Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

APT37 Menggunakan Internet Explorer Zero-Day untuk Menyebarkan Malware

by

Grup ancaman Korea Utara APT37 dapat mengeksploitasi kerentanan zero-day Internet Explorer untuk menyebarkan dokumen yang sarat dengan malware sebagai bagian dari kampanye yang menargetkan pengguna di Korea Selatan, termasuk pembelot, jurnalis, dan kelompok hak asasi manusia.

Threat Analysis Group (TAG) milik google menemukan kelemahan zero-day di mesin JScript Internet Explorer pada akhir Oktober, dilacak di bawah CVE-2022-41128, dan sekarang melaporkan bahwa Microsoft responsif dan telah mengeluarkan tambalan yang sesuai.

Untuk memikat calon korban, dokumen jahat tersebut merujuk pada insiden penghancuran massa yang mematikan di Seoul yang terjadi selama perayaan Halloween pada 29 Oktober.

“Insiden ini dilaporkan secara luas, dan iming-iming tersebut memanfaatkan minat publik yang luas terhadap kecelakaan tersebut,” lapor tim TAG. “Ini bukan pertama kalinya APT37 menggunakan eksploitasi 0 hari Internet Explorer untuk menargetkan pengguna.”

sumber : dark reading

Cisco mengungkapkan kerentanan zero-day tingkat tinggi pada IP Phone dengan exploit code

by

Cisco hari ini mengungkapkan kerentanan zero-day dengan tingkat keparahan tinggi yang memengaruhi generasi terbaru telepon IP-nya dan membuat mereka terkena eksekusi kode jarak jauh dan serangan denial of service (DoS).

Namun, PSIRT Cisco menambahkan bahwa pihaknya belum mengetahui adanya upaya untuk mengeksploitasi kelemahan keamanan ini dalam serangan.

CVE-2022-20968, saat kelemahan keamanan dilacak, disebabkan oleh validasi input yang tidak mencukupi dari paket Cisco Discovery Protocol yang diterima, yang dapat dieksploitasi oleh penyerang yang berdekatan dan tidak diautentikasi untuk memicu stack overflow.

Perangkat yang terpengaruh termasuk telepon IP Cisco yang menjalankan firmware Seri 7800 dan 8800 versi 14.2 dan sebelumnya.

Mitigasi tersedia untuk beberapa perangkat

Meskipun pembaruan keamanan untuk mengatasi CVE-2022-20968 atau solusinya belum tersedia, Cisco memberikan saran mitigasi untuk admin yang ingin mengamankan perangkat yang rentan di lingkungannya dari potensi serangan.

Ini memerlukan penonaktifan Cisco Discovery Protocol pada perangkat IP Phone 7800 dan 8800 Series yang terpengaruh yang juga mendukung Link Layer Discovery Protocol (LLDP) untuk penemuan tetangga.

“Perangkat kemudian akan menggunakan LLDP untuk menemukan data konfigurasi seperti VLAN suara, negosiasi daya, dan sebagainya,” jelas Cisco dalam penasehat keamanan yang diterbitkan Kamis.
Admin yang ingin menerapkan mitigasi ini disarankan untuk menguji keefektifan dan penerapannya di lingkungan mereka.

Cisco memperingatkan bahwa “pelanggan tidak boleh menggunakan solusi atau mitigasi apa pun sebelum terlebih dahulu mengevaluasi penerapannya pada lingkungan mereka sendiri dan dampak apa pun terhadap lingkungan tersebut.”

Sumber : bleeping computer

PC dengan Celah Udara Rentan Terhadap Pencurian Data Melalui Radiasi

by

Metode serangan baru bernama COVID-bit menggunakan gelombang elektromagnetik untuk mengirimkan data dari sistem celah udara, yang diisolasi dari internet, pada jarak minimal dua meter (6,5 kaki), yang ditangkap oleh penerima.

Informasi yang berasal dari perangkat yang diisolasi dapat diambil oleh smartphone atau laptop terdekat, bahkan jika keduanya dipisahkan oleh dinding.

kompromi awal
Sistem celah udara fisik adalah komputer yang biasanya ditemukan di lingkungan berisiko tinggi seperti infrastruktur energi, pemerintah, dan unit kontrol senjata, sehingga diisolasi dari internet publik dan jaringan lain untuk alasan keamanan.

Meskipun kedengarannya tidak praktis atau bahkan tidak masuk akal, serangan semacam itu telah terjadi, beberapa contohnya adalah worm Stuxnet di fasilitas pengayaan uranium Iran di Natanz, Agen.BTZ yang menginfeksi pangkalan militer AS, dan pintu belakang modular Remsec yang mengumpulkan informasi dari jaringan pemerintah yang tertutup udara selama lebih dari lima tahun.

Gelombang elektromagnetik dapat membawa muatan data mentah, mengikuti rangkaian delapan bit yang menandakan awal transmisi.

Perubahan frekuensi CPU dan spektogram muatan (arxiv.org)

Penerima dapat berupa laptop atau smartphone menggunakan antena loop kecil yang dihubungkan ke jack audio 3,5 mm, yang dapat dengan mudah dipalsukan dalam bentuk headphone/earphone.

Smartphone dapat menangkap transmisi, menerapkan filter pengurangan kebisingan, mendemodulasi data mentah, dan akhirnya memecahkan kode rahasianya.

Penyerang di area yang kurang aman menerima data rahasia (arxiv.org)

Melindungi dari COVID-bit
Pertahanan paling efektif terhadap serangan COVID-bit adalah dengan membatasi secara ketat akses ke perangkat dengan celah udara untuk mencegah pemasangan malware yang diperlukan. Namun, ini tidak melindungi Anda dari ancaman orang dalam.

Untuk serangan ini, para peneliti merekomendasikan untuk memantau penggunaan inti CPU dan mendeteksi pola pemuatan mencurigakan yang tidak sesuai dengan perilaku yang diharapkan komputer.

Namun, penanggulangan ini datang dengan peringatan memiliki banyak false positive dan menambahkan overhead pemrosesan data yang mengurangi kinerja dan meningkatkan konsumsi energi.

Penanggulangan lain adalah mengunci frekuensi inti CPU pada angka tertentu, membuat pembangkitan sinyal pembawa data menjadi lebih sulit, bahkan jika tidak menghentikannya sepenuhnya.

sumber : bleeping computer

Clop Ransomware Menggunakan Malware TrueBot Untuk Akses ke Jaringan

by

Peneliti keamanan telah memperhatikan lonjakan perangkat yang terinfeksi pengunduh malware TrueBot yang dibuat oleh grup peretasan berbahasa Rusia yang dikenal sebagai Silence.

Grup Silence dikenal karena perampokannya yang besar terhadap lembaga keuangan, dan telah mulai beralih dari phishing sebagai vektor kompromi awal.

Infeksi truebot

silence hackers telah menanam malware mereka di lebih dari 1500 sistem di seluruh dunia untuk mengambil shellcode, cobalt strike beacon the grace malwaare

Kampanye baru dianalisis oleh para peneliti di Cisco Talos, yang mengamati beberapa vektor serangan baru yang digunakan sejak Agustus 2022. para peretas menginfeksi sistem dengan Truebot (Silence.Downloader) setelah mengeksploitasi kerentanan kritis di server Netwrix Auditor yang dilacak sebagai CVE-2022- 31199.

Laporan dari Microsoft pada bulan Oktober telah menghubungkan worm dengan distribusi ransomware Clop oleh aktor ancaman yang mereka lacak sebagai DEV-0950, yang aktivitas jahatnya tumpang tindih dengan FIN11 dan TA505 (dikenal menggunakan Clop).

Truebot adalah modul tahap pertama yang dapat mengumpulkan informasi dasar dan mengambil tangkapan layar. Itu juga mengekstraksi informasi hubungan kepercayaan Direktori Aktif yang membantu aktor ancaman merencanakan aktivitas pasca-infeksi.

Diagram Fungsi Truebot (Cisco Talos)

Alat eksfiltrasi data teleport baru

Pada fase pasca-kompromi, peretas menggunakan Truebot untuk menjatuhkan beacon Cobalt Strike atau malware Grace (FlawedGrace, GraceWire), yang dikaitkan dengan kelompok penjahat dunia maya TA505.

Setelah itu, penyusup menyebarkan Teleport, yang digambarkan Cisco sebagai alat kustom baru yang dibangun di C++ yang membantu peretas mencuri data secara diam-diam.

Saluran komunikasi antara Teleport dan server C2 dienkripsi. Operator dapat membatasi kecepatan unggah, memfilter file berdasarkan ukuran untuk mencuri lebih banyak, atau menghapus muatan. Semua ini dirancang untuk menjaga profil rendah pada mesin korban.

Teleportasi juga menampilkan opsi untuk mencuri file dari folder OneDrive, mengumpulkan email Outlook korban, atau menargetkan ekstensi file tertentu.

Dalam beberapa kasus, penyerang menyebarkan ransomware Clop setelah berpindah secara lateral ke sebanyak mungkin sistem dengan bantuan Cobalt Strike.

Aktivitas pasca-infeksi yang mengarah ke penerapan Clop (Cisco Talos)

Aktivitas silence gang
Silence melanjutkan serangan mereka dan dalam tiga tahun antara 2016 dan 2019 mereka mencuri setidaknya $4,2 juta dari bank-bank di bekas Uni Soviet, Eropa, Amerika Latin, dan Asia,

Pada dasarnya, mereka hanya menyerang organisasi di Russia namun Silence memperluas kemampuan mereka hingga titik global.

sumber : bleeping computer

Vendor Teknologi Besar Menolak Mandat SBOM Pemerintah AS

by

Mandat pemerintah AS seputar pembuatan dan pengiriman SBOM (Software Bill of Materials) untuk membantu mengurangi serangan rantai pasokan telah mendapat penolakan keras dari vendor teknologi ternama.

Grup perdagangan, yang disebut ITI (Dewan Industri Teknologi Informasi), dalam suratnya kepada OMB menyatakan bahwa SBOM saat ini tidak dapat diskalakan atau dikonsumsi, dan masih dirasa terlalu dini dan utilitas terbatas bagi produsen perangkat lunak untuk menyediakan SBOM.

Selain menyatakan keberatan yang disertai bukti dalam serangkaian tantangan praktis terkait implementasi, vendor teknologi juga menandai kekhawatiran seputar keamanan informasi hak milik sensitif yang dapat dikumpulkan melalui SBOM dan dipegang oleh agen federal dan meminta klarifikasi seputar definisi artefak dan perlindungan yang akan diberikan untuk melindungi informasi sensitif.

NTIA Departemen Perdagangan A.S. telah mengadvokasi SBOM dengan berbagai dokumentasi baru termasuk sekilas SBOM, dokumen FAQ mendetail, tinjauan dua halaman informasi tingkat tinggi tentang SBOM, dan serangkaian Video Penjelasan SBOM di YouTube.

Secara terpisah, Linux Foundation open-source pun telah merilis sejumlah penelitian, pelatihan, dan alat industri baru yang ditujukan untuk mempercepat penggunaan SBOM dalam pengembangan perangkat lunak yang aman.

Mandat SBOM yang dimasukkan dalam perintah eksekutif keamanan siber dan dikeluarkan Mei lalu, membuat para pemimpin keamanan berebut untuk memahami konsekuensinya dan bersiap untuk efek samping. Pada intinya, SBOM dimaksudkan untuk menjadi catatan definitif dari hubungan rantai pasokan antara komponen yang digunakan saat membangun produk perangkat lunak.

Selengkapnya: securityweek

Telstra Menyalahkan Pelanggaran Privasi pada ‘Ketidaksejajaran Basisdata’

by

Telstra telah mengungkapkan pelanggaran privasi, yang dilaporkan melibatkan lebih dari 130.000 pelanggan yang detailnya salah dipublikasikan secara online melalui Directory Assistance dan White Pages padahal seharusnya tidak dicantumkan.

Kepala keuangan perusahaan telekomunikasi, Michael Ackland, mengatakan sedang dalam proses memberitahu pelanggan yang terpengaruh dan menghapus mereka. Pelanggaran tersebut merupakan insiden kedua dalam satu tahun untuk Telstra yang melibatkan detail pelanggan yang tidak terdaftar. Beliau memohon maaf dan menyebutkan bahwa perusahaan telekomunikasi itu sedang melakukan penyelidikan internal untuk lebih memahami bagaimana hal itu terjadi dan untuk melindunginya agar tidak terjadi lagi.

Menurut Ackland, ketidaksejajaran basis data yang digunakan untuk menyediakan Directory Assistance dan the White Pages menyebabkan detail pelanggan yang memilih tidak terdaftar menjadi terdaftar secara tidak benar.

Selengkapnya: itnews

Apple mengumumkan rencana untuk mengenkripsi cadangan iCloud

by

apel mengumumkan pada hari Rabu bahwa mereka berencana untuk mengizinkan pengguna mengenkripsi jenis data iCloud tambahan di servernya, termasuk cadangan lengkap, foto, dan catatan.

Fitur tersebut, yang disebut Perlindungan Data Lanjutan, akan mencegah Apple melihat konten dari beberapa data pengguna paling sensitif yang disimpan di servernya dan akan membuat Apple tidak mungkin menyediakan konten cadangan terenkripsi kepada penegak hukum.

Sementara Apple sebelumnya telah mengenkripsi banyak data yang disimpannya di server, seluruh cadangan perangkat yang mencakup pesan teks, kontak, dan data penting lainnya tidak dienkripsi ujung ke ujung, dan Apple sebelumnya memiliki akses ke konten cadangan.

Aparat penegak hukum di seluruh dunia umumnya menentang enkripsi karena memungkinkan tersangka untuk “menjadi gelap” dan menolak akses penegakan hukum ke bukti potensial yang sebelumnya dapat mereka akses di bawah tingkat keamanan yang lebih rendah.

Pada tahun 2018, CEO Apple Tim Cook mengatakan dalam sebuah wawancara bahwa salah satu faktor dalam pengambilan keputusan Apple seputar pencadangan iCloud terenkripsi ujung ke ujung adalah penggunanya mengharapkan Apple dapat membantu memulihkan data mereka. Jika pengguna lupa kata sandinya, dan mereka mengaktifkan Perlindungan Data Lanjutan, Apple tidak akan dapat memulihkan akun karena tidak memiliki kunci enkripsi yang diperlukan.

Apple juga mengumumkan dua fitur keamanan lainnya pada hari Rabu. Pengguna akan segera dapat menggunakan kunci fisik sebagai perlindungan faktor kedua untuk login ID Apple. Pembaruan lain memungkinkan pengguna menghadapi ancaman keamanan yang signifikan untuk mengonfirmasi bahwa pesan teks tidak dicegat.

sumber : cnbc

Telegram Menjual Nomor Telepon Palsu untuk Crypto

by

Telegram telah memfasilitasi penjualan nama pengguna senilai lebih dari $50 juta dalam lelang crypto, dan sekarang ingin melelang nomor telepon palsu untuk memungkinkan akses ke platform.

Telegram mengatakan itu memungkinkan untuk mengakses aplikasi dengan “menggunakan nomor anonim bertenaga blockchain” yang sekarang dilelang untuk crypto di platform crypto Fragment perusahaan sendiri. Meskipun pengguna dapat mengakses Telegram dengan nomor telepon terenkripsi, itu sekarang memberi pengguna aplikasi cara untuk melakukannya secara lebih anonim, selama mereka bersedia membuka dompet crypto mereka.

Perlu dicatat bahwa pasar Fragmen tidak tersedia di A.S. Setelah terhubung ke layanan dengan VPN, ini menunjukkan beberapa nomor hanya di bawah $40 dengan enam hari tersisa untuk menawar, sementara nomor lain, seperti 888-8 -888, terjual lebih dari $61.850 dengan dua minggu tersisa dalam proses penawaran. Masalahnya, Anda tidak dapat menggunakan nomor-nomor itu untuk apa pun selain mendaftar ke Telegram, yang membuat gagasan “lelang” menjadi lebih gila.

Telegram telah secara agresif memonetisasi platformnya selama setahun terakhir untuk menghasilkan lebih banyak uang dari 700 juta pengguna aktif globalnya. Pada hari Selasa, CEO Telegram Pavel Durov mengatakan di saluran resminya bahwa perusahaannya memiliki lebih dari 1 juta orang yang membayar Telegram Premium, yang dirilis hanya lima bulan lalu, meskipun pelanggan premium hanya mewakili “sebagian kecil” dari keseluruhan pendapatan mereka.

Fragmen juga merupakan tempat Telegram menjual nama pengguna populer untuk mendapatkan sedikit uang kripto tambahan. Tampaknya Telegram dan kecintaannya yang baru terhadap crypto tidak cocok dengan regulator AS, seperti yang telah terbukti di masa lalu.

Pada 30 November, CEO mengklaim di halamannya bahwa Fragment telah menjual nama pengguna senilai $50 juta dalam waktu kurang dari sebulan. Dia mengatakan dia memiliki tujuan untuk menambahkan dompet kripto dan pertukaran kripto yang “terdesentralisasi” ke dalam platform Fragmen, tampaknya mengabaikan apa yang terjadi terakhir kali ketika perusahaannya dipukul terbalik oleh SEC. Meskipun dunia crypto telah diguncang oleh korupsi yang dirinci oleh ledakan pertukaran crypto FTX, Durov secara terbuka menyerukan manfaat “desentralisasi” dalam crypto dan bagaimana teknologi blockchain “akhirnya harus dapat memenuhi misi intinya – memberikan kekuasaan kembali kepada rakyat.”

sumber : gizmodo