Minggu ini ada berita tentang sejumlah perusahaan terdaftar dalam negeri yang diretas. Pertama-tama, pada tanggal 20, Lion Travel dan Sinopec mengumumkan bahwa mereka telah diserang oleh peretas , produk mereka "Promeo" dikaitkan dengan Malware ditemukan di program instalasi perusahaan, dan peretas Korea Utara Lazarus melancarkan serangan rantai pasokan. Minggu lalu kami melaporkan bahwa Dajiang Biomedical terdaftar sebagai korban organisasi ransomware. Perusahaan mengeluarkan pengumuman besar pada tanggal 23 yang mengonfirmasi bahwa mereka telah mengalami insiden keamanan jaringan.
Di antara berita kerentanan minggu ini, ada dua perbaikan kerentanan utama yang perlu diperhatikan, termasuk penambalan kerentanan utama oleh Johnson Controls dalam sistem pendingin industrinya, dan penambalan kerentanan utama oleh Fortinet pada FortiSIEM-nya peralatan perekam (NVR) dan router ditemukan oleh peretas dengan kerentanan zero-day baru dan dieksploitasi untuk menyebarMirAncaman serius dari virus varian ai JenX, Akamai, yang saat ini mengungkapkan masalah tersebut, pertama kali memperingatkan dan memberi tahu produsen terkait, dan versi baru dari patch tersebut diharapkan akan dirilis pada bulan Desember.
Selain itu, kami melaporkan kerentanan buffer overflow perpustakaan GNU C CVE-10-2023 (Looney Tunables) pada awal Oktober. Baru-baru ini, kami menemukan tanda-tanda bahwa penyerang telah mulai mengeksploitasi kerentanan yang diketahui ini menyebutkannya. Kami akan memperbaikinya di sini.
Di dalam negeri, banyak insiden keamanan informasi yang menjadi fokus, semuanya terkait dengan emiten.
(11) Untuk pertama kalinya, dua insiden keamanan informasi serius terjadi dalam satu hari: Pada tanggal 20 November, industri pariwisata "Lion" dan industri plastik "Sinopec" berturut-turut merilis insiden keamanan informasi besar, yang menunjukkan bahwa mereka telah diserang oleh peretas . Diantaranya, Lion menyebutkan peringatan anti-penipuan untuk mengingatkan penumpang bahwa data pelanggan mungkin telah bocor. Ini adalah kedua kalinya perusahaan mengumumkan telah diretas dalam dua tahun terakhir. Pengungkapan Sinopec sangat terbatas dan tidak dapat diberikan informasi apa pun untuk pertahanan bersama antara perusahaan dan organisasi.
(20) Dajiang Biomedis merilis insiden keamanan informasi besar, membenarkan bahwa sistem informasi menjadi sasaran serangan dunia maya: Ketika Laporan Mingguan Keamanan Informasi terakhir dirilis pada tanggal 15, kami adalah orang pertama yang melaporkan bahwa industri bioteknologi "Dajiang" dicurigai diretas oleh Hunters pada tanggal 22. Organisasi ransomware internasional terdaftar sebagai korban. Media lain menindaklanjuti dan melaporkan berita ini pada tanggal 11. Kami juga menelepon Dajiang lagi dan masih belum mendapat tanggapan. Jumat malam) yang akhirnya Dajiang mengumumkannya menderita serangan dunia maya.
(3) CyberLink terungkap telah diretas oleh Microsoft. Peretas Korea Utara, Lazarus, melancarkan serangan rantai pasokan terhadap perusahaan tersebut, mengunci pengguna baru produk Promeo mereka: Pada hari yang sama insiden ini terungkap, CyberLink mengeluarkan pengumuman tentangnya situs web menyatakan bahwa perangkat lunak berbahaya ditemukan dalam program instalasi produk "Promeo". Mereka telah menghilangkan masalah dan akan memperbarui sertifikat keamanan perangkat lunak di masa mendatang.
Selain itu, minggu ini, ada laporan di negara tersebut bahwa sistem registrasi Rumah Sakit Umum Pusat tidak tersedia, informasi janji temu hilang, dan diduga diserang oleh Internet. Yudisial Yuan juga mengeluarkan penjelasan baru atas kebocoran tersebut data penilaian.
Dalam hal ancaman dan insiden keamanan informasi, ancaman dan tren ransomware patut mendapat perhatian paling besar. Empat berita telah terungkap, yang telah kami rangkum sebagai berikut:
●Mengenai bahaya ransomware Rhysida, CISA AS,FBSaya dan MS-ISAC bersama-sama mengeluarkan peringatan yang menyatakan bahwa serangannya terutama menargetkan sektor pendidikan, medis, manufaktur, industri informasi, dan pemerintahan. Informasi publik ini mengungkapkan TTP dan IoC yang digunakan oleh ransomware, sehingga memungkinkan perusahaan untuk memahami strategi dan teknik serangannya, serta berbagai langkah mitigasi.
●Mengenai tren baru ransomware BlackCat, beberapa pakar industri keamanan informasi menunjukkan hal yang baru-baru iniPemulaBagian sudah masukGoogleBeriklan dengan kedok menawarkan aplikasi terkenal seperti Advanced IP Scanner, Slack, WinSCP), memikat pengguna Internet untuk terhubung ke situs web phishing dan mengunduh perangkat lunak yang ditanamkan dengan program jahat Nitrogen.
●Ransomware Phobos muncul lagi, dan peneliti keamanan mengungkapkan bahwa mereka baru-baru ini menargetkan komunitas keamanan VX-Underground.
●Ancaman dari kelompok peretas ransomware Play mungkin semakin meningkat. Baru-baru ini, personel keamanan mengungkapkan bahwa organisasi tersebut menawarkan peralatannya untuk disewa dalam upaya menarik lebih banyak preman untuk bergabung.
Dalam hal metode serangan yang muncul dan situasi ancaman penting lainnya, kami percaya bahwa metode baru dari perangkat lunak Lumma yang mencuri aset dan penggunaan file terkompresi untuk meluncurkan serangan adalah yang paling penting.
●Untuk menghindari deteksi, perangkat lunak pencuri aset Lumma menggunakan lintasan mouse untuk mengidentifikasi operasi orang sebenarnya sebelum mengeksekusi perangkat lunak pencuri aset tersebut. Peneliti keamanan informasi lainnya bahkan mengungkapkan bahwa pengembang Lumma mengklaim dapat memulihkannyaGooglePada tahap koneksi akun, akun korban disandera.
●Anda perlu memperhatikan penggunaan file terkompresi untuk menyebarkan kebencian. Ada tiga insiden terkait minggu ini. Pertama-tama, personel kedutaan harus memperhatikan. Peretas Rusia APT29 menargetkan banyak serangan jaringan kedutaan Eropa dan meluncurkan WinRARSerangan kerentanan, maka pengguna cryptocurrency harus menyadari bahwa kelompok peretas DarkCasino menargetkan pengguna ini dengan mengeksploitasi kerentanan WinRAR, dan perangkat lunak pencuri uang Agen Tesla baru-baru ini mengeksploitasi format ZPAQ untuk mengurangi file berukuran besar 1 GB menjadi hanya file 6 KB , mungkin untuk menghindari pemindaian anti-virus.
●Pengembang Python juga harus memperhatikan. Industri keamanan informasi mengungkapkan bahwa dalam enam bulan terakhir, peretas telah meluncurkan 27 paket PyPI yang meniru paket terkenal, dan juga menggunakan gambar PNG untuk menyembunyikan niat serangan.
Terakhir, ada dua temuan mengenai tren peretasan di tingkat negara bagian yang patut untuk dicermatiwaspada, termasuk: Organisasi peretas Tiongkok Mustang Panda menargetkan unit militer di negara-negara Asia Tenggara. Para peretas berpura-pura menyediakan Solid PDF Creator,IndonesiaPerangkat lunak anti-virus Smadav menggunakan aplikasi ini untuk melakukan sideload malware; dan peretas Rusia Gamaredon menargetkan organisasi Ukraina dan mendistribusikan worm USB LitterDrifter.
[11 November] Peretas telah mendistribusikan lebih dari 20 paket PyPI berbahaya dalam enam bulan terakhir, menggunakan gambar PNG untuk menyembunyikan niat serangan. Pengembang telah menjadi korban di Amerika Serikat, Tiongkok, dan Prancis.
Serangan terhadap pengembang cukup sering terjadi akhir-akhir ini, dan metode yang semakin canggih pun bermunculan. Misalnya, kode serangan terkubur dalam modul tertentu dari paket berbahaya. Setelah pengembang menginstal paket sesuai dengan instruksi, kode berbahaya tidak akan langsung terinstal Eksekusi, tetapi tunggu hingga fungsi tertentu dipanggil sebelum dimuat bersama.
Metode serupa baru-baru ini muncul dalam metode baru lainnya, seperti serangan suite PyPI berbahaya yang diungkapkan oleh perusahaan keamanan Checkmarx. Penyerang mencoba mengubur kode berbahaya dalam gambar PNG eksternal, membuat paket PyPI itu sendiri tampak tidak berbahaya.
[11 November] Organisasi peretas Tiongkok Mustang Panda menargetkan Asia Tenggara dan melancarkan beberapa serangan phishing. Penyebabnya diduga terkait dengan konflik militer di Filipina pada bulan Agustus.
Pada paruh pertama tahun ini, sering terjadi serangan oleh organisasi hacker Tiongkok Mustang Panda. Sasaran para peretas ini terkait dengan perang di Ukraina, dan sebagian besar menyasar negara-negara Eropa yang telah membantu negara tersebut.
Namun pada paruh kedua tahun ini, para peretas ini mulai mengubah targetnya dan kembali memfokuskan serangannya ke negara-negara Asia Tenggara yang sebelumnya mereka targetkan. Misalnya saja serangan yang terjadi pada bulan Agustus yang ditargetkan ke negara-negara Asia Tenggara. Para peneliti berspekulasi bahwa gelombang serangan ini terutama terkait dengan konflik di Filipina.
[11 November] Ransomware Phobos menggunakan nama komunitas keamanan informasi untuk menargetkan komputer Windows dan melancarkan serangan, mengklaim bahwa korban perlu memulihkan file dari komunitas.
Serangan Ransomware sering terjadi. Dalam pemberitaan hari ini, ada tiga insiden keamanan seperti itu. Diantaranya, yang paling penting adalah hacker tersebut mengaku sebagai organisasi keamanan ternama. Tentunya untuk mendiskreditkan mereka, mereka bermaksud memprovokasi dan memecah belah seluruh masyarakat dan melemahkan kekuatan pertahanan secara keseluruhan.
Perlu dicatat bahwa ketika melakukan kejahatan, para peretas ini tidak hanya mencuri nama organisasi, tetapi juga mengejek mereka melalui pesan pemerasan, dan bahkan meminta para korban untuk membeli buku yang ditulis oleh organisasi keamanan.
[11 November] CyberLink mengalami serangan rantai pasokan oleh peretas Korea Utara. Peretas menyebarkan malware di server pembaruan perusahaan. Korban muncul di Taiwan dan banyak negara.
Mengenai serangan rantai pasokan dari pabrikan Taiwan, insiden peretasan server pembaruan Asus empat tahun lalu menarik perhatian besar.Serangan rantai pasokan telah menjadi ancaman keamanan informasi yang tidak dapat diabaikan oleh pabrikan TI Taiwan Baru-baru ini, pemasok perangkat lunak lain juga menderita serupa dengan serangan, peretas menggunakannya untuk memperbarui infrastruktur dan menyebarkan program jahat.
Tim intelijen ancaman Microsoft mengungkapkan serangan yang menargetkan pengembang aplikasi multimedia Taiwan CyberLink sejak akhir Oktober. Peretas merusak file instalasi perangkat lunak perusahaan dan mengunggahnya ke server pembaruan CyberLink. Adapun tujuan penyerang, Masih harus diklarifikasi lebih lanjut.
【11 Maret】MirVarian botnet AI menginfeksi router dan perangkat pengawasan video jaringan NVR. Kerentanan zero-day yang dieksploitasi oleh penyerang diduga melibatkan kata sandi lemah yang telah ditetapkan sebelumnya.
BotnetMirSerangan AI yang menargetkan perangkat Internet of Things (IoT) telah dilaporkan dari waktu ke waktu, namun insiden keamanan baru-baru ini yang diungkapkan oleh para peneliti cukup menarik perhatian karena mereka tidak mengungkapkan model perangkat yang menjadi sasaran para peretas, hanya jenis Jaringan perangkat pengawasan video (NVR), router kecil.
Perlu dicatat bahwa semua perangkat yang disebutkan di atas memiliki kerentanan zero-day, dan peneliti mengungkapkan bahwa kode berbahaya yang digunakan oleh penyerang menyertakan nama akun default dan kata sandi perangkat ini. Tanda-tanda ini juga menunjukkan bahwa penyerang dapat menggunakan saluran ini untuk mendapatkan kendali.
