Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Microsoft: Phishing melewati MFA dalam serangan terhadap 10.000 organisasi

by

Microsoft mengatakan serangkaian besar serangan phishing telah menargetkan lebih dari 10.000 organisasi mulai September 2021, menggunakan akses yang diperoleh ke kotak surat korban dalam serangan kompromi email bisnis (BEC) lanjutan.

Pelaku ancaman menggunakan halaman arahan yang dirancang untuk membajak proses otentikasi Office 365 (bahkan pada akun yang dilindungi oleh otentikasi multifaktor (MFA) dengan memalsukan halaman otentikasi online Office.

Dalam beberapa serangan yang diamati, calon korban diarahkan ke halaman arahan dari email phishing menggunakan lampiran HTML yang bertindak sebagai penjaga gerbang memastikan target dikirim melalui redirector HTML.

Setelah mencuri kredensial target dan cookie sesi mereka, pelaku ancaman di balik serangan ini masuk ke akun email korban. Mereka kemudian menggunakan akses mereka dalam kampanye kompromi email bisnis (BRC) yang menargetkan organisasi lain.

“Kampanye phishing skala besar yang menggunakan situs phishing adversary-in-the-middle (AiTM) mencuri kata sandi, membajak sesi masuk pengguna, dan melewatkan proses otentikasi meskipun pengguna telah mengaktifkan otentikasi multifaktor (MFA),” kata tim peneliti Microsoft 365 Defender dan Microsoft Threat Intelligence Center (MSTIC).

“Para penyerang kemudian menggunakan kredensial yang dicuri dan cookie sesi untuk mengakses kotak surat pengguna yang terpengaruh dan melakukan kampanye kompromi email bisnis (BEC) lanjutan terhadap target lain.”

Ikhtisar kampanye phishing (Microsoft)

​Proses phishing yang digunakan dalam kampanye phishing skala besar ini dapat diotomatisasi dengan bantuan beberapa toolkit phishing open-source, termasuk Evilginx2, Modlishka, dan Muraena yang banyak digunakan.

Situs phishing yang digunakan dalam kampanye ini berfungsi sebagai proxy terbalik dan dihosting di server web yang dirancang untuk mem-proksi permintaan autentikasi target ke situs web sah yang mereka coba masuki melalui dua sesi Transport Layer Security (TLS) terpisah.

Menggunakan taktik ini, halaman phishing penyerang bertindak sebagai agen man-in-the-middle yang mencegat proses otentikasi untuk mengekstrak informasi sensitif dari permintaan HTTP yang dibajak, termasuk kata sandi dan, yang lebih penting, cookie sesi.

Setelah penyerang mendapatkan cookie sesi target, mereka menyuntikkannya ke browser web mereka sendiri, yang memungkinkan mereka untuk melewati proses otentikasi, bahkan jika korban mengaktifkan MFA pada akun yang disusupi.

Otentikasi penyadapan situs phishing (Microsoft)

​Untuk mempertahankan diri dari serangan semacam itu, Microsoft merekomendasikan penggunaan implementasi MFA “tahan phish” dengan otentikasi berbasis sertifikat dan dukungan Fast ID Online (FIDO) v2.0.

Praktik terbaik lain yang direkomendasikan yang akan meningkatkan perlindungan termasuk pemantauan upaya masuk yang mencurigakan dan aktivitas kotak surat, serta kebijakan akses bersyarat yang akan memblokir upaya penyerang untuk menggunakan cookie sesi yang dicuri dari perangkat yang tidak sesuai atau alamat IP yang tidak tepercaya.

Sumber: Bleeping Computer

CISA memerintahkan agensi untuk menambal Windows zero-day baru yang digunakan dalam serangan

by Leave a Comment

CISA telah menambahkan kerentanan eskalasi hak istimewa lokal yang dieksploitasi secara aktif di Windows Client/Server Runtime Subsystem (CSRSS) ke daftar bug yang disalahgunakan di alam liar.

Kelemahan keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-22047) berdampak pada platform Windows server dan klien, termasuk rilis Windows 11 dan Windows Server 2022 terbaru.

Microsoft telah menambalnya sebagai bagian dari Patch Juli 2022 Selasa, dan mengklasifikasikannya sebagai zero-day karena disalahgunakan dalam serangan sebelum perbaikan tersedia.

Redmond mengatakan kerentanan itu ditemukan secara internal oleh Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Security Response Center (MSRC).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 2 Agustus, untuk menambal kerentanan CVE-2022-22047 yang dieksploitasi secara aktif dan memblokir serangan yang sedang berlangsung yang dapat menargetkan sistem mereka.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk mengamankan jaringan mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi di seluruh AS untuk memperbaiki peningkatan bug hak istimewa CSRSS Windows ini untuk menggagalkan upaya penyerang untuk meningkatkan hak istimewa pada sistem Windows yang belum ditambal.

Sejak BOD 22-01 diterbitkan, CISA telah menambahkan ratusan kerentanan keamanan ke daftar bug yang dieksploitasi dalam serangan, memerintahkan agen federal AS untuk menambal sistem mereka sesegera mungkin untuk mencegah pelanggaran.

Sumber: Bleeping Computer

Microsoft Membatalkan Keputusan untuk Memblokir Makro Office secara default

by

Sementara Microsoft mengumumkan awal tahun ini bahwa mereka akan memblokir makro VBA pada dokumen yang diunduh secara default, Redmond mengatakan pada hari Kamis bahwa mereka akan membatalkan perubahan ini berdasarkan “umpan balik” hingga pemberitahuan lebih lanjut.

Perusahaan juga gagal menjelaskan alasan di balik keputusan ini dan belum memberi tahu pelanggan bahwa makro VBA yang disematkan dalam dokumen Office berbahaya tidak akan lagi diblokir secara otomatis di Access, Excel, PowerPoint, Visio, dan Word.

“Berdasarkan umpan balik, kami membatalkan perubahan ini dari Saluran Saat Ini,” perusahaan memberi tahu admin di pusat pesan Microsoft 365 (di bawah MC393185 atau MC322553) pada hari Kamis.

“Kami menghargai umpan balik yang kami terima sejauh ini, dan kami sedang berupaya untuk meningkatkan pengalaman ini. Kami akan memberikan pembaruan lain ketika kami siap untuk merilis lagi ke Saluran Saat Ini. Terima kasih.”

Perubahan mulai diluncurkan di Versi 2203, dimulai dengan Saluran Saat Ini (Pratinjau) pada awal April 2022, dengan ketersediaan umum akan dicapai pada Juni 2022, seperti yang dilaporkan sebelumnya oleh BleepingComputer.

Ini adalah perubahan yang disambut baik dan sangat diharapkan, mengingat bahwa makro VBA adalah metode populer untuk mendorong berbagai jenis malware (termasuk Emotet, TrickBot, Qbot, dan Dridex) melalui serangan phishing dengan lampiran dokumen Office yang berbahaya.

Dengan makro VBA yang diblokir secara default, semua orang mengharapkan serangan yang mengirimkan malware (seperti trojan pencuri informasi dan alat berbahaya yang digunakan oleh grup ransomware) untuk digagalkan secara otomatis.

Pada sistem di mana pemblokiran otomatis makro VBA diaktifkan, pelanggan akan melihat peringatan keamanan “RISIKO KEAMANAN: Microsoft telah memblokir makro agar tidak berjalan karena sumber file ini tidak tepercaya”.

Jika diklik, peringatan akan mengarahkan pengguna ke artikel yang berisi informasi tentang risiko keamanan di balik penggunaan makro Office oleh aktor ancaman dan instruksi untuk mengaktifkan makro ini jika benar-benar diperlukan.

Pengguna yang bingung meminta penjelasan, lebih transparan

Pelanggan Microsoft adalah yang pertama menyadari bahwa Microsoft membatalkan perubahan ini di Saluran Saat Ini pada hari Rabu, dengan tombol ‘Aktifkan Pengeditan’ atau ‘Aktifkan Konten’ yang lama ditampilkan di bagian atas dokumen Office yang diunduh dengan makro yang disematkan.

“Apakah hanya saya atau Microsoft telah membatalkan perubahan ini di Saluran Saat Ini?” salah satu pengguna Microsoft Office bertanya dalam komentar di posting blog Microsoft Februari yang mengumumkan bahwa makro VBA akan dinonaktifkan.

“Sepertinya ada sesuatu yang membatalkan perilaku default baru ini… mungkin Microsoft Defender menolak pemblokiran?”

“Berdasarkan umpan balik yang diterima, rollback telah dimulai. Pembaruan tentang rollback sedang berlangsung,” jawab Angela Robertson, GPM Utama untuk Identitas dan Keamanan di tim Microsoft 365 Office.

“Saya mohon maaf atas ketidaknyamanan pembatalan yang dimulai sebelum pembaruan tentang perubahan itu tersedia.”

Pelanggan lain mengeluh tentang “kurangnya komunikasi” Microsoft setelah mengumumkan perubahan ini dan meminta perusahaan untuk membagikan lebih banyak info tentang kemunduran ini “di tempat lain.”

“SMB standar Anda dan bahkan bisnis menengah akan meledak jika ini diterapkan sepenuhnya dalam bentuknya saat ini,” kata pelanggan.

“Anda tampaknya melayani perusahaan sekarang yang memiliki tim orang yang sangat besar untuk mengelola produk Anda, dan itu tidak berlaku untuk sebagian besar basis pengguna. Itu perlu disederhanakan sebelum dirilis, dan lebih dari itu, perlu dikomunikasikan secara efektif.”

“Mengembalikan perubahan yang baru-baru ini diterapkan dalam perilaku default tanpa setidaknya mengumumkan rollback akan terjadi adalah manajemen produk yang sangat buruk,” tambah yang lain.

Meskipun Microsoft belum membagikan umpan balik negatif yang menyebabkan pembatalan perubahan ini, pengguna telah melaporkan bahwa mereka tidak dapat menemukan tombol Buka Blokir untuk menghapus Mark-of-the-Web dari file yang diunduh, sehingga mustahil untuk mengaktifkan makro.

Admin lain merasa bahwa keputusan tersebut merupakan masalah bagi pengguna akhir yang akan merasa berat untuk membuka blokir file yang mereka unduh setiap hari, jika tidak beberapa kali per hari.

Perbarui 0, Juli 03:57 EST: Menanggapi pertanyaan kami tentang mengapa mereka membatalkan perubahan ini, seorang juru bicara memberi tahu kami bahwa Microsoft “tidak punya apa-apa lagi untuk dibagikan.”

Sumber: BleepingComputer

Pixel 6 dan Galaxy S22 terpengaruh oleh kerentanan utama kernel Linux baru

by

Kerentanan besar telah ditemukan oleh peneliti keamanan dan mahasiswa PhD Northwestern Zhenpeng Lin, yang memengaruhi kernel pada Pixel 6 dan 6 Pro dan perangkat Android lainnya yang menjalankan versi kernel Linux berbasis 5.10 seperti seri Galaxy S22.

Peneliti mengklaim kerentanan tersebut dapat mengaktifkan akses read dan write, eskalasi hak istimewa, dan menonaktifkan perlindungan keamanan SELinux. Peneliti telah memverifikasi ke Android Police bahwa Google tidak diberitahu tentang kerentanan sebelum demonstrasi di Twitter.

Tak satu pun dari detail teknis yang tepat di balik cara kerja eksploit telah dirilis, tetapi video yang mengklaim menunjukkan eksploit yang digunakan pada Pixel 6 Pro mampu mencapai root dan menonaktifkan SELinux. Dengan alat seperti itu, aktor jahat bisa mendapatkan banyak kerusakan.

Berdasarkan beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam eksploitasi akses memori untuk melakukan hal itu, dan berpotensi seperti kerentanan Dirty Pipe baru-baru ini yang memengaruhi seri Galaxy S22, seri Pixel 6, dan beberapa perangkat lain yang diluncurkan dengan Kernel Linux versi 5.8 di Android 12 dan yang lebih baru.

Peneliti juga menyatakan bahwa semua ponsel yang menggunakan Kernel Linux v5.10 terpengaruh, yang telah mereka verifikasi termasuk seri Samsung Galaxy S22. Ini mungkin juga termasuk perangkat Android terbaru lainnya yang diluncurkan dengan Android 12.

Seringkali, peneliti keamanan menahan diri untuk tidak mengungkapkan secara terbuka detail apa pun terkait kerentanan dalam periode yang dikenal sebagai “pengungkapan kerentanan terkoordinasi”, di mana peneliti keamanan hanya mengungkapkan eksploitasi kepada publik sebagai upaya terakhir untuk melindungi pengguna akhir jika dan ketika upaya sebelumnya untuk mencapai perusahaan yang terlibat gagal.

Tahun lalu Google mengeluarkan $8,7 juta hadiah bug bounty, dan saat ini perusahaan mengatakan membayar hingga $250.000 untuk kerentanan tingkat kernel. Kerentanan bahkan mungkin memenuhi syarat untuk kategori hadiah terpisah lainnya, tetapi mengungkapkan kerentanan secara publik sebelum melaporkannya ke Google dapat memengaruhi semua itu.

Keadaan ditinjau berdasarkan kasus per kasus, tetapi aturan yang dipublikasikan terdengar seperti mengungkapkan kerentanan di Twitter dapat menghalangi penghargaan tipikal meskipun video tidak sepenuhnya menjelaskan cara kerja kerentanan. Google akhirnya memiliki keputusan terakhir, dan sebagian besar peneliti tampaknya melakukan kesalahan di sisi kehati-hatian, menahan pengungkapan publik sampai nanti.

Lin memberi tahu kami bahwa dia yakin demonstrasinya hanyalah bukti konsep yang dimaksudkan untuk memperingatkan pengguna akhir sebelum ditambal, sehingga mereka dapat mencoba melindungi diri mereka sendiri (meskipun metode untuk perlindungan itu belum ditawarkan), dan tidak akan merupakan pelanggaran aturan pengungkapan Google.

Sumber: Android Police

Mode Lockdown baru Apple bertahan dari spyware pemerintah

by

Apple mengumumkan bahwa fitur keamanan baru yang dikenal sebagai Lockdown Mode akan diluncurkan dengan iOS 16, iPadOS 16, dan macOS Ventura untuk melindungi individu berisiko tinggi seperti pembela hak asasi manusia, jurnalis, dan pembangkang dari serangan spyware yang ditargetkan.

Setelah diaktifkan, Mode Penguncian akan memberi pelanggan Apple perpesanan, penelusuran web, dan perlindungan konektivitas yang dirancang untuk memblokir spyware tentara bayaran (seperti Pegasus NSO Group) yang digunakan oleh peretas yang didukung pemerintah untuk memantau perangkat Apple mereka setelah menginfeksi mereka dengan malware.

Upaya penyerang untuk berkompromi dengan perangkat Apple menggunakan eksploitasi tanpa klik yang menargetkan aplikasi perpesanan seperti WhatsApp dan Facetime atau browser web akan diblokir secara otomatis, melihat bahwa fitur rentan seperti pratinjau tautan akan dinonaktifkan.

Versi pertama dari Mode Lockdown akan mencakup perlindungan untuk beberapa fitur sistem operasi yang terkena serangan, termasuk:

Pesan: Sebagian besar jenis lampiran pesan selain gambar diblokir. Beberapa fitur, seperti pratinjau tautan, dinonaktifkan.
Penjelajahan web: Teknologi web kompleks tertentu, seperti kompilasi JavaScript just-in-time (JIT), dinonaktifkan kecuali pengguna mengecualikan situs tepercaya dari Mode Penguncian.

Layanan Apple: Undangan masuk dan permintaan layanan, termasuk panggilan FaceTime, diblokir jika pengguna belum pernah mengirim panggilan atau permintaan kepada pemrakarsa sebelumnya.

Koneksi kabel dengan komputer atau aksesori diblokir saat iPhone terkunci.
Profil konfigurasi tidak dapat dipasang, dan perangkat tidak dapat mendaftar ke manajemen perangkat seluler (MDM) saat Mode Penguncian diaktifkan.

Mode Penguncian Apple (Apple)

Pengumuman hari ini datang setelah Apple menggugat pembuat spyware Pegasus NSO Group pada November 2021 karena menargetkan dan dan memata-matai pengguna Apple menggunakan teknologi pengawasan NSO.

Apple mengatakan pada saat itu bahwa serangan yang disponsori negara menggunakan spyware NSO hanya menargetkan “sejumlah kecil” individu, di berbagai platform, termasuk Android dan iOS Apple.

Para penyerang menyebarkan perangkat lunak pengawasan NSO pada perangkat target profil tinggi yang disusupi, termasuk pejabat pemerintah, diplomat, pembangkang, akademisi, dan jurnalis di seluruh dunia.

Sejak Desember 2021, spyware NSO Group juga ditemukan di iPhone milik politisi, jurnalis, dan aktivis Catalan, diplomat Finlandia, pegawai pemerintah Inggris, dan pegawai Departemen Luar Negeri AS.

Biro Industri dan Keamanan (BIS) Departemen Perdagangan AS juga memberi sanksi kepada NSO Group dan tiga perusahaan lain dari Israel, Rusia, dan Singapura pada November atas pengembangan spyware dan penjualan alat peretasan yang digunakan oleh kelompok peretas yang didukung pemerintah.

Sumber: Bleeping Computer

Google menambal kekurangan Chrome zero-day baru yang dieksploitasi dalam serangan

by

Google telah merilis Chrome 103.0.5060.114 untuk pengguna Windows untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi oleh penyerang di alam liar, yang merupakan Chrome zero-day keempat yang ditambal pada tahun 2022.

Versi 103.0.5060.114 diluncurkan di seluruh dunia dan akan tersedia dalam hitungan hari atau minggu untuk mencapai seluruh basis pengguna.

Web browser juga akan memeriksa pembaruan baru secara otomatis dan menginstalnya secara otomatis setelah peluncuran berikutnya.

Bug zero-day yang diperbaiki hari ini (dilacak sebagai CVE-2022-2294) adalah kelemahan buffer overflow berbasis heap dengan tingkat keparahan tinggi di komponen WebRTC (Web Real-Time Communications), dilaporkan oleh Jan Vojtesek dari tim Avast Threat Intelligence pada hari Jumat , 1 Juli.

Dampak dari eksploitasi heap overflow yang berhasil dapat berkisar dari crash program dan eksekusi kode arbitrer hingga melewati solusi keamanan jika eksekusi kode tercapai selama serangan.

Meskipun Google mengatakan kerentanan zero-day ini dieksploitasi di alam liar, perusahaan belum membagikan detail teknis atau info apa pun mengenai insiden ini.

Dengan penundaan rilis info lebih lanjut tentang serangan ini, pengguna Chrome seharusnya memiliki cukup waktu untuk memperbarui dan mencegah upaya eksploitasi hingga Google memberikan detail tambahan.

Ini merupakan zero-day Chrome keempat yang diperbaiki sejak awal tahun. Tiga kerentanan zero-day sebelumnya yang ditemukan dan ditambal pada tahun 2022 adalah:

  • CVE-2022-1364 – 14 April
  • CVE-2022-1096 – 25 Maret
  • CVE-2022-0609 – 14 Februari

Yang diperbaiki pada bulan Februari, CVE-2022-0609, dieksploitasi oleh peretas negara yang didukung Korea Utara beberapa minggu sebelum patch Februari, menurut Google Threat Analysis Group (TAG). Tanda-tanda awal eksploitasi di alam liar ditemukan pada 4 Januari 2022.

Itu disalahgunakan oleh dua kelompok ancaman yang disponsori Korea Utara dalam kampanye yang mendorong malware melalui email phishing menggunakan umpan pekerjaan palsu dan situs web yang disusupi yang menghosting iframe tersembunyi untuk menyajikan kit eksploitasi.

Karena patch zero-day hari ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan untuk menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Sumber: Bleeping Computer

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

by

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Alur Infeksi Worm
Raspberry Robin

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

  • fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
  • msiexec (command line Windows Installer component),
  • dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News