Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

CISA memperingatkan bug Ruckus kritis yang digunakan untuk menginfeksi titik akses Wi-Fi

by Leave a Comment

Cybersecurity and Infrastructure Security Agency (CISA) A.S. memperingatkan hari ini tentang kelemahan kritis eksekusi kode jarak jauh (RCE) di panel Ruckus Wireless Admin yang secara aktif dieksploitasi oleh botnet DDoS yang baru ditemukan.

Meskipun bug keamanan ini (CVE-2023-25717) telah diatasi pada awal Februari, banyak pemilik kemungkinan belum menambal titik akses Wi-Fi mereka. Selain itu, tidak ada tambalan yang tersedia bagi mereka yang memiliki model akhir masa pakainya yang terpengaruh oleh masalah ini.

Penyerang menyalahgunakan bug untuk menginfeksi AP Wi-Fi yang rentan dengan malware AndoryuBot (pertama kali terlihat pada Februari 2023) melalui permintaan HTTP GET yang tidak diautentikasi.

Setelah disusupi, perangkat ditambahkan ke botnet yang dirancang untuk meluncurkan serangan Distributed Denial-of-Service (DDoS).

Malware ini mendukung 12 mode serangan DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp- bypass, dan icmp-echo.

Penjahat dunia maya yang ingin meluncurkan serangan DDoS (Distributed Denial of Service) sekarang dapat menyewa daya tembak botnet AndoryuBot, karena operatornya menawarkan layanan mereka kepada orang lain.

Pembayaran untuk layanan ini diterima melalui layanan pembayaran seluler CashApp atau dalam berbagai cryptocurrency, termasuk XMR, BTC, ETH, dan USDT.

selengkapnya : bleepingcomputer

PharMerica Mengungkap Pelanggaran Data yang Berdampak pada 5,8 Juta Individu

by

Dimiliki oleh BrightSpring Health, penyedia layanan kesehatan berbasis rumah dan komunitas, PharMerica mengoperasikan lebih dari 2.500 fasilitas di seluruh AS dan menawarkan lebih dari 3.100 program farmasi dan perawatan kesehatan.

Pada hari Jumat, PharMerica memberi tahu Kantor Kejaksaan Agung Maine bahwa informasi pribadi lebih dari 5,8 juta orang disusupi setelah pihak yang tidak berwenang mengakses sistem komputernya pada bulan Maret.

Pelanggaran data, kata perusahaan dalam surat pemberitahuan yang dikirim ke individu yang terkena dampak, terjadi antara 12 Maret dan 13 Maret.

Informasi pribadi yang dikompromikan selama insiden termasuk nama, alamat, tanggal lahir, nomor Jaminan Sosial, asuransi kesehatan, dan informasi pengobatan.

Dalam beberapa kasus, informasi yang dikompromikan adalah milik individu yang telah meninggal, dan PharMerica mendorong pelaksana atau pasangan yang masih hidup untuk menghubungi agen pelaporan kredit nasional untuk memberi tahu mereka tentang situasi tersebut.

Surat PharMerica tidak memberikan perincian tentang jenis serangan dunia maya yang dideritanya, tetapi tampaknya grup ransomware Money Message bertanggung jawab atas insiden tersebut.

selengkpanya : securityweek.com

Domain ZIP baru memicu perdebatan di antara pakar keamanan siber

by

Awal bulan ini, Google memperkenalkan delapan domain tingkat atas (TLD) baru yang dapat dibeli untuk menghosting situs web atau alamat email.

Domain baru adalah .dad, .esq, .prof, .phd, .nexus, .foo, dan untuk topik artikel kami, TLD domain .zip dan .mov.

Meskipun TLD ZIP dan MOV telah tersedia sejak 2014, baru pada bulan ini TLD menjadi tersedia secara umum, memungkinkan siapa saja untuk membeli domain, seperti bleepingcomputer.zip, untuk situs web.

Namun, domain ini dapat dianggap berisiko karena TLD juga merupakan ekstensi file yang biasanya dibagikan di postingan forum, pesan, dan diskusi online, yang sekarang akan secara otomatis diubah menjadi URL oleh beberapa platform atau aplikasi online.

Dua jenis file umum yang terlihat online adalah arsip ZIP dan video MPEG 4, yang nama filenya diakhiri dengan .zip (arsip ZIP) atau .mov (file video).

Oleh karena itu, sangat umum bagi orang untuk memposting instruksi yang berisi nama file dengan ekstensi .zip dan .mov.

Namun, sekarang mereka adalah TLD, beberapa platform perpesanan dan situs media sosial akan secara otomatis mengonversi nama file dengan ekstensi .zip dan .mov menjadi URL.

selengkapnya : bleepingcomputer.com

Hacker Mengeksploitasi Kerentanan WordPress Dalam Beberapa Jam Setelah Rilis Eksploit PoC

by

Eksploitasi kerentanan mengarah ke serangan cross-site scripting (XSS) di mana pelaku ancaman dapat menyuntikkan skrip berbahaya, pengalihan, iklan, dan bentuk manipulasi URL lainnya ke situs korban. Ini dapat mendorong skrip tidak sah ke pengunjung situs yang terpengaruh tersebut.

Menurut blog Akamai, pelaku ancaman telah mulai mengeksploitasi kerentanan yang baru-baru ini diungkapkan di WordPress, dalam waktu 24 jam setelah eksploitasi proof-of-concept (PoC) diterbitkan oleh perusahaan.

Kerentanan tingkat tinggi CVE-2023-30777 diidentifikasi oleh peneliti Patchstack pada 2 Mei, memungkinkan pengguna yang tidak diautentikasi mencuri informasi sensitif.

Dalam hal ini, eskalasi hak istimewa di situs WordPress dengan mengelabui pengguna yang memiliki hak istimewa untuk mengunjungi jalur URL yang dibuat. Kerentanan yang dijelaskan telah diperbaiki di versi 6.1.6, juga diperbaiki di versi 5.12.6, ”kata Patchstack dalam laporan terperinci pada 5 Mei yang menyertakan contoh muatan.

Peneliti keamanan di Akamai telah menemukan bahwa telah terjadi upaya serangan yang signifikan dalam waktu 48 jam setelah kode sampel diposting. Pelaku ancaman telah menggunakan sampel untuk memindai situs web rentan yang belum menerapkan tambalan atau mengupgrade ke versi terbaru.

Pengamatan menyoroti bahwa waktu respons untuk penyerang menurun dengan cepat, meningkatkan kebutuhan akan manajemen tambalan yang kuat dan cepat.

Dalam aktivitas yang dipantau oleh Akamai, aktor ancaman menyalin dan menggunakan kode sampel Patchstack dari artikel tersebut. Kegiatan ini dilakukan di semua vertikal.

Pelaku ancaman yang disponsori negara juga menggunakan kerentanan yang diketahui untuk mendapatkan akses awal ke organisasi pemerintah dan mengganggu infrastruktur penting, kata Tenable.

Firma keamanan tersebut menyarankan bahwa organisasi harus fokus pada langkah-langkah keamanan siber preventif daripada langkah-langkah keamanan siber pasca-acara reaktif untuk memitigasi risiko. Pembaruan dan tambalan rutin harus diterapkan.

Selengkapnya: arsTechnica

Dark Web ChatGPT Dilepaskan: Meet DarkBERT

by

Kami masih berada di tahap awal dalam efek snowball yang dilepaskan oleh rilis Model Bahasa Besar (LLM) seperti ChatGPT ke alam liar. Dipasangkan dengan sumber terbuka model GPT (Generative Pre-Trained Transformer) lainnya, jumlah aplikasi yang menggunakan AI meledak; dan seperti yang kita ketahui, ChatGPT sendiri dapat digunakan untuk membuat malware yang sangat canggih.

Seiring berjalannya waktu, LLM yang diterapkan hanya akan meningkat, masing-masing berspesialisasi dalam bidangnya sendiri, dilatih dengan data yang dikuratori dengan cermat untuk tujuan tertentu. Dan satu aplikasi semacam itu baru saja diluncurkan, yang dilatih berdasarkan data dari web gelap itu sendiri. DarkBERT, sebagaimana pembuatnya di Korea Selatan menyebutnya, telah tiba — ikuti tautan untuk makalah rilis, yang memberikan pengenalan menyeluruh tentang web gelap itu sendiri.

DarkBERT didasarkan pada arsitektur RoBERTa, sebuah pendekatan AI yang dikembangkan pada tahun 2019. Ini telah mengalami semacam kebangkitan, dengan para peneliti menemukan bahwa sebenarnya memiliki lebih banyak kinerja untuk diberikan daripada yang dapat diekstraksi darinya pada tahun 2019. Tampaknya model tersebut sangat terlatih ketika dirilis, jauh di bawah efisiensi maksimumnya.

Untuk melatih model, para peneliti merayapi Dark Web melalui firewall anonim dari jaringan Tor, dan kemudian memfilter data mentah (menerapkan teknik seperti deduplikasi, penyeimbangan kategori, dan pra-pemrosesan data) untuk menghasilkan database Dark Web. DarkBERT adalah hasil dari basis data yang digunakan untuk memberi makan Model Bahasa Besar RoBERTa, model yang dapat menganalisis bagian baru dari konten Web Gelap — ditulis dalam dialeknya sendiri dan pesan berkode berat — dan mengekstrak informasi berguna darinya.

Mengatakan bahwa bahasa Inggris adalah bahasa bisnis dari Web Gelap tidak akan sepenuhnya benar, tetapi itu adalah ramuan yang cukup spesifik sehingga para peneliti percaya bahwa LLM tertentu harus dilatih tentangnya. Pada akhirnya, mereka benar: para peneliti menunjukkan bahwa DarkBERT mengungguli model bahasa besar lainnya, yang memungkinkan peneliti keamanan dan penegak hukum untuk menembus lebih dalam ke relung web. Lagipula, di situlah sebagian besar aksinya.

Seperti LLM lainnya, itu tidak berarti DarkBERT selesai, dan pelatihan dan penyetelan lebih lanjut dapat terus meningkatkan hasilnya. Bagaimana itu akan digunakan, dan pengetahuan apa yang bisa diperoleh, masih harus dilihat.

sumber : tomshardware.com

Investigatory Powers Tribunal Menemukan bahwa Surat Perintah Peretasan NCA EncroChat adalah Sah

by

Investigatory Powers Tribunal merujuk pertanyaan tentang apakah pesan yang diperoleh dari jaringan telepon terenkripsi EncroChat secara hukum dapat diterima kembali ke pengadilan pidana

Badan Kejahatan Nasional (NCA) secara sah memperoleh surat perintah untuk menerima pesan dari jaringan telepon terenkripsi EncroChat yang diretas yang banyak digunakan oleh penjahat terorganisir, pengadilan menemukan.

Investigatory Powers Tribunal (IPT) menolak klaim dari pengacara pembela bahwa NCA menahan informasi penting ketika mengajukan permohonan kepada hakim senior untuk surat perintah untuk mendapatkan pesan dari jaringan telepon terenkripsi.

Namun dalam langkah hukum yang signifikan, IPT merujuk pertanyaan tentang penerimaan hukum bukti EncroChat kembali ke pengadilan pidana untuk diselesaikan, membuka jalan bagi tantangan hukum lebih lanjut.

Menurut pengadilan, NCA menggunakan email tersebut sebagai dasar untuk permohonan surat perintahnya tanpa meminta konfirmasi tertulis dari Prancis.

Namun, para hakim menolak klaim dari pengacara pembela bahwa keadaan konfirmasi Decou tentang teknik intersepsi seharusnya diungkapkan oleh NCA dalam permohonan surat perintahnya.

Pengacara pembela berpendapat bahwa surat perintah TI akan memungkinkan NCA untuk mendapatkan komunikasi yang disadap selama transmisi, dan juga akan mengizinkan penyadapan pesan yang disimpan di handset EncroChat.

NCA bermaksud mengumpulkan rincian jaringan Wi-Fi yang digunakan oleh ponsel EncroChat, yang akan mengumpulkan data milik anggota masyarakat yang tidak bersalah. Menurut mereka mengatakan, itu merupakan gangguan peralatan massal yang tidak akan disetujui berdasarkan surat perintah TEI NCA.

Putusan menemukan EncroChat telah banyak digunakan untuk tujuan kriminal, mengutip bukti bahwa dari 7.404 ponsel EncroChat yang berbasis di Inggris, 294 tidak menunjukkan hubungan yang jelas dengan kriminalitas.

Setelah putusan, juru bicara NCA mengatakan bahwa pihaknya akan terus bekerja dengan Layanan Kejaksaan Mahkota untuk mengupayakan membawa pelaku ke pengadilan dan melindungi masyarakat dari kejahatan terorganisir yang serius.

Selengkapnya: ComputerWeekly.com

Pembaruan sistem palsu menjatuhkan pencuri Aurora melalui pemuat Printer Tidak Valid

by

Malvertising tampaknya menikmati kebangkitan akhir-akhir ini, apakah itu dari iklan di halaman hasil mesin pencari atau melalui situs web populer. Karena browser saat ini lebih aman daripada 5 atau 10 tahun yang lalu, serangan yang kita lihat semuanya melibatkan beberapa bentuk rekayasa sosial.

Pelaku ancaman menggunakan iklan berbahaya untuk mengalihkan pengguna ke sesuatu yang tampak seperti pembaruan keamanan Windows. Skema ini dirancang dengan sangat baik karena mengandalkan browser web untuk menampilkan animasi layar penuh yang sangat mirip dengan apa yang Anda harapkan dari Microsoft.

Pembaruan keamanan palsu menggunakan loader yang baru diidentifikasi yang pada saat kampanye tidak menyadari kotak pasir malware dan melewati hampir semua mesin antivirus. Kami menulis alat untuk ‘menambal’ loader ini dan mengidentifikasi muatan sebenarnya sebagai pencuri Aurora. Dalam postingan blog ini, kami merinci temuan kami dan bagaimana kampanye ini terhubung dengan serangan lain.

Dalam kampanye malvertising khusus ini, muatan yang digunakan adalah Aurora Stealer, malware populer yang dirancang untuk mengambil kredensial dari sistem.

Malwarebytes menghapus semua sisa ransomware dan mencegah Anda terinfeksi ulang. Ingin mempelajari lebih lanjut tentang bagaimana kami dapat membantu melindungi bisnis Anda? Dapatkan uji coba gratis di bawah ini.

selengkapnya : malwarebytes.com

Mantan insinyur Ubiquiti di balik pencurian data yang “menakjubkan” mendapat hukuman penjara 6 tahun

by

BRAZIL – 2022/03/10: In this photo illustration the logo from the cyber security company Ubiquiti Networks seen displayed on a smartphone. (Photo Illustration by Rafael Henrique/SOPA Images/LightRocket via Getty Images)

Seorang mantan insinyur Ubiquiti, Nickolas Sharp, dijatuhi hukuman enam tahun penjara kemarin setelah mengaku bersalah di pengadilan New York karena mencuri puluhan gigabyte data rahasia, menuntut uang tebusan $1,9 juta dari mantan majikannya, dan kemudian mempublikasikan data tersebut ke publik. ketika tuntutannya ditolak.

Sharp tidak meminta hukuman penjara, memberi tahu Hakim Distrik Amerika Serikat Katherine Polk Failla bahwa serangan dunia maya itu sebenarnya adalah “latihan keamanan tanpa izin” yang menjadikan Ubiquiti “tempat yang lebih aman untuk dirinya sendiri dan untuk kliennya,” lapor Bloomberg. Dalam dokumen pengadilan, Sharp mengklaim bahwa CEO Ubiquiti Robert Pera telah mencegah Sharp untuk “menyelesaikan masalah keamanan yang luar biasa”, dan Sharp mengatakan kepada hakim bahwa hal ini menyebabkan “hiperfiksasi bodoh” dalam memperbaiki kelemahan keamanan tersebut.

Ubiquiti memilih untuk tidak membayar uang tebusan dan malah melibatkan FBI. Segera setelah itu, kesalahan Sharp yang menunjukkan IP rumahnya membuat FBI melacaknya. Di tempat kerja, Sharp menyarankan IP rumahnya dicatat dalam upaya untuk menjebaknya, memberi tahu rekan kerja, “Saya akan sangat tidak kompeten jika saya meninggalkan IP saya di hal yang saya minta, unduh, dan unggah” dan mengatakan bahwa akan menjadi “penyamaran paling buruk yang pernah ada lol.”

Sementara FBI menganalisis semua perangkat kerja Sharp, Sharp menghapus dan menyetel ulang laptop yang dia gunakan dalam serangan itu, tetapi dengan berani meninggalkan laptop itu di rumah, di mana laptop itu disita selama penggeledahan FBI pada Maret 2021.

Setelah pencarian FBI, Sharp mulai menyamar sebagai pembocor rahasia, menghubungi jurnalis dan regulator untuk memberikan peringatan palsu bahwa pengungkapan publik dan tanggapan Ubiquiti terhadap serangan siber tidak memadai.

selengkapnya : arstechnica.com