Cybersecurity

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

November 25, 2021 by Winnie the Pooh

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Selengkapnya: Bleeping Computer

Malware JavaScript baru yang tersembunyi menginfeksi PC Windows dengan RAT

November 25, 2021 by Winnie the Pooh

Loader JavaScript tersembunyi baru bernama RATDispenser sedang digunakan untuk menginfeksi perangkat dengan berbagai trojan akses jarak jauh (RAT) dalam serangan phishing.

Loader baru dengan cepat membangun kemitraan distribusi dengan setidaknya delapan keluarga malware, semuanya dirancang untuk mencuri informasi dan memberi aktor kendali atas perangkat target.

Dalam 94% kasus yang dianalisis oleh tim Riset Ancaman HP, RATDispenser tidak berkomunikasi dengan server yang dikendalikan aktor dan hanya digunakan sebagai dropper malware tahap pertama.

Berlawanan dengan tren penggunaan dokumen Microsoft Office untuk menjatuhkan payload, loader ini menggunakan lampiran JavaScript, yang menurut HP memiliki tingkat deteksi yang rendah.

Infeksi dimulai dengan email phishing yang berisi lampiran JavaScript berbahaya yang diberi nama dengan ekstensi ganda ‘.TXT.js’. Karena Windows menyembunyikan ekstensi secara default, jika penerima menyimpan file ke komputer mereka, itu akan muncul sebagai file teks yang tidak berbahaya.

File teks ini sangat dikaburkan untuk melewati deteksi oleh perangkat lunak keamanan dan akan didekodekan saat file diklik dua kali dan diluncurkan.

Setelah diluncurkan, loader akan menulis file VBScript ke folder %TEMP%, yang kemudian dijalankan untuk mengunduh muatan malware (RAT).

Lapisan kebingungan ini membantu malware menghindari deteksi 89% setiap saat, berdasarkan hasil pemindaian VirusTotal.

Namun, email gateway akan mendeteksi loader jika organisasi telah mengaktifkan pemblokiran lampiran executable, seperti file .js, .exe, .bat, .com.

Cara lain untuk menghentikan rantai infeksi agar tidak terbuka adalah dengan mengubah file handler default untuk file JS, hanya mengizinkan skrip yang ditandatangani secara digital untuk dijalankan, atau menonaktifkan WSH (Windows Script Host).

Selengkapnya: Bleeping Computer

Pelanggaran data GoDaddy menghantam reseller layanan hosting WordPress

November 25, 2021 by Winnie the Pooh

GoDaddy mengatakan pelanggaran data yang baru-baru ini diungkapkan yang memengaruhi sekitar 1,2 juta pelanggan juga telah menghantam beberapa reseller layanan WordPress Terkelola.

Menurut Dan Rice, VP of Corporate Communications di GoDaddy, enam reseller yang juga terkena dampak pelanggaran besar-besaran ini adalah tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, dan Host Europe.

GoDaddy mengakuisisi merek-merek ini setelah membeli perusahaan hosting web dan layanan cloud Host Europe Group pada 2017 dan Media Temple pada 2013.

“Tidak ada merek lain yang terpengaruh. Merek-merek itu telah menghubungi pelanggan masing-masing dengan detail spesifik dan tindakan yang direkomendasikan.” Rice memberi tahu perusahaan keamanan WordPress Wordfence.

Pelanggaran data ditemukan oleh GoDaddy hari Rabu lalu, pada 17 November, tetapi, sebagaimana diungkapkan secara terpisah dalam pengajuan Senin dengan Komisi Sekuritas dan Bursa AS, data pelanggan terungkap setidaknya sejak 6 September 2021, setelah pelaku ancaman yang tidak dikenal mengakses ke lingkungan hosting WordPress Terkelola perusahaan tersebut.

Ini bukan pelanggaran data atau insiden keamanan siber pertama yang diungkapkan raksasa web hosting dalam beberapa tahun terakhir.

Pelanggaran lain terungkap tahun lalu, pada bulan Mei, ketika GoDaddy memberi tahu pelanggan bahwa peretas menggunakan kredensial akun hosting web mereka untuk terhubung ke akun hosting mereka melalui SSH.

Pada tahun 2019, GoDaddy menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, yang berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja situs web secara keseluruhan.

Selengkapnya: Bleeping Computer

Bug penyadapan Mediatek berdampak pada 30% dari semua smartphone Android

November 25, 2021 by Winnie the Pooh

MediaTek memperbaiki kerentanan keamanan yang memungkinkan penyerang menguping panggilan telepon Android, menjalankan perintah, atau meningkatkan hak istimewa mereka ke tingkat yang lebih tinggi.

MediaTek adalah salah satu perusahaan semikonduktor terbesar di dunia, dengan chip mereka hadir di 43% dari semua smartphone pada kuartal kedua tahun 2021.

Kerentanan ini ditemukan oleh Check Point, dengan tiga di antaranya (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) diperbaiki di Buletin Keamanan MediaTek Oktober 2021, dan yang kerentanan keempat (CVE-2021-0673) diperbaiki oleh pembaruan keamanan yang akan datang bulan depan.

Kelemahan ini berarti bahwa semua ponsel cerdas yang menggunakan chip MediaTek rentan terhadap serangan penyadapan atau infeksi malware yang tidak memerlukan interaksi pengguna jika pembaruan keamanan tidak diinstal.

Kemungkinan sejumlah besar perangkat lama yang tidak lagi didukung oleh vendor tidak akan pernah menerima pembaruan keamanan.

Prosesor MediaTek modern menggunakan unit pemrosesan audio khusus yang disebut Digital Signal Processor (DSP) untuk mengurangi beban CPU dan meningkatkan kualitas dan kinerja pemutaran audio.

Unit ini menerima permintaan pemrosesan audio dari aplikasi di ruang pengguna Android melalui driver dan sistem IPC. Secara teoritis, aplikasi yang tidak memiliki hak istimewa dapat mengeksploitasi kelemahan untuk memanipulasi penangan permintaan dan menjalankan kode pada chip audio.

Driver audio tidak berkomunikasi dengan DSP secara langsung tetapi dengan pesan IPI yang diteruskan ke System control processor (SCP).

Dengan merekayasa balik Android API yang bertanggung jawab untuk komunikasi audio, Check Point mempelajari lebih lanjut tentang cara kerja sistem, yang mengarah pada penemuan 4 kerentanan diatas.

Selengkapnya: Bleeping Computer

Malware mencoba mengeksploitasi Penginstal Windows zero-day baru

November 24, 2021 by Winnie the Pooh

Pembuat malware telah mulai menguji eksploitasi bukti konsep yang menargetkan Penginstal Microsoft Windows zero-day baru yang diungkapkan secara publik oleh peneliti keamanan Abdelhamid Naceri selama akhir pekan.

“Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini,” kata Jaeson Schultz, Pemimpin Teknis untuk Talos Security Intelligence & Research Group Cisco.

Namun, seperti yang dikatakan oleh Kepala Penjangkauan Cisco Talos Nick Biasini kepada BleepingComputer, upaya eksploitasi ini adalah bagian dari serangan volume rendah yang kemungkinan difokuskan pada pengujian dan tweaker eksploitasi untuk kampanye besar-besaran.

Kerentanan yang dimaksud adalah bug elevasi hak istimewa lokal yang ditemukan sebagai pintasan ke tambalan yang dirilis Microsoft selama Patch Selasa November 2021 untuk mengatasi cacat yang dilacak sebagai CVE-2021-41379.

Pada hari Minggu, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru ini, dengan mengatakan itu berfungsi pada semua versi Windows yang didukung.

Jika berhasil dieksploitasi, bypass ini memberi penyerang hak istimewa SISTEM pada perangkat terbaru yang menjalankan rilis Windows terbaru, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Dengan memanfaatkan zero-day ini, penyerang dengan akses terbatas ke sistem yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral dalam jaringan korban.

“Solusi terbaik yang tersedia pada saat penulisan ini adalah menunggu Microsoft merilis patch keamanan, karena kompleksitas kerentanan ini,” jelas Naceri.

Selengkapnya: Bleeping Computer

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

November 24, 2021 by Winnie the Pooh

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Peretas menargetkan biomanufaktur dengan malware Tardigrade yang tersembunyi

November 24, 2021 by Winnie the Pooh

Sebuah grup peretas tingkat lanjut secara aktif menargetkan fasilitas biomanufaktur dengan malware kustom baru yang disebut ‘Tardigrade.’

Pelaku menggunakan malware khusus untuk menyebar di jaringan yang disusupi dan mengekstrak data untuk waktu yang lama tanpa diketahui.

Menurut penasehat yang diterbitkan oleh PBioeconomy Information Sharing and Analysis Center (BIO-ISAC) hari ini, aktor tersebut telah secara aktif menargetkan entitas di lapangan setidaknya sejak Januari 2020.

Anggota BIO-ISAC BioBright mengatakan kepada Wired bahwa tanda-tanda pertama yang terlihat dari serangan ini datang dalam bentuk infeksi ransomware aneh pada musim semi tahun 2020, di mana para pelaku meninggalkan catatan tebusan yang tidak menunjukkan minat yang tulus untuk menerima pembayaran apa pun.

Tujuan dari penyebaran ransomware ini kemungkinan besar untuk menyembunyikan penurunan muatan yang sebenarnya, sebuah malware metamorf yang akan bersarang di sistem yang disusupi, menyebar seperti worm, dan mengekstrak file.

BIO-ISAC menjelaskan bahwa pelaku ancaman menggunakan versi metamorfik khusus ‘SmokeLoader’ bernama ‘Tartigrade,’ yang dikirimkan melalui phishing atau USB stick yang entah bagaimana menemukan jalan mereka di lokasi organisasi target.

SmokeLoader bertindak sebagai pintu masuk tersembunyi bagi para aktor, mengunduh lebih banyak muatan, memanipulasi file, dan menyebarkan modul tambahan.

Versi SmokeLoader sebelumnya sangat bergantung pada arah eksternal, tetapi varian ini dapat beroperasi secara mandiri dan bahkan tanpa koneksi C2.

Sasaran dari pelaku ancaman adalah spionase dunia maya dan mungkin juga gangguan operasional, tetapi malware mereka dapat menjadi masalah yang terus-menerus bagi sistem yang terinfeksi meskipun tidak dapat lagi berkomunikasi dengan server perintah dan kontrol.

Setelah menerbitkan artikel ini, BleepingComputer dihubungi oleh peneliti keamanan yang prihatin dengan kebenaran laporan BIO-ISAC dan data teknis yang disajikan di dalamnya.

Intel Advanced Vitali Kremez dan peneliti lain yang telah berbicara dengan BleepingComputer menyatakan bahwa DLL ini sebenarnya adalah Cobalt Strike HTTP beacon yang dikemas menggunakan crypter Conti, dan tidak ada hubungannya dengan SmokeLoader.

Selengkapnya: Bleeping Computer

Eksploitasi dirilis untuk bug Microsoft Exchange RCE

November 23, 2021 by Eevee

Kode eksploitasi telah dirilis secara online selama akhir pekan untuk kerentanan tingkat tinggi yang dieksploitasi secara aktif yang berdampak pada server Microsoft Exchange.

Bug keamanan yang dilacak sebagai CVE-2021-42321 berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal (termasuk yang digunakan oleh pelanggan dalam mode Exchange Hybrid) dan ditambal oleh Microsoft selama Patch Tuesday bulan ini.

Pada hari Minggu, hampir dua minggu setelah patch CVE-2021-42321 diterbitkan, peneliti Janggggg menerbitkan eksploitasi proof-of-concept untuk bug RCE pasca-auth Exchange.

Jika Anda belum menambal kerentanan keamanan ini di server lokal, Anda dapat membuat inventaris cepat dari semua server Exchange di lingkungan Anda yang perlu diperbarui menggunakan versi terbaru skrip Pemeriksa Kesehatan Server Exchange.

Untuk memeriksa apakah salah satu server Exchange Anda yang rentan telah terkena upaya eksploitasi CVE-2021-42321, Anda harus menjalankan kueri PowerShell ini di setiap server Exchange untuk memeriksa peristiwa tertentu di Log Peristiwa:

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

Jalur pembaruan Exchange Server CVE-2021-42321 (Microsoft)

Admin Exchange telah menangani dua gelombang serangan besar-besaran sejak awal tahun 2021, yang menargetkan kerentanan keamanan ProxyLogon dan ProxyShell.

Pelaku ancaman yang didukung negara dan bermotivasi finansial menggunakan eksploitasi ProxyLogon untuk menyebarkan shell web, cryptominers, ransomware, dan malware lainnya mulai awal Maret.

Dalam serangan ini, mereka menargetkan lebih dari seperempat juta server Microsoft Exchange, milik puluhan ribu organisasi di seluruh dunia.

Empat bulan kemudian, AS dan sekutunya, termasuk UE, Inggris, dan NATO, secara resmi menyalahkan China atas serangan peretasan Microsoft Exchange yang meluas ini.

Pada bulan Agustus, pelaku ancaman juga mulai memindai dan melanggar server Exchange dengan mengeksploitasi kerentanan ProxyShell setelah peneliti keamanan mereproduksi eksploitasi yang berfungsi.

Meskipun muatan yang dijatuhkan menggunakan eksploitasi ProxyShell pada awalnya tidak berbahaya, penyerang kemudian beralih untuk menyebarkan muatan ransomware LockFile di seluruh domain Windows yang diretas menggunakan eksploitasi Windows PetitPotam.

Dengan kerentanan terbaru ini (CVE-2021-42321), para peneliti telah melihat penyerang memindai dan mencoba untuk mengkompromikan sistem yang rentan.

Selengkapnya : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings