpoint Cisco (sebelumnya dikenal sebagai Advanced Malware Protection for Endpoints) untuk Linux, Windows, dan macOS.

Untungnya, Cisco tidak mengetahui “pengumuman publik apa pun atau penggunaan berbahaya dari kerentanan yang dijelaskan dalam penasehat ini.”

Tapi bagaimana dengan ClamAV yang gratis dan open source, kelemahan ini kemungkinan besar akan menjadi target yang tidak akan lama diabaikan oleh penjahat dan penjahat.

Selengkapnya: The Register

Para ahli sedang menyelidiki kegagalan beberapa bandara Jerman setelah beberapa media mengaitkannya dengan kemungkinan kampanye peretasan.

February 18, 2023 by Søren

Dugaan serangan siber terjadi sehari setelah kegagalan TI menyebabkan pembatalan dan penundaan ribuan penumpang maskapai nasional Jerman Lufthansa di bandara Frankfurt.

Serangan itu memblokir situs web bandara berikut:

Bandara Hannover
Bandara Dortmund
Bandara Nürnberg
Bandara Karlsruhe/Baden-Baden
Düsseldorf
Erfurt-Weimar

Administrator di bandara mengonfirmasi bahwa masalah tersebut kemungkinan besar disebabkan oleh lalu lintas berbahaya.
“Kami masih memecahkan masalah,” kata juru bicara Bandara Dortmund, menambahkan tidak mungkin kegagalan itu disebabkan oleh kelebihan beban biasa. lapor situs web DW. “Ada alasan untuk menduga itu bisa menjadi serangan peretas,” tambahnya.

Pada awal Januari, kelompok Pro-Rusia Killnet meluncurkan serangan DDoS terhadap situs web bandara, badan administrasi, dan bank Jerman.

Serangan tersebut merupakan respon para hacktivist terhadap keputusan pemerintah Jerman untuk mengirim tank Leopard 2 ke Ukraina.

Kanselir Olaf Scholz mengumumkan keputusan untuk mengirim 14 tank – dan mengizinkan negara lain untuk mengirimnya juga (yang dibatasi sampai sekarang di bawah peraturan ekspor) – pada rapat kabinet pada hari Rabu.

Pada 16 Februari, grup tersebut menyerukan tindakan di saluran Telegramnya terhadap bandara Jerman.

Pada bulan Oktober, kelompok peretas pro-Rusia ‘KillNet’ mengaku bertanggung jawab atas serangan denial-of-service (DDoS) terdistribusi besar-besaran terhadap situs web beberapa bandara utama di AS.

Selengkapnya: Security Affairs

Eksklusif: FBI mengatakan telah ‘berisi’ insiden dunia maya di jaringan komputer biro

February 18, 2023 by Søren

FBI telah menyelidiki dan bekerja untuk membendung insiden dunia maya berbahaya di bagian jaringan komputernya dalam beberapa hari terakhir, menurut orang yang diberi pengarahan tentang masalah tersebut.

Pejabat FBI yakin insiden itu melibatkan sistem komputer FBI yang digunakan dalam penyelidikan gambar eksploitasi seksual anak, kata dua sumber yang menjelaskan masalah tersebut kepada CNN.

“FBI mengetahui insiden itu dan bekerja untuk mendapatkan informasi tambahan,” kata biro itu dalam sebuah pernyataan kepada CNN. “Ini adalah insiden terisolasi yang telah diatasi. Karena ini adalah penyelidikan yang sedang berlangsung, FBI tidak memiliki komentar lebih lanjut untuk diberikan saat ini.”

Pejabat FBI telah bekerja untuk mengisolasi aktivitas dunia maya berbahaya, yang menurut dua sumber melibatkan Kantor Lapangan FBI New York – salah satu kantor profil terbesar dan tertinggi di biro tersebut. Asal usul insiden peretasan masih diselidiki, menurut salah satu sumber.

FBI, seperti lembaga atau perusahaan pemerintah besar mana pun, harus menghadapi serangkaian ancaman online.

Pada November 2021, seseorang menggunakan alamat email sah yang digunakan FBI untuk berkomunikasi dengan penegak hukum negara bagian dan lokal untuk mengirim email palsu ke ribuan organisasi tentang dugaan ancaman dunia maya. FBI mengatakan pada saat itu bahwa mereka memperbaiki kerentanan perangkat lunak terkait insiden tersebut, tetapi biro tersebut belum mengumumkan nama tersangka secara terbuka.

Episode itu menimbulkan kekhawatiran bahwa orang luar dapat memanfaatkan peran penting FBI dalam memperingatkan publik tentang insiden peretasan untuk membuat organisasi berebut untuk mengatasi ancaman peretasan hantu.

Selengkapnya: CNN

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings