Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Negara Lima Mata merilis panduan baru tentang keamanan siber kota pintar

by

Panduan baru, Praktik Terbaik Cybersecurity untuk Kota Cerdas, ingin meningkatkan kesadaran di antara komunitas dan organisasi yang menerapkan teknologi kota pintar bahwa teknologi bermanfaat ini juga dapat memiliki potensi kerentanan. Kolaborasi antara negara-negara Lima Mata (Australia, Kanada, Selandia Baru, Inggris, dan AS), ini menyarankan masyarakat untuk mempertimbangkan menjadi kota pintar untuk menilai dan memitigasi risiko keamanan siber yang menyertai teknologi tersebut.

Apa yang membuat kota pintar menarik bagi penyerang adalah data yang dikumpulkan dan diproses. Karena sistem bertenaga AI digunakan untuk mengintegrasikan data ini, ini harus diberi perhatian khusus saat memeriksa kerentanan.

Panduan ini berfokus pada tiga bidang: perencanaan dan desain yang aman, manajemen risiko rantai pasokan yang proaktif, dan ketahanan operasional.

Ketika berencana untuk mengintegrasikan teknologi kota pintar ke dalam sistem infrastruktur, masyarakat harus menyertakan pandangan ke depan yang strategis dan proses manajemen risiko keamanan siber yang proaktif. Teknologi baru harus diintegrasikan dengan hati-hati ke dalam sistem warisan. Fitur pintar atau terhubung harus aman menurut desainnya. Masyarakat harus menyadari bahwa infrastruktur lama mungkin memerlukan desain ulang untuk menerapkan sistem kota pintar dengan aman.

Organisasi yang menerapkan teknologi kota pintar harus menerapkan prinsip hak istimewa terkecil di seluruh lingkungan jaringannya. Ini berarti meninjau konfigurasi default dan yang ada bersama dengan panduan yang lebih keras dari vendor untuk memastikan bahwa perangkat keras dan perangkat lunak hanya diizinkan untuk mengakses sistem dan data yang diperlukan untuk menjalankan fungsinya.

Organisasi-organisasi ini harus memahami lingkungan mereka dan dengan hati-hati mengelola komunikasi di antara subnetwork, termasuk subnetwork baru yang saling terhubung yang menghubungkan sistem infrastruktur.

Selengkapnya: CSO ASEAN

Malware Linux memperkuat hubungan antara Lazarus dan serangan rantai pasokan 3CX

by

Kemiripan dengan malware Linux yang baru ditemukan yang digunakan dalam Operasi DreamJob menguatkan teori bahwa kelompok yang selaras dengan Korea Utara berada di balik serangan rantai pasokan 3CX

Peneliti ESET telah menemukan kampanye Lazarus Operation DreamJob baru yang menargetkan pengguna Linux. Operation DreamJob adalah nama untuk serangkaian kampanye di mana grup tersebut menggunakan teknik rekayasa sosial untuk mengkompromikan targetnya, dengan tawaran pekerjaan palsu sebagai iming-imingnya.

Dalam kasus ini, peneliti dapat merekonstruksi rantai penuh, dari file ZIP yang mengirimkan tawaran pekerjaan HSBC palsu sebagai umpan, hingga muatan terakhir: backdoor SimplexTea Linux yang didistribusikan melalui akun penyimpanan cloud OpenDrive. Sepengetahuan peneliti, ini adalah penyebutan publik pertama dari aktor ancaman besar yang selaras dengan Korea Utara ini menggunakan malware Linux sebagai bagian dari operasi ini.

Selain itu, penemuan ini membantu peneliti mengonfirmasi dengan tingkat kepercayaan yang tinggi bahwa serangan rantai pasokan 3CX baru-baru ini sebenarnya dilakukan oleh Lazarus – tautan yang dicurigai sejak awal dan ditunjukkan oleh beberapa peneliti keamanan sejak saat itu. Dalam posting blog ini, peneliti menguatkan temuan ini dan memberikan bukti tambahan tentang hubungan antara Lazarus dan serangan rantai pasokan 3CX.

Selengkapnya: We Live Security

Memecah Pipa Bernama Docker Secara SISTEM

by

Kami menemukan dan melaporkan beberapa kerentanan eskalasi hak istimewa di dalam Docker Desktop untuk Windows:

  • Penghapusan file sewenang-wenang yang dapat dimanfaatkan untuk peningkatan hak istimewa penuh: CVE-2022-37326, dan CVE-2022-38730.
  • Timpa file sewenang-wenang: CVE-2022-31647 dan CVE-2022-34292.

Kami mematuhi pedoman pengungkapan yang bertanggung jawab, dan Docker menangani pemberitahuan dengan cepat dan efisien.

Anggota DaemonJSON menyimpan nilai path untuk file daemon.json (file konfigurasi daemon Docker), dan anggota Settings adalah kelas yang berisi semua bidang (Lampiran A) yang ada di dalam file daemon JSON.

Pertama-tama mari kita jelaskan mengapa anggota Pengaturan tidak relevan bagi kami. Setelah panggilan ke _windowsDockerDaemon.Start (Gambar 1), ada urutan pemanggilan fungsi di mana argumen pengaturan diteruskan ke tiga fungsi: RewriteOptions, GetServiceEnv, dan TryToStartService (Gambar 2).

awal fungsi API.

Tapi meskipun diteruskan sebagai argumen, itu hanya digunakan dalam metode GetServiceEnv dan hanya untuk bidang Proxy (Gambar 3).

fungsi GetServiceEnv.

Kami memahami bahwa kami tidak dapat memengaruhi setelan argumen untuk memanipulasi layanan. Kami melanjutkan ke argumen berikutnya yang dikontrol oleh kami dan memeriksa argumen daemonOptions, dan dari fungsi RewriteOptions, kami memahami bahwa itu digunakan sebagai parameter untuk file switch –config di dockerd (lihat cuplikan kode di bawah), yang berarti kami mengontrol pengaturan dockerd.

Untungnya, bidang JSON daemon Docker didokumentasikan di Docker, dan Anda dapat melihat banyak opsi di sana (Lampiran B). Satu hal yang akan Anda perhatikan adalah bahwa ada dua versi terpisah – satu untuk Linux dan satu lagi untuk Windows – yang dapat menimbulkan masalah ketika ada bidang yang seharusnya hanya berfungsi di Linux atau Windows.

selengkapnya : cyberark.com

Malware Android Chameleon baru meniru aplikasi bank, pemerintah, dan crypto

by

Trojan Android baru yang disebut ‘Chameleon’ telah menargetkan pengguna di Australia dan Polandia sejak awal tahun, meniru pertukaran cryptocurrency CoinSpot, lembaga pemerintah Australia, dan bank IKO.

Malware seluler ditemukan oleh perusahaan cybersecurity Cyble, yang melaporkan melihat distribusi melalui situs web yang disusupi, lampiran Discord, dan layanan hosting Bitbucket.

Chameleon menyertakan berbagai fungsi berbahaya, termasuk mencuri kredensial pengguna melalui injeksi overlay dan keylogging, cookie, dan teks SMS dari perangkat yang terinfeksi.

Cyble juga mengamati kode yang memungkinkan Chameleon mengunduh payload selama runtime dan menyimpannya di host sebagai file “.jar”, untuk dieksekusi nanti melalui DexClassLoader. Namun, fitur ini saat ini tidak digunakan.

Chameleon adalah ancaman yang muncul yang dapat menambahkan lebih banyak fitur dan kemampuan di versi mendatang.

Pengguna Android disarankan untuk berhati-hati dengan aplikasi yang dipasang di perangkat mereka, hanya mengunduh perangkat lunak dari toko resmi, dan memastikan bahwa Google Play Protect selalu diaktifkan.

selengkapnya : bleepingcomputer.com

Dalam surat kepada UE, badan sumber terbuka mengatakan Cyber Resilience Act dapat memiliki ‘efek dingin’ pada pengembangan perangkat lunak

by

Lebih dari selusin badan industri open source telah menerbitkan surat terbuka yang meminta Komisi Eropa (EC) untuk mempertimbangkan kembali aspek-aspek dari Cyber Resilience Act (CRA) yang diusulkan, dengan mengatakan bahwa itu akan memiliki “efek dingin” pada pengembangan perangkat lunak open source jika diterapkan di bentuknya saat ini.

Tiga belas organisasi, termasuk Eclipse Foundation, Linux Foundation Europe, dan Open Source Initiative (OSI), juga mencatat bahwa Cyber Resilience Act sebagaimana tertulis “menimbulkan risiko ekonomi dan teknologi yang tidak perlu bagi UE.”

Tampaknya, tujuan dari surat tersebut adalah agar komunitas open source mendapatkan suara yang lebih besar dalam evolusi CRA seiring perkembangannya melalui Parlemen Eropa.

Adapun Undang-Undang Ketahanan Cyber, pesan dari komunitas perangkat lunak open source cukup jelas – mereka merasa bahwa suara merek tidak didengar, dan jika perubahan tidak dilakukan pada undang undang yang diusulkan maka itu bisa berdampak besar.

selengkapnya : techcrunch.com

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

by

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

by

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

NSA, A.S., dan Mitra Internasional Menerbitkan Panduan tentang Mengamankan Teknologi Berdasarkan Rancangan dan Kelalaian

by

Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) bermitra dengan badan keamanan siber mitra internasional untuk mendorong produsen teknologi menciptakan produk yang dirancang dengan aman dan aman secara default.

Kelompok sembilan lembaga tersebut telah menerbitkan Lembar Informasi Keamanan Siber, “Menggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan-oleh-Desain dan Default,” untuk meningkatkan kesadaran dan memfasilitasi percakapan internasional tentang prioritas utama, investasi, dan keputusan yang diperlukan untuk memproduksi teknologi yang aman, terjamin, dan tangguh.

Dalam laporan baru, agensi menyoroti pentingnya memprioritaskan keamanan di seluruh siklus hidup produk untuk mengurangi kemungkinan insiden keamanan. Prinsip-prinsip tersebut memastikan produk teknologi dibuat dan dikonfigurasi dengan cara yang melindungi terhadap pelaku dunia maya jahat yang mendapatkan akses ke perangkat, data, dan infrastruktur yang terhubung.

NSA dan mitranya merekomendasikan produsen teknologi dan eksekutif organisasi untuk memprioritaskan penerapan prinsip-prinsip yang dirancang dengan aman dan standar yang diuraikan dalam laporan tersebut.

Selain rekomendasi yang tercantum dalam laporan, lembaga penulis mendorong penggunaan Secure Software Development Framework (SSDF), juga dikenal sebagai SP 800-218 Institut Nasional Standar dan Teknologi (NIST). SSDF membantu produsen perangkat lunak menjadi lebih efektif dalam menemukan dan menghapus kerentanan dalam perangkat lunak yang dirilis, mengurangi dampak potensial dari eksploitasi kerentanan, dan mengatasi akar penyebab kerentanan untuk mencegah terulangnya kembali di masa mendatang.

sumber : nsa.gov