Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

TSA Merencanakan Regulasi Risiko Siber untuk Sektor Pipa dan Kereta Api

by

Administrasi Keamanan Transportasi memanggil otoritas yang ada sejak pembentukannya pasca 9/11 dalam pemberitahuan sebelumnya tentang usulan pembuatan aturan yang menyerukan program manajemen risiko dunia maya untuk perusahaan pipa dan kereta api.

Pemberitahuan awal – biasanya langkah pertama dari prosedur pembuatan aturan pemberitahuan dan komentar federal – adalah bagian dari upaya administrasi Biden yang lebih luas untuk menekan operator infrastruktur kritis ke dalam keamanan dunia maya yang lebih baik, upaya yang dilakukan setelah gangguan pasokan bensin pada Mei 2021 di selatan Amerika dan Pantai Timur setelah peretas yang berbasis di Rusia melakukan serangan ransomware pada pemasok pipa utama.

Industri jalur pipa dan kereta api telah berada di bawah regulasi keamanan siber yang ditingkatkan melalui arahan TSA yang mengamanatkan langkah-langkah seperti rencana tanggap insiden, kebijakan segmentasi jaringan, dan pemantauan berkelanjutan (lihat: TSA Menerbitkan Arahan Keamanan Siber Baru untuk Jalur Pipa Minyak).

Badan tersebut mengatakan program manajemen risiko dunia maya federal akan melampaui arahan tersebut untuk meningkatkan fokus industri pada ketahanan operasional. “Pencegahan saja tidak cukup,” kata pemberitahuan itu. Industri harus berasumsi bahwa penyerang akan mengganggu sistem, yang berarti bahwa “kapasitas dan kemampuan untuk merespons dan pulih dengan cepat saat insiden keamanan siber terjadi adalah kunci untuk mengurangi gangguan dan memastikan operasi yang tangguh.”

TSA mengatakan tidak tertarik untuk memaksakan “persyaratan statis”, yang menyatakan bahwa program manajemen risiko harus mendorong penilaian berkelanjutan terhadap lingkungan ancaman dan penerapan kontrol keamanan yang dinamis.

Selengkapnya: Gov Info Security

Pejabat Vanuatu beralih ke buku telepon dan mesin tik, satu bulan setelah serangan dunia maya

by

Satu bulan setelah serangan dunia maya meruntuhkan server dan situs web pemerintah di Vanuatu, para pejabat yang frustrasi masih menggunakan akun Gmail pribadi, laptop pribadi, pulpen dan kertas, dan mesin tik untuk menjalankan pemerintahan perdana menteri, Ismael Kalsakau, yang mulai menjabat. hanya beberapa hari setelah kecelakaan itu.

Serangan malware pada jaringan negara telah menyebabkan keterlambatan komunikasi dan koordinasi di negara kepulauan Pasifik berpenduduk 314.000 orang dan 80 pulau itu.

Orang-orang menggunakan Yellow Pages online atau direktori hard copy telepon untuk menemukan nomor telepon pemerintah. Beberapa kantor beroperasi dari halaman Facebook dan Twitter mereka.

Masalahnya dimulai sekitar sebulan yang lalu, ketika aktivitas phishing yang mencurigakan pertama kali diketahui melalui email ke Kementerian Keuangan, menurut seorang analis keuangan yang bekerja sama dengan tim keamanan siber kementerian.

Malware tersebut merusak hampir semua email pemerintah dan arsip situs web. Banyak departemen masih menggunakan drive komputer lokal untuk menyimpan data, berbeda dengan server web atau cloud. Tidak ada informasi resmi yang dirilis tentang apakah permintaan tebusan dibuat oleh para peretas.

“Butuh waktu lebih lama untuk pembayaran [dari Kementerian Keuangan] untuk keluar, tapi … toh kami selalu dalam waktu Vanuatu,” kata analis keuangan itu.

Departemen pemerintah telah berjuang untuk tetap terhubung, membuat frustrasi pejabat, dengan solusi dadakan yang diterapkan untuk komunikasi antara lembaga dan departemen. Banyak kantor pemerintah pulau terluar mengalami keterlambatan tajam dalam pelayanan.

Selengkapnya: The Guardian

Peneliti keamanan siber menghapus botnet DDoS secara tidak sengaja

by

Saat menganalisis kemampuannya, peneliti Akamai secara tidak sengaja menghapus botnet cryptomining yang juga digunakan untuk serangan denial-of-service (DDoS) terdistribusi.

Seperti terungkap dalam laporan yang diterbitkan awal bulan ini, malware KmsdBot di balik botnet ini ditemukan oleh anggota Akamai Security Intelligence Response Team (SIRT) setelah menginfeksi salah satu honeypots mereka.

KmsdBot menargetkan perangkat Windows dan Linux dengan beragam arsitektur, dan menginfeksi sistem baru melalui koneksi SSH yang menggunakan kredensial login yang lemah atau default.

Perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dan meluncurkan serangan DDoS, dengan beberapa target sebelumnya adalah perusahaan game dan teknologi, serta produsen mobil mewah.

Sayangnya untuk pengembangnya dan untungnya bagi pemilik perangkat, botnet belum memiliki kemampuan bertahan untuk menghindari deteksi.

Namun, ini berarti malware harus memulai dari awal jika terdeteksi dan dihapus atau malfungsi dengan cara apa pun dan kehilangan koneksi ke server perintah-dan-kontrol (C2).

Selengkapnya: Bleeping Computer

Google TAG Memperingatkan Kerangka Eksploitasi Heliconia yang Muncul untuk RCE

by

Grup Analisis Ancaman (TAG) Google telah menemukan kerangka kerja serangan siber yang dijuluki Heliconia, dibuat untuk mengeksploitasi kerentanan zero-day dan n-day di Chrome, Firefox, dan Microsoft Defender. Ini kemungkinan memiliki koneksi ke broker spyware pasar abu-abu bernama Variston IT, yang menyoroti bagaimana segmen bayangan ini berkembang.

Ancaman Heliconia terdiri dari tiga modul:

  • Heliconia Noise karena menyusupi browser Chrome, keluar dari kotak pasir, dan memasang malware;
  • Heliconia Soft, kerangka kerja Web yang menyebarkan PDF berisi eksploit Windows Defender untuk CVE-2021-42298 yang memungkinkan eskalasi hak istimewa ke SISTEM dan eksekusi kode jarak jauh (RCE);
  • Dan paket File Heliconia yang berisi rantai eksploit Firefox yang terdokumentasi lengkap untuk Windows dan Linux, termasuk CVE-2022-26485 untuk RCE.

TAG menyadari ancaman tersebut setelah menerima kiriman anonim ke program pelaporan bug Chrome. Setelah penyelidikan lebih lanjut, kode sumber kerangka kerja Heliconia ditemukan berisi skrip yang merujuk ke Variston IT, entitas yang berkantor pusat di Barcelona yang mengklaim menyediakan “solusi keamanan khusus”.

Spyware komersial sering dijual oleh organisasi yang mengaku sebagai perusahaan yang sah, untuk “digunakan oleh penegak hukum”. Namun, semakin banyak bukti menunjukkan bahwa terlalu sering, broker ini tidak memeriksa klien mereka, “menempatkan kemampuan pengawasan canggih di tangan pemerintah yang menggunakannya untuk memata-matai jurnalis, aktivis hak asasi manusia, oposisi politik, dan pembangkang,” menurut TAG posting pada hari Rabu.

Selengkapnya: DARKReading

GoTo mengatakan peretas melanggar lingkungan pengembangnya, penyimpanan cloud

by

Perusahaan kolaborasi dan akses jarak jauh GoTo mengungkapkan hari ini bahwa mereka mengalami pelanggaran keamanan di mana pelaku ancaman memperoleh akses ke lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga mereka.

GoTo (sebelumnya LogMeIn) mulai mengirim email kepada pelanggan pada Rabu sore, memperingatkan bahwa mereka telah mulai menyelidiki serangan siber dengan bantuan Mandiant dan telah memberi tahu penegak hukum.

“Setelah mengetahui insiden tersebut, kami segera meluncurkan penyelidikan, melibatkan Mandiant, firma keamanan terkemuka, dan memberi tahu penegak hukum,” demikian bunyi email dari CEO GoTo Paddy Srinivasan.

Insiden ini juga memengaruhi anak perusahaan GoTo, LastPass, yang mengungkapkan hari ini bahwa pelaku ancaman mengakses informasi pelanggan melalui pelanggaran penyimpanan cloud yang sama.

GoTo mengatakan insiden tersebut tidak memengaruhi produk dan layanan mereka, dan mereka tetap berfungsi penuh.

Namun, mereka mengatakan telah mengerahkan “langkah-langkah keamanan yang ditingkatkan dan kemampuan pemantauan” setelah serangan itu.

BleepingComputer telah meminta informasi lebih lanjut kepada GoTo, seperti kapan serangan terjadi atau jika kode sumber dicuri, tetapi belum mendapat kabar.

sumber : bleeping computer

NVIDIA merilis pembaruan driver GPU untuk memperbaiki 29 kerentanan

by

NVIDIA telah merilis pembaruan keamanan untuk driver tampilan GPU untuk Windows, yang berisi perbaikan untuk kelemahan tingkat tinggi yang dapat dieksploitasi oleh pelaku ancaman untuk melakukan, antara lain, eksekusi kode dan eskalasi hak istimewa.

Pembaruan keamanan terbaru membahas 25 kerentanan pada driver GPU Windows dan Linux, sementara tujuh kelemahan dikategorikan sebagai tingkat keparahan tinggi.

Dua kerentanan paling kritis adalah:

  • CVE-2022-34669 : Masalah pada lapisan mode pengguna driver Windows Nvidia yang dapat dimanfaatkan oleh penyerang yang tidak memiliki hak istimewa untuk mengakses atau memodifikasi code execution, privilege escalation, information disclosure, data tampering, dan denial of service.
  • CVE-2022-34671 : Masalah pada lapisan mode pengguna yang dieksploitasi dari jarak jauh pada driver GPU Windows yang memungkinkan pengguna biasa yang tidak memiliki hak untuk menyebabkan penulisan di luar batas, berpotensi menyebabkan eksekusi kode, eskalasi hak istimewa, pengungkapan informasi , perusakan data, dan penolakan layanan.

CVE-2022-34671 memiliki peringkat keparahan yang lebih rendah meskipun rentan terhadap serangan jaringan karena kompleksitasnya yang tinggi, membuat kemungkinan eksploitasinya kecil.

Namun, cacat CVE-2022-34669 lebih bermanfaat bagi peretas dan pengembang malware yang sudah memiliki akses ke perangkat Windows dan sedang mencari cara untuk meningkatkan hak istimewa mereka atau mengeksekusi kode.

Driver GPU dan perangkat keras berjalan dengan hak istimewa yang lebih tinggi di OS, jadi mengeksploitasi kerentanan pada driver memberikan hak istimewa tingkat tinggi yang sama untuk kode atau perintah jahat.

Mempertimbangkan popularitas produk NVIDIA, ada kemungkinan besar untuk menemukan driver GPU yang rentan pada komputer yang ditargetkan, memungkinkan penyerang mengeksploitasi kekurangan ini untuk mendapatkan hak istimewa yang lebih besar dan menyebar lebih jauh di jaringan.

Versi driver NVIDIA yang memperbaiki kerentanan ini adalah sebagai berikut:

Pengguna Linux harus berkonsultasi dengan tabel versi driver GPU ini sebagai gantinya:

Pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis dengan mengunduh versi driver terbaru yang tersedia untuk model GPU mereka dari pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

Sumber:

Peretas Mengeksploitasi Kerentanan RCE di Windows Internet Key Exchange

by

Kerentanan RCE kritis di Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” diduga dioperasikan oleh aktor ancaman berbahasa Mandarin yang tidak dikenal.

Mengenai Campanye
Kerentanan RCE kritis pada Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” dibunuh oleh aktor pisau berbahasa Mandarin yang tidak dikenal.

  • Sejak September, kampanye Bleed You telah menargetkan OS Windows, Server Windows, protokol Windows, dan layanan yang lemah atau rentan.
  • Tujuan akhir dari kampanye ini adalah untuk memfasilitasi serangan malware dan ransomware lebih lanjut serta pergerakan lateral di seluruh jaringan.
  • Kampanye ini menargetkan organisasi di ritel, konglomerat industri, pemerintah, layanan keuangan, layanan TI, dan industri e-niaga di AS, Inggris Raya, Australia, Kanada, Prancis, Jerman, Turki, Jepang, India, UEA, dan Israel.

Tentang kerentanan
Kerentanan ada pada kode tidak dikenal yang digunakan untuk menangani protokol IKEv1.

  • Ini mempengaruhi OS Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10, dan Windows 11.
  • Eksploitasinya dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Wawasan tambahan
Penyerang bertujuan untuk mengekstraksi informasi sensitif untuk keuntungan finansial, mendapatkan akses yang lebih tinggi, dan menyebabkan gangguan operasional.

  • Koneksi ditemukan antara kampanye Bleed You dan penjahat dunia maya Rusia.
  • Para peneliti mengamati bahwa peretas yang tidak dikenal juga membagikan tautan eksploit di forum bawah tanah.

Kiat keamanan
Penyerang secara aktif mengeksploitasi mesin Windows Server yang rentan melalui IKE dan AuthIP IPsec Keying Modules dengan mengekspor bug ini. Pengguna disarankan untuk menerapkan tambalan dan perbaikan sesegera mungkin untuk mengurangi keparahan eksploitasi kerentanan.

sumber : cyware social

Pelaku Ancaman Licik Menggunakan Domain ‘Tua’ untuk Menghindari Platform Keamanan

by

Pelaku ancaman canggih bernama ‘CashRewindo’ telah menggunakan domain ‘tua’ dalam kampanye maliklan global yang mengarah ke situs penipuan investasi.

Malvertising melibatkan injeksi kode JavaScript berbahaya di iklan digital dipromosikan oleh jaringan periklanan yang sah, mengarahkan pengunjung situs web ke laman yang menghosting formulir phishing, menjatuhkan malware, atau menjalankan penipuan.

Analis di Confiant telah melacak ‘CashRewindo’ sejak 2018, dan dapat ditemukan di Eropa, Amerika utara dan selatan, Asia, dan Afrika.

Global tetapi sangat ditargetkan
Setiap kampanye CashRewindo menargetkan audiens tertentu, sehingga halaman arahan dikonfigurasi untuk menampilkan penipuan atau halaman kosong atau tidak berbahaya untuk target yang tidak valid.

Laman landas dengan tombol ‘klik di sini’ (Confiant)

This is done by checking the timezone, device platform, and language used on the visitor’s system.

Users and devices outside the target audience clicking the embedded “Click Here” button will be redirected to an innocuous site.

Pengguna tersebut dibawa ke halaman scam dan akhirnya dialihkan ke platform investasi cryptocurrency palsu yang menjanjikan pengembalian investasi yang tidak realistis.

Confiant melaporkan bahwa selama 12 bulan, telah mencatat lebih dari 1,5 juta tayangan CashRewindo, terutama menargetkan perangkat Windows.

Platfrom yang Ditargetkan

20 lokasi paling bertarget teratas ditampilkan dalam tabel di bawah ini.

Penipuan investasi tersebar luas, tetapi biasanya, pelaku ancaman lebih memilih kuantitas daripada kualitas, mendorong situs palsu mereka yang dibuat dengan tergesa-gesa ke kumpulan besar pengguna dan menghosting platform penipuan di domain yang baru terdaftar yang akan segera offline.

CashRewindo mengikuti pendekatan berbeda yang membutuhkan lebih banyak pekerjaan tetapi secara signifikan meningkatkan peluang keberhasilan bagi pelaku ancaman.

sumber : bleeping computer