Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

by

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Botnet Mirai suka mengeksploitasi router TP-Link Anda yang belum ditambal, CISA memperingatkan

by

Cybersecurity and Infrastructure Security Agency (CISA) pemerintah AS menambahkan tiga kelemahan lagi ke dalam daftar kerentanan yang diketahui dieksploitasi, termasuk satu yang melibatkan router TP-Link yang menjadi sasaran operator botnet Mirai yang terkenal kejam.

Dua lainnya ditempatkan pada daftar minggu ini melibatkan versi perangkat lunak Server WebLogic Oracle dan perpustakaan log4j Java Log4j dari Apache Foundation.

Cacat injeksi perintah di router Wi-Fi 6 Archer AX21 TP-Link – dilacak sebagai CVE-2023-1389 – bersembunyi di firmware perangkat sebelum versi 1.1.4 Build 20230219, yang mengatasi masalah tersebut. Penyerang yang tidak sah dapat mengeksploitasi lubang ini untuk menyuntikkan perintah yang dapat menyebabkan eksekusi kode jarak jauh (RCE), yang memungkinkan penyusup mengambil kendali perangkat dari seluruh jaringan atau internet.

Malware Mirai menggulung perangkat Internet of Things (IoT) berbasis Linux yang terinfeksi ke dalam botnet yang kemudian dapat dikendalikan dari jarak jauh untuk melakukan serangan jaringan berskala besar, termasuk serangan denial-of-services (DDoS) terdistribusi.

Kerentanan command-injection ditemukan oleh beberapa tim yang berpartisipasi dalam kontes Pwn2Own Toronto ZDI tahun lalu dan seperti yang kami katakan, TP-Link telah mengeluarkan firmware untuk memperbaiki masalah tersebut. Setelah mendengar dari ZDI bahwa operator botnet Mirai mencoba mengeksploitasinya, TP-Link mengeluarkan pernyataan yang mendesak pengguna untuk menginstal firmware yang diperbarui.

Untuk perangkat yang ditautkan ke akun TP-Link Cloud, firmware diperbarui secara otomatis. Pengguna lain perlu memperbarui router sendiri.

Para peneliti ZDI menulis bahwa melihat kelemahan yang dieksploitasi begitu cepat setelah tambalan dirilis adalah contoh lain dari berkurangnya waktu antara kerentanan ditemukan dan upaya eksploitasi dimulai.

selengkapnya : theregister.com

Mengamankan lingkungan multi-cloud adalah salah satu tantangan utama DoD. Inilah cara mereka bisa berhasil

by

Saat Departemen Pertahanan mengumumkan kontrak Joint Warfighting Cloud Capability pada bulan Desember, ini merupakan langkah besar dalam perjalanan multi-cloud DoD. Dengan menerapkan tata kelola multi-cloud, yang berpusat pada keamanan, DoD memiliki peluang untuk menyelaraskan adopsi multi-cloud ini dengan strategi tanpa kepercayaan. Strategi tersebut sangat eksplisit tentang hasil yang dicari untuk mengamankan lingkungan dan memberikan metrik untuk menentukan keberhasilan – misalnya, dapatkah DoD mengidentifikasi dan melacak individu yang sama di beberapa lingkungan? Ini juga memberikan fleksibilitas, memberi DoD kemampuan untuk mencoba berbagai pendekatan untuk mencapai hasil yang diinginkan, dan memilih opsi terbaik.

“Meskipun ada manfaat operasional bagi DoD yang memanfaatkan berbagai lingkungan penyedia layanan cloud dan semua kemampuan keamanan asli yang ada, memiliki kemampuan keamanan yang dapat memperluas dan menutupi celah di lingkungan CSP tertentu akan memberi mereka pandangan holistik di seluruh sistem mereka,” kata Steve Faehl, kepala petugas teknologi keamanan untuk Microsoft Federal. “Kemampuan keamanan Azure juga dapat membantu mempertahankan cloud lain, di mana kita dapat melihat DoD menghasilkan efisiensi dan skala ekonomis yang signifikan: memiliki gambaran operasional yang sama dengan memanfaatkan komponen Azure yang terbentang secara menyeluruh.”

Untuk lebih mengamankan jaringan dan sistem DoD, dan mencapai tujuan dari strategi tanpa kepercayaannya, analis dan pembela dunia maya DoD akan membutuhkan visibilitas di seluruh lanskap cloud, daripada harus beralih di antara instance yang terpisah. DoD membutuhkan gambaran umum tentang identitas pengguna, cara umum untuk menempatkan kebijakan dan perlindungan ke titik akhir, dan lapisan pertahanan umum.

“Kami yakin bahwa kepercayaan nol dapat diukur,” kata Jay Bhalodia, direktur kesuksesan pelanggan di divisi keamanan Microsoft Federal. “Dengan memulai dengan lapisan umum untuk dapat melihat segalanya, Anda kemudian dapat menambahkan kebijakan dan tata kelola tersebut. Dan harus ada perubahan terukur dalam lingkungan yang mencerminkan hal itu. Jika Anda menangkap telemetri terlebih dahulu, dan memahami apa titik awal Anda, Anda memiliki kemampuan untuk mengukur kematangan lingkungan relatif tersebut, dan mengetahui di mana Anda perlu menghilangkan risiko atau mengatasi masalah tertentu. Pengukuran dimulai dengan visibilitas.”

Tapi ini bukan hanya tentang kemampuan itu sendiri; Analis dan pembela DoD harus dididik tentang cara mengoperasikan kemampuan ini juga. Mereka memerlukan pelatihan untuk mempelajari cara kerja alat, dan cara memahami dasbor dan visibilitas di berbagai solusi cloud. Mereka juga memerlukan pelatihan tentang cara menerapkan pengetahuan itu ke dalam konteks organisasi untuk mencapai tujuan dan hasil spesifik yang dicari DoD. Microsoft telah berinvestasi dalam keterlibatan khusus hasil DOD untuk jalur implementasi yang lebih cepat dan program pelatihan langsung untuk mendukung pengembangan kemampuan bagi karyawan DoD dan Federal.

sekengkapnya : federalnewsnetwork.com

Apple Merilis Perbaikan Keamanan ‘Cepat’ Pertama untuk iPhone, iPad, dan Mac

by

Pada hari Senin, Apple merilis batch pertama patch “Rapid Security” yang tersedia untuk umum, bertujuan untuk memperbaiki kerentanan keamanan dengan cepat yang berada di bawah eksploitasi aktif atau menimbulkan risiko signifikan bagi pelanggannya.

Menurut pemberitahuan, pembaruan ‘Rapid Security Response’ memberikan peningkatan keamanan penting di antara pembaruan perangkat lunak yang lebih cepat daripada pembaruan perangkat lunak biasa.

Apple mengaktifkan fitur ini secara default dan beberapa tambalan cepat dapat diinstal tanpa perlu melakukan boot ulang, meskipun tidak selalu.

Pembaruan keamanan tersebut hanya tersedia untuk pelanggan yang menjalankan iOS 16.4.1, iPadOS 16.4.1, dan macOS 13.3.1. Setelah diinstal, itu akan menambahkan huruf ke versi perangkat lunak, seperti iOS 16.4.1 (a), iPadOS 16.4.1 (a), dan macOS 13.3.1 (a).
Kredit gambar-gambar: TechCrunch (tangkapan layar)

Terdapat beberapa kendala dalam peluncuran. Beberapa pelanggan tidak dapat menginstal pembaruan. Apple belum menanggapi permintaan komentar.

Dalam beberapa minggu terakhir, para peneliti telah menemukan eksploitasi baru yang dikembangkan oleh pembuat spyware QuaDream dan NSO Group yang ditujukan untuk menargetkan pemilik iPhone di seluruh dunia.

Sementara Citizen Lab mengatakan bulan lalu bahwa Lockdown Mode, sebuah fitur yang diluncurkan oleh Apple tahun lalu untuk mencegah serangan bertarget serupa, berhasil memblokir setidaknya satu eksploit yang dikembangkan NSO yang menyalahgunakan kerentanan dalam fitur rumah pintar Apple, HomeKit.

Selengkapnya: TechCrunch+

Penurunan Drastis Ancaman Online di Vietnam

by

Perubahan Positif Postur Keamanan Siber Vietnam tersebut menurut laporan terbaru oleh perusahaan keamanan siber global, Kapersky.

Sudah 5 tahun sejak 2022 berturut-turut Vietnam menyaksikan penurunan jumlah insiden keamanan siber yang diblokir oleh perusahaan keamanan siber global.

Kaspersky mendeteksi dan memblokir total hampir 42 juta ancaman siber berbeda dari Internet di komputer peserta KSN di Vietnam pada tahun 2022, turun 34 persen dari tahun 2021.

Persentase pengguna Vietnam yang hampir terinfeksi oleh ancaman web selama periode ini tercatat sebesar 37,6 persen, menduduki peringkat ke-49 secara global dan turun 17 peringkat dibandingkan tahun sebelumnya.

Penurunan jumlah ancaman siber dapat dikaitkan dengan berbagai faktor. Selain peningkatan upaya Pemerintah untuk meningkatkan kesadaran dan meningkatkan langkah-langkah keamanan siber, pengguna Vietnam kini mengambil langkah lebih proaktif untuk melindungi diri mereka sendiri di ruang digital dengan berinvestasi pada perangkat lunak antivirus, memperbarui perangkat secara rutin, dan mempraktikkan kebiasaan online yang lebih aman.

Selengkapnya: bizhub

Duta siber AS: NATO harus memperluas ‘pencegahan ke dunia digital’

by

Pejabat tinggi keamanan dunia maya Departemen Luar Negeri AS mengatakan pada hari Kamis bahwa negara-negara mengambil keuntungan dari pandangan yang berbeda di antara anggota NATO tentang apakah serangan dunia maya dapat memicu respons militer kolektif.

Sejak awal invasi Rusia ke Ukraina tahun lalu, perdebatan telah berkecamuk tentang apakah serangan dunia maya yang merusak dapat memicu Pasal 5 – prinsip dasar NATO bahwa serangan terhadap anggota mana pun akan memerlukan tanggapan militer dari semua.

Pasal 5 hanya dipicu sekali – setelah serangan teroris 9/11 – tetapi telah menjadi topik yang menarik bagi beberapa negara Eropa yang menghadapi rentetan serangan siber yang melumpuhkan sejak dimulainya invasi Rusia ke Ukraina pada Februari 2022.

Pada Konferensi RSA minggu ini, Duta Besar AS untuk Kebijakan Dunia Maya & Digital Nathaniel Fick mengatakan bahwa musuh NATO “berusaha melakukan sesuatu kepada kami menggunakan cara digital yang tidak akan pernah mereka lakukan kepada kami menggunakan cara kinetik karena kejelasan kebijakan respons .”

Nathalie Jaarsma, duta besar Belanda untuk kebijakan keamanan dan dunia maya, mengatakan dalam panel yang sama bahwa secara umum, serangan dunia maya berada di bawah ambang batas untuk memicu Pasal 5. Namun dia menyebutkan bahwa beberapa negara telah mendorong “akumulasi” dari serangan siber untuk diperhitungkan dalam Pasal 5 pertimbangan.

“Ini benar-benar situasi kasus per kasus dan tentang dampaknya. [Kita perlu] melakukan diskusi internal tentang apa yang kita lihat sebagai ambang batas untuk jangkauan potensial kita, ”katanya.

Fick mengatakan akan menjadi “keuntungan kolektif NATO untuk mengklarifikasi dan menegakkan bagaimana” mereka menanggapi insiden dunia maya.

Selengkapnya: The Record

CISA, FDA memperingatkan tentang kerentanan perangkat DNA Illumina baru

by

Beberapa lembaga AS memperingatkan minggu ini tentang kerentanan yang memengaruhi perangkat lunak pada perangkat yang digunakan untuk penelitian DNA yang akan memungkinkan peretas mengakses informasi pasien yang sensitif.

Food and Drug Administration (FDA) dan perusahaan di belakang perangkat tersebut – Illumina – mengatakan mereka belum menerima laporan yang mengindikasikan kerentanan telah dieksploitasi.

Illumina adalah salah satu produsen perangkat medis terbesar di dunia yang menangani bioanalisis dan pengurutan DNA.

Penasihat dari Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bug, CVE-2023-1968, memiliki skor dasar CVSS 10, peringkat tertinggi yang mungkin.

Kerentanan mempengaruhi Layanan Salinan Universal (UCS) Illumina, yang digunakan dalam peralatan “yang dapat ditentukan baik untuk penggunaan diagnostik klinis dalam mengurutkan DNA seseorang untuk berbagai kondisi genetik atau hanya untuk penggunaan penelitian.”

Produk-produknya termasuk Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000, dan instrumen pengurutan NovaSeq 6000.

“Pengguna yang tidak sah dapat mengeksploitasi kerentanan dengan: mengambil kendali dari jarak jauh; mengubah pengaturan, konfigurasi, perangkat lunak, atau data pada instrumen atau jaringan pelanggan; atau memengaruhi hasil data genom dalam instrumen yang ditujukan untuk diagnosis klinis, termasuk menyebabkan instrumen tidak memberikan hasil, hasil yang salah, hasil yang berubah, atau potensi pelanggaran data,” kata FDA.

Illumina telah mengembangkan tambalan dan mengirimkan pesan tentang hal itu kepada pelanggan yang terpengaruh pada 5 April.

Mereka mendesak pelanggan untuk menghubungi mereka jika mereka belum menerima tambalan atau jika perangkat mereka disusupi. FDA juga menawarkan perusahaan cara untuk melaporkan kompromi jika diperlukan.

CISA mencatat bahwa “tidak ada eksploitasi publik yang diketahui secara khusus menargetkan kerentanan ini.”

Ini bukan pertama kalinya Illumina melaporkan kerentanan yang memengaruhi alatnya yang digunakan untuk analisis genetik.

Selengkapnya: The Record

Banyak Situs Salesforce Publik Membocorkan Data Pribadi

by

Salesforce Community adalah produk perangkat lunak berbasis cloud yang banyak digunakan yang memudahkan organisasi membuat situs web dengan cepat. Pelanggan dapat mengakses situs web Komunitas Salesforce dengan dua cara: Akses terotentikasi (memerlukan login), dan akses pengguna tamu (tidak perlu login). Fitur akses tamu memungkinkan pengguna yang tidak diautentikasi untuk melihat konten dan sumber daya tertentu tanpa perlu masuk.

Namun, terkadang administrator Salesforce secara keliru memberikan akses kepada pengguna tamu ke sumber daya internal, yang dapat menyebabkan pengguna yang tidak sah mengakses informasi pribadi organisasi dan menyebabkan potensi kebocoran data.

Hingga dihubungi oleh reporter ini pada hari Senin, negara bagian Vermont memiliki setidaknya lima situs Komunitas Salesforce terpisah yang memungkinkan akses tamu ke data sensitif, termasuk program Bantuan Pengangguran Pandemi yang mengungkap nama lengkap pemohon, nomor Jaminan Sosial, alamat, nomor telepon , email, dan nomor rekening bank.

Data itu kemudian dijual di forum kejahatan dunia maya teratas. Associated Press melaporkan bahwa pelanggaran DC Health Link juga merupakan hasil dari kesalahan manusia, dan mengatakan penyelidikan mengungkapkan penyebabnya adalah server DC Health Link yang “salah dikonfigurasi untuk mengizinkan akses ke laporan di server tanpa otentikasi yang tepat.”

Salesforce mengatakan paparan data bukanlah hasil dari kerentanan yang melekat pada platform Salesforce, tetapi hal itu dapat terjadi ketika izin kontrol akses pelanggan salah dikonfigurasi.

selengkapnya : krebsonsecurity