Tunggu sebentar, kawan-kawan, karena lanskap keamanan siber minggu lalu bagaikan rollercoaster! Kita menyaksikan semuanya, mulai dari peretas Korea Utara yang menawarkan “pekerjaan impian” untuk mengungkap malware baru, hingga perubahan mengejutkan dalam kisah Apple vs. NSO Group. Bahkan dunia yang tampak biasa-biasa saja dari nama domain dan konfigurasi cloud pun memiliki bagian dramanya sendiri. Mari kita bahas detailnya dan lihat pelajaran apa yang dapat kita petik dari minggu lalu.
⚡ Ancaman Minggu Ini
Botnet Kereta Raptor Dibongkar: Pemerintah AS mengumumkan penumpasan botnet Raptor Train yang dikendalikan oleh pelaku ancaman terkait China yang dikenal sebagai Flax Typhoon. Botnet tersebut terdiri dari lebih dari 260.000 perangkat pada bulan Juni 2024, dengan korban tersebar di Amerika Utara, Eropa, Asia, Afrika, dan Oseania, serta Amerika Selatan. Mereka juga mengaitkan pelaku ancaman Flax Typhoon dengan perusahaan yang diperdagangkan secara publik dan berbasis di Beijing yang dikenal sebagai Integrity Technology Group.
🔔 Berita Teratas
- Malware Baru Grup Lazarus: Kelompok spionase siber yang terkait dengan Korea Utara yang dikenal sebagai UNC2970 (alias TEMP.Hermit) telah diamati menggunakan umpan phishing bertema pekerjaan untuk menargetkan calon korban di sektor energi dan kedirgantaraan dan menginfeksi mereka dengan pintu belakang yang sebelumnya tidak terdokumentasi yang dijuluki MISTPEN. Aktivitas ini juga dilacak sebagai Operasi Dream Job.
- iServer dan Ghost Dibongkar: Dalam kemenangan besar lainnya bagi lembaga penegak hukum, Europol mengumumkan penumpasan jaringan kriminal internasional yang memanfaatkan platform phishing untuk membuka kunci ponsel yang dicuri atau hilang. Lembaga tersebut, bekerja sama dengan Kepolisian Federal Australia (AFP), membongkar jaringan komunikasi terenkripsi yang disebut Ghost yang memungkinkan kejahatan serius dan terorganisasi di seluruh dunia.
- APT Iran Bertindak sebagai Penyedia Akses Awal: Seorang pelaku ancaman Iran yang dilacak sebagai UNC1860 bertindak sebagai fasilitator akses awal yang menyediakan akses jarak jauh ke jaringan target dengan menggunakan berbagai pintu belakang pasif. Akses ini kemudian dimanfaatkan oleh kelompok peretas Iran lainnya yang berafiliasi dengan Kementerian Intelijen dan Keamanan (MOIS).
- Apple Batalkan Gugatan terhadap NSO Group: Apple mengajukan mosi untuk “secara sukarela” membatalkan gugatan yang diajukannya terhadap vendor perangkat lunak mata-mata komersial Israel, NSO Group, dengan alasan perubahan lanskap risiko yang dapat menyebabkan terungkapnya informasi “intelijen ancaman” yang penting. Gugatan tersebut diajukan pada bulan November 2021.
- Serangan Phishing Memanfaatkan Header HTTP: Gelombang baru serangan phishing menyalahgunakan entri pembaruan di header HTTP untuk mengirimkan halaman login email palsu yang dirancang untuk mengambil data kredensial pengguna. Target kampanye ini mencakup entitas di Korea Selatan dan AS
📰 Di Sekitar Dunia Maya
- Sandvine Meninggalkan 56 Negara “Non-demokratis”: Sandvine, perusahaan di balik middlebox yang memfasilitasi pengiriman spyware komersial sebagai bagian dari serangan yang sangat tertarget, mengatakan telah keluar dari 32 negara dan sedang dalam proses menghentikan operasi di 24 negara lainnya, dengan alasan meningkatnya ancaman terhadap hak digital. Awal Februari ini, perusahaan tersebut ditambahkan ke Daftar Entitas AS. “Penyalahgunaan teknologi inspeksi paket mendalam merupakan masalah internasional yang mengancam pemilihan umum yang bebas dan adil, hak asasi manusia dasar, dan kebebasan digital lainnya yang kami yakini tidak dapat dicabut,” katanya. Perusahaan tersebut tidak mengungkapkan daftar negara yang akan ditutup sebagai bagian dari perombakan tersebut.
- Domain .mobi Diperoleh seharga $20: Peneliti dari watchTowr Labs hanya menghabiskan $20 untuk memperoleh domain server WHOIS lama yang terkait dengan domain tingkat atas (TLD) .mobi dan menyiapkan server WHOIS pada domain tersebut. Hal ini menghasilkan penemuan bahwa lebih dari 135.000 sistem unik masih meng-query server WHOIS lama selama periode lima hari yang berakhir pada tanggal 4 September 2024, termasuk alat keamanan siber dan server email untuk entitas pemerintah, militer, dan universitas. Penelitian tersebut juga menunjukkan bahwa proses TLS/SSL untuk seluruh TLD .mobi telah dirusak karena banyak Otoritas Sertifikat (CA) ditemukan masih menggunakan server WHOIS “nakal” untuk “menentukan pemilik domain dan ke mana detail verifikasi harus dikirim.” Google sejak itu menyerukan penghentian penggunaan data WHOIS untuk verifikasi domain TLS.
- Kesalahan Konfigurasi ServiceNow Membocorkan Data Sensitif: Ribuan perusahaan secara tidak sengaja mengungkap rahasia dari artikel basis pengetahuan (KB) internal mereka melalui kesalahan konfigurasi ServiceNow. AppOmni mengaitkan masalah tersebut dengan “konfigurasi yang ketinggalan zaman dan kontrol akses yang salah dikonfigurasi dalam KB,” yang kemungkinan mengindikasikan “kesalahpahaman sistematis tentang kontrol akses KB atau kemungkinan replikasi yang tidak disengaja dari setidaknya satu kontrol yang buruk dari satu instans ke instans lain melalui kloning.” ServiceNow telah menerbitkan panduan tentang cara mengonfigurasi instans mereka untuk mencegah akses yang tidak diautentikasi ke artikel KB.
- Cacat AI pada Google Cloud Document telah diperbaiki: Berbicara tentang kesalahan konfigurasi, para peneliti telah menemukan bahwa pengaturan yang terlalu permisif dalam layanan Document AI Google Cloud dapat dimanfaatkan oleh pelaku ancaman untuk meretas wadah Cloud Storage dan mencuri informasi sensitif. Vectra AI menggambarkan kerentanan tersebut sebagai contoh penyalahgunaan akses transitif.
- Microsoft Berencana Mengakhiri Akses Kernel untuk Perangkat Lunak EDR: Menyusul dampak besar dari kesalahan pembaruan CrowdStrike pada bulan Juli 2024, Microsoft telah menyoroti “postur keamanan dan pengaturan keamanan default yang lebih baik” pada Windows 11 yang memungkinkan lebih banyak kemampuan keamanan bagi pembuat perangkat lunak keamanan di luar akses mode kernel. Microsoft juga mengatakan akan berkolaborasi dengan mitra ekosistem untuk mencapai “keandalan yang lebih baik tanpa mengorbankan keamanan.”
🔥 Sumber Daya & Wawasan Keamanan Siber
— Webinar Mendatang
- Kepercayaan Nol: Pelindung Anti-Ransomware: Bergabunglah dalam webinar kami berikutnya bersama Emily Laufer dari Zscaler untuk menyelami Laporan Ransomware 2024 secara mendalam, mengungkap tren terbaru, ancaman yang muncul, dan strategi zero-trust yang dapat melindungi organisasi Anda. Jangan menjadi statistik lainnya – Daftar sekarang dan lawan!
- SIEM Reboot: Dari Kelebihan Beban ke Pengawasan: Kewalahan dengan data? SIEM Anda seharusnya menjadi penyelamat, bukan sumber masalah lainnya. Bergabunglah dengan kami untuk mengungkap kesalahan SIEM lama, dan bagaimana pendekatan modern dapat menyederhanakan keamanan tanpa mengorbankan kinerja. Kami akan membahas asal-usul SIEM, tantangannya saat ini, dan solusi berbasis komunitas kami untuk mengatasi gangguan dan memberdayakan keamanan Anda. Daftar sekarang untuk mendapatkan pandangan baru tentang SIEM!
— Tanyakan pada Ahlinya
- Q: Bagaimana Zero Trust berbeda secara mendasar dari Perimeter Defense tradisional, dan apa saja tantangan serta keuntungan utama saat mentransisikan organisasi dari model Perimeter Defense ke arsitektur Zero Trust?
- A: Zero Trust dan pertahanan perimeter adalah dua cara untuk melindungi sistem komputer. Zero Trust seperti memiliki banyak kunci di pintu DAN memeriksa ID di setiap ruangan, artinya tidak mempercayai siapa pun dan terus-menerus memverifikasi semua orang dan semua hal yang mencoba mengakses apa pun. Ini bagus untuk menghentikan peretas, bahkan jika mereka berhasil menyelinap masuk, dan berfungsi dengan baik ketika orang bekerja dari tempat yang berbeda atau menggunakan layanan cloud. Pertahanan perimeter seperti memiliki tembok yang kuat di sekeliling istana Anda, dengan fokus untuk mencegah orang jahat masuk. Namun, jika seseorang menerobos, mereka memiliki akses mudah ke semua yang ada di dalamnya. Pendekatan lama ini berjuang melawan ancaman dan situasi kerja jarak jauh saat ini. Beralih ke Zero Trust seperti meningkatkan sistem keamanan Anda, tetapi membutuhkan waktu dan uang. Ini sepadan karena memberikan perlindungan yang jauh lebih baik. Ingat, ini bukan hanya satu hal, tetapi cara berpikir yang sama sekali baru tentang keamanan, dan Anda dapat memulai dari yang kecil dan membangunnya seiring waktu. Selain itu, jangan singkirkan tembok sepenuhnya, itu masih berguna untuk perlindungan dasar.
— Pembongkar Istilah Keamanan Siber
- Malware Polimorfik: Bayangkan virus licik yang terus-menerus mengubah penyamarannya (tanda tangan) untuk mengelabui antivirus Anda. Ia seperti bunglon, membuatnya sulit ditangkap.
- Malware Metamorfik: Yang ini bahkan lebih rumit! Ia seperti pengubah bentuk, tidak hanya berganti pakaian, tetapi juga mengubah tubuhnya secara menyeluruh. Ia menulis ulang kodenya sendiri setiap kali menginfeksi, sehingga hampir mustahil bagi antivirus untuk mengenalinya.
— Tip Minggu Ini
Labirin “Pikirkan Sebelum Mengklik”: Navigasi serangkaian titik keputusan berdasarkan skenario dunia nyata, pilih opsi yang paling aman untuk menghindari perangkap phishing dan ancaman daring lainnya.
Kesimpulan
“Berbuat salah itu manusiawi; memaafkan itu ilahi.” – Alexander Pope. Namun dalam ranah keamanan siber, memaafkan bisa jadi mahal. Mari belajar dari kesalahan ini, perkuat pertahanan kita, dan jaga dunia digital agar tetap aman bagi semua.