Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Platform blogging Telegram disalahgunakan dalam serangan phishing

by

Platform blogging anonim Telegram, Telegraph, secara aktif dieksploitasi oleh pelaku phishing yang memanfaatkan kebijakan lemah platform untuk menyiapkan halaman arahan sementara yang mengarah pada pencurian kredensial akun.

Telegraph adalah platform blogging yang memungkinkan siapa pun mempublikasikan apa pun tanpa membuat akun atau memberikan detail identifikasi apa pun.

Postingan Telegraph yang diterbitkan menghasilkan tautan yang dapat didistribusikan oleh pelaku ancaman dengan cara apa pun yang mereka pilih, tetapi tidak ada lokasi pusat untuk mempromosikan postingan ini ke komunitas. Oleh karena itu, Telegraph cepat, sederhana, dan anonim.

Selain itu, karena editor Telegraph mendukung penambahan gambar, tautan, dan menawarkan opsi pemformatan teks, seseorang dapat membuat posting blog tampak seperti halaman web, termasuk formulir login.

Menurut laporan INKY pelaku phishing menggunakan Telegraph secara ekstensif untuk membuat situs phishing yang terlihat seperti halaman arahan situs web atau portal masuk.

Data INKY dari akhir 2019 hingga Mei 2022 menunjukkan bahwa penyertaan tautan Telegraph dalam email phishing telah mengalami peningkatan yang tajam baru-baru ini, karena lebih dari 90% dari semua deteksi terjadi tahun ini.

Tingkat pengiriman email phishing sangat baik karena tautan ini dihosting di Telegraph, platform yang tidak ditandai sebagai berbahaya atau mencurigakan oleh solusi keamanan email apa pun.

Dalam banyak kasus, INKY memperhatikan bahwa email phishing berasal dari akun email yang dibajak, sehingga daftar blokir pada alamat scam yang diketahui akan dilewati.

Dalam sebagian besar kasus yang tercatat, tujuan pelaku phishing adalah melakukan penipuan cryptocurrency atau memanen kredensial akun target mereka.

Kasus-kasus yang dilihat oleh INKY sangat bervariasi, menunjukkan bahwa penyalahgunaan Telegraph berasal dari beberapa kelompok/pelaku, bukan kelompok ancaman tertentu.

Salah satu contohnya adalah pemberitahuan OneDrive yang mengarah ke halaman masuk Microsoft yang tampak realistis di mana korban diminta untuk memasukkan kredensial akun mereka.

Peringatan OneDrive yang dipalsukan di Telegraph (INKY)
Portal phishing akun Microsoft (INKY)

Dalam kasus lain, INKY melihat pesan pemerasan yang mengancam akan membocorkan file pribadi jika penerima tidak membayar uang tebusan. Portal pembayaran di-host langsung di Telegraph, menawarkan beberapa opsi pembayaran untuk korban penipuan.

Pembayaran penipuan Cryptocurrency di Telegraph (INKY)

Pelaku phishing terus-menerus bereksperimen dengan cara baru yang dapat meningkatkan peluang keberhasilan mereka. Mereka sering mencapai tujuan ini dengan menggabungkan akun email curian dan situs gratis seperti Telegraph.

Untuk alasan ini, pengguna tidak boleh mempercayai email hanya karena melewati perlindungan. Jika mendapat tautan arahkan kursor ke atasnya untuk melihat ke mana arahnya sebelum mengklik.

Setiap kali Anda tiba di situs yang meminta kredensial akun Anda, konfirmasikan bahwa Anda telah masuk ke portal masuk resmi sebelum mengetik apa pun di dalam kotak.

Sumber: Bleeping Computer

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

by

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

Pencarian Windows baru zero-day ditambahkan ke mimpi buruk protokol Microsoft

by

Kerentanan zero-day Windows Search yang baru dapat digunakan untuk secara otomatis membuka jendela pencarian yang berisi executable malware yang di-host dari jarak jauh hanya dengan meluncurkan dokumen Word.

Masalah keamanan dapat dimanfaatkan karena Windows mendukung penangan protokol URI yang disebut ‘search-ms’ yang memungkinkan aplikasi dan tautan HTML untuk meluncurkan pencarian yang disesuaikan pada perangkat.

Sementara sebagian besar pencarian Windows akan melihat pada indeks perangkat lokal, juga dimungkinkan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Misalnya, kumpulan alat Sysinternals yang populer memungkinkan Anda memasang live.sysinternals.com dari jarak jauh sebagai jaringan berbagi untuk meluncurkan utilitas mereka. Untuk mencari berbagi jarak jauh ini dan hanya mencantumkan file yang cocok dengan nama tertentu, Anda dapat menggunakan URI ‘search-ms’ berikut:

search-ms:query=proc&crumb=lokasi:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Seperti yang dapat Anda lihat dari perintah di atas, variabel ‘crumb’ search-ms menentukan lokasi yang akan dicari, dan variabel ‘displayname’ menentukan judul pencarian.

Jendela pencarian yang disesuaikan akan muncul ketika perintah ini dijalankan dari dialog Run atau bilah alamat browser web pada Windows 7, Windows 10, dan Windows 11, seperti yang ditunjukkan di bawah ini.

Pencarian Windows pada berbagi file jarak jauh
Sumber: BleepingComputer

Perhatikan bagaimana judul jendela diatur ke nama tampilan ‘Searching Sysinternals’ yang kami tentukan di URI ms pencarian.

Pelaku ancaman dapat menggunakan pendekatan yang sama untuk serangan berbahaya, di mana email phishing dikirim dengan berpura-pura sebagai pembaruan keamanan atau patch yang perlu diinstal.

Mereka kemudian dapat mengatur berbagi Windows jarak jauh yang dapat digunakan untuk meng-host malware yang disamarkan sebagai pembaruan keamanan dan kemudian menyertakan URI ms pencarian dalam lampiran phishing atau email mereka.

Namun, tidak mudah untuk membuat pengguna mengklik URL seperti ini, terutama ketika muncul peringatan, seperti yang ditunjukkan di bawah ini.

Peringatan browser saat meluncurkan penangan protokol URI
Sumber: BleepingComputer

Tetapi salah satu pendiri dan peneliti keamanan Hacker House Matthew Hickey menemukan cara dengan menggabungkan kelemahan objek Microsoft Office OLEO yang baru ditemukan dengan pengendali protokol pencarian-ms untuk membuka jendela pencarian jarak jauh hanya dengan membuka dokumen Word.

Minggu ini, para peneliti menemukan bahwa pelaku ancaman memanfaatkan kerentanan zero-day Windows baru di Microsoft Windows Support Diagnostic Tool (MSDT). Untuk mengeksploitasinya, pelaku ancaman membuat dokumen Word berbahaya yang meluncurkan pengendali protokol URI ‘ms-msdt’ untuk menjalankan perintah PowerShell hanya dengan membuka dokumen.

Diidentifikasi sebagai CVE-2022-30190, cacat memungkinkan untuk memodifikasi dokumen Microsoft Office untuk melewati Tampilan Terproteksi dan meluncurkan penangan protokol URI tanpa interaksi oleh pengguna, yang hanya akan menyebabkan penyalahgunaan lebih lanjut terhadap penangan protokol.

Ini terlihat kemarin ketika Hickey mengonversi eksploitasi Microsoft Word MSDT yang ada untuk menggunakan pengendali protokol pencarian-ms yang kami jelaskan sebelumnya.

Dengan PoC baru ini, ketika pengguna membuka dokumen Word, maka secara otomatis akan meluncurkan perintah ‘search-ms’ untuk membuka jendela Pencarian Windows yang mencantumkan executable pada share SMB jarak jauh. Pembagian ini dapat diberi nama apa pun yang diinginkan oleh pelaku ancaman, seperti ‘Pembaruan Penting’, yang mendorong pengguna untuk menginstal malware yang terdaftar.

Seperti eksploitasi MSDT, Hickey juga menunjukkan bahwa Anda dapat membuat versi RTF yang secara otomatis membuka jendela Pencarian Windows saat dokumen ditampilkan di panel pratinjau Explorer.

Dengan menggunakan jenis dokumen Word berbahaya ini, pelaku ancaman dapat membuat kampanye phishing yang rumit yang secara otomatis meluncurkan jendela Pencarian Windows di perangkat penerima untuk mengelabui mereka agar meluncurkan malware.

Meskipun eksploitasi ini tidak separah kerentanan eksekusi kode jarak jauh MS-MSDT, ini dapat menyebabkan penyalahgunaan oleh aktor ancaman yang rajin yang ingin membuat kampanye phishing yang canggih.

Untuk mengurangi kerentanan ini, Hickey mengatakan Anda dapat menggunakan mitigasi yang sama untuk eksploitasi ms-msdt – hapus pengendali protokol pencarian-ms dari Windows Registry.

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\search-ms /f”

Contoh penyalahgunaan MSDT dan search-ms bukanlah hal baru, awalnya diungkapkan oleh Benjamin Altpeter pada tahun 2020 dalam tesisnya tentang keamanan aplikasi Elektron.

Namun, baru-baru ini mereka mulai dijadikan senjata dalam dokumen Word untuk serangan phishing tanpa interaksi pengguna, yang mengubahnya menjadi kerentanan zero-day.

Berdasarkan panduan Microsoft untuk CVE-2022-30190, perusahaan tampaknya mengatasi kelemahan dalam penangan protokol dan fitur Windows yang mendasarinya, daripada fakta bahwa pelaku ancaman dapat menyalahgunakan Microsoft Office untuk meluncurkan URI ini tanpa interaksi pengguna.

Seperti yang dikatakan oleh analis kerentanan CERT/CC Will Dormann, eksploitasi ini sebenarnya memanfaatkan dua kelemahan yang berbeda. Tanpa memperbaiki masalah URI Microsoft Office, penangan protokol lebih lanjut akan disalahgunakan.

Hickey juga mengatakan bahwa ia percaya bahwa ini tidak selalu merupakan cacat pada protokol penangan, melainkan kombinasi yang mengarah ke ‘Microsoft Office OLEObject search-ms Location Path Spoofing Vulnerability.’

Pada bulan Juni, para peneliti secara tidak sengaja mengungkapkan detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan Windows Spooler RCE bernama PrintNightmare.

Sementara komponen RCE diperbaiki dengan cepat, berbagai kerentanan elevasi hak istimewa lokal ditemukan yang terus diungkapkan di bawah klasifikasi ‘PrintNightmare’.

Tidak sampai Microsoft membuat beberapa perubahan drastis pada Windows Printing yang akhirnya mereka kendalikan kelas kerentanan ini, meskipun menyebabkan banyak masalah pencetakan untuk beberapa waktu.

Dengan mengatasi masalah hanya di sisi fitur penangan protokol/Windows, Microsoft menghadapi klasifikasi ‘ProtocolNightmare’ yang sama sekali baru di mana para peneliti akan terus menemukan penangan URI baru untuk disalahgunakan dalam serangan.

Sampai Microsoft tidak memungkinkan untuk meluncurkan penangan URI di Microsoft Office tanpa interaksi pengguna, bersiaplah untuk serangkaian artikel berita serupa saat eksploitasi baru dirilis.

Sumber: Bleeping Computer

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

by

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber:

Malware EnemyBot menambahkan eksploitasi untuk VMware kritis, kelemahan F5 BIG-IP

by

EnemyBot, botnet berdasarkan kode dari beberapa bagian malware, memperluas jangkauannya dengan cepat menambahkan eksploitasi untuk kerentanan kritis yang baru-baru ini diungkapkan di server web, sistem manajemen konten, IoT, dan perangkat Android.

Botnet pertama kali ditemukan pada bulan Maret oleh para peneliti di Securonix dan pada bulan April, ketika analisis sampel yang lebih baru muncul dari Fortinet, EnemyBot telah mengintegrasikan kelemahan untuk lebih dari selusin arsitektur prosesor.

Tujuan utamanya adalah meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan malware juga memiliki modul untuk memindai perangkat target baru dan menginfeksinya.

Sebuah laporan baru dari AT&T Alien Labs mencatat bahwa varian terbaru dari EnemyBot menggabungkan eksploitasi untuk 24 kerentanan. Sebagian besar dari mereka kritis tetapi ada beberapa yang bahkan tidak memiliki nomor CVE, yang mempersulit para pembela HAM untuk menerapkan perlindungan.

Pada bulan April, sebagian besar kelemahan yang terkait dengan router dan perangkat IoT, dengan CVE-2022-27226 (iRZ) dan CVE-2022-25075 (TOTOLINK) menjadi salah satu yang terbaru dan Log4Shell menjadi yang paling menonjol.

Namun, varian baru yang dianalisis oleh AT&T Alien Labs menyertakan eksploitasi untuk masalah keamanan berikut:

  • CVE-2022-22954: Cacat eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager. Eksploitasi PoC (bukti konsep) tersedia pada April 2022.
  • CVE-2022-22947: Cacat eksekusi kode jarak jauh di Musim Semi, diperbaiki sebagai zero-day pada Maret 2022, dan ditargetkan secara besar-besaran sepanjang April 2022.
  • CVE-2022-1388: Kelemahan eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada F5 BIG-IP, mengancam titik akhir yang rentan dengan pengambilalihan perangkat. PoC pertama muncul di alam liar pada Mei 2022, dan eksploitasi aktif segera dimulai.
Penambahan CVE-2022-22954 dalam kode EnemyBot (AT&T)

Melihat daftar perintah yang didukung oleh versi malware yang lebih baru, RSHELL menonjol, digunakan untuk membuat shell terbalik pada sistem yang terinfeksi. Ini memungkinkan aktor ancaman untuk melewati batasan firewall dan mendapatkan akses ke mesin yang disusupi.

Semua perintah yang terlihat di versi sebelumnya masih ada, menawarkan daftar opsi yang kaya tentang serangan DDoS.

Keksec, grup di belakang EnemyBot, secara aktif mengembangkan malware dan memiliki proyek jahat lainnya: Tsunami, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Tampaknya ini adalah pembuat malware berpengalaman yang menunjukkan perhatian khusus pada proyek terbaru, menambahkan eksploitasi kerentanan baru segera setelah muncul, seringkali sebelum admin sistem memiliki kesempatan untuk menerapkan perbaikan.

Lebih buruk lagi, AT&T melaporkan bahwa seseorang, yang kemungkinan besar berafiliasi dengan Keksec, telah merilis kode sumber EnemyBot, membuatnya tersedia untuk semua musuh.

Rekomendasi untuk melindungi dari jenis ancaman ini termasuk menambal produk perangkat lunak segera setelah pembaruan tersedia dan memantau lalu lintas jaringan, termasuk koneksi keluar.

Saat ini, tujuan utama EnemyBot adalah serangan DDoS tetapi kemungkinan lain juga harus dipertimbangkan (misalnya cryptomining, akses), terutama karena malware sekarang menargetkan perangkat yang lebih kuat.

Sumber: Bleeping Computer

Serangan Trojan Linux “XorDdos” Melonjak, Menargetkan Cloud & IoT

by

Penggunaan kejahatan dunia maya dari Trojan Linux yang dikenal sebagai XorDdos sedang meningkat, menurut sebuah laporan baru, yang menemukan peningkatan 254% dalam aktivitas jahat terhadap titik akhir Linux menggunakan malware selama enam bulan terakhir.

Ini pertama kali ditemukan pada tahun 2014, dan Tim Riset Pertahanan Microsoft 365 menjelaskan dalam posting blog baru-baru ini bahwa Trojan XorDdos menargetkan titik akhir cloud Linux dan Internet of Things (IoT), dan menyebarkan botnet untuk melakukan penolakan layanan terdistribusi (DDoS). ) serangan.

“Dengan mengkompromikan IoT dan perangkat lain yang terhubung ke internet, XorDdos mengumpulkan botnet yang dapat digunakan untuk melakukan serangan DDoS,” tulis tim tersebut dalam menggambarkan munculnya Trojan XorDdos.

“Serangan DDoS itu sendiri bisa sangat bermasalah karena berbagai alasan, tetapi serangan semacam itu juga dapat digunakan sebagai perlindungan untuk menyembunyikan aktivitas jahat lebih lanjut, seperti menyebarkan malware dan menyusup ke sistem target.”

Dark Reading

Cybergang Mengklaim REvil Kembali, Menjalankan Serangan DDoS

by

Aktor yang mengaku sebagai kelompok ransomware yang sudah mati menargetkan salah satu pelanggan Akami dengan serangan Layer 7, menuntut pembayaran pemerasan dalam Bitcoin.

Geng ransomware REvil yang mati mengklaim bertanggung jawab atas kampanye penolakan layanan terdistribusi (DDoS) baru-baru ini terhadap pelanggan perhotelan penyedia jaringan cloud Akamai. Namun, sangat mungkin serangan itu bukan kebangkitan kelompok penjahat dunia maya yang terkenal, tetapi operasi peniru, kata para peneliti.

Peneliti Akamai telah memantau serangan DDoS sejak 12 Mei, ketika seorang pelanggan memperingatkan Tim Tanggap Insiden Keamanan (SIRT) perusahaan tentang upaya serangan oleh kelompok yang mengaku terkait dengan REvil, Akamai mengungkapkan dalam sebuah posting blog Rabu.

Namun, sementara penyerang mengklaim sebagai REvil, tidak jelas saat ini apakah kelompok ransomware yang mati bertanggung jawab, karena upaya tersebut tampaknya lebih kecil daripada kampanye serupa sebelumnya yang diklaim oleh kelompok tersebut, kata para peneliti.

Tampaknya juga ada motivasi politik di balik kampanye DDoS, yang tidak konsisten dengan taktik REvil sebelumnya, di mana kelompok tersebut mengklaim bahwa itu dimotivasi semata-mata oleh keuntungan finansial.

REvil, yang menjadi gelap pada Juli 2021, adalah grup ransomware-as-a-service (RaaS) yang berbasis di Rusia yang terkenal dengan serangan profil tinggi terhadap Kaseya, JBS Foods, dan Apple Computer, antara lain.

Akhirnya, pada Maret 2022, Rusia—yang hingga saat itu tidak berbuat banyak untuk menggagalkan operasi REvil—mengklaim bertanggung jawab untuk sepenuhnya membubarkan kelompok tersebut atas permintaan pemerintah AS, dengan menahan anggota individunya.

Salah satu dari mereka yang ditangkap pada saat itu berperan penting dalam membantu kelompok ransomware DarkSide dalam serangan yang melumpuhkan pada Mei 2021 terhadap Colonial Pipeline, yang mengakibatkan perusahaan membayar uang tebusan sebesar $5 juta.

Serangan DDoS baru-baru ini—yang akan menjadi poros REvil—terdiri dari permintaan HTTP GET sederhana di mana jalur permintaan berisi pesan ke target yang berisi pesan 554-byte yang menuntut pembayaran, kata para peneliti. Lalu lintas dalam serangan pada Layer 7 jaringan—lapisan interaksi manusia-komputer tempat aplikasi mengakses layanan jaringan—memuncak pada 15 kRps.

Korban diarahkan untuk mengirim pembayaran BTC ke alamat dompet yang “saat ini tidak memiliki riwayat dan tidak terkait dengan BTC yang diketahui sebelumnya,” tulis Cashdollar.

Serangan itu juga memiliki permintaan geospesifik tambahan yang meminta perusahaan yang ditargetkan untuk menghentikan operasi bisnis di seluruh negara, katanya. Secara khusus, penyerang mengancam akan meluncurkan serangan lanjutan yang akan memengaruhi operasi bisnis global jika permintaan ini tidak dipenuhi dan uang tebusan tidak dibayarkan dalam jangka waktu tertentu.

Modus operandi khas REvil adalah untuk mendapatkan akses ke jaringan atau organisasi target dan mengenkripsi atau mencuri data sensitif, menuntut pembayaran untuk mendekripsi atau mencegah kebocoran informasi kepada penawar tertinggi atau mengancam pengungkapan publik atas informasi sensitif atau merusak, katanya.

Teknik yang terlihat dalam serangan DDoS “menyimpang dari taktik normal mereka,” tulis Cashdollar. “Geng REvil adalah penyedia RaaS, dan tidak ada ransomware dalam insiden ini,” tulisnya.

Namun, ada kemungkinan bahwa REvil sedang mencari kebangkitan dengan mencelupkan kakinya ke dalam model bisnis baru pemerasan DDoS, katanya. Apa yang lebih mungkin adalah bahwa penyerang dalam kampanye hanya menggunakan nama kelompok penjahat dunia maya yang terkenal untuk menakut-nakuti organisasi yang ditargetkan agar memenuhi tuntutan mereka, kata Cashdollar.

Sumber: Threat Post