Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Attack

Cyber Attack

Apa yang Sebenarnya Mampu Dilakukan oleh Alat “mirip” Tamagotchi

by

Artikel ini akan mengasumsikan skenario di mana PC administrator yang tidak dijaga ditemukan dan memiliki beberapa skrip BadUSB yang dijalankan terhadapnya, yang berhasil menonaktifkan fitur keamanan utama seperti pemberitahuan Windows Firewall atau UAC dan pencurian semua kunci Wi-fi yang diketahui pada perangkat . Skrip BadUSB lainnya, seperti mengunduh dan menjalankan Mimikatz untuk membuang database SAM, eksekusi shell terbalik menggunakan Netcat, dan menginstal pintu belakang melalui kunci registri atau akun administrator lainnya juga tersedia.

Untuk mengakses, mengunduh, atau memodifikasi skrip BadUSB, skrip tersebut biasanya terletak di folder BadUSB pada kartu SD onboard, seperti yang ditunjukkan di bawah ini. Penguji penetrasi atau peretas jahat sering mencoba menonaktifkan atau menghindari kontrol titik akhir untuk mencapai pergerakan lateral atau melakukan eskalasi hak istimewa. Beberapa skrip BadUSB yang dijalankan dari FlipperZero dapat membantu mewujudkan tujuan ini. Dimulai dengan skrip “disable_uac”, FlipperZero dapat menyembunyikan pemberitahuan kepada pengguna saat aplikasi memodifikasi pengaturan komputer atau menginstal perangkat lunak.

Skrip BadUSB dijalankan dengan melampirkan FlipperZero ke mesin target melalui USB, menavigasi ke opsi menu BadUSB, memilih skrip pilihan, dan menjalankannya dengan mengeklik tombol tengah. Sebelum eksekusi skrip “disable_uac”, UAC pada mesin target dimulai dari opsi “Selalu Beri Tahu” paling atas dan kemudian berakhir pada “Jangan Beri Tahu” setelah eksekusi skrip.

Selanjutnya, skrip BadUSB “disable_firewall” dijalankan, mematikan berbagai fitur perlindungan yang ditawarkan oleh firewall Windows, yang membantu perangkat dalam memblokir serangan yang ditularkan melalui internet dan upaya penginstalan perangkat lunak berbahaya.

Artikel ini hanya membahas sekilas tentang kemampuan FlipperZero dari perspektif analisis sinyal dan penilaian keamanan. Ada beberapa produk pesaing di pasar yang menawarkan fitur serupa. Namun, banyak yang terlalu fokus pada pilihan kemampuan yang lebih sedikit dibandingkan dengan FlipperZero, lebih mahal, dan tidak memiliki fleksibilitas umum terkait modifikasi firmware atau memperluas kemampuan solusi. Artikel tersebut sengaja memamerkan contoh kecil tentang bagaimana FlipperZero dapat meningkatkan pendekatan dan rangkaian alat yang digunakan selama penilaian keamanan, yang bertujuan untuk membangkitkan rasa ingin tahu pembaca untuk mencoba dan mengadaptasi aplikasi penting dalam upaya pengujian di masa mendatang. Satu-satunya cara perangkat sekecil dan tersembunyi seperti FlipperZero dapat ditingkatkan adalah jika sistem pengujian penetrasi yang lengkap seperti Kali Linux atau ParrotOS juga disertakan.

Kebetulan, sepertinya Flipper Devices Inc sudah bekerja keras untuk menghilangkan rasa gatal itu dengan FlipperOne, yang saat ini sedang dikembangkan.

selengkapnya : cybernews.com

‘Jumlah terbatas’ karyawan News Corp mengirim surat pemberitahuan pelanggaran setelah serangan siber bulan Januari

by

Karyawan News Corp dikirimi surat pemberitahuan pelanggaran minggu ini setelah pelanggaran Januari 2022 yang diyakini perusahaan dilakukan oleh pemerintah China.

Pada hari Rabu, News Corp menyerahkan dokumen ke Massachusetts yang mengonfirmasi pelanggaran tersebut. Seorang juru bicara News Corp tidak akan memberi tahu The Record berapa banyak orang yang dikirimi surat, tetapi setidaknya satu orang di Massachusetts dikirimi salinannya.

Juru bicara mengonfirmasi bahwa surat pemberitahuan pelanggaran dikirim sehubungan dengan insiden Januari 2022 tetapi mereka menambahkan bahwa itu memengaruhi “sejumlah kecil” karyawan, sesuatu yang mereka umumkan tahun lalu. Sebagian besar karyawan tidak menjadi sasaran, menurut juru bicara.

News Corp memiliki The Wall Street Journal, Dow Jones, New York Post, dan beberapa properti media lainnya.

News Corp melaporkan dalam pengajuan SEC bahwa penyelidikannya menunjukkan bahwa “keterlibatan pemerintah asing mungkin terkait dengan aktivitas ini, dan data itu telah diambil.”

Dalam surat yang pertama kali dilaporkan oleh Bleeping Computer dan bertanggal 22/2/2023, News Corp mengatakan mereka awalnya menemukan serangan siber pada 20 Januari 2022, ketika email bisnis dan sistem penyimpanan dokumen yang digunakan oleh beberapa bisnis News Corp diakses.

Informasi yang termasuk dalam pelanggaran berkisar dari nama dan tanggal lahir hingga nomor Jaminan Sosial, nomor SIM, nomor paspor, informasi rekening keuangan, informasi medis, dan informasi asuransi kesehatan.

Mereka menawarkan korban perlindungan identitas dan pemantauan kredit gratis selama dua tahun melalui Experian.

Setelah serangan diumumkan, Mandiant memberi tahu The Wall Street Journal bahwa mereka yakin serangan itu dilakukan oleh aktor ancaman yang beroperasi untuk kepentingan pemerintah China.

Ini adalah kedua kalinya peretas yang didukung negara China meretas Wall Street Journal setelah insiden lain pada 2013.

sumber : therecord

Polusi prototipe side-server: Deteksi Black-box tanpa DoS

by

Mendeteksi polusi prototipe sisi server secara sah merupakan tantangan besar. Sifat dasar cara kerjanya dapat secara semi-permanen merusak fungsionalitas di server. Posting ini menunjukkan kepada Anda cara mendeteksi polusi prototipe dengan permintaan tidak berbahaya yang menyebabkan perbedaan halus dalam respons untuk membuktikan bahwa Anda berhasil.

Jika Anda ingin mencoba sendiri teknik yang disebutkan dalam artikel ini, kami telah membuat beberapa lab Akademi Keamanan Web untuk membantu mengasah keterampilan Anda dalam polusi prototipe.

Kita akan mulai dengan rekap singkat tentang polusi prototipe dan bagaimana hal itu terjadi. Jika Anda sudah terbiasa dengan dasar-dasarnya, Anda dapat melompat ke “Masalah DoS”.

Polusi prototipe dapat menyebabkan perubahan konfigurasi aplikasi, perilaku, dan bahkan dapat mengakibatkan RCE. Ada berbagai laporan publik tentang polusi prototipe. Dua yang menonjol adalah bug Michał Bentkowski di Kibana dan bug Paul Gerste di framework Blitz. Keduanya menghasilkan Eksekusi Kode Jarak Jauh.

Metode ini diciptakan dalam perjalanan saya untuk menemukan teknik polusi prototipe. Mereka tidak boleh digunakan untuk menguji situs langsung yang bukan milik Anda karena dapat menyebabkan DoS.

Saya telah membuktikan bahwa pendeteksian kotak hitam yang aman dari polusi prototipe dimungkinkan dengan menggunakan perbedaan halus dalam perilaku server. Dengan menggunakan berbagai teknik ini, saya telah menunjukkan bahwa Anda dapat mengotomatiskan penemuan kelemahan polusi prototipe dan saya telah menyediakan perangkat sumber terbuka untuk membantu Anda menemukannya dalam aplikasi Anda sendiri. Saya juga telah menunjukkan cara menulis kode aman dengan menggunakan API aman. Terakhir, setelah membaca ini, saya yakin Anda bersemangat untuk mencoba tekniknya sendiri dan untuk membantu kami telah membuat beberapa lab Akademi Keamanan Web yang memungkinkan Anda melatih keterampilan baru Anda.

selengkapnya : portwigger.net

Ukraina Mengalami Lebih Banyak Malware Penghapus Data Tahun Lalu Daripada Di Mana Saja

by

DI TENGAH korban TRAGIS dari invasi brutal dan dahsyat Rusia ke Ukraina, efek dari kampanye serangan siber destruktif Kremlin yang sudah berlangsung lama terhadap tetangganya sering—seharusnya—dianggap sebagai renungan.

Tetapi setelah satu tahun perang, menjadi jelas bahwa perang dunia maya yang dialami Ukraina selama setahun terakhir, dengan beberapa ukuran, merupakan konflik digital paling aktif dalam sejarah. Tidak ada tempat di planet ini yang pernah menjadi sasaran lebih banyak spesimen kode penghancur data dalam satu tahun.

Menjelang peringatan satu tahun invasi Rusia, peneliti keamanan siber di perusahaan keamanan siber Slovakia ESET, perusahaan keamanan jaringan Fortinet, dan perusahaan respons insiden milik Google, Mandiant, semuanya secara independen menemukan bahwa pada tahun 2022, Ukraina melihat jauh lebih banyak spesimen “wiper” malware dibandingkan tahun-tahun sebelumnya dalam perang dunia maya Rusia yang telah berlangsung lama yang menargetkan Ukraina—atau, dalam hal ini, tahun lainnya, di mana saja.

Itu tidak berarti Ukraina lebih terpukul oleh serangan siber Rusia daripada tahun-tahun sebelumnya; pada tahun 2017, peretas intelijen militer Rusia yang dikenal sebagai Sandworm merilis cacing NotPetya yang sangat merusak.

Tetapi meningkatnya volume kode destruktif mengisyaratkan jenis perang dunia maya baru yang menyertai invasi fisik Rusia ke Ukraina, dengan kecepatan dan keragaman serangan dunia maya yang belum pernah terjadi sebelumnya.

“Dalam hal banyaknya sampel malware penghapus yang berbeda,” kata peneliti malware senior ESET Anton Cherepanov, “ini adalah penggunaan penghapus paling intens dalam sejarah komputer.”

Selengkapnya: Wired

Geng Ransomware menggunakan Zero-Day Baru Untuk Mencuri Data 1 Juta Pasien

by

CHS belum mengatakan jenis data apa yang terungkap dan juru bicara belum menjawab pertanyaan TechCrunch. Ini adalah pelanggaran data pasien kedua yang diketahui CHS dalam beberapa tahun terakhir.

Geng ransomware yang terkait dengan Rusia, Clop dilaporkan telah mengambil tanggung jawab untuk mengeksploitasi zero-day baru dalam kampanye peretasan baru dan mengklaim telah melanggar lebih dari seratus organisasi yang menggunakan teknologi transfer file Fortra — termasuk CHS.

Meskipun CHS dengan cepat tampil sebagai korban, klaim Clop menunjukkan bahwa mungkin ada lebih banyak organisasi yang terpengaruh di luar sana — dan jika Anda adalah salah satu dari ribuan pengguna GoAnywhere, perusahaan Anda mungkin termasuk di antara mereka. Untungnya, pakar keamanan telah membagikan banyak informasi tentang zero-day dan apa yang dapat Anda lakukan untuk melindunginya.

Sekarang geng ransomware Clop — yang baru-baru ini menjadi berita utama dengan varian Linux barunya — memberi tahu Bleeping Computer bahwa mereka telah mengeksploitasi kerentanan GoAnywhere untuk mencuri data dari lebih dari 130 organisasi. Clop tidak memberikan bukti untuk klaimnya, dan pada saat penulisan, situs kebocoran web gelap Clop tidak menyebutkan Fortra atau GoAnywhere.

Perusahaan cybersecurity Huntress melaporkan minggu lalu bahwa mereka menyelidiki intrusi ke dalam jaringan pelanggan yang melibatkan eksploitasi GoAnywhere zero-day. Huntress mengaitkan intrusi tersebut dengan aktor ancaman berbahasa Rusia yang disebutnya “Silence”, yang memiliki tautan ke grup lain yang disebut TA505, kru peretasan kriminal yang telah aktif setidaknya sejak 2016 dan dikenal dengan kampanye bertarget yang melibatkan penyebaran dari Clop ransomware.

selengkapnya : techcrunch

Para ahli sedang menyelidiki kegagalan beberapa bandara Jerman setelah beberapa media mengaitkannya dengan kemungkinan kampanye peretasan.

by

Dugaan serangan siber terjadi sehari setelah kegagalan TI menyebabkan pembatalan dan penundaan ribuan penumpang maskapai nasional Jerman Lufthansa di bandara Frankfurt.

Serangan itu memblokir situs web bandara berikut:

  • Bandara Hannover
  • Bandara Dortmund
  • Bandara Nürnberg
  • Bandara Karlsruhe/Baden-Baden
  • Düsseldorf
  • Erfurt-Weimar

Administrator di bandara mengonfirmasi bahwa masalah tersebut kemungkinan besar disebabkan oleh lalu lintas berbahaya.
“Kami masih memecahkan masalah,” kata juru bicara Bandara Dortmund, menambahkan tidak mungkin kegagalan itu disebabkan oleh kelebihan beban biasa. lapor situs web DW. “Ada alasan untuk menduga itu bisa menjadi serangan peretas,” tambahnya.

Pada awal Januari, kelompok Pro-Rusia Killnet meluncurkan serangan DDoS terhadap situs web bandara, badan administrasi, dan bank Jerman.

Serangan tersebut merupakan respon para hacktivist terhadap keputusan pemerintah Jerman untuk mengirim tank Leopard 2 ke Ukraina.

Kanselir Olaf Scholz mengumumkan keputusan untuk mengirim 14 tank – dan mengizinkan negara lain untuk mengirimnya juga (yang dibatasi sampai sekarang di bawah peraturan ekspor) – pada rapat kabinet pada hari Rabu.

Pada 16 Februari, grup tersebut menyerukan tindakan di saluran Telegramnya terhadap bandara Jerman.

Pada bulan Oktober, kelompok peretas pro-Rusia ‘KillNet’ mengaku bertanggung jawab atas serangan denial-of-service (DDoS) terdistribusi besar-besaran terhadap situs web beberapa bandara utama di AS.

Selengkapnya: Security Affairs

GoDaddy: Peretas mencuri kode sumber, memasang malware dalam pelanggaran multi-tahun

by

Raksasa web hosting GoDaddy mengatakan mengalami pelanggaran di mana penyerang tak dikenal telah mencuri kode sumber dan memasang malware di servernya setelah melanggar lingkungan hosting bersama cPanel dalam serangan multi-tahun.

Sementara GoDaddy menemukan pelanggaran keamanan setelah laporan pelanggan pada awal Desember 2022 bahwa situs mereka digunakan untuk mengalihkan ke domain acak, penyerang memiliki akses ke jaringan perusahaan selama beberapa tahun.

“Berdasarkan penyelidikan kami, kami yakin insiden ini adalah bagian dari kampanye multi-tahun oleh kelompok pelaku ancaman canggih yang, antara lain, memasang malware di sistem kami dan memperoleh potongan kode yang terkait dengan beberapa layanan di dalam GoDaddy,” kata pihak hosting. perusahaan mengatakan dalam pengarsipan SEC.

Perusahaan mengatakan bahwa pelanggaran sebelumnya yang diungkapkan pada November 2021 dan Maret 2020 juga terkait dengan kampanye multi-tahun ini.

Insiden November 2021 menyebabkan pelanggaran data yang memengaruhi 1,2 juta pelanggan WordPress yang Dikelola setelah penyerang melanggar lingkungan hosting WordPress GoDaddy menggunakan kata sandi yang disusupi.

Mereka mendapatkan akses ke alamat email dari semua pelanggan yang terkena dampak, kata sandi Admin WordPress mereka, kredensial sFTP dan basis data, serta kunci pribadi SSL dari subset klien aktif.

Setelah pelanggaran Maret 2020, GoDaddy memberi tahu 28.000 pelanggan bahwa penyerang menggunakan kredensial akun hosting web mereka pada Oktober 2019 untuk terhubung ke akun hosting mereka melalui SSH.

GoDaddy kini bekerja sama dengan pakar forensik keamanan siber eksternal dan lembaga penegak hukum di seluruh dunia sebagai bagian dari penyelidikan berkelanjutan terhadap akar penyebab pelanggaran tersebut.

Selengkapnya: Bleeping Computer

Bagaimana China Mendanai Kampanye Pengaruh Asing

by

Tinjauan catatan keuangan untuk organisasi Partai Komunis China (PKC) dengan kemampuan pengaruh asing mengungkapkan bahwa pendanaan untuk kegiatan propaganda di China sebagian besar berbasis proyek, dengan sebagian besar pembiayaan berasal dari dana publik. Organisasi PKT merilis laporan keuangan publik yang dapat dianalisis untuk memahami prioritas Tiongkok dalam hal operasi informasi. DFRLab membedah keuangan dua organisasi media Tiongkok dan dua departemen PKC tingkat kota untuk mengungkap wawasan tentang pendanaan kampanye pengaruh asing. Pemeriksaan kami mencakup catatan keuangan untuk Kantor Berita Xinhua, China Media Group (CMG), Departemen Kerja Front Persatuan Beijing (UFWD), dan Departemen Propaganda Beijing.

Operasi media asing Xinhua telah merugi sejak pandemi dimulai, namun pekerjaan tersebut masih didukung oleh kantor berita karena kepentingan strategisnya. Xinhua melihat dirinya terlibat dalam “perang opini publik” global di mana ia berperang secara ofensif. Misalnya, Xinhua merilis serangkaian film dokumenter mini berisi disinformasi yang ditonton jutaan kali. Sementara itu, penyiar China Media Group berinvestasi lebih banyak dalam proyek-proyek yang mempromosikan soft power China, seperti mengiklankan hiburan China.

Membangun kemitraan dalam jurnalisme adalah bidang fokus lainnya. Proyek senilai tujuh juta RMB menjalin kemitraan dengan jurnalis asing di Beijing untuk “memberi tahu dunia tentang Beijing yang komprehensif, nyata, dan tiga dimensi”. Departemen propaganda juga ikut memproduksi serial dokumenter 104 episode, juga berjudul “Pesona Beijing,” dan mempromosikannya di luar negeri dengan negara-negara mitra BRI dalam dua item proyek yang terdaftar, dengan total 5,9 juta RMB (USD $875.000). Departemen propaganda mengharapkan serial tersebut mencapai delapan juta pemirsa di dua jaringan TV asing utama.

Melalui laporan keuangan keempat organisasi ini, DFRLab menemukan pendanaan yang cukup besar untuk proyek pengaruh asing di berbagai bidang. Proyek disinformasi China langsung, seperti “Trilogi Sejarah Kegelapan Amerika”, bertujuan untuk menyebarkan narasi anti-Barat. Bersamaan dengan itu, acara dan pameran TV soft power memamerkan China yang dicintai sebagai tempat untuk dikunjungi dan berinvestasi. Pengeluaran untuk proyek-proyek ini diperkirakan akan meningkat di tahun-tahun berikutnya karena China mengembangkan ekonominya dan terus mencari status internasional yang lebih besar.

selengkapnya : medium.com