Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Serangan siber baru ini dapat menipu ilmuwan DNA untuk menciptakan virus dan racun berbahaya

by

Bentuk baru serangan siber telah dikembangkan yang menyoroti kemungkinan konsekuensi masa depan dari serangan digital terhadap sektor penelitian biologi.

Pada hari Senin, akademisi dari Universitas Ben-Gurion di Negev menggambarkan bagaimana ahli biologi dan ilmuwan yang “tanpa disadari” dapat menjadi korban serangan siber yang dirancang untuk membawa perang biologis ke tingkat yang lebih tinggi.

Pada saat para ilmuwan di seluruh dunia mendorong pengembangan vaksin untuk memerangi pandemi COVID-19, tim Ben-Gurion mengatakan bahwa pelaku ancaman tidak lagi memerlukan akses fisik ke zat “berbahaya” untuk memproduksi atau mengirimkannya – sebaliknya, para ilmuwan dapat ditipu untuk menghasilkan racun atau virus sintetis atas nama mereka melalui serangan siber yang ditargetkan.

Penelitian, “Cyberbiosecurity: Remote DNA Injection Threat in Synthetic Biology,” baru-baru ini diterbitkan dalam jurnal akademis Nature Biotechnology.

Serangan tersebut mendokumentasikan bagaimana malware, yang digunakan untuk menyusup ke komputer ahli biologi, dapat menggantikan sub-string dalam pengurutan DNA.

Rantai serangan potensial diuraikan di bawah ini:

Sumber: ZDNet

“Skenario serangan ini menggarisbawahi kebutuhan untuk memperkuat rantai pasokan DNA sintetis dengan perlindungan terhadap ancaman cyber-biologis,” kata Rami Puzis, kepala Lab Analisis Jaringan Kompleks BGU.

Sumber: ZDNet

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

by

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Kekhawatiran atas keamanan digital terkait dengan karyawan jarak jauh

by

26% pekerja jarak jauh telah mengalami serangan dunia maya secara pribadi, sementara 45% pemberi kerja telah meminta karyawan mereka untuk menggunakan perangkat pribadi mereka untuk bekerja sejak dimulainya pandemi, menurut penelitian Microsoft.

Retrofit keamanan siber
Transisi yang dipercepat ke Bekerja dari Rumah memberi tekanan pada organisasi untuk mendukung pencampuran kehidupan pribadi dan profesional yang tak terhindarkan lebih dari sebelumnya.

Masalah perlindungan informasi pekerja jarak jauh
76% pekerja terkejut dengan seberapa baik mereka beradaptasi dengan pekerjaan jarak jauh. Namun, satu dari lima karyawan merasa datanya lebih rentan saat bekerja dari rumah karena tidak adanya dukungan IT reguler.

Masalah manajemen keamanan pengusaha
Salah satu temuan paling mengkhawatirkan adalah bahwa organisasi berpotensi mengesampingkan prosedur keamanan mereka sendiri atas nama kemanfaatan. Selain itu, 41% perusahaan mengakui semakin sulit untuk tetap mematuhi GDPR karena pandemi.

Ancaman yang berkembang
Laporan mengidentifikasi peningkatan baik dalam tingkat maupun kecanggihan serangan.

Layanan berbasis cloud dan kerja hybrid
Ketika ditanya tentang masa depan, 58% percaya mereka akan memiliki tenaga kerja campuran di masa depan karena lebih banyak staf bekerja dari rumah lebih sering dan yang lainnya berada di kantor. 57% merasa lebih positif tentang penggunaan layanan berbasis cloud, termasuk alat produktivitas.

Prioritas jarak jauh: Pelatihan, dukungan dan investasi
Namun, penelitian menunjukkan bahwa organisasi Irlandia memahami ada kesenjangan dengan 41% mengakui bahwa mereka berada di belakang kurva dalam hal memiliki layanan dan teknologi digital yang tepat untuk menghadapi realitas kerja baru. Sebagai hasil dari perpindahan ke pekerjaan jarak jauh, pemberi kerja fokus pada investasi dalam keamanan digital.

sumber : HelpnetSecurity

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

by

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Sumber: checkpoint research

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research

Bug Xbox dapat memungkinkan peretas untuk menautkan tag pemain dengan email pemain

by

Microsoft telah menambal bug di situs web Xbox yang dapat memungkinkan pelaku ancaman menautkan tag (nama pengguna) Xbox ke alamat email asli pengguna.

Kerentanan tersebut dilaporkan ke Microsoft melalui program bounty bug Xbox yang baru-baru ini diluncurkan perusahaan.

Joseph “Doc” Harris, salah satu dari beberapa peneliti keamanan yang melaporkan masalah ini ke Microsoft, membagikan temuannya dengan ZDNet awal pekan ini.

Peneliti keamanan mengatakan bug tersebut terletak pada enforcement.xbox.com, portal web tempat pengguna Xbox melihat serangan terhadap profil Xbox mereka dan mengajukan banding jika mereka merasa telah ditegur secara tidak adil atas perilaku mereka di jaringan Xbox.

Setelah pengguna masuk ke situs web ini, situs Xbox Enforcement membuat file cookie di browser mereka dengan detail tentang sesi web mereka, jadi mereka tidak perlu mengautentikasi ulang saat mereka mengunjungi situs itu lagi.

Harris mengatakan bahwa file cookie portal yang disertakan berisi bidang ID pengguna (XUID) Xbox yang tidak terenkripsi.

Menggunakan alat yang disertakan dengan semua browser modern, Harris mengedit bidang XUID dan menggantinya dengan XUID dari akun pengujian yang telah dibuat dan digunakan untuk pengujian sebagai bagian dari program Xbox bug bounty.

Harris juga membagikan video bug, yang disematkan di bawah ini:

“Mencoba mengganti nilai cookie dan menyegarkan situs, dan tiba-tiba saya bisa melihat email [pengguna] lain,” kata Harris kepada ZDNet dalam sebuah wawancara minggu ini.

Sumber: ZDNet

Peneliti keamanan secara tidak sengaja menemukan zero-day Windows 7 dan Windows Server 2008

by

Seorang peneliti keamanan Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan pemutakhiran alat keamanan Windows.

Kerentanan berada pada dua registry key yang salah dikonfigurasi untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Peneliti keamanan Prancis Clément Labro, yang menemukan zero-day, mengatakan bahwa penyerang yang memiliki pijakan pada sistem yang rentan dapat memodifikasi registry key ini untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.

Subkey “Performance” biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya, subkey ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.

Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SISTEM.

Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi tambalan untuk masalah ini belum dirilis.

Sumber: ZDNet

Malware Linux Stantinko sekarang berperan sebagai server web Apache

by

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet