Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Serangan siber InterContinental Hotels Group mengganggu sistem pemesanan

by

Perusahaan perhotelan terkemuka InterContinental Hotels Group PLC (juga dikenal sebagai IHG Hotels & Resorts) mengatakan sistem teknologi informasi (TI) telah terganggu sejak kemarin setelah jaringannya dibobol.

IHG adalah perusahaan multinasional Inggris yang saat ini mengoperasikan 6.028 hotel di lebih dari 100 negara dan memiliki lebih dari 1.800 dalam jalur pengembangan.

Meskipun perusahaan tidak mengungkapkan rincian apa pun mengenai sifat serangan itu, perusahaan itu menyebutkan dalam pengungkapannya bahwa mereka sedang berupaya memulihkan sistem yang terkena dampak.

Ini mengisyaratkan kemungkinan serangan ransomware di mana pelaku ancaman telah menyebarkan muatan ransomware dan sistem terenkripsi di jaringan IHG.

Dalam sebagian besar insiden ransomware, penyerang juga akan mencuri informasi sensitif dari jaringan target mereka sebelum enkripsi.

Ini kemudian digunakan dalam skema pemerasan ganda di mana para korban ditekan untuk membayar uang tebusan di bawah ancaman kebocoran data yang dicuri.

Bulan lalu, geng ransomware Lockbit mengklaim serangan terhadap Holiday Inn Istanbul Kadıköy, salah satu hotel yang dioperasikan oleh IHG.

Klaim serangan Lockbit Holiday Inn Istanbul Kadıköy (BleepingComputer)

Dari pengujian BleepingComputer, API grup hotel juga turun dan menunjukkan kesalahan HTTP 502 dan 503.

Pelanggan juga tidak dapat masuk saat ini, dengan aplikasi IHG menampilkan “Ada yang tidak beres. Kredensial yang Anda masukkan tidak valid. Harap setel ulang kata sandi Anda atau hubungi Layanan Pelanggan.” kesalahan.

Perusahaan intelijen kejahatan dunia maya Hudson Rock mengatakan bahwa IHG memiliki setidaknya 15 karyawan yang disusupi dan lebih dari 4.000 pengguna yang disusupi, menurut data yang ditautkan ke domain ihg[.]com.

Raksasa jaringan hotel itu juga menjadi sasaran pelanggaran keamanan selama tiga bulan pada tahun 2017—antara 29 September hingga 29 Desember—ketika lebih dari 1.200 hotel waralaba InterContinental di Amerika Serikat terkena dampaknya.

Sumber: Bleeping Computer

Peretas JuiceLedger Di Balik Serangan Phishing Terbaru Terhadap Pengguna PyPI

by

Rincian lebih lanjut telah muncul tentang operator di balik kampanye phishing pertama yang diketahui secara khusus ditujukan untuk Python Package Index (PyPI), repositori perangkat lunak pihak ketiga resmi untuk bahasa pemrograman.

Kampanye tersebut dikaitkan dengan aktor ancaman JuiceLedger, perusahaan keamanan siber SentinelOne, bersama dengan Checkmarx, menggambarkan kelompok itu sebagai entitas baru yang muncul pada awal 2022.

Kampanye “rendah” awal dikatakan telah melibatkan penggunaan aplikasi penginstal Python jahat untuk mengirimkan malware berbasis .NET yang disebut JuiceStealer yang direkayasa untuk menyedot kata sandi dan data sensitif lainnya dari browser web korban.

Serangan tersebut mengalami peningkatan yang signifikan bulan lalu ketika aktor JuiceLedger menargetkan kontributor paket PyPi dalam kampanye phishing, yang mengakibatkan kompromi tiga paket dengan malware.

“Serangan supply chain (rantai pasokan) terhadap kontributor paket PyPI tampaknya merupakan eskalasi dari kampanye yang dimulai awal tahun yang awalnya menargetkan calon korban melalui aplikasi perdagangan cryptocurrency palsu,” kata peneliti SentinelOne Amitai Ben Shushan Ehrlich dalam sebuah laporan.

Tujuannya mungkin untuk menginfeksi khalayak yang lebih luas dengan infostealer melalui campuran paket trojanized dan typosquat, perusahaan keamanan siber menambahkan.

Perkembangan tersebut menambah kekhawatiran yang berkembang seputar keamanan ekosistem open source, mendorong Google untuk mengambil langkah-langkah mengumumkan imbalan uang karena menemukan kekurangan dalam proyeknya yang tersedia di domain publik.

Dengan serangan pengambilalihan akun menjadi vektor infeksi populer bagi penyerang yang ingin meracuni rantai pasokan perangkat lunak, PyPI telah mulai memberlakukan persyaratan otentikasi dua faktor (2FA) wajib untuk proyek yang dianggap “kritis”.

“JuiceLedger tampaknya telah berkembang sangat cepat dari infeksi oportunistik skala kecil hanya beberapa bulan yang lalu menjadi melakukan serangan rantai pasokan pada distributor perangkat lunak utama,” kata SentinelOne.

Sumber: The Hackernews

Ransomware BlackCat mengklaim serangan terhadap agen energi Italia

by

Geng ransomware BlackCat/ALPHV mengaku bertanggung jawab atas serangan yang menghantam sistem agen energi Italia Gestore dei Servizi Energetici SpA (GSE) selama akhir pekan.

GSE adalah perusahaan milik publik yang mempromosikan dan mendukung sumber energi terbarukan (RES) di seluruh Italia.

GSE mengungkapkan bahwa situs web dan sistemnya diturunkan untuk memblokir penyerang mendapatkan akses ke data setelah mendeteksi serangan pada Minggu malam—situs web GSE masih tidak aktif, hampir seminggu setelah insiden tersebut.

Sebelum pengungkapan GSE, grup ransomware BlackCat menambahkan entri baru ke situs kebocoran data web gelapnya yang mengklaim telah mencuri sekitar 700GB file dari server badan energi Italia.

Para penyerang mengatakan bahwa file yang dicuri berisi data rahasia, termasuk kontrak, laporan, informasi proyek, dokumen akuntansi, dan dokumentasi internal lainnya.

Serangan ini menyusul insiden lain yang melibatkan Eni SpA, perusahaan energi terbesar di Italia, dengan lebih dari 31.000 karyawan yang beroperasi di pasar nasional dan internasional.

Eni SpA juga mengungkapkan bahwa baru-baru ini diretas sebagai bagian dari serangan siber yang menurut perusahaan memiliki konsekuensi kecil pada operasinya.

Awal tahun ini, BlackCat juga mengatakan berada di balik serangan ransomware terhadap Creos Luxembourg S.A., jaringan pipa gas alam dan operator jaringan listrik dari Eropa Tengah, dan perusahaan pemasok bensin Jerman Oiltanking.

Situs GSE masih down (BleepingComputer)

Operasi ransomware BlackCat/ALPHV diluncurkan pada November 2021 dan diyakini sebagai rebrand dari geng DarkSide/BlackMatter.

Geng ransomware pertama kali mendapatkan ketenaran sebagai DarkSide setelah menyerang Colonial Pipeline dan mendarat di garis bidik penegakan hukum internasional.

Meskipun mereka berganti nama menjadi BlackMatter pada Juli 2021, mereka dengan cepat terpaksa ditutup lagi pada November, setelah server geng disita dan Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor.

Grup ini dianggap sebagai salah satu ancaman ransomware paling signifikan yang saat ini menargetkan perusahaan di seluruh dunia.

Sejauh ini, telah dikaitkan dengan serangan terhadap perusahaan seperti penyedia layanan penanganan kargo maskapai Swissport dan grup mode Moncler.

Baru-baru ini, BlackCat juga telah mengembangkan taktik pemerasannya, meluncurkan basis data baru yang dapat dicari dari data curian yang membuat serangan pemerasan ganda kelompok itu semakin merusak korban.

Pada bulan April, FBI memperingatkan bahwa BlackCat memiliki “jaringan dan pengalaman luas dengan operasi ransomware” karena mereka telah melanggar lebih dari 60 entitas di seluruh dunia antara November 2021 dan Maret 2022.

Sumber: Bleeping Computer

Ekstensi Chrome dengan 1,4 juta pemasangan mencuri data penjelajahan

by

Analis ancaman di McAfee menemukan lima ekstensi Google Chrome yang mencuri aktivitas penelusuran pengguna yang telah diunduh lebih dari 1,4 juta kali.

Tujuan dari ekstensi jahat adalah untuk memantau saat pengguna mengunjungi situs web e-niaga dan untuk mengubah cookie pengunjung agar tampak seolah-olah mereka datang melalui tautan perujuk. Untuk ini, penulis ekstensi mendapatkan biaya afiliasi untuk setiap pembelian di toko elektronik.

Lima ekstensi berbahaya yang ditemukan oleh peneliti McAfee adalah sebagai berikut:

  • Netflix Party (mmnbenehknklpbendgmgneaignppnbe) – 800.000 unduhan
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 unduhan
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 unduhan
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 unduhan
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 unduhan
Empat dari ekstensi berbahaya (McAfee)

Kelima ekstensi yang ditemukan oleh McAfee memiliki perilaku yang serupa. Manifes aplikasi web (file “manifest.json”), yang menentukan bagaimana ekstensi harus berperilaku pada sistem, memuat skrip multifungsi (B0.js) yang mengirimkan data penelusuran ke domain yang dikontrol penyerang (“langhort[.] com”).

Data dikirimkan melalui permintaan POST setiap kali pengguna mengunjungi URL baru. Info yang menjangkau penipu termasuk URL dalam bentuk base64, ID pengguna, lokasi perangkat (negara, kota, kode pos), dan URL rujukan yang disandikan.

Jika situs web yang dikunjungi cocok dengan entri apa pun pada daftar situs web yang pembuat ekstensinya memiliki afiliasi aktif, server akan merespons B0.js dengan salah satu dari dua kemungkinan fungsi.

Yang pertama, “Result[‘c’] – passf_url “, memerintahkan skrip untuk memasukkan URL yang disediakan (tautan rujukan) sebagai iframe di situs web yang dikunjungi.

Yang kedua, “Result[‘e’] setCookie”, memerintahkan B0.js untuk memodifikasi cookie atau menggantinya dengan cookie yang disediakan jika ekstensi telah diberikan izin terkait untuk melakukan tindakan ini.

Untuk menghindari deteksi, analisis, dan untuk membingungkan peneliti atau pengguna yang waspada, beberapa ekstensi menampilkan penundaan 15 hari sejak pemasangannya sebelum mulai mengirimkan aktivitas browser.

Pada saat penulisan ini, “Full Page Screenshot Capture – Screenshotting” dan “FlipShope – Price Tracker Extension” masih tersedia di Toko Web Chrome.

Kedua ekstensi Netflix Party telah dihapus dari toko, tetapi ini tidak menghapusnya dari browser web, jadi pengguna harus mengambil tindakan manual untuk mencopot pemasangannya.

Sumber: Bleeping Computer

Nitrokod Crypto Miner Menginfeksi Lebih dari 111.000 Pengguna dengan Salinan Perangkat Lunak Populer

by

Kampanye malware baru yang menyamar sebagai program pengunduh Google Translate atau MP3 ditemukan mendistribusikan malware penambangan cryptocurrency di 11 negara.

Menurut laporan Check Point, malware tersebut dibuat oleh pengembang bernama ‘Nitrokod’, yang pada awalnya tampak bersih dari malware dan menyediakan fungsionalitas yang diiklankan.

Namun, Check Point mengatakan perangkat lunak itu sengaja menunda pemasangan komponen malware berbahaya hingga satu bulan untuk menghindari deteksi.

Beranda situs web Nitrokod

Sayangnya, penawaran Nitrokod berperingkat tinggi dalam hasil Google Penelusuran, sehingga situs web tersebut bertindak sebagai jebakan yang sangat baik bagi pengguna yang mencari utilitas tertentu.

Selain itu, applet Google Terjemahan Nitrokod juga diunggah di Softpedia, yang mencapai lebih dari 112.000 unduhan.

Aplikasi malware di Softpedia (Check Point)

Terlepas dari program mana yang diunduh dari situs web Nitrokod, pengguna menerima RAR yang dilindungi kata sandi yang menghindari deteksi AV dan berisi executable yang dinamai sesuai dengan aplikasi yang dipilih.

Setelah menjalankan file, perangkat lunak diinstal pada sistem pengguna bersama dengan dua kunci registri.

Untuk menghindari kecurigaan dan untuk menggagalkan analisis Sandbox, perangkat lunak mengaktifkan penetes dari file RAR terenkripsi lain yang diambil melalui Wget pada hari kelima infeksi.

Selanjutnya, perangkat lunak menghapus semua log sistem menggunakan perintah PowerShell dan, setelah 15 hari, mengambil RAR terenkripsi berikutnya dari “intelserviceupdate[.]com.”

Garis waktu tahap infeksi (Check Point)

Dropper tahap berikutnya memeriksa keberadaan perangkat lunak antivirus, mencari proses yang mungkin dimiliki oleh mesin virtual, dan akhirnya menambahkan aturan firewall dan pengecualian ke Windows Defender.

Sekarang perangkat telah disiapkan untuk muatan terakhir, program memuat penetes terakhir, yang mengambil file RAR lain yang berisi malware penambangan XMRig, pengontrolnya, dan file “.sys” yang memiliki pengaturannya.

Malware menentukan apakah itu berjalan di desktop atau laptop, kemudian terhubung ke C2-nya (“nvidiacenter[.]com”) dan mengirimkan laporan sistem host lengkap melalui permintaan HTTP POST.

Akhirnya, C2 merespons dengan instruksi seperti apakah akan mengaktifkan, berapa banyak daya CPU yang digunakan, kapan harus melakukan ping ke C2 lagi, atau program apa yang harus diperiksa dan keluar jika ditemukan.

Diagram rantai serangan lengkap (Check Point)

Malware penambangan kripto dapat menjadi risiko karena dapat merusak perangkat keras dengan menyebabkan tekanan dan panas berlebih pada perangkat keras, dan dapat memengaruhi kinerja komputer Anda dengan menggunakan sumber daya CPU tambahan.

Selain itu, malware dropper yang ditemukan oleh Check Point dapat menukar muatan akhir dengan sesuatu yang jauh lebih berbahaya kapan saja.

Untuk melindungi diri Anda, hindari mengunduh aplikasi yang menjanjikan fungsionalitas yang tidak dirilis secara resmi oleh pengembang asli, seperti versi desktop dari alat terjemahan Google.

Sumber: Bleeping Computer

Peretas mengadopsi toolkit Sliver sebagai alternatif Cobalt Strike

by

Pelaku ancaman membuang suite pengujian penetrasi Cobalt Strike demi kerangka kerja serupa yang kurang dikenal. Setelah Brute Ratel, kit lintas platform open-source yang disebut Sliver menjadi alternatif yang menarik.

Namun, aktivitas jahat menggunakan Sliver dapat dideteksi menggunakan kueri perburuan yang diambil dari analisis toolkit, cara kerjanya, dan komponennya.

Selama beberapa tahun terakhir, Cobalt Strike semakin populer sebagai alat serangan untuk berbagai pelaku ancaman, termasuk operasi ransomware, untuk menjatuhkan “suar” jaringan yang disusupi yang memungkinkan bergerak secara lateral ke sistem bernilai tinggi.

Karena para pembela HAM telah belajar untuk mendeteksi dan menghentikan serangan dengan mengandalkan toolkit ini, para peretas mencoba opsi lain yang dapat menghindari Endpoint Detection and Response (EDR) dan solusi antivirus.

Menghadapi pertahanan yang lebih kuat terhadap Cobalt Strike, aktor ancaman telah menemukan alternatif. Palo Alto Networks mengamati mereka beralih ke Brute Ratel, alat simulasi serangan permusuhan yang dirancang untuk menghindari produk keamanan.

Sebuah laporan dari Microsoft mencatat bahwa peretas, dari kelompok yang disponsori negara hingga geng kejahatan dunia maya, semakin banyak menggunakan alat pengujian keamanan Sliver berbasis Go yang dikembangkan oleh para peneliti di perusahaan keamanan siber BishopFox dalam serangan.

Satu grup yang mengadopsi Sliver dilacak sebagai DEV-0237 oleh Microsoft. Juga dikenal sebagai FIN12, geng tersebut telah dikaitkan dengan berbagai operator ransomware.

Geng telah mendistribusikan muatan ransomware dari berbagai operator ransomware di masa lalu (Ryuk, Conti, Hive, Conti, dan BlackCat) melalui berbagai malware, termasuk BazarLoader dan TrickBot.

Geng FIN12 menyebarkan berbagai muatan ransomware
sumber: Microsoft

Menurut laporan dari Government Communications Headquarters (GCHQ) Inggris, aktor yang disponsori negara di Rusia, khususnya APT29 (alias Cozy Bear, The Dukes, Grizzly Steppe) juga telah menggunakan Sliver untuk mempertahankan akses ke lingkungan yang disusupi.

Microsoft mencatat bahwa Sliver telah digunakan dalam serangan yang lebih baru menggunakan pemuat malware Bumblebee (Coldtrain), yang dikaitkan dengan sindikat Conti sebagai pengganti BazarLoader.

Microsoft menyediakan seperangkat taktik, teknik, dan prosedur (TTP) yang dapat digunakan para defender untuk mengidentifikasi Sliver dan kerangka kerja C2 lainnya yang muncul.

Karena jaringan Sliver C2 mendukung banyak protokol (DNS, HTTP/TLS, MTLS, TCP) dan menerima koneksi implan/operator, dan dapat meng-host file untuk meniru server web yang sah, pemburu ancaman dapat mengatur pendengar untuk mengidentifikasi anomali pada jaringan untuk Infrastruktur sliver.

Microsoft juga berbagi informasi tentang cara mendeteksi payload Sliver (shellcode, executable, shared library/DLL, dan layanan) yang dihasilkan menggunakan basis kode resmi yang tidak disesuaikan untuk kerangka kerja C2.

Insinyur deteksi dapat membuat deteksi khusus pemuat [mis. Bumblebee] atau, jika shellcode tidak di-obfuscate, aturan untuk payload shellcode yang disematkan di loader.

Untuk muatan malware Sliver yang tidak memiliki banyak konteks, Microsoft merekomendasikan untuk mengekstrak konfigurasi ketika dimuat ke dalam memori karena kerangka kerja harus menghilangkan penyamaran dan mendekripsinya agar dapat menggunakannya.

Memindai memori dapat memungkinkan peneliti untuk mengekstrak detail seperti data konfigurasi:

Ekstraksi konfigurasi dari implan uji Sliver
sumber: Microsoft

Pemburu ancaman juga dapat mencari perintah yang digunakan untuk injeksi proses, yang dicapai oleh kode Sliver default tanpa menyimpang dari implementasi umum. Di antara perintah yang digunakan untuk ini adalah:

  • migrasi (perintah) – migrasi ke proses jarak jauh
  • spawndll (perintah) – memuat dan menjalankan DLL reflektif dalam proses jarak jauh
  • sideload (perintah) – memuat dan menjalankan objek bersama (pustaka bersama/DLL) dalam proses jarak jauh
  • msf-inject (perintah) – menyuntikkan muatan Metasploit Framework ke dalam proses
  • execute-assembly (command) – memuat dan menjalankan .NET assembly dalam proses anak
  • getsystem (command) – memunculkan sesi Sliver baru sebagai Pengguna NT AUTHORITY\SYSTEM

      • Microsoft mencatat bahwa toolkit ini juga bergantung pada ekstensi dan alias (Beacon Object Files (BFO), aplikasi .NET, dan peralatan pihak ketiga lainnya) untuk injeksi perintah.

      Kerangka kerja ini juga menggunakan PsExect untuk menjalankan perintah yang memungkinkan gerakan lateral.

      Untuk mempermudah perusahaan yang dilindungi oleh Defender untuk mengidentifikasi aktivitas Sliver di lingkungan mereka, Microsoft telah membuat untuk perintah yang disebutkan di atas sekumpulan kueri berburu yang dapat dijalankan di portal Microsoft 365 Defender.

      Microsoft menggarisbawahi bahwa kumpulan aturan deteksi dan panduan berburu yang disediakan adalah untuk basis kode Sliver yang saat ini tersedia untuk umum. Penggunaan varian yang disesuaikan kemungkinan akan memengaruhi deteksi berdasarkan kueri Microsoft.

      Sumber: Bleeping Computer

    Geng ransomware LockBit menjadi agresif dengan taktik pemerasan tiga kali

    by

    Geng ransomware LockBit mengumumkan bahwa mereka meningkatkan pertahanan terhadap serangan denial-of-service (DDoS) terdistribusi dan bekerja untuk membawa operasi ke tingkat pemerasan tiga kali lipat.

    Geng baru-baru ini mengalami serangan DDoS, diduga atas nama raksasa keamanan digital Entrust, yang mencegah akses ke data yang dipublikasikan di situs kebocoran perusahaannya.

    Data dari Entrust dicuri oleh ransomware LockBit dalam serangan pada 18 Juni. Perusahaan mengkonfirmasi insiden tersebut dan memberitahu bahwa data telah dicuri.

    Entrust tidak membayar uang tebusan dan LockBit mengumumkan bahwa mereka akan mempublikasikan semua data yang dicuri pada 19 Agustus. Namun, ini tidak terjadi, karena situs kebocoran geng tersebut terkena serangan DDoS yang diyakini terhubung ke Entrust.

    Awal pekan ini, LockBitSupp, figur publik dari operasi ransomware LockBit, mengumumkan bahwa grup tersebut kembali berbisnis dengan infrastruktur yang lebih besar untuk memberikan akses ke kebocoran yang tidak terpengaruh oleh serangan DDoS.

    Serangan DDoS akhir pekan lalu yang menghentikan sementara kebocoran data Entrust dipandang sebagai peluang untuk mengeksplorasi taktik pemerasan rangkap tiga untuk menerapkan lebih banyak tekanan pada korban untuk membayar uang tebusan.

    LockBitSupp mengatakan bahwa operator ransomware sekarang ingin menambahkan DDoS sebagai taktik pemerasan selain mengenkripsi data dan membocorkannya.

    Geng juga berjanji untuk membagikan lebih dari 300GB data yang dicuri dari Entrust sehingga “seluruh dunia akan tahu rahasia Anda.”

    Juru bicara LockBit mengatakan bahwa mereka akan membagikan kebocoran data Entrust secara pribadi dengan siapa pun yang menghubungi mereka sebelum membuatnya tersedia melalui torrent.

    Tampaknya LockBit telah menepati janjinya dan merilis torrent akhir pekan ini yang disebut “entrust.com” dengan file 343GB.

    Lockbit ransomware bocor Entrust data
    sumber: Artie Yamamoto

    Operator ingin memastikan bahwa data Entrust tersedia dari berbagai sumber dan, selain mempublikasikannya di situs mereka, mereka juga membagikan torrent melalui setidaknya dua layanan penyimpanan file, dengan salah satunya tidak lagi tersedia.

    Salah satu metode yang sudah diterapkan untuk mencegah serangan DDoS lebih lanjut adalah dengan menggunakan tautan unik dalam catatan tebusan untuk para korban.

    Mereka juga mengumumkan peningkatan jumlah mirror dan server duplikat, dan rencana untuk meningkatkan ketersediaan data yang dicuri dengan membuatnya dapat diakses melalui clearnet juga, melalui layanan penyimpanan antipeluru.

    Lockbit ransomware changes after suffering DDoS attack
    source: BleepingComputer

    Operasi ransomware LockBit telah aktif selama hampir tiga tahun, sejak September 2019. Pada saat penulisan, situs kebocoran data LockBit aktif dan berjalan.

    Geng itu mendaftarkan lebih dari 700 korban dan Entrust adalah salah satunya, dengan data perusahaan bocor pada 27 Agustus.

    Sumber: Bleeping Computer

    Peretas menyalahgunakan sistem anti-cheat Genshin Impact untuk menonaktifkan antivirus

    by

    Peretas menyalahgunakan driver sistem anti-cheat untuk game Genshin Impact yang sangat populer untuk menonaktifkan perangkat lunak antivirus saat melakukan serangan ransomware.

    Driver/modul, “mhypro2.sys,” tidak memerlukan sistem target untuk menginstal game, dan dapat beroperasi secara independen atau bahkan tertanam dalam malware, menawarkan kerentanan kuat kepada pelaku ancaman yang dapat menonaktifkan perangkat lunak keamanan.

    Driver yang rentan telah dikenal sejak tahun 2020 dan memberikan akses ke memori proses/kernel apa pun dan kemampuan untuk menghentikan proses menggunakan hak istimewa tertinggi.

    Peneliti melaporkan masalah ini ke vendor beberapa kali di masa lalu. Namun, sertifikat penandatanganan kode belum dicabut, sehingga program masih dapat diinstal pada Windows tanpa menimbulkan alarm apa pun.

    Lebih buruk lagi, setidaknya ada dua eksploitasi proof-of-concept [1, 2] di GitHub sejak 2020, dengan detail lengkap tentang cara membaca/menulis memori kernel dengan hak istimewa mode kernel dari mode pengguna, menghitung utas, dan mengakhiri proses.

    Dalam laporan baru oleh Trend Micro, para peneliti telah melihat bukti pelaku ancaman menyalahgunakan driver ini sejak akhir Juli 2022, dengan pelaku ransomware menggunakannya untuk menonaktifkan solusi perlindungan titik akhir yang dikonfigurasi dengan benar.

    Pelaku ancaman menggunakan ‘secretsdump’ dan ‘wmiexec’ terhadap titik akhir yang ditargetkan dan kemudian terhubung ke pengontrol domain melalui RDP menggunakan kredensial admin yang diambil.

    Tindakan pertama yang diambil pada mesin yang disusupi adalah mentransfer mhyprot2.sys ke desktop bersama dengan ‘kill_svc.exe’ yang dapat dieksekusi, yang digunakan untuk menginstal driver.

    Selanjutnya, penyusup menjatuhkan ‘avg.msi’, yang pada gilirannya menjatuhkan dan mengeksekusi empat file berikut:

    • logon.bat – Sebuah file batch yang mengeksekusi HelpPane.exe, membunuh antivirus dan layanan lainnya, dan mengeksekusi svchost.exe
    • HelpPane.exe – File berbahaya yang menyamar sebagai Bantuan dan Dukungan Microsoft yang dapat dieksekusi; mirip dengan kill_svc.exe, ia menginstal mhyprot2.sys dan mematikan layanan antivirus
    • mhyprot2.sys – Driver anti-cheat Genshin Impact yang rentan
    • svchost.exe – Payload ransomware

    Trend Micro berkomentar bahwa pelaku ancaman mencoba dan gagal tiga kali untuk mengenkripsi file di workstation yang diserang, tetapi layanan antivirus berhasil dinonaktifkan. Akhirnya, musuh memindahkan “logon.bat” di desktop dan mengeksekusinya secara manual, yang berhasil.

    Peluncuran manual HelpPane.exe (Trend Micro)

    Terakhir, pelaku ancaman memuat driver, ransomware, dan ‘kill_svc.exe’ yang dapat dieksekusi pada jaringan berbagi untuk penyebaran massal, yang bermaksud menginfeksi lebih banyak workstation.

    Ikhtisar serangan aktor Ransomware (Trend Micro)

    Trend Micro memperingatkan bahwa penyebaran modul anti-cheat oleh peretas dapat meningkat, karena bahkan jika vendor merespons dan memperbaiki kekurangannya, versi lama akan terus beredar.

    Riset keamanan Kevin Beaumont menyarankan agar admin dapat mempertahankan diri dari ancaman ini dengan memblokir hash “0466e90bf0e83b776ca8716e01d35a8a2e5f96d3” pada solusi keamanan mereka, yang sesuai dengan driver mhypro2.sys yang rentan.

    Terakhir, pembela harus memantau log peristiwa untuk instalasi layanan tertentu, bernama “mhyprot2.”

    Sumber: Bleeping Computer