Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Mempersiapkan serangan dunia maya Rusia terhadap Ukraina musim dingin ini

by

Dalam beberapa bulan terakhir, aktor ancaman dunia maya yang berafiliasi dengan intelijen militer Rusia telah meluncurkan serangan wiper yang merusak terhadap jaringan organisasi energi, air, dan infrastruktur penting lainnya di Ukraina saat serangan rudal melumpuhkan listrik dan pasokan air ke warga sipil di seluruh negeri.

Operator militer Rusia juga memperluas aktivitas dunia maya yang merusak di luar Ukraina ke Polandia, pusat logistik penting, dalam upaya yang mungkin mengganggu pergerakan senjata dan pasokan ke garis depan.

Peneliti yakin tren baru-baru ini menunjukkan bahwa dunia harus bersiap untuk beberapa lini serangan potensial Rusia di domain digital selama musim dingin ini.

Pertama, kita dapat mengharapkan kelanjutan dari serangan dunia maya Rusia terhadap infrastruktur penting Ukraina. Kita juga harus bersiap untuk kemungkinan bahwa eksekusi serangan gaya ransomware baru-baru ini oleh aktor intelijen militer Rusia—dikenal sebagai Prestige—di Polandia mungkin menjadi pertanda Rusia semakin memperluas serangan siber di luar perbatasan Ukraina. Operasi dunia maya semacam itu dapat menargetkan negara dan perusahaan yang menyediakan rantai pasokan bantuan dan persenjataan penting bagi Ukraina musim dingin ini.

Kedua, kita juga harus bersiap untuk operasi pengaruh yang dimungkinkan oleh dunia maya yang menargetkan Eropa untuk dilakukan secara paralel dengan aktivitas ancaman dunia maya. Rusia akan berusaha mengeksploitasi celah dalam dukungan populer untuk Ukraina untuk merusak koalisi yang penting bagi ketahanan Ukraina, dengan harapan dapat merusak bantuan kemanusiaan dan militer yang mengalir ke wilayah tersebut. Kabar baiknya adalah, ketika diperlengkapi dengan lebih banyak informasi, publik yang paham media dapat bertindak dengan kesadaran dan penilaian untuk melawan ancaman ini.

Selengkapnya: Microsoft

Pembaruan darurat Google Chrome memperbaiki hari nol ke-9 dalam setahun

by

Google telah merilis Chrome 108.0.5359.94/.95 untuk pengguna Windows, Mac, dan Linux untuk mengatasi satu kelemahan keamanan tingkat tinggi, Chrome zero-day kesembilan yang dieksploitasi secara liar sejak awal tahun.

“Google mengetahui laporan bahwa eksploit untuk CVE-2022-4262 ada di alam liar,” kata raksasa pencarian itu dalam penasehat keamanan yang diterbitkan pada hari Jumat.

Menurut Google, versi baru telah mulai diluncurkan ke pengguna di saluran Stable Desktop, dan akan menjangkau seluruh basis pengguna dalam hitungan hari atau minggu.

Pembaruan ini segera diluncurkan ke sistem kami saat BleepingComputer memeriksa pembaruan baru dari menu Chrome > Bantuan > Tentang Google Chrome.

Browser web juga akan secara otomatis memeriksa pembaruan baru dan akan menginstalnya tanpa memerlukan interaksi pengguna setelah peluncuran berikutnya.

Kerentanan zero-day (CVE-2022-4262) disebabkan oleh kelemahan kebingungan tipe tingkat keparahan tinggi di mesin JavaScript Chrome V8 yang dilaporkan oleh Clement Lecigne dari Grup Analisis Ancaman Google.

Meskipun kelemahan keamanan kebingungan jenis umumnya menyebabkan browser mogok setelah berhasil dieksploitasi dengan membaca atau menulis memori di luar batas buffer, pelaku ancaman juga dapat mengeksploitasinya untuk eksekusi kode arbitrer.

Meskipun Google mengatakan mendeteksi serangan yang mengeksploitasi zero-day ini, perusahaan belum membagikan detail teknis atau informasi terkait insiden ini.

“Akses ke detail bug dan tautan dapat dibatasi sampai mayoritas pengguna diperbarui dengan perbaikan,” tambah Google.

“Kami juga akan mempertahankan batasan jika bug ada di perpustakaan pihak ketiga yang juga bergantung pada proyek lain, tetapi belum diperbaiki.”

Selengkapnya: Bleeping Computer

Malware yang belum pernah terlihat sebelumnya membobol data di pengadilan dan kantor walikota Rusia

by

Kantor walikota dan pengadilan di Rusia diserang oleh malware yang belum pernah terlihat sebelumnya yang berperan sebagai ransomware tetapi sebenarnya adalah penghapus yang secara permanen menghancurkan data pada sistem yang terinfeksi, menurut perusahaan keamanan Kaspersky dan layanan berita Izvestia.

Peneliti Kaspersky telah menamai wiper CryWiper, mengacu pada ekstensi .cry yang ditambahkan ke file yang dihancurkan. Kaspersky mengatakan timnya telah melihat peluncuran malware “serangan tepat” pada target di Rusia.

Izvestia, sementara itu, melaporkan bahwa targetnya adalah kantor walikota dan pengadilan Rusia. Detail tambahan, termasuk berapa banyak organisasi yang terkena dan apakah malware berhasil menghapus data, tidak segera diketahui.

Malware penghapus telah berkembang semakin umum selama dekade terakhir. Pada tahun 2012, wiper yang dikenal sebagai Shamoon mendatangkan malapetaka pada Saudi Aramco Arab Saudi dan RasGas Qatar.

Empat tahun kemudian, varian baru Shamoon kembali dan menyerang banyak organisasi di Arab Saudi. Pada tahun 2017, malware penggandaan diri yang disebut NotPetya menyebar ke seluruh dunia dalam hitungan jam dan menyebabkan kerugian sekitar $10 miliar.

Pada tahun lalu, banyak wiper baru bermunculan. Mereka termasuk DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2, dan RuRansom.

Kaspersky mengatakan menemukan upaya serangan oleh CryWiper dalam beberapa bulan terakhir. Setelah menginfeksi target, malware tersebut meninggalkan catatan yang menuntut, menurut Izvestia, 0,5 bitcoin dan termasuk alamat dompet tempat pembayaran dapat dilakukan.

Selengkapnya: ars TECHNICA

Peretas Mengeksploitasi Kerentanan Redis untuk Menyebarkan Malware Redigo Baru di Server

by

Malware berbasis Go yang sebelumnya tidak berdokumen menargetkan server Redis dengan tujuan mengambil kendali sistem yang terinfeksi dan kemungkinan membangun jaringan botnet.

Serangan tersebut melibatkan pengambilan keuntungan dari kerentanan keamanan kritis di open source, dalam memori, penyimpanan nilai kunci yang diungkapkan awal tahun ini untuk menyebarkan Redigo, menurut perusahaan keamanan cloud Aqua.

Dilacak sebagai CVE-2022-0543 (skor CVSS: 10.0), kelemahannya berkaitan dengan kasus pelarian sandbox di mesin skrip Lua yang dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh.

Ini bukan pertama kalinya cacat tersebut dieksploitasi secara aktif, dengan Juniper Threat Labs mengungkap serangan yang dilakukan oleh botnet Muhstik pada Maret 2022 untuk menjalankan perintah sewenang-wenang.

Rantai infeksi Redigo serupa karena musuh memindai server Redis yang terbuka pada port 6379 untuk membuat akses awal, menindaklanjutinya dengan mengunduh perpustakaan bersama “exp_lin.so” dari server jarak jauh.

File perpustakaan ini dilengkapi dengan exploit untuk CVE-2022-0543 untuk menjalankan perintah guna mengambil Redigo dari server yang sama, selain mengambil langkah untuk menutupi aktivitasnya dengan mensimulasikan komunikasi klaster Redis yang sah melalui port 6379.

“Malware yang dijatuhkan meniru komunikasi server Redis yang memungkinkan musuh menyembunyikan komunikasi antara host yang ditargetkan dan server C2,” jelas peneliti Aqua Nitzan Yaakov.

Tidak diketahui apa tujuan akhir dari serangan itu, tetapi diduga bahwa host yang dikompromikan dapat dikooptasi ke dalam botnet untuk memfasilitasi serangan DDoS atau digunakan untuk mencuri informasi sensitif dari server database untuk memperluas jangkauan mereka.

Selengkapnya: The Hacker News

Cacat Linux baru dapat dirantai dengan dua bug lainnya untuk mendapatkan hak akses root penuh

by

Para peneliti di Unit Riset Ancaman Qualys mendemonstrasikan cara membuat rantai kerentanan Linux baru, dilacak sebagai CVE-2022-3328, dengan dua kelemahan lain untuk mendapatkan hak akses root penuh pada sistem yang terpengaruh.

Kerentanan terletak pada fungsi snap-confine pada sistem operasi Linux, program SUID-root yang diinstal secara default di Ubuntu.

Snap-confine digunakan secara internal oleh snapd untuk membangun lingkungan eksekusi untuk aplikasi snap, alat internal untuk membatasi aplikasi snappy.

CVE-2022-3328 adalah masalah kondisi balapan Snapd yang dapat menyebabkan eskalasi hak istimewa lokal dan eksekusi kode arbitrer.

“Pada Februari 2022, Qualys Threat Research Unit (TRU) menerbitkan CVE-2021-44731 dalam penasihat “Lemmings” kami. Kerentanan (CVE-2022-3328) diperkenalkan pada Februari 2022 oleh tambalan untuk CVE-2021-44731). membaca posting yang diterbitkan oleh Qualys.

“Qualys Threat Research Unit (TRU) mengeksploitasi bug ini di Server Ubuntu dengan menggabungkannya dengan dua kerentanan di multipathd yang disebut Leeloo Multipath (bypass otorisasi dan serangan symlink, CVE-2022-41974 dan CVE-2022-41973), untuk mendapatkan hak akses root penuh.”

Para ahli menggabungkan cacat CVE-2022-3328 dengan dua cacat yang baru ditemukan di Multipathd, yang merupakan daemon yang bertugas memeriksa jalur yang gagal.

Multipathd berjalan sebagai root pada instalasi default beberapa distribusi, termasuk Ubuntu.

Selengkapnya: Security Affairs

Cybercrime Diperkirakan Akan Meroket di Tahun-Tahun Mendatang

by

Menurut perkiraan dari Statista’s Cybersecurity Outlook, biaya global kejahatan dunia maya diperkirakan akan melonjak dalam lima tahun ke depan, naik dari $8,44 triliun pada tahun 2022 menjadi $23,84 triliun pada tahun 2027.

Kejahatan dunia maya didefinisikan oleh Cyber Crime Magazine sebagai “kerusakan dan penghancuran data , uang yang dicuri, kehilangan produktivitas, pencurian kekayaan intelektual, pencurian data pribadi dan keuangan, penggelapan, penipuan, gangguan pasca-serangan terhadap kegiatan normal bisnis, penyelidikan forensik, pemulihan dan penghapusan data dan sistem yang diretas, dan kerusakan reputasi. ”

Karena semakin banyak orang yang beralih daring, baik untuk pekerjaan atau kehidupan pribadi mereka, ada lebih banyak peluang potensial untuk dieksploitasi oleh penjahat dunia maya.

Pada saat yang sama, teknik penyerang menjadi lebih maju, dengan lebih banyak alat yang tersedia untuk membantu penipu.

Pandemi virus korona menunjukkan pergeseran tertentu dalam serangan dunia maya, seperti yang dijelaskan oleh analis Outlook Statista: “Krisis COVID-19 menyebabkan banyak organisasi menghadapi lebih banyak serangan dunia maya karena kerentanan keamanan pekerjaan jarak jauh serta peralihan ke lingkungan TI virtual, seperti infrastruktur, data, dan jaringan komputasi awan.”

Selengkapnya: Statista

Rackspace diguncang oleh ‘insiden keamanan’ yang menghentikan layanan Exchange yang dihosting

by

Beberapa layanan Microsoft Exchange yang dihosting Rackspace telah dihentikan oleh apa yang digambarkan oleh perusahaan sebagai “insiden keamanan”.

Laporan insiden terbaru perusahaan pada saat penulisan, bertanda waktu 01:57 Waktu Bagian Timur pada tanggal 3 Desember, memberikan informasi berikut.

“Pada hari Jumat, 2 Desember 2022, kami menyadari adanya masalah yang memengaruhi lingkungan Hosted Exchange kami. Kami secara proaktif menonaktifkan dan memutus lingkungan Exchange yang Dihosting sementara kami melakukan triase untuk memahami tingkat dan tingkat keparahan dampaknya. Setelah analisis lebih lanjut, kami memutuskan bahwa ini adalah insiden keamanan.”

Insiden tersebut selanjutnya digambarkan sebagai “terisolasi ke sebagian dari platform Hosted Exchange kami”

Rackspace tidak tahu kapan akan dapat memulihkan layanannya kepada mereka yang terkena dampak insiden keamanan.

“Kami secara aktif bekerja dengan tim dukungan kami dan mengantisipasi pekerjaan kami mungkin memakan waktu beberapa hari,” saran halaman statusnya.

Insiden tersebut terwujud sebagai apa yang digambarkan Rackspace sebagai “masalah konektivitas dan login.

Pembaruan bertanda waktu pukul 20:19 Waktu Bagian Timur pada tanggal 2 Desember melangkah lebih jauh, menggambarkannya sebagai “kegagalan signifikan dalam lingkungan Hosted Exchange kami”.

Tetapi tidak ada informasi tentang penyebab insiden yang tersedia saat ini, namun kombinasi dari pemadaman dan proses pemulihan yang panjang menunjukkan ransomware bisa menjadi faktor penyebabnya.

Rackspace telah menawarkan pelanggan yang terkena dampak akses gratis ke lisensi Microsoft Exchange Paket 1 di Microsoft 365 selama durasi insiden dan membagikan petunjuk tentang cara mengaktifkan dan menjalankannya. Instruksi menyarankan pekerjaan untuk menjalankannya akan memakan waktu 30 menit hingga satu jam.

Selengkapnya: The Register

Kunci penandatanganan aplikasi Android Samsung telah bocor, digunakan untuk menandatangani malware

by

Łukasz Siewierski, anggota Tim Keamanan Android Google, memposting di pelacak masalah Inisiatif Kerentanan Mitra Android (AVPI) yang merinci kunci sertifikat platform yang bocor yang secara aktif digunakan untuk menandatangani malware.

Posting ini hanyalah daftar kunci, tetapi menjalankan masing-masing melalui APKMirror atau situs VirusTotal Google akan memberi nama pada beberapa kunci yang disusupi: Samsung, LG, dan Mediatek adalah pemukul berat pada daftar kunci yang bocor, bersama dengan beberapa OEM yang lebih kecil seperti Revoview dan Szroco, yang membuat tablet Onn Walmart.

Perusahaan-perusahaan ini entah bagaimana kunci penandatanganan mereka bocor ke pihak luar, dan sekarang Anda tidak dapat mempercayai bahwa aplikasi yang mengklaim berasal dari perusahaan-perusahaan ini benar-benar berasal dari mereka. Lebih buruk lagi, “kunci sertifikat platform” yang hilang memiliki beberapa izin serius.

Samsung bukan hanya OEM Android terbesar yang mengalami kebocoran kunci penandatanganan, tetapi juga pengguna terbesar dari kunci yang bocor. Tautan APKMirror sebelumnya menunjukkan betapa buruknya itu. Kunci Samsung yang disusupi digunakan untuk semuanya: Samsung Pay, Bixby, Samsung Account, aplikasi ponsel, dan sejuta hal lain yang dapat Anda temukan di 101 halaman hasil untuk kunci tersebut. Dimungkinkan untuk membuat pembaruan berbahaya untuk salah satu dari aplikasi ini, dan Android akan dengan senang hati menginstalnya di atas aplikasi sebenarnya. Beberapa pembaruan mulai hari ini, menandakan Samsung masih belum mengubah kuncinya.

Selengkapnya: ars TECHNICA