Cybersecurity

DHS mendorong Kongres untuk secara formal membentuk Dewan Tinjauan Keamanan Cyber

April 28, 2023 by Søren

Seorang pejabat senior Departemen Keamanan Dalam Negeri mengonfirmasi pada hari Rabu bahwa DHS bekerja dengan Kongres dan Gedung Putih untuk menyusun undang-undang yang akan mengkodifikasi Cyber Safety Review Board (CSRB) — upaya baru untuk memeriksa insiden keamanan siber yang signifikan.

DHS menginginkan undang-undang yang secara resmi akan mengesahkan pendanaan dewan dan memberinya kekuatan subpoena untuk memaksa korban berbicara jujur, kata Rob Silvers, wakil menteri untuk strategi, kebijakan, dan rencana, di Konferensi RSA.

“Kami pikir itu akan benar-benar jarang terjadi di mana dewan perlu menggunakannya,” kata Silvers tentang kekuatan panggilan pengadilan, membandingkannya dengan otoritas Dewan Keselamatan Transportasi Nasional selama investigasi kecelakaan.

NTSB “hampir tidak pernah menggunakannya, karena tidak perlu, karena mendapat kerjasama,” kata Silvers.

CSRB beranggotakan 15 orang, yang didirikan atas perintah eksekutif tahun lalu, bertugas mengevaluasi insiden dunia maya besar dan membuat rekomendasi untuk memulihkannya.

Dewan memberikan suara pada 24 April untuk menyetujui proposal legislatif dan mempresentasikannya ke Kongres. “[Kami] pikir Kongres harus menetapkannya dan juga memberi kami landasan untuk lebih banyak sumber daya, lebih lanjut membangun staf,” kata Silvers.

Investigasi pertama CSRB berpusat pada bug Log4j dan upaya komunitas cybersecurity untuk mengatasi kerentanan. Proyeknya saat ini berfokus pada grup peretas terkenal Lapsus$.

Sejauh ini dewan telah melihat kepercayaan dan dukungan dari komunitas keamanan siber, kata Silvers, mencatat bahwa baik Apache — organisasi yang mengelola perangkat lunak Log4j — dan perwakilan dari pemerintah China muncul di hadapan dewan untuk penyelidikan pertama.

Tapi subpoena power akan memberi CSRB “kekuatan yang kami butuhkan untuk mendapatkan informasi yang kami perlukan untuk melakukan pekerjaan penting ini,” kata Silvers.

Pada bulan Oktober, dewan meninjau penyelidikan pertamanya, merekomendasikan sebagian besar dari apa yang dijelaskan Silvers dalam undang-undang yang diusulkan.

Sekretaris DHS Alejandro Mayorkas telah menyebutkan perlunya Kongres untuk mengkodifikasikan CSRB beberapa kali selama kesaksian di berbagai komite.

Selengkapnya: The Record

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Coffee Bean

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Kurikulum Keamanan Siber NSA

April 26, 2023 by Coffee Bean

CLARK adalah platform untuk membangun dan berbagi kurikulum keamanan siber gratis. Ini memberi pendidik keamanan dunia maya blok bangunan untuk melatih gelombang peneliti berikutnya dan mempersiapkan tenaga kerja keamanan dunia maya dengan lebih baik.

Ini diambil dari kumpulan topik keamanan siber yang sangat besar dengan kurikulum keamanan siber berdampak tinggi yang dibuat oleh peneliti top dan ditinjau oleh rekan sejawat oleh perancang instruksional dan pakar materi pelajaran. Ini menyediakan akses ke lebih dari 700 “objek pembelajaran” termasuk lab, video, catatan kuliah, dan format lain yang gratis di bawah lisensi creative commons.

Untuk mendapatkan ide yang lebih baik, inilah beberapa kursus paling populer di CLARK:

Pengantar Cybercrime – Markus Rauschecker, Ben Yelin, University of Maryland-Baltimore
Primer tentang Kondisi Perlombaan dan Keamanan Komputer – Matt Bishop, University of California – Davis
Konsep Dasar Kriptografi Kuantum – Abhishek Parakh, Universitas Nebraska-Omaha
Lingkungan Ancaman Siber Global – John Heslen, Universitas Augusta
Jaringan yang Ditetapkan Perangkat Lunak – Virginia Tech

Pusat CLARK (Cybersecurity Labs and Resource Knowledge-base) dari Towson dan NSA telah menerbitkan ratusan kursus dan modul pembelajaran keamanan siber. Mari kita periksa apa yang ditawarkan.

selengkapnya : i-programmer.info

Serangan Ransomware 2023: Sorotan Kuartal Pertama

April 21, 2023 by Coffee Bean

Pada Q1 2023, kami mengamati hampir 850 organisasi diberi nama di situs ransomware dan pemerasan data di web gelap. Ini adalah lompatan 22,4% dari kuartal sebelumnya, yang memiliki jumlah total mendekati 700. Tidak mengherankan, “LockBit” tetap menjadi grup yang paling aktif, dengan selisih yang lebar. Tapi tempat nomor dua datang dari pesaing di menit-menit terakhir: Clop, dengan eksploitasi GoAnywhere.

Jumlah korban disebutkan di 20 situs kebocoran data ransomware teratas, Q1 2023

Maret 2023 mencatat rekor bulan paling aktif yang pernah kami catat dalam sejarah ransomware pemerasan ganda. Lebih dari 400 organisasi disebutkan di situs kebocoran data ransomware; itu 35% lebih banyak dari rekor bulanan sebelumnya.

Aktivitas ransomware menurut bulan sejak Maret 2022

serangan hanya pemerasan berkurang secara substansial: sebesar 90%. Kita berbicara tentang kelompok ancaman yang mencuri data, mengancam untuk membocorkannya di situs kebocoran data, dan kemudian tidak mengenkripsi file. Terobosan dalam aktivitas hanya pemerasan mungkin dapat dijelaskan oleh kelompok pemerasan terkemuka, “Tim Peretasan Karakurt”, sebagian besar tidak aktif.

Aktivitas pemerasan berdasarkan bulan sejak Maret 2022

Ini tidak berarti bahwa serangan pemerasan saja sudah ketinggalan zaman. Jumlah yang dianalisis terbatas pada kelompok pemerasan yang dikonfirmasi yang menyebutkan nama korban di situs kebocoran data, dan ada ratusan pelaku ancaman yang mencuri data dan malah mengekspos organisasi di forum penjahat dunia maya bawah tanah, seperti XSS atau Exploit. Plus, kampanye terbaru Clop, yang menargetkan kelemahan GoAnywhere, dapat dianggap sebagai kampanye pemerasan saja.

Sebaran korban per sektor lebih merata, meski sektor industri barang dan jasa tetap menjadi target paling banyak dengan 21,1% dari seluruh korban. Peningkatan serangan industri perawatan kesehatan merupakan temuan penting; lebih dari 30 organisasi layanan kesehatan disebutkan di situs kebocoran data pada Maret 2023. Itu lebih dari yang kami amati selama empat kuartal terakhir.

selengkapnya : reliaquest.com

Negara Lima Mata merilis panduan baru tentang keamanan siber kota pintar

April 21, 2023 by Søren

Panduan baru, Praktik Terbaik Cybersecurity untuk Kota Cerdas, ingin meningkatkan kesadaran di antara komunitas dan organisasi yang menerapkan teknologi kota pintar bahwa teknologi bermanfaat ini juga dapat memiliki potensi kerentanan. Kolaborasi antara negara-negara Lima Mata (Australia, Kanada, Selandia Baru, Inggris, dan AS), ini menyarankan masyarakat untuk mempertimbangkan menjadi kota pintar untuk menilai dan memitigasi risiko keamanan siber yang menyertai teknologi tersebut.

Apa yang membuat kota pintar menarik bagi penyerang adalah data yang dikumpulkan dan diproses. Karena sistem bertenaga AI digunakan untuk mengintegrasikan data ini, ini harus diberi perhatian khusus saat memeriksa kerentanan.

Panduan ini berfokus pada tiga bidang: perencanaan dan desain yang aman, manajemen risiko rantai pasokan yang proaktif, dan ketahanan operasional.

Ketika berencana untuk mengintegrasikan teknologi kota pintar ke dalam sistem infrastruktur, masyarakat harus menyertakan pandangan ke depan yang strategis dan proses manajemen risiko keamanan siber yang proaktif. Teknologi baru harus diintegrasikan dengan hati-hati ke dalam sistem warisan. Fitur pintar atau terhubung harus aman menurut desainnya. Masyarakat harus menyadari bahwa infrastruktur lama mungkin memerlukan desain ulang untuk menerapkan sistem kota pintar dengan aman.

Organisasi yang menerapkan teknologi kota pintar harus menerapkan prinsip hak istimewa terkecil di seluruh lingkungan jaringannya. Ini berarti meninjau konfigurasi default dan yang ada bersama dengan panduan yang lebih keras dari vendor untuk memastikan bahwa perangkat keras dan perangkat lunak hanya diizinkan untuk mengakses sistem dan data yang diperlukan untuk menjalankan fungsinya.

Organisasi-organisasi ini harus memahami lingkungan mereka dan dengan hati-hati mengelola komunikasi di antara subnetwork, termasuk subnetwork baru yang saling terhubung yang menghubungkan sistem infrastruktur.

Selengkapnya: CSO ASEAN

Malware Linux memperkuat hubungan antara Lazarus dan serangan rantai pasokan 3CX

April 21, 2023 by Søren

Kemiripan dengan malware Linux yang baru ditemukan yang digunakan dalam Operasi DreamJob menguatkan teori bahwa kelompok yang selaras dengan Korea Utara berada di balik serangan rantai pasokan 3CX

Peneliti ESET telah menemukan kampanye Lazarus Operation DreamJob baru yang menargetkan pengguna Linux. Operation DreamJob adalah nama untuk serangkaian kampanye di mana grup tersebut menggunakan teknik rekayasa sosial untuk mengkompromikan targetnya, dengan tawaran pekerjaan palsu sebagai iming-imingnya.

Dalam kasus ini, peneliti dapat merekonstruksi rantai penuh, dari file ZIP yang mengirimkan tawaran pekerjaan HSBC palsu sebagai umpan, hingga muatan terakhir: backdoor SimplexTea Linux yang didistribusikan melalui akun penyimpanan cloud OpenDrive. Sepengetahuan peneliti, ini adalah penyebutan publik pertama dari aktor ancaman besar yang selaras dengan Korea Utara ini menggunakan malware Linux sebagai bagian dari operasi ini.

Selain itu, penemuan ini membantu peneliti mengonfirmasi dengan tingkat kepercayaan yang tinggi bahwa serangan rantai pasokan 3CX baru-baru ini sebenarnya dilakukan oleh Lazarus – tautan yang dicurigai sejak awal dan ditunjukkan oleh beberapa peneliti keamanan sejak saat itu. Dalam posting blog ini, peneliti menguatkan temuan ini dan memberikan bukti tambahan tentang hubungan antara Lazarus dan serangan rantai pasokan 3CX.

Selengkapnya: We Live Security

Memecah Pipa Bernama Docker Secara SISTEM

April 21, 2023 by Coffee Bean

Kami menemukan dan melaporkan beberapa kerentanan eskalasi hak istimewa di dalam Docker Desktop untuk Windows:

Penghapusan file sewenang-wenang yang dapat dimanfaatkan untuk peningkatan hak istimewa penuh: CVE-2022-37326, dan CVE-2022-38730.
Timpa file sewenang-wenang: CVE-2022-31647 dan CVE-2022-34292.

Kami mematuhi pedoman pengungkapan yang bertanggung jawab, dan Docker menangani pemberitahuan dengan cepat dan efisien.

Anggota DaemonJSON menyimpan nilai path untuk file daemon.json (file konfigurasi daemon Docker), dan anggota Settings adalah kelas yang berisi semua bidang (Lampiran A) yang ada di dalam file daemon JSON.

Pertama-tama mari kita jelaskan mengapa anggota Pengaturan tidak relevan bagi kami. Setelah panggilan ke _windowsDockerDaemon.Start (Gambar 1), ada urutan pemanggilan fungsi di mana argumen pengaturan diteruskan ke tiga fungsi: RewriteOptions, GetServiceEnv, dan TryToStartService (Gambar 2).

Tapi meskipun diteruskan sebagai argumen, itu hanya digunakan dalam metode GetServiceEnv dan hanya untuk bidang Proxy (Gambar 3).

Kami memahami bahwa kami tidak dapat memengaruhi setelan argumen untuk memanipulasi layanan. Kami melanjutkan ke argumen berikutnya yang dikontrol oleh kami dan memeriksa argumen daemonOptions, dan dari fungsi RewriteOptions, kami memahami bahwa itu digunakan sebagai parameter untuk file switch –config di dockerd (lihat cuplikan kode di bawah), yang berarti kami mengontrol pengaturan dockerd.

Untungnya, bidang JSON daemon Docker didokumentasikan di Docker, dan Anda dapat melihat banyak opsi di sana (Lampiran B). Satu hal yang akan Anda perhatikan adalah bahwa ada dua versi terpisah – satu untuk Linux dan satu lagi untuk Windows – yang dapat menimbulkan masalah ketika ada bidang yang seharusnya hanya berfungsi di Linux atau Windows.

selengkapnya : cyberark.com

Malware Android Chameleon baru meniru aplikasi bank, pemerintah, dan crypto

April 19, 2023 by Coffee Bean

Trojan Android baru yang disebut ‘Chameleon’ telah menargetkan pengguna di Australia dan Polandia sejak awal tahun, meniru pertukaran cryptocurrency CoinSpot, lembaga pemerintah Australia, dan bank IKO.

Malware seluler ditemukan oleh perusahaan cybersecurity Cyble, yang melaporkan melihat distribusi melalui situs web yang disusupi, lampiran Discord, dan layanan hosting Bitbucket.

Chameleon menyertakan berbagai fungsi berbahaya, termasuk mencuri kredensial pengguna melalui injeksi overlay dan keylogging, cookie, dan teks SMS dari perangkat yang terinfeksi.

Cyble juga mengamati kode yang memungkinkan Chameleon mengunduh payload selama runtime dan menyimpannya di host sebagai file “.jar”, untuk dieksekusi nanti melalui DexClassLoader. Namun, fitur ini saat ini tidak digunakan.

Chameleon adalah ancaman yang muncul yang dapat menambahkan lebih banyak fitur dan kemampuan di versi mendatang.

Pengguna Android disarankan untuk berhati-hati dengan aplikasi yang dipasang di perangkat mereka, hanya mengunduh perangkat lunak dari toko resmi, dan memastikan bahwa Google Play Protect selalu diaktifkan.

selengkapnya : bleepingcomputer.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings