Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Serangan Siber terhadap Pemerintah Albania Menunjukkan Agresi Baru Iran

by

Pada pertengahan Juli, serangan siber terhadap pemerintah Albania melumpuhkan situs web negara dan layanan publik selama berjam-jam. Dengan perang Rusia yang berkecamuk di Ukraina, Kremlin mungkin tampak seperti tersangka yang paling mungkin. Tetapi penelitian yang diterbitkan pada hari Kamis oleh perusahaan intelijen ancaman Mandiant mengaitkan serangan itu dengan Iran. Dan sementara operasi spionase Teheran dan campur tangan digital telah muncul di seluruh dunia, peneliti Mandiant mengatakan bahwa serangan yang mengganggu dari Iran terhadap anggota NATO adalah eskalasi yang patut diperhatikan.

Serangan digital yang menargetkan Albania pada 17 Juli terjadi menjelang “World Summit of Free Iran,” sebuah konferensi yang dijadwalkan diadakan di kota Manëz di Albania barat pada 23 dan 24 Juli. KTT itu berafiliasi dengan kelompok oposisi Iran Mujahadeen- e-Khalq, atau Organisasi Mujahidin Rakyat Iran (sering disingkat MEK, PMOI, atau MKO). Konferensi itu ditunda sehari sebelum dimulai karena ancaman “teroris” yang dilaporkan dan tidak ditentukan.

Peneliti Mandiant mengatakan bahwa penyerang menyebarkan ransomware dari keluarga Roadsweep dan mungkin juga menggunakan pintu belakang yang sebelumnya tidak dikenal, dijuluki Chimneysweep, serta strain baru dari wiper Zeroclear. Penggunaan malware serupa di masa lalu, waktu serangan, petunjuk lain dari catatan ransomware Roadsweep, dan aktivitas dari aktor yang mengaku bertanggung jawab atas serangan terhadap Telegram semuanya mengarah ke Iran, kata Mandiant.

“Ini adalah langkah eskalasi agresif yang harus kita akui,” kata John Hultquist, wakil presiden intelijen Mandiant. “Spionase Iran terjadi sepanjang waktu di seluruh dunia. Perbedaannya di sini adalah ini bukan spionase. Ini adalah serangan yang mengganggu, yang mempengaruhi kehidupan sehari-hari orang Albania yang hidup dalam aliansi NATO. Dan itu pada dasarnya adalah serangan koersif untuk memaksa tangan pemerintah.”

Iran telah melakukan kampanye peretasan yang agresif di Timur Tengah dan khususnya di Israel, dan peretasnya yang didukung negara telah menembus dan menyelidiki organisasi manufaktur, pasokan, dan infrastruktur penting. Pada November 2021, pemerintah AS dan Australia memperingatkan bahwa peretas Iran secara aktif bekerja untuk mendapatkan akses ke berbagai jaringan yang terkait dengan transportasi, perawatan kesehatan, dan entitas kesehatan masyarakat, antara lain. “Aktor APT yang disponsori pemerintah Iran ini dapat memanfaatkan akses ini untuk operasi lanjutan, seperti eksfiltrasi atau enkripsi data, ransomware, dan pemerasan,” tulis Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri saat itu.

Teheran telah membatasi seberapa jauh serangannya, sebagian besar menjaga eksfiltrasi dan pengintaian data di panggung global. Namun, negara ini telah berpartisipasi dalam operasi pengaruh, kampanye disinformasi, dan upaya untuk ikut campur dalam pemilihan asing, termasuk menargetkan AS.

“Kami sudah terbiasa melihat Iran menjadi agresif di Timur Tengah di mana aktivitas itu tidak pernah berhenti, tetapi di luar Timur Tengah mereka jauh lebih terkendali,” kata Hultquist. “Saya khawatir mereka mungkin lebih bersedia untuk meningkatkan kemampuan mereka di luar kawasan. Dan mereka jelas tidak ragu untuk menargetkan negara-negara NATO, yang menunjukkan kepada saya bahwa penghalang apa pun yang kami yakini ada di antara kami dan mereka mungkin tidak ada sama sekali.”

Dengan Iran mengklaim bahwa ia sekarang memiliki kemampuan untuk memproduksi hulu ledak nuklir, dan perwakilan dari negara itu bertemu dengan para pejabat AS di Wina tentang kemungkinan kebangkitan kembali kesepakatan nuklir 2015 antara negara-negara, sinyal apa pun tentang kemungkinan niat Iran dan toleransi risiko ketika hal itu terjadi. untuk berurusan dengan NATO adalah signifikan.

Sumber: Ars Technica

Pemberitahuan tentang Pengaturan Ulang Kata Sandi Slack

by

Pada 4 Agustus 2022, kami memberi tahu sekitar 0,5% pengguna Slack bahwa kami telah menyetel ulang kata sandi mereka sebagai tanggapan atas bug yang terjadi saat pengguna membuat atau mencabut tautan undangan bersama untuk ruang kerja mereka. Ketika pengguna melakukan salah satu dari tindakan ini, Slack mengirimkan versi hash kata sandi mereka ke anggota ruang kerja lainnya. Kata sandi yang di-hash ini tidak terlihat oleh klien Slack mana pun; menemukannya diperlukan pemantauan secara aktif lalu lintas jaringan terenkripsi yang berasal dari server Slack. Bug ini ditemukan oleh peneliti keamanan independen dan diungkapkan kepada kami pada 17 Juli 2022. Bug ini memengaruhi semua pengguna yang membuat atau mencabut tautan undangan bersama antara 17 April 2017 dan 17 Juli 2022.

Setelah menerima laporan dari peneliti keamanan, kami segera memperbaiki bug yang mendasarinya dan kemudian mulai menyelidiki potensi dampak masalah ini pada pelanggan kami. Kami tidak memiliki alasan untuk percaya bahwa siapa pun dapat memperoleh kata sandi teks biasa karena masalah ini. Namun, demi kehati-hatian, kami telah menyetel ulang kata sandi Slack pengguna yang terpengaruh. Mereka perlu mengatur kata sandi Slack baru sebelum mereka dapat masuk lagi.

FAQ

Apa itu kata sandi yang di-hash?

Hash kata sandi tidak sama dengan kata sandi plaintext itu sendiri; itu adalah teknik kriptografi untuk menyimpan data dengan cara yang aman tetapi tidak dapat dibalik. Dengan kata lain, praktis tidak mungkin kata sandi diturunkan dari hash, dan tidak ada yang bisa langsung menggunakan hash untuk mengotentikasi. Kami menggunakan teknik yang disebut penggaraman untuk lebih melindungi hash ini.

Apa yang harus saya lakukan jika kata sandi saya direset oleh Slack?

Semua akun aktif yang memerlukan pengaturan ulang kata sandi akan diberitahukan secara langsung dengan instruksi. Untuk informasi tentang pengaturan ulang kata sandi setiap saat, silakan kunjungi Pusat Bantuan kami: https://get.slack.help/hc/en-us/articles/201909068

Bagaimana cara meninjau akses ke akun saya?

Setiap pengguna dapat meninjau log akses pribadi untuk akun mereka atau mengunduh ekspor CSV lengkap kapan saja dengan mengunjungi https://my.slack.com/account/logs. Pemilik dan administrator di semua langganan berbayar dapat mempelajari lebih lanjut tentang melihat log akses untuk ruang kerja mereka di Pusat Bantuan kami: https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for -ruang kerja-Anda

Siapa yang dapat saya hubungi jika saya memiliki pertanyaan tambahan?

Jika Anda memiliki pertanyaan yang belum terjawab di sini, silakan hubungi kami di feedback@slack.com.

Langkah apa yang dapat saya ambil untuk lebih mengamankan akun saya?

Kami menyarankan semua pengguna menggunakan otentikasi dua faktor, memastikan bahwa perangkat lunak komputer dan perangkat lunak antivirus mereka mutakhir, membuat kata sandi baru yang unik untuk setiap layanan yang mereka gunakan dan menggunakan pengelola kata sandi.

Sumber: Slack

Tangkapan Layar Pegasus Langka Menggambarkan Kemampuan Spyware Grup NSO

by

Investigasi baru telah mengungkapkan tangkapan layar langka dari spyware Pegasus iPhone NSO Group yang sedang beraksi, memamerkan antarmuka penggunanya, kemampuan, dan banyak lagi.

Tangkapan layar menggambarkan versi prototipe Pegasus yang dimaksudkan untuk digunakan oleh polisi Israel. Beberapa kemampuan spyware termasuk membaca pesan WhatsApp, mengaktifkan mikrofon telepon, dan merekam panggilan masuk atau keluar.

Tidak jelas apakah versi Pegasus di tangkapan layar sama dengan yang digunakan oleh entitas pemerintah di seluruh dunia untuk mengawasi aktivis, pembangkang, dan jurnalis.

Tangkapan layar itu diterbitkan oleh surat kabar Israel Haaretz menyusul penyelidikan oleh pemerintah negara itu. Penyelidikan itu didorong oleh laporan investigasi terpisah dari awal tahun 2022 yang menunjukkan bahwa pasukan polisi Israel telah memata-matai warga tanpa pengawasan.

Pegasus adalah spyware yang dikembangkan oleh NSO Group, pembuat perangkat lunak pengawasan yang berbasis di Israel. Spyware perusahaan telah digunakan dalam serangan yang menargetkan semua orang mulai dari pejabat Departemen Luar Negeri AS hingga jurnalis yang bekerja untuk Al Jazeera.

Kembali pada November 2021, pemerintah AS menyatakan NSO Group dan alat peretasan Pegasusnya sebagai risiko keamanan nasional. Sebelum itu, FBI sedang mempertimbangkan untuk menggunakan spyware Pegasus untuk operasi pengawasan domestik.

Apple juga menggugat NSO Group pada November 2021 atas Pegasus. Di bawah beban kontroversi dan tekanan keuangan, NSO Group dikatakan pada bulan Desember mempertimbangkan untuk mematikan alat spyware-nya.

Pada bulan Juni, laporan menunjukkan bahwa NSO Group yang kekurangan uang dapat diakuisisi oleh kontraktor pertahanan AS L3Harris, yang dikenal membuat alat pengawasannya sendiri, seperti Stingray.

Sumber: AppleInsider

Pelanggaran Twitter Mengekspos Akun Anonim ke Peretas Negara Bangsa

by

Twitter mengkonfirmasi pada hari Jumat bahwa aktor jahat menggunakan kerentanan untuk mencocokkan informasi pribadi dengan akun Twitter yang berpotensi anonim, menimbulkan risiko bagi privasi pengguna.

Kerentanan memungkinkan seseorang untuk mencocokkan email atau nomor telepon ke akun Twitter mana pun yang terkait dengan informasi itu dan nama akun, tulis Twitter dalam blog pers.

“Kami dapat mengonfirmasi bahwa dampaknya bersifat global,” kata juru bicara Twitter dalam email. “Kami tidak dapat menentukan dengan tepat berapa banyak akun yang terpengaruh atau lokasi pemegang akun.”

Tidak ada kata sandi yang dikompromikan dalam pelanggaran.

Twitter mengatakan akan langsung memberi tahu pemilik akun yang dikonfirmasi terpengaruh. Perusahaan tidak memberikan sejumlah akun yang dikonfirmasi sebagai terpengaruh oleh pelanggaran keamanan. Namun, outlet berita Bleeping Computer melaporkan pada bulan Juli bahwa pelaku ancaman diduga menjual data dari 5,4 juta pengguna setelah mengeksploitasi pelanggaran tersebut. Twitter mencatat bahwa mereka mengetahui penyalahgunaan data melalui laporan pers tetapi tidak mengutip sumber atau detail tambahan apa pun.

“Jika Anda mengoperasikan akun Twitter dengan nama samaran, kami memahami risiko yang dapat ditimbulkan oleh insiden seperti ini dan sangat menyesalkan hal ini terjadi,” tulis Twitter dalam blognya, Jumat. “Untuk menjaga identitas Anda setertutup mungkin, kami sarankan untuk tidak menambahkan nomor telepon atau alamat email yang diketahui publik ke akun Twitter Anda.”

Sumber: CyberScoop

Meningkatnya Jumlah Serangan Malware dengan Memanfaatkan Dark Utilities ‘C2-as-a-Service’

by

Layanan baru yang disebut Dark Utilities telah menarik 3.000 pengguna karena kemampuannya untuk menyediakan layanan command-and-control (C2) dengan tujuan menguasai sistem yang dikompromikan.

“Ini dipasarkan sebagai sarana untuk mengaktifkan akses jarak jauh, eksekusi perintah, serangan penolakan layanan terdistribusi (DDoS) dan operasi penambangan cryptocurrency pada sistem yang terinfeksi,” kata Cisco Talos dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dark Utilities, yang muncul pada awal 2022, diiklankan sebagai “C2-as-a-Service” (C2aaS), menawarkan akses ke infrastruktur yang di-hosting di clearnet serta jaringan TOR dan muatan terkait dengan dukungan untuk Windows, Linux, dan implementasi berbasis Python hanya dengan €9,99.

Pengguna yang diautentikasi pada platform disajikan dengan dasbor yang memungkinkan untuk menghasilkan muatan baru yang disesuaikan dengan sistem operasi tertentu yang kemudian dapat digunakan dan dijalankan pada host korban.

Selain itu, pengguna diberikan panel administratif untuk menjalankan perintah pada mesin di bawah kendali mereka saat membuat saluran C2 aktif, yang secara efektif memberikan penyerang akses penuh ke sistem.

Idenya adalah untuk memungkinkan aktor ancaman untuk menargetkan beberapa arsitektur tanpa memerlukan upaya pengembangan yang signifikan. Juga diperluas ke pelanggannya adalah dukungan teknis dan bantuan melalui Discord dan Telegram.

“Mengingat biaya yang relatif rendah dibandingkan dengan jumlah fungsionalitas yang ditawarkan platform, kemungkinan menarik bagi musuh yang mencoba untuk berkompromi dengan sistem tanpa mengharuskan mereka untuk membuat implementasi C2 mereka sendiri di dalam muatan malware mereka,” catat para peneliti.

Untuk menambah bahan bakar ke api, artefak malware di-host dalam solusi Sistem File InterPlanetary (IPFS) terdesentralisasi, membuatnya tahan terhadap moderasi konten atau intervensi penegakan hukum dengan cara yang mirip dengan “hosting antipeluru.”

“IPFS saat ini disalahgunakan oleh berbagai pelaku ancaman yang menggunakannya untuk meng-host konten berbahaya sebagai bagian dari kampanye distribusi phishing dan malware,” kata peneliti Talos Edmund Brumaghin kepada The Hacker News.

“[Gateway IPFS] memungkinkan komputer di internet untuk mengakses konten yang dihosting dalam jaringan IPFS tanpa persyaratan untuk instalasi perangkat lunak klien, mirip dengan cara gateway Tor2Web menyediakan fungsionalitas itu untuk konten yang dihosting dalam jaringan Tor.”

Dark Utilities diyakini sebagai hasil karya aktor ancaman yang menggunakan moniker Inplex-sys di ruang bawah tanah cybercriminal, dengan Talos mengidentifikasi semacam “hubungan kolaboratif” antara Inplex-sys dan salah satu operator layanan botnet disebut Bot Cerdas.

Sumber: The Hacker News

Router Bisnis Cisco Ditemukan Rentan terhadap Kelemahan Peretasan Jarak Jauh yang Kritis

by

Cisco pada hari Rabu meluncurkan tambalan untuk mengatasi delapan kerentanan keamanan, tiga di antaranya dapat dipersenjatai oleh penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) atau menyebabkan kondisi penolakan layanan (DoS) pada perangkat yang terpengaruh.

Kelemahan yang paling kritis berdampak pada router Cisco Small Business RV160, RV260, RV340, dan RV345 Series. Dilacak sebagai CVE-2022-20842 (skor CVSS: 9,8), kelemahan tersebut berasal dari validasi input yang diberikan pengguna ke antarmuka manajemen perangkat berbasis web yang tidak mencukupi.

Kelemahan kedua berkaitan dengan kerentanan injeksi perintah yang berada di fitur pembaruan basis data filter web router (CVE-2022-20827, skor CVSS: 9.0), yang dapat dimanfaatkan oleh musuh untuk menyuntikkan dan menjalankan perintah sewenang-wenang pada sistem operasi yang mendasarinya. dengan hak akses root.

Cacat terkait router ketiga yang harus diselesaikan (CVE-2022-20841, skor CVSS: 8.0) juga merupakan bug injeksi perintah dalam modul Open Plug-n-Play (PnP) yang dapat disalahgunakan dengan mengirimkan input berbahaya untuk mencapai eksekusi kode pada host Linux yang ditargetkan.

“Untuk mengeksploitasi kerentanan ini, penyerang harus memanfaatkan posisi man-in-the-middle atau memiliki pijakan yang mapan pada perangkat jaringan tertentu yang terhubung ke router yang terpengaruh,” kata pembuat peralatan jaringan tersebut.

Juga ditambal oleh Cisco adalah lima kelemahan keamanan menengah yang memengaruhi Rapat Webex, Mesin Layanan Identitas, Manajer Komunikasi Terpadu, dan Platform Pengiriman Aplikasi BroadWorks.

Perusahaan tidak menawarkan solusi untuk memperbaiki masalah, menambahkan tidak ada bukti kerentanan ini dieksploitasi di alam liar. Konon, pelanggan disarankan untuk bergerak cepat untuk menerapkan pembaruan.

The Hacker News

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

by

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Badan keamanan siber mengungkapkan jenis malware teratas tahun lalu

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) merilis daftar jenis malware yang paling banyak terdeteksi tahun lalu dalam konsultasi bersama dengan Australian Cyber ​​Security Center (ACSC).

“Pengguna malware paling produktif dari jenis malware teratas adalah penjahat cyber, yang menggunakan malware untuk mengirimkan ransomware atau memfasilitasi pencurian informasi pribadi dan keuangan.”

Strain malware teratas yang diamati pada tahun 2021 termasuk Agen Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot, dan GootLoader.

Dari jumlah tersebut, Agen Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, dan TrickBot telah digunakan dalam serangan setidaknya selama lima tahun terakhir, sementara Qakbot dan Ursnif telah digunakan selama lebih dari satu dekade.

Umur panjang keluarga malware ini disebabkan oleh upaya berkelanjutan pengembang mereka untuk meningkatkannya dengan menambahkan kemampuan dan cara baru untuk menghindari deteksi.

Penasihat bersama mencakup tanda tangan Snort untuk semua malware di atas untuk mendeteksi muatan dengan memantau lalu lintas jaringan dan daftar tindakan mitigasi.

CISA dan ACSC mendorong admin dan tim keamanan untuk menerapkan mitigasi berikut untuk mempertahankan diri dari serangan malware:

  • Perbarui perangkat lunak, termasuk sistem operasi, aplikasi, dan firmware, di I.T. aset jaringan
  • Terapkan MFA semaksimal mungkin
  • Jika Anda menggunakan RDP dan/atau layanan lain yang berpotensi berisiko, amankan dan pantau dengan cermat
  • Pertahankan cadangan data offline (yaitu, terputus secara fisik)
  • Memberikan kesadaran dan pelatihan pengguna akhir untuk membantu memblokir rekayasa sosial dan serangan spearphishing
  • Menerapkan segmentasi jaringan untuk memisahkan segmen jaringan berdasarkan peran dan fungsionalitas

Pada bulan April, otoritas keamanan siber di seluruh dunia, dalam kemitraan dengan NSA dan FBI, juga merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi dalam serangan selama tahun 2021.

CISA dan FBI juga telah menerbitkan daftar 10 bug keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang paling sering disalahgunakan pada tahun 2020 bekerja sama dengan ACSC dan National Cyber ​​Security Center (NCSC) Inggris.

Pada bulan Juni, MITRE juga membagikan daftar 25 bug perangkat lunak paling berbahaya tahun ini setelah mengungkapkan kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada November 2021.

Sumber: Bleeping Computer