Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Security

Cyber Security

Layanan kafein memungkinkan siapa saja meluncurkan serangan phishing Microsoft 365

by

Platform phishing-as-a-service (PhaaS) bernama ‘Caffeine’ memudahkan pelaku ancaman untuk meluncurkan serangan, menampilkan proses pendaftaran terbuka yang memungkinkan siapa saja untuk masuk dan memulai kampanye phishing mereka sendiri.

Kafein tidak memerlukan undangan atau rujukan, juga tidak memerlukan calon pelaku ancaman untuk mendapatkan persetujuan dari admin di Telegram atau forum peretasan. Karena itu, Caffeine menghilangkan banyak hambatan yang menjadi ciri hampir semua platform semacam ini.

Ciri khas lain dari Caffeine adalah bahwa template phishingnya menargetkan platform Rusia dan Cina, sedangkan sebagian besar platform PhaaS cenderung berfokus pada umpan untuk layanan Barat.

Analis Mandiant menemukan dan menguji Caffeine secara menyeluruh, dan melaporkan bahwa Caffeine adalah PhaaS kaya fitur yang mengkhawatirkan mengingat hambatannya yang rendah untuk masuk.

Dalam hal opsi phishing, beberapa fitur lanjutan yang ditawarkan oleh platform ini meliputi:

  • Mekanisme untuk menyesuaikan skema URL dinamis untuk membantu menghasilkan halaman yang diisi sebelumnya secara dinamis dengan informasi khusus korban.
  • Halaman pengalihan kampanye tahap pertama dan halaman iming-iming terakhir.
  • Opsi pemblokiran IP untuk pemblokiran geografis, pemblokiran berbasis range CIDR, dll.

Selengkapnya: Bleeping Computer

Fortinet mengatakan bug bypass auth kritis dieksploitasi dalam serangan

by

Fortinet telah mengkonfirmasi bahwa kerentanan keamanan bypass otentikasi kritis yang ditambal minggu lalu sedang dieksploitasi di alam liar.

Kelemahan keamanan (CVE-2022-40684) adalah bypass autentikasi pada antarmuka administratif yang memungkinkan pelaku ancaman jarak jauh untuk masuk ke firewall FortiGate, proxy web FortiProxy, dan FortiSwitch Manager (FSWM).

“Sebuah bypass otentikasi menggunakan jalur alternatif atau kerentanan saluran [CWE-288] di FortiOS, FortiProxy dan FortiSwitchManager memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi pada antarmuka administratif melalui permintaan HTTP atau HTTPS yang dibuat khusus,” kata Fortinet dalam sebuah advisory.

Perusahaan tersebut merilis pembaruan keamanan untuk mengatasi kelemahan ini pada hari Kamis. Mereka juga memperingatkan beberapa pelanggannya melalui email untuk menonaktifkan antarmuka pengguna manajemen jarak jauh pada perangkat yang terpengaruh “dengan sangat mendesak.”

Fortinet telah merilis security patch dan meminta pelanggan untuk memperbarui perangkat yang rentan ke FortiOS 7.0.7 atau 7.2.2 dan yang lebih baru, FortiProxy 7.0.7 atau 7.2.1 dan yang lebih baru, dan FortiSwitchManager 7.2.1 atau yang lebih baru untuk mempertahankan perangkat mereka dari serangan.

Fortinet juga memberikan informasi tentang bagaimana pelanggan dapat memblokir serangan yang masuk meskipun mereka tidak dapat segera memasang pembaruan keamanan.

Selengkapnya: Fortiguard | Bleeping Computer

Peneliti Merinci Alat Berbahaya yang Digunakan oleh Kelompok Siber Spionase Earth Aughisky

by

Sebuah penelitian baru telah merinci sifat perangkat malware yang semakin canggih yang digunakan oleh kelompok ancaman persisten tingkat lanjut (APT) bernama Earth Aughisky.

“Selama dekade terakhir, grup ini terus melakukan penyesuaian dalam alat dan penyebaran malware pada target tertentu yang berlokasi di Taiwan dan, baru-baru ini, Jepang,” ungkap Trend Micro dalam profil teknis minggu lalu.

Earth Aughisky, juga dikenal sebagai Taidoor, adalah kelompok siber spionase yang dikenal karena kemampuannya untuk menyalahgunakan akun, perangkat lunak, aplikasi, dan kelemahan lain yang sah dalam desain dan infrastruktur jaringan untuk tujuan mereka sendiri.

Vertikal industri yang paling sering ditargetkan termasuk pemerintah, telekomunikasi, manufaktur, alat berat, teknologi, transportasi, dan perawatan kesehatan.

Rantai serangan yang dipasang oleh grup biasanya memanfaatkan spear-phishing sebagai metode awal masuk, menggunakannya untuk menyebarkan backdoor tahap berikutnya. Yang utama di antara alat-alatnya adalah trojan akses jarak jauh yang disebut Taidoor (alias Roudan).

Beberapa pintu backdoor terkenal lainnya yang digunakan oleh Earth Aughisky selama bertahun-tahun adalah sebagai berikut:

  • SiyBot, backdoor dasar yang menggunakan layanan publik seperti Gubb dan 30 Box untuk command-and-control (C2)
  • TWTRAT, yang menyalahgunakan fitur pesan langsung Twitter untuk C2
  • DropNetClient (alias Buxzop), yang memanfaatkan API Dropbox untuk C2

Selengkapnya: The Hacker News

Multitool Kriminal LilithBot Hadir Di Kancah Malware-as-a-service

by

Kelompok ancaman yang berbasis di Rusia yang mendirikan toko distribusi malware awal tahun ini berada di belakang botnet yang dilengkapi dengan berbagai kemampuan jahat, mulai dari mencuri informasi hingga menambang cryptocurrency.

Itu menurut para peneliti di unit intelijen ancaman ThreatLabz Zscaler. Dikatakan grup Eternity – juga dikenal sebagai EternityTeam dan Eternity Project – menawarkan malware LilithBot multifungsi melalui grup Telegram khusus dan tautan Tor di mana penjahat dunia maya dapat memperoleh berbagai muatan melalui langganan.

Grup malware as a service (MaaS) telah aktif setidaknya sejak Januari, mendistribusikan berbagai modul di bawah merek Eternity yang – bersama dengan malware pencuri dan penambang – termasuk ransomware, bot distributed denial of service (DDoS), worm and dropper, dan clipper yang memalsukan alamat crypto di dompet, tulis para peneliti dalam sebuah laporan.

Beberapa kelompok ancaman beralih ke model as-a-service sebagai penghasil pendapatan utama mereka atau sebagai sumber pendapatan tambahan untuk melengkapi aktivitas jahat mereka yang lain. Tidak hanya mencakup MaaS tetapi juga ransomware dan access-as-a-service, di mana sebuah grup akan mendapatkan akses awal ke jaringan perusahaan dan kemudian menjual akses itu ke penjahat dunia maya lainnya.

Selengkapnya: The Register

Pengguna Microsoft Teams menggunakannya untuk alasan yang sangat buruk, jadi hentikan sekarang

by

Perusahaan keamanan siber Hornetsecurity mendesak perusahaan untuk mengambil tindakan pencegahan yang lebih terhadap potensi ancaman menggunakan platform konferensi video Microsoft Teams.

Menurut penelitiannya, hampir setengah (45%) pengguna mengaku sering mengirim informasi “rahasia dan sensitif” melalui Microsoft Teams.

Lebih buruk lagi, angka yang lebih tinggi (51%) ditemukan di berbagi informasi “penting bisnis”, sementara jumlah yang sama (48%) dari responden secara tidak sengaja mengirim pesan Microsoft Teams yang seharusnya tidak dikirim, seperti kepada orang yang salah.

Ketika berbicara mengenai perangkat, pelanggar lebih cenderung berbagi informasi rahasia menggunakan perangkat pribadi (51%), dibandingkan dengan peralatan kerja (29%). Jelas, pentingnya menggunakan perangkat yang diamankan secara profesional perlu ditekankan dalam pelatihan staf.

Hornetsecurity mengusulkan ini sebagai salah satu solusi untuk mengurangi tekanan pada keamanan siber perusahaan, mengutip 56% dari peserta survei yang percaya bahwa pelatihan dan kesadaran karyawan adalah aspek terpenting untuk mengurangi risiko.

CEO perusahaan, Daniel Hofmann, menjelaskan bahwa “perusahaan harus memiliki perlindungan yang memadai untuk melindungi dan mengamankan data bisnis” karena lebih banyak pekerja beralih ke chat-like messaging services.

Jika pengguna ingin terus berbagi konten melalui obrolan, Hofmann mengatakan bahwa perusahaan harus “memastikan informasi dan file yang dibagikan di seluruh platform dicadangkan dengan cara yang aman dan bertanggung jawab.”

Selengkapnya: MSN

RPKI tidak aman – Mekanisme keamanan Internet rusak

by

Menurut pakar keamanan dari ATHENE Jerman, Pusat Riset Nasional untuk Keamanan Siber Terapan, mekanisme keamanan internet yang disebut Resource Public Key Infrastructure (RPKI), yang dimaksudkan untuk melindungi routing lalu lintas data, rusak.

Internet adalah jaringan dari jaringan yang terhubung. Jaringan ini berkomunikasi menggunakan Border Gateway Protocol (BGP) untuk akhirnya membangun routing map internet, sehingga ketika Anda mencoba menyambung ke sesuatu, paket data Anda dikirim melalui pipa yang tepat ke tempat yang tepat.

Secara spesifik, internet terdiri dari jaringan yang disebut sistem otonom/autonomous systems (AS) yang mengiklankan prefix alamat IP mereka melalui router ke jaringan tetangga menggunakan BGP, untuk akhirnya membangun peta perutean ini (routing map internet). AS berbahaya dapat berbohong kepada tetangga mereka, mengklaim prefix alamat IP yang tidak mereka miliki.

RPKI ditujukan untuk mencegah pembajakan prefix dengan mengikat alamat IP ke AS menggunakan tanda tangan digital yang disebut ROA (Route Origin Authorizations). Hanya sekitar 40 persen dari semua blok alamat IP yang memiliki sertifikat RPKI dan hanya sekitar 27 persen yang memverifikasinya, menurut ATHENE.

Tetapi ketika digunakan, RPKI menyediakan AS dengan kemampuan untuk memvalidasi iklan prefix IP dari AS lainnya. Menggunakan ROV (Route Origin Validation), router BGP dapat mengklasifikasikan rute sebagai valid atau tidak valid. Tetapi ketika ROV tidak tersedia dari titik publikasi jaringan, router BGP menganggap rute tidak diketahui dan RPKI tidak digunakan untuk keputusan perutean.

Pilihan desain ini – memprioritaskan jangkauan jaringan daripada keamanan – mewakili sumber kerentanan, kata para peneliti ATHENE.

Selengkapnya: The Register

UU Perlindungan Data Pribadi China Mulai Berlaku

by

Disahkan pada bulan Agustus, Undang-Undang Perlindungan Informasi Pribadi mulai berlaku pada tanggal 1 November. Berisiaturan seputar pengumpulan, penggunaan, dan penyimpanan data, serta apa yang harus dilakukan perusahaan internasional saat mereka mentransfer data ke luar negeri.

Personal Information Protection Law (PIPL) China sekarang berlaku, menetapkan aturan dasar tentang bagaimana data dikumpulkan, digunakan, dan disimpan. Ini juga menguraikan persyaratan pemrosesan data untuk perusahaan yang berbasis di luar China, termasuk lulus penilaian keamanan yang dilakukan oleh otoritas negara.

Perusahaan multinasional atau Multinational corporations (MNC) yang memindahkan informasi pribadi ke luar negeri juga harus mendapatkan sertifikasi perlindungan data dari lembaga profesional, menurut PIPL.

Undang-undang itu disahkan pada Agustus, setelah melalui beberapa revisi sejak pertama kali diajukan pada Oktober tahun lalu. Efektif mulai 1 November, undang-undang baru diperlukan untuk mengatasi “kekacauan” data yang telah dibuat, dengan platform online mengumpulkan data pribadi secara berlebihan, kata pemerintah China kemudian.

Informasi pribadi didefinisikan sebagai semua jenis data yang direkam baik secara elektronik atau bentuk lain, yang berhubungan dengan orang yang diidentifikasi atau dapat diidentifikasi. Itu tidak termasuk data yang dianonimkan.

PIPL juga berlaku untuk organisasi asing yang memproses data pribadi di luar negeri untuk tujuan, antara lain, menyediakan produk dan layanan kepada konsumen Tiongkok serta menganalisis perilaku konsumen Tiongkok. Mereka juga harus membentuk lembaga yang ditunjuk atau menunjuk perwakilan yang berbasis di China untuk bertanggung jawab atas hal-hal yang berkaitan dengan perlindungan data pribadi.

Undang-undang baru mencakup bab yang berlaku khusus untuk transfer data lintas batas, yang menyatakan bahwa perusahaan yang perlu memindahkan informasi pribadi keluar dari China harus terlebih dahulu melakukan “penilaian dampak perlindungan informasi pribadi”, menurut Kantor Komisaris Privasi untuk Pribadi Hong Kong. Data (PCPD).

Mereka juga perlu mendapatkan persetujuan terpisah dari individu terkait dengan transfer informasi pribadi mereka dan memenuhi salah satu dari beberapa persyaratan. Ini termasuk menyetujui “kontrak standar” yang dikeluarkan oleh pihak berwenang yang mengawasi masalah dunia maya dan memenuhi persyaratan yang digariskan dalam undang-undang dan peraturan lain yang ditetapkan oleh pihak berwenang, kata PCPD.

Perusahaan multinasional ini juga harus menerapkan langkah-langkah yang diperlukan untuk memastikan pihak asing lainnya yang terlibat dalam pemrosesan data mematuhi standar keamanan data yang ditetapkan oleh PIPL.

Belum Jelas Penilaian Keamanan Apa yang Dibutuhkan
Leo Xin, rekan senior dengan firma hukum Pinsent Masons, menggambarkan undang-undang tersebut sebagai “tonggak sejarah” dalam rezim hukum perlindungan data China dan mendesak perusahaan multinasional untuk memberikan perhatian khusus pada aturan tentang transfer data lintas batas.

Leo mengatakan dalam sebuah posting: “Masih ada area tertentu yang masih belum jelas dan memerlukan aturan implementasi yang terperinci, seperti bagaimana penilaian keamanan harus ditangani, seperti apa model klausul untuk transfer data yang dirumuskan oleh China Cyberspace Administration, seperti apa persetujuannya. prosedurnya adalah [jika] ada permintaan informasi pribadi oleh badan peradilan di luar negeri atau lembaga penegak hukum.”

Undang-undang lebih lanjut menyerukan penanganan data pribadi menjadi jelas, masuk akal, dan terbatas pada “lingkup minimum yang diperlukan” untuk mencapai tujuan mereka dalam memproses informasi.

Pengacara merekomendasikan agar perusahaan multinasional mulai mengevaluasi dampak potensial PIPL pada infrastruktur TI dan aktivitas pemrosesan data mereka.

Menurut PCPD, undang-undang baru ini juga mencakup pemrosesan data “pengambilan keputusan otomatis”, di mana sistem TI digunakan untuk secara otomatis menganalisis dan membuat keputusan tentang perilaku konsumen serta kebiasaan, minat, keuangan, dan kesehatan konsumen.

Di sini, perusahaan harus memastikan proses pengambilan keputusan tersebut transparan dan adil. Konsumen juga harus diberikan opsi untuk tidak menerima konten yang dipersonalisasi. Penilaian dampak keamanan harus dilakukan dan laporan ini disimpan setidaknya selama tiga tahun.

Perusahaan yang melanggar aturan PIPL dapat diberikan perintah untuk perbaikan atau peringatan. Pihak berwenang China juga dapat menyita “penghasilan yang melanggar hukum”, menurut PCPD.

Sanksi
Pelanggar yang gagal mematuhi perintah untuk memperbaiki pelanggaran akan menghadapi denda hingga 1 juta yuan ($ 150.000), sementara orang yang bertanggung jawab untuk memastikan kepatuhan dapat didenda antara 10.000 yuan ($ 1.500) dan 100.000 yuan ($ 15.000).

Untuk kasus-kasus “serius”, pihak berwenang China juga memberikan denda hingga 50 juta yuan ($ 7,5 juta) atau 5% dari omset tahunan perusahaan untuk tahun fiskal sebelumnya. Selain itu, kegiatan usahanya dapat dihentikan sementara atau izin usaha dan izinnya dicabut.

sumber: ZDNET

Gratis! Telah Rilis Babuk Ransomware Decryptor untuk Memulihkan File

by

Perusahaan perangkat lunak keamanan siber Ceko, Avast, telah membuat dan merilis alat dekripsi untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.

Menurut Avast Threat Labs, dekripsi Babuk dibuat menggunakan kode sumber dan kunci dekripsi yang bocor.

Decryptor gratis dapat digunakan oleh korban Babuk yang filenya dienkripsi menggunakan ekstensi berikut: .babuk, .babyk, .doydo.

Korban ransomware Babuk dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi sekaligus menggunakan instruksi yang ditampilkan dalam antarmuka pengguna dekripsi.

Dari pengujian BleepingComputer, decryptor ini kemungkinan hanya akan bekerja untuk korban yang kuncinya bocor sebagai bagian dari dump kode sumber Babuk.

Ransomware dan Kunci Dekripsi Bocor
Kode sumber ransomware lengkap geng Babuk bocor di forum peretasan berbahasa Rusia bulan lalu oleh aktor ancaman yang mengaku sebagai anggota kelompok ransomware.

Keputusan untuk membocorkan kode tersebut dilatarbelakangi oleh dugaan anggota Babu yang mengidap penyakit kanker stadium akhir. Dia mengatakan dalam posting kebocorannya bahwa dia memutuskan untuk merilis kode sumber sementara mereka harus “hidup seperti manusia.”

Arsip bersama berisi berbagai proyek ransomware Visual Studio Babuk untuk VMware ESXi, NAS, dan Windows encryptors, dengan folder Windows berisi kode sumber lengkap untuk Windows encryptor, decryptor, dan apa yang tampak seperti generator kunci pribadi dan publik.

Termasuk dalam kebocoran itu juga encryptors dan decryptors yang dikompilasi untuk korban tertentu dari geng ransomware.

Setelah kebocoran tersebut, CTO Emsisoft dan pakar ransomware Fabian Wosar mengatakan kepada BleepingComputer bahwa kode sumbernya sah dan arsip tersebut mungkin juga berisi kunci dekripsi untuk korban sebelumnya.

Sejarah Babuk yang Bermasalah
Babuk Locker, juga dikenal sebagai Babyk dan Babuk, adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis untuk mencuri dan mengenkripsi data mereka sebagai bagian dari serangan pemerasan ganda.

Setelah serangan mereka di Departemen Kepolisian Metropolitan (MPD) Washington DC, mereka mendarat di rambut salib penegak hukum AS dan mengaku telah menutup operasi mereka setelah mulai merasakan panas.

Setelah serangan ini, ‘Admin’ geng tersebut diduga ingin membocorkan data MPD yang dicuri secara online untuk publisitas, sementara anggota lainnya menentangnya.

Setelah ini, anggota Babuk terpecah, dengan admin asli meluncurkan forum kejahatan dunia maya Ramp dan yang lainnya meluncurkan kembali ransomware dengan nama Babuk V2, terus menargetkan dan mengenkripsi korban sejak saat itu.

Tepat setelah peluncuran forum cybercrime Ramp, itu menjadi sasaran serangkaian serangan DDoS yang akhirnya menyebabkan situs menjadi tidak dapat digunakan.

Sementara Admin Babuk menyalahkan mantan rekannya atas insiden ketiga, tim Babuk V2 mengatakan kepada BleepingComputer bahwa mereka tidak berada di balik serangan tersebut.

sumber: BLEEPING COMPUTER