News 66 - Naga Cyber Defense

Jika kueri DNS Anda terlihat seperti ini, itu bukan catatan tebusan, ini adalah peningkatan keamanan

January 20, 2023 by Søren

Google telah mulai mengaktifkan pengacakan kasus secara luas dalam kueri domain yang dikirim ke server nama otoritatif, dalam upaya untuk membuat serangan peracunan cache menjadi kurang efektif.

Ini berarti kueri untuk domain seperti example.com, jika ditangani oleh DNS Publik Google, dapat diformat ulang eXaMpLe.com saat permintaan dikirimkan ke server DNS untuk mencari. Meskipun hal ini mungkin diperhatikan oleh admin yang memeriksa lalu lintas jaringan, pemformatan pedas tidak terlihat oleh masyarakat umum sehingga tidak ada yang lebih bijak – jika semuanya berjalan dengan baik.

Saat orang mencoba mengunjungi situs web – seperti thereregister.com – browser atau aplikasi apa pun yang mereka gunakan, kueri nama domain situs tersebut menggunakan Sistem Nama Domain (DNS) untuk menemukan alamat IP untuk server yang menghosting situs tersebut. Permintaan DNS seperti itu biasanya melewati layanan DNS rekursif yang menghubungi server nama lain hingga akhirnya mendapat jawaban dari server nama resmi.

Untuk mempercepat proses multi-langkah ini, respons kueri DNS dapat di-cache oleh server nama perantara ini. Ini membuka kemungkinan serangan peracunan cache.

Serangan semacam itu melibatkan memukul salah satu server nama perantara ini dengan banyak kueri DNS untuk domain yang tidak ada dalam cache-nya. Server korban kemudian menghubungi server nama lain yang dapat membantunya menjawab pertanyaan ini. Pada saat yang sama, penyerang membanjiri server korban dengan respons palsu yang disamarkan agar terlihat seperti respons resmi dari server nama lain tersebut.

Selengkapnya: The Register

Malware Batloader Menyalahgunakan Alat yang Sah, Menggunakan File JavaScript yang Dikaburkan dalam Serangan Q4 2022

January 20, 2023 by Søren

Kami membahas kampanye malware Batloader yang kami amati pada kuartal terakhir tahun 2022, termasuk analisis kami tentang peristiwa terkait Water Minyades (Ini adalah rangkaian intrusi yang kami lacak di balik pembuatan Batloader).

Batloader (terdeteksi oleh Trend Micro sebagai Trojan.Win32.BATLOADER), adalah keluarga malware akses awal yang dikenal menggunakan teknik malvertising dan menggunakan malware berbasis skrip di dalam paket Instalasi Perangkat Lunak Microsoft (MSI) yang diunduh dari paket yang terlihat sah namun berbahaya situs web. Awal tahun ini, peneliti Mandiant mengamati Batloader menggunakan teknik keracunan mesin pencari (SEO) dalam serangannya.

Batloader dikaitkan dengan set intrusi yang kami beri nama “Water Minyades”. Para pelaku di balik Water Minyades dikenal mengirimkan malware lain selama kuartal terakhir tahun 2022, seperti Qakbot, RaccoonStealer, dan Bumbleloader melalui teknik rekayasa sosial.

Batloader biasanya tiba melalui situs web jahat yang menyamar sebagai perangkat lunak atau aplikasi yang sah. Korban dapat dialihkan ke situs web ini melalui teknik malvertising dan komentar palsu di forum yang berisi tautan yang mengarah ke situs web distribusi Batloader.

Water Minyades dikenal sangat mengandalkan teknik penghindaran pertahanan, salah satunya adalah menyebarkan payload dengan ukuran file yang sangat besar untuk menghindari analisis kotak pasir dan batas ukuran file mesin antivirus.

Water Minyades juga menyalahgunakan alat yang sah, seperti alat manajemen sistem NSudo dan alat enkripsi email dan file Gpg4win, untuk meningkatkan hak istimewa dan mendekripsi muatan berbahaya.

TRENDMICRO

Intel, AMD baru saja membuat sakit kepala untuk pusat data

January 20, 2023 by Coffee Bean

Prosesor server AMD Epyc 4 Genoa diumumkan akhir tahun lalu, dan silikon xeon scalable generasi keempat yang telah lama ditunggu-tunggu diliris awal bulan ini, adalah chip duo yang paling kuat dan haus daya hingga saat ini, masing masing menyedot 400W dan 350W setidaknya diujung atas tumpukan produk.

Kecenderungan cepat menuju sistem yang lebih panas dan lebih padat daya membalikkan asumsi lama tentang perencanaa kapasitaas pusat data, menurut Uptime, yang menambahkan: “Tren ini akan segara mencapai titik ketika memulai mengacaukan asumsi desain fasilitas yang ada.”

Tetap dingin
Memberdayakan sistem ini bukan satu-satunya tantangan yang dihadapi operator pusat data. Semua komputer pada dasarnya adalah pemanas ruang yang mengubah listrik menjadi pekerjaan komputasi dengan produk sampingan menjadi energi panas.

“Ini adalah masalah utama: menghilangkan volume panas suhu rendah yang lebih besar secara termodinamika menantang,” tulis para analis. “Banyak fasilitas ‘warisan’ terbatas kemampuannya untuk memasok aliran udara yang diperlukan untuk mendinginkan TI berdensitas tinggi.”

Untuk memitigasi hal ini, American Society of Heating, Refrigerating and Air-Conditioning Engineers (ASHRAE) telah mengeluarkan rekomendasi operasi yang direvisi [PDF] untuk pusat data termasuk ketentuan untuk area suhu rendah khusus.

Listrik semakin mahal
Dan mungkin ada alasan bagus untuk melakukan hal itu, menurut penelitian Uptime, yang menunjukkan bahwa harga energi diperkurakan akan terus naik selama beberapa tahun ke depan.

“Harga listrik berada pada lintasan naik sebelum invasi Rusia ke Ukraina. Harga grosir listrik sudah ditutup – baik di pasar Eropa dan AS – pada tahun 2021,” kata Uptime.

selengkapnya : theregister

Apple Menghadapi Gugatan Gugatan Kelompok Ketiga Atas Pengumpulan Data Setelah Cerita Gizmodo

January 20, 2023 by Coffee Bean

Sekarang Apple menghadapi gugatan class action ketiga atas masalah tersebut, kali ini di New York, menandai tindakan hukum ketiga terhadap perusahaan atas dilema data ini. Kasus ini e=meminta gantu rugi sebesar $5 juta.

Namun sejauh ini, perusahaan tersebut menolak untuk membela diri terhadap Gizmodo, atau outlet media lainnya. Kami telah bertanya kepada Apple tentang masalah tersebut pada enam kesempatan terpisah sejak Gizmodo secara eksklusif melaporkan masalah tersebut November lalu. Apple tidak menanggapi, dan masih belum mengatakan apa pun secara terbuka tentang masalah tersebut.

Pengaturan privasi iPhone Analytics mengatakan bahwa itu akan “menonaktifkan berbagi Analisis Perangkat sama sekali” saat Anda mematikannya. Kebijakan privasi analitik Apple mengatakan bahwa “tidak ada informasi yang dikumpulkan yang mengidentifikasi Anda secara pribadi.” Tetapi ketika peneliti dari perusahaan pengembangan perangkat lunak Mysk menguji klaim tersebut, mereka menemukan bahwa keduanya tidak benar.

Terlepas dari klaim Apple bahwa informasi tersebut tidak dapat diidentifikasi, data tersebut dikirimkan dengan nomor ID permanen yang terkait dengan akun iCloud, yang menautkan data ke nama, alamat email, dan nomor telepon Anda.

Belum lagi kampanye iklan privasi ucapan selamat diri Apple selama bertahun-tahun. Perusahaan telah menghiasi papan reklame raksasa di seluruh negeri dengan frasa bernas seperti “iPhone Anda tahu banyak tentang Anda. Tapi kami tidak.” Menurut trio tuntutan hukum, bukan itu masalahnya.

sumber : gizmodo

Lebih dari 4.400 Server Firewall Sophos tetap Rentan Terhadap Eksploitasi Kritis

January 19, 2023 by Coffee Bean

Lebih dari 4.400 server yang terpapar Internet menjalankan versi Sophos Firewall yang rentan terhadap eksploitasi kritis yang memungkinkan peretas mengeksekusi kode berbahaya, seorang peneliti memperingatkan.

CVE-2022-3236 adalah kerentanan injeksi kode yang memungkinkan eksekusi kode jarak jauh di Portal Pengguna dan Webadmin Sophos Firewall. Ini membawa peringkat keparahan 9,8 dari 10.

Menurut penelitian yang diterbitkan baru-baru ini, lebih dari 4.400 server yang menjalankan firewall Sophos tetap rentan. Itu menyumbang sekitar 6 persen dari semua firewall Sophos, kata perusahaan keamanan VulnCheck, mengutip angka dari pencarian di Shodan.

“Lebih dari 99% Sophos Firewall yang terhubung ke Internet belum ditingkatkan ke versi yang berisi perbaikan resmi untuk CVE-2022-3236,” tulis peneliti VulnCheck, Jacob Baines. “Tetapi sekitar 93% menjalankan versi yang memenuhi syarat untuk hotfix, dan perilaku default firewall adalah mengunduh dan menerapkan hotfix secara otomatis (kecuali dinonaktifkan oleh administrator).

“Kode yang rentan hanya tercapai setelah CAPTCHA divalidasi,” tulis Baines. “CAPTCHA yang gagal akan mengakibatkan kegagalan eksploitasi. Meskipun bukan tidak mungkin, menyelesaikan CAPTCHA secara terprogram merupakan rintangan tinggi bagi sebagian besar penyerang. Sebagian besar Sophos Firewall yang terhubung ke Internet tampaknya mengaktifkan CAPTCHA login, yang berarti, bahkan pada saat yang paling tepat, kerentanan ini tidak mungkin berhasil dieksploitasi dalam skala besar.”

Ini adalah kesempatan yang baik untuk mengingatkan para pengguna ini, serta semua pengguna perangkat lunak usang jenis apa pun, untuk mengikuti praktik keamanan terbaik dan memutakhirkan ke versi terbaru yang tersedia, seperti yang dilakukan Sophos secara rutin kepada pelanggannya.”

selengkapnya : arstechnica

Serangan Ransomware pada Perangkat Lunak maritim Berdampak pada 1.000 Kapal

January 19, 2023 by Coffee Bean

Sekitar 1.000 kapal terkena dampak serangan ransomware terhadap pemasok perangkat lunak utama untuk kapal.

DNV berbasis Oslo – salah satu organisasi maritim terbesar di dunia – mengatakan bahwa mereka terkena ransomware pada malam tanggal 7 Januari dan terpaksa mematikan server TI yang terhubung ke sistem ShipManager mereka.

DNV mengatakan sedang bekerja dengan polisi Norwegia dan perusahaan keamanan IT untuk menanggapi insiden tersebut.

Serangan terhadap DNV adalah yang terbaru yang mempengaruhi industri perkapalan. Dua minggu lalu, Port of Lisbon menjadi sasaran kelompok ransomware LockBit dan Eropa melihat serangkaian serangan ransomware di pelabuhan sepanjang tahun 2022.

Perusahaan minyak Oiltanking dan Mabanaft, keduanya dimiliki oleh konglomerat logistik Jerman Marquard & Bahls, mengalami serangan siber yang melumpuhkan sistem bongkar muat mereka pada Februari 2022. Oiltanking mengatakan “menyatakan force majeure” akibat serangan tersebut.

Pada bulan November, Sekretaris Departemen Keamanan Dalam Negeri A.S. Alejandro Mayorkas mengatakan kepada Kongres bahwa ancaman paling signifikan terhadap pelabuhan A.S. adalah serangan dunia maya.

“Kami meningkatkan tingkat teknologi di mana pelabuhan kami beroperasi dan itulah mengapa tidak hanya Bea Cukai dan Perlindungan Perbatasan yang memiliki fokus pada keamanan siber tetapi juga Penjaga Pantai Amerika Serikat,” kata Mayorkas.

“Saya akan mengidentifikasi, sehubungan dengan port kami, keamanan siber, sebagai aliran ancaman yang signifikan dan kami tentu saja sangat fokus untuk mempertahankannya dan memperkuat keamanan siber kami.”

sumber : therecord

Peretas pro-Rusia Mengklaim Melanggar Samsung

January 19, 2023 by Flamango

Genesis Day, kelompok peretas pro-Rusia, mengklaim telah melanggar server internal Samsung atas kerja sama Korea Selatan dengan NATO.

Penyerang memposting iklan di forum peretasan populer, menuduh mereka melanggar konglomerat manufaktur Korea Selatan Samsung.

Genesis Day mengklaim menemukan jalan mereka ke layanan FTP internal Samsung yang digunakan oleh Samsung Group di Korea Selatan.

Pelaku ancaman mengumumkan dugaan pelanggaran (Cybernews)

Berdasarkan sampel data yang diselidiki oleh tim peneliti Cybernews, diduga mencakup manual perusahaan Samsung untuk masuk, kata sandi karyawan, dan beberapa video pendidikan. Namun, sampel data tidak dianggap mengandung data sensitif.

Penyerang mencoba membangun momentum, menjanjikan untuk membocorkan data tambahan sebesar 2,4 GB yang dicuri dari konglomerat Korea Selatan tersebut.

Sementara motivasi aktor ancaman pro-Rusia kemungkinan besar akan memajukan kepentingan Kremlin di Ukraina, alasan di balik serangan itu tampaknya tidak jelas.

Selengkapnya: cybernews

Royal Mail Mendesak Pelanggan untuk Tidak Mengirim Barang ke Luar Negeri Setelah Serangan Siber

January 19, 2023 by Flamango

Royal Mail mengeluarkan peringatan kepada pelanggan setelah serangan siber di luar negeri. Royal Mail belum membuat pembaruan apa pun tentang kapan insiden tersebut kemungkinan akan diselesaikan.

Layanan pos memperingatkan pelanggan untuk sementara tidak mengirim barang ke luar negeri dulu. Namun, Royal Mail tidak memberikan pembaruan apa pun mengenai kapan insiden tersebut kemungkinan akan diselesaikan dan pengiriman akan dilanjutkan.

Sebuah pusat distribusi Royal Mail di Irlandia Utara mengungkapkan printernya mulai memuntahkan salinan catatan tebusan pada hari Selasa, dengan mengatakan ‘data Anda dicuri dan dienkripsi’.

Royal Mail tidak akan mengomentari laporan peretasan tersebut, tetapi mengatakan telah meluncurkan penyelidikan insiden tersebut dan telah melaporkannya kepada regulator dan otoritas keamanannya.

Royal Mail juga meminta pelanggan untuk tidak mengirim barang internasional sampai pemberitahuan lebih lanjut demi mendukung pemulihan yang lebih cepat dan mencegah penumpukan barang yang diekspor di jaringannya.

Gangguan yang sudah dialami beberapa bulan terakhir ini menyebabkan malapetaka bagi bisnis yang mengandalkan layanan pengiriman.

Selengkapnya: edinburghlive

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings