Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Payment API Mengekspos Jutaan Data Pembayaran Pengguna

by

Pengembang aplikasi sekali lagi dituduh memiliki butterfingers dalam hal kunci API, membuat jutaan pengguna aplikasi seluler berisiko mengekspos data pribadi dan pembayaran mereka.

CloudSEK, pembuat kecerdasan buatan yang mengaktifkan perlindungan ancaman digital, melaporkan minggu lalu bahwa bahwa berbagai perusahaan yang melayani jutaan pengguna memiliki aplikasi seluler dengan kunci API yang di-hardcode dalam paket aplikasi: Kunci yang tidak boleh diekspos di aplikasi endpoint.

“Meskipun paparan kunci API yang merajalela berbahaya untuk aplikasi apa pun, ini sangat penting ketika menyangkut aplikasi yang menangani informasi pembayaran seperti detail bank, informasi kartu kredit, dan transaksi UPI, selain pengguna [personally identifiable information, atau PII]. ],” menurut laporan CloudSEK.

API – antarmuka pemrograman aplikasi – adalah urat nadi dan arteri ekosistem seluler, memungkinkan aplikasi berkomunikasi dengan berbagai sumber dan memindahkan data masuk dan keluar dari aplikasi tersebut. Ini adalah bagian “integral” dari cara kerja aplikasi, kata CloudSEK, yang berarti bahwa pengembang aplikasi harus menanganinya dengan sangat hati-hati untuk menghindari kebocoran data pelanggan: “Setiap kesalahan penanganan kunci API yang sistematis di antara pengembang aplikasi dapat menyebabkan ancaman bagi bisnis aplikasi,” para peneliti menyampaikan.

Para peneliti fokus pada 13.000 aplikasi yang saat ini diunggah ke mesin pencari keamanan aplikasi seluler CloudSEK, BeVigil, sekitar 250 di antaranya – sekitar 5 persen – menggunakan Razorpay API untuk menggerakkan transaksi keuangan.

CloudSEK menegaskan, eksposur kunci API menjadi “bukti bagaimana kunci API salah ditangani oleh pengembang aplikasi.”

Selengkapnya: The Threat Post

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

by

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

Polisi Membubarkan Grup Penipuan Online yang Berhasil Meraup 166 Triliun Rupiah

by

Polisi melakukan 106 penangkapan dalam membubarkan kegiatan kejahatan terorganisir yang menggunakan phishing dan business email compromise attacks.

Polisi telah membongkar grup yang terkait dengan mafia Italia yang menipu ratusan korban melalui serangan phishing dan jenis penipuan online lainnya.

Operasi gabungan dipimpin oleh Polisi Nasional Spanyol (Policia Nacional), dengan dukungan dari Polisi Nasional Italia (Polizia di Stato), Europol dan Eurojust dan telah mengakibatkan 106 penangkapan di seluruh Spanyol dan Italia.

Menurut Europol, operasi kejahatan menggunakan serangan phishing, pertukaran SIM, dan business email compromise (BEC) dan diperkirakan menghasilkan keuntungan selama satu tahun sekitar € 10 juta yang setara dengan $ 11,7 juta dollar amerika atau 166 triliun rupiah.

Digambarkan sebagai “terorganisir dengan sangat baik”, kelompok itu terdiri dari sejumlah pakar kejahatan komputer yang bertugas membuat domain phishing dan melakukan penipuan dunia maya. Individu lain yang terlibat dalam jaringan kriminal ada perantara uang dan pakar pencucian uang(money-laundering), termasuk pakar cryptocurrency.

Bekerja di Kepulauan Canary, Spanyol, para penjahat menipu para korban (kebanyakan dari Italia) untuk mengirim sejumlah besar uang ke rekening bank yang mereka kendalikan, sebelum melakukan money-laundering.

Menurut FBI, BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan, meraup sampai sampai miliaran dollar per tahun.

Selain 106 penangkapan, 118 rekening bank telah dibekukan dan sejumlah perangkat telah disita, termasuk 224 kartu kredit, kartu SIM, dan terminal point-of-sale.

Polisi menyelidiki kelompok itu selama lebih dari setahun sebelum melakukan penangkapan. Sebagai bagian dari operasi, Europol mengerahkan dua analis dan satu ahli forensik ke Tenerife, Spanyol dan satu analis ke Italia. Europol juga mendanai pengerahan tiga penyelidik Italia ke Tenerife untuk mendukung pihak berwenang Spanyol selama penyelidikan.

source: ZDNet

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

by

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Prioritas Keamanan Siber pada tahun 2021: Bagaimana CISO Dapat Menganalisis Ulang dan Mengalihkan Fokus?

by

The Hacker News telah menyusun prioritas keamanan siber teratas untuk tahun 2021 dan seterusnya yang akan memungkinkan bisnis untuk sepenuhnya siap menghadapi gangguan di masa depan, tanpa mengorbankan keamanan.

Perkuat Dasar-Dasar Keamanan Siber

CISO harus fokus pada dasar-dasar keamanan, termasuk manajemen aset, manajemen kata sandi, kebersihan dunia maya, konfigurasi, manajemen kerentanan, patching, deteksi dan pencegahan ancaman, edukasi pengguna, pelaporan, dokumentasi, dan sebagainya. Tanpa dasar yang kuat, investasi apa pun dalam keamanan siber tidak akan menghasilkan manfaat yang seharusnya tercapai.

Keamanan Siber Harus Menjadi Agenda Ruang Rapat

Keamanan siber adalah masalah bisnis dan perlu diperlakukan sebagai satu kesatuan, bukan dipandang sebagai masalah TI. CISO perlu menyadari risiko bisnis, itu sudah pasti. Lagi pula, dalam kasus pelanggaran keamanan, CEO dan dewan harus menjawab pertanyaan tentang bagaimana hal itu terjadi.

Selanjutnya, organisasi perlu menciptakan budaya keamanan siber yang dimulai dari atas dan meresap ke bawah. Ketika pemimpin memimpin dari depan, penerimaan lebih mudah di antara karyawan dalam mengadopsi dan mempertahankan standar keamanan dalam pekerjaan rutin mereka.

Memanfaatkan Intelligent Automation dan Teknologi Canggih Lainnya

Penyerang memanfaatkan teknologi canggih untuk menyusup ke jaringan perusahaan dan mendapatkan akses ke aset penting misi. Mengingat skenario ini, organisasi juga perlu memanfaatkan teknologi futuristik seperti WAF generasi berikutnya, intelligent automation, behavior analytics, deep learning, security analytics, dan sebagainya untuk mencegah serangan yang paling kompleks dan canggih sekalipun.

Pergeseran ke Arsitektur Zero Trust

Pekerja jarak jauh akan tetap ada, dan konsep perimeter jaringan menjadi kabur. Untuk kelangsungan bisnis, organisasi harus mengaktifkan akses aset mission-critical kepada karyawan di mana pun mereka berada. Karyawan mungkin mengakses sumber daya ini dari perangkat pribadi, perangkat bersama, dan jaringan tidak aman. CISO perlu berpikir secara strategis dan menerapkan keamanan tanpa batas berdasarkan arsitektur zero trust.

Arsitektur zero-trust mengamanatkan bahwa organisasi selalu memverifikasi dan tidak pernah percaya sehubungan dengan data, karyawan, jaringan, dan perangkat.

Fokus pada Mengamankan Infrastruktur Cloud Anda

Ini pada dasarnya berarti bahwa CISO perlu memikirkan kembali kebijakan keamanan mereka untuk mengamankan infrastruktur cloud. Mereka harus menerapkan alat & teknologi cerdas baru, proses holistik, dan model tata kelola komprehensif yang memberikan visibilitas ke lingkungan cloud dan membantu mengamankan infrastruktur cloud.

Kembangkan Rencana Kontinuitas yang Kuat

Organisasi biasanya memiliki rencana respons insiden keamanan dan rencana kelangsungan bisnis. Tetapi tidak ada yang memperhitungkan peristiwa yang berdampak di seluruh dunia seperti pandemi Covid-19.

Prioritas keamanan siber untuk tahun 2021 dan seterusnya mengharuskan CISO dan pemimpin bisnis untuk mengembangkan rencana kesinambungan dan ketahanan yang kuat untuk peristiwa semacam itu.

Selengkapnya: The Hacker News

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News

Edward Snowden mendesak pengguna untuk berhenti menggunakan ExpressVPN

by

Pekan lalu, Hackread.com melaporkan kesepakatan miliaran dolar di mana ExpressVPN dibeli oleh Kape, sebuah perusahaan keamanan siber Israel yang meningkatkan masalah privasi di antara penggunanya. Kemudian, dalam tweet baru-baru ini, mantan whistleblower NSA Edward Snowden telah memperingatkan pengguna untuk berhenti menggunakan ExpressVPN.

Peringatan ini tampaknya sebagai reaksi terhadap berita bahwa CIP ExpressVPN, Daniel Gericke, adalah salah satu dari tiga mantan agen intelijen AS yang mengaku secara ilegal membantu pemerintah UEA melakukan peretasan terhadap orang-orang yang menjadi sasaran mereka.

Agak lucu bahwa ExpressVPN, salah satu penyedia layanan VPN terkemuka di dunia, tidak menyangkal klaim bahwa CIO-nya telah terlibat dalam Project Raven. Perusahaan merilis pernyataan yang menjelaskan bahwa fakta yang diceritakan dalam laporan itu sebelum perusahaan mempekerjakan Daniel, dan mereka telah mengetahui hal ini sejak awal.

Meskipun perusahaan menganggap Project Raven dan pengawasan secara umum sebagai antitesis, perusahaan ingin mempertahankan Gericke sebagai karyawannya karena Daniel memiliki pengalaman 20 tahun di industri keamanan siber dan telah bekerja di militer AS.

Sekadar informasi, Daniel Gericke dipekerjakan oleh ExpressVPN pada tahun 2019 dan sebelum bekerja, Daniel menghentikan kontraknya dengan UEA. Selain itu, ExpressVPN menyatakan bahwa perusahaan telah menerapkan beberapa langkah keamanan untuk menjaga privasi penggunanya.

Selengkapnya: Hackread

Alamt IP Pengguna VPN terekspos oleh kerentanan zero-day di router Virgin Media

by

Kerentanan zero-day di router Virgin Media Super Hub 3 memungkinkan penyerang membuka kedok alamat IP pengguna VPN yang sebenarnya, ungkap peneliti keamanan.

Fidus Information Security, konsultan penetration testing Inggris, telah menerbitkan rincian kerentanan keamanan hampir dua tahun setelah pertama kali memperingatkan Virgin Media, sebuah perusahaan telekomunikasi Inggris, yang merujuk Fidus ke Liberty Global, perusahaan induknya.

Tim R&D Fidus mengatakan awalnya menunda pengungkapan selama 12 bulan atas permintaan vendor, tetapi upaya selanjutnya untuk menghubungi Virgin Media dan Liberty Global kemudian gagal mendapatkan tanggapan.

Namun, Virgin Media telah mengatakan kepada The Daily Swig bahwa saat ini sedang mengerjakan “perbaikan teknis” untuk “masalah edge-case, yang berpotensi berdampak hanya pada sebagian kecil pelanggan” yang menggunakan VPN.

Para peneliti dapat memasang serangan rebinding DNS yang mengungkapkan alamat IP pengguna VPN “dengan hanya [pengguna] mengunjungi halaman web [berbahaya] selama beberapa detik”, tulis posting blog yang dirancang oleh Fidus pada bulan Maret tetapi akhirnya diterbitkan minggu lalu.

Serangan rebinding DNS menyalahgunakan browser korban dengan menjadikannya sebagai proxy untuk menyerang jaringan pribadi.

Para peneliti berhasil menghilangkan anonimitas perangkat yang alamat IP-nya ditutupi oleh sebagian besar “VPN terkemuka di pasar”, kata tim R&D Fidus kepada The Daily Swig.

Namun, beberapa penyedia VPN menangkis serangan tersebut dengan memblokir akses ke alamat IP lokal secara default.

Selengkapnya: Portswigger