Cybersecurity

Microsoft Menemukan Ransomware didalam Driver Windows

December 14, 2022 by Coffee Bean

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Cacat Keamanan pada Produk Atlassian (Jira, Confluence, Trello, BitBucket) yang Mempengaruhi Banyak Perusahaan

December 14, 2022 by Flamango

Pada 6 Desember 2022, CloudSEK mengungkapkan serangan dunia maya yang diarahkan ke perusahaan. Selama investigasi terhadap akar penyebab insiden tersebut, tim investigasi internal mengidentifikasi bahwa aktor ancaman memperoleh akses ke akun Jira karyawan CloudSEK, menggunakan cookie sesi Jira yang ada di log pencuri yang dijual di dark web.

Produk Atlassian, cookie tidak dibatalkan, meskipun kata sandi diubah, dengan 2FA (Otentikasi Dua Faktor) diaktifkan, karena validitas cookie adalah 30 hari. Atlassia telah mengkonfirmasi dan sedang bekerja untuk Menyelesaikan masalah tersebut.

CloudSEK merilis alat gratis yang memungkinkan perusahaan memeriksa apakah komputer mereka yang disusupi dan akun Jira diiklankan di pasar web gelap. Dengan lebih dari 10 juta pengguna di 180.000 perusahaan, termasuk 83% perusahaan Fortune 500, produk Atlassian banyak digunakan di seluruh dunia.

Cookie Atlassian yang Dicuri Dapat Menyebabkan Akses Akun Tidak Sah bahkan jika 2FA diaktifkan
Investigasi CloudSEK menunjukkan bahwa cookie produk Atlassian tetap berlaku selama 30 hari, meskipun kata sandi diubah dan 2FA diaktifkan. Oleh karena itu, pelaku ancaman dapat memulihkan sesi Jira, Confluence, Trello, atau BitBucket, menggunakan cookie yang dicuri, meskipun tidak memiliki akses ke OTP/PIN MFA.

Bukti Konsep
Peneliti CloudSEK memperoleh beberapa dump file log dan menemukan beberapa cookie Atlassian yang masih aktif untuk berbagai perusahaan.

Halaman pengaturan pengguna Bitbucket korban

Kredensial Atlassian/ Cookie Dijual di Darkweb Marketplaces
Dalam 30 hari terakhir, lebih dari 200 contoh unik kredensial/cookie terkait atlassian.net telah disiapkan untuk dijual di pasar darkweb. Mengingat kredensial tersebut disiapkan untuk dijual dalam 30 hari terakhir, kemungkinan besar banyak dari kredensial tersebut masih aktif.

Gambar 2 Contoh kredensial atlassian.net untuk dijual

Anatomi File Stealer-Log
Log pencuri yang dijual di pasar web gelap. Saat menguraikan file yang ada, data ditampilkan dalam sebuah format. Beberapa informasi korban yang dimasukkan ke dalam log pencuri yaitu IP, Tangkapan layar, Lokasi, Cookie dari semua browser yang digunakan oleh korban, Informasi dompet Cryptocurrency, dan lainnya.

Data Perusahaan Lain Tersedia di Web Gelap
Dalam 90 hari terakhir, lebih dari 70% data perusahaan Fortune 1000 tersedia untuk dijual di pasar web gelap. Dari jumlah tersebut, untuk 50% perusahaan, kredensial dari berbagai endpoint internal disiapkan untuk dijual.

Selengkapnya: cloudSEK

WAF Populer Ditumbangkan oleh JSON Bypass

December 14, 2022 by Coffee Bean

Firewall aplikasi web (WAF) dari lima vendor utama rentan terhadap permintaan berbahaya yang menggunakan Notasi Objek JavaScript (JSON) populer untuk mengaburkan perintah basis data dan lolos dari deteksi.

Penelitinya menemukan bahwa WAF yang diproduksi oleh Amazon Web Services, Cloudflare, F5, Imperva, dan Palo Alto gagal mengidentifikasi perintah SQL berbahaya yang dikodekan dalam format JSON, memungkinkan penerusan permintaan berbahaya ke database back-end.

Teknik ini memungkinkan penyerang untuk mengakses dan, dalam beberapa kasus, mengubah data serta mengkompromikan aplikasi, kata Noam Moshe, peneliti keamanan di tim riset Team82 Claroty.

WAF Jangan “Dapatkan” JSON
Firasat pertama para peneliti tentang potensi serangan datang dari eksperimen yang tidak terkait yang menyelidiki platform manajemen perangkat nirkabel Cambium Networks. Pengembang platform tersebut menambahkan data yang disediakan pengguna langsung ke akhir kueri, sebuah teknik yang meyakinkan Claroty untuk menyelidiki aplikasi yang lebih umum.

Teknik ini bekerja terhadap sebagian besar database relasional, termasuk PostgreSQL, Microsoft MSSQL, MySQL, dan SQLite. Sementara perusahaan harus mengatasi tiga batasan teknis — seperti awalnya hanya dapat mengambil angka dan bukan rangkaian karakter — para peneliti akhirnya membuat pintasan tujuan umum untuk firewall aplikasi Web utama.

Mengaburkan untuk Melarikan Diri

Mengaburkan kode berbahaya untuk mem-bypass langkah-langkah keamanan anti-injeksi memiliki sejarah yang panjang. Pada 2013, misalnya, penyerang mulai mengeksploitasi kerentanan dalam kerangka kerja Ruby on Rails yang memungkinkan kode JSON digunakan untuk melewati autentikasi dan menyuntikkan perintah SQL ke dalam aplikasi web.

Para peneliti memberi tahu kelima vendor tentang WAF yang rentan, yang masing-masing mengonfirmasi masalah tersebut dan sejak itu menambahkan dukungan sintaks JSON ke produk mereka, kata Claroty dalam penasehatnya.

sumber : dark reading

Malware Python Baru Membuka Server VMware ESXi Untuk Akses Jarak Jauh

December 14, 2022 by Coffee Bean

Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.

VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.

Malware secara teknis mampu menargetkan sistem Linux dan Unix, juga, analis Juniper menemukan banyak indikasi bahwa malware itu dirancang untuk menyerang ESXi.

Backdoor operation
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.

umumnya, file tersebut kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.

Baris tambahan ditambahkan pada file ESXi (Juniper Networks)

Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.

Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.

“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”

Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.

Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.

Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.

Meringankan
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.

Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.

sumber : bleeping computer

Hacker Mengeksploitasi Critical Citrix ADC dan Gateway Zero Day, Patch Now

December 14, 2022 by Coffee Bean

Citrix sangat mendesak admin untuk menerapkan pembaruan keamanan untuk kerentanan zero-day ‘Kritis’ (CVE-2022-27518) di Citrix ADC dan Gateway yang secara aktif dieksploitasi oleh peretas yang disponsori negara untuk mendapatkan akses ke jaringan perusahaan.

Kerentanan baru ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dari jarak jauh pada perangkat yang rentan dan mengambil kendali atasnya.

“Pelanggan yang menggunakan build yang terpengaruh dengan konfigurasi SAML SP atau IdP disarankan untuk segera menginstal build yang direkomendasikan karena kerentanan ini telah diidentifikasi sebagai kritis. Tidak ada solusi yang tersedia untuk kerentanan ini.” – Citrix.

Kerentanan berdampak pada versi Citrix ADC dan Citrix Gateway berikut ini:

Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
Citrix ADC 12.1-FIPS before 12.1-55.291
Citrix ADC 12.1-NDcPP before 12.1-55.291

Versi di atas hanya terpengaruh jika peralatan dikonfigurasi sebagai SAML SP (penyedia layanan SAML) atau SAML IdP (penyedia identitas SAML).

Citrix ADC dan Citrix Gateway versi 13.1 tidak terpengaruh oleh CVE-2022-27518, jadi pemutakhiran ke CVE-2022-27518 memecahkan masalah keamanan.

Mereka yang menggunakan versi lama disarankan untuk memutakhirkan ke versi terbaru yang tersedia untuk cabang 12.0 (12.1.65.25) atau 13.0 (13.0.88.16).

Selain itu, Citrix ADC FIPS dan Citrix ADC NDcPP harus ditingkatkan ke versi 12.1-55.291 atau lebih baru.

Dieksploitasi oleh peretas yang disponsori negara

Sementara Citrix belum membagikan detail apa pun tentang bagaimana bug baru ini disalahgunakan, NSA telah membagikan bahwa peretas APT5 yang disponsori negara (alias UNC2630 dan MANGANESE) secara aktif mengeksploitasi kerentanan dalam serangan.

Dalam pengungkapan terkoordinasi, NSA telah merilis penasehat “APT5: Citrix ADC Threat Hunting Guidance” dengan informasi tentang pendeteksian jika suatu perangkat telah dieksploitasi dan tip untuk mengamankan perangkat Citrix ADC dan Gateway.

APT5 diyakini sebagai grup peretasan yang disponsori negara China yang dikenal memanfaatkan zero-days di perangkat VPN untuk mendapatkan akses awal dan mencuri data sensitif.

Pada tahun 2019, cacat eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-19781 ditemukan di Citrix ADC dan Citrix Gateway dan dengan cepat menjadi sasaran operasi ransomware (1, 2), APT yang didukung negara, penyerang oportunistik yang menggunakan bypass mitigasi, dan banyak lagi

Eksploitasi menjadi sangat disalahgunakan sehingga pemerintah Belanda menyarankan perusahaan untuk mematikan perangkat Citrix ADC dan Citrix Gateway mereka hingga admin dapat menerapkan pembaruan keamanan.

sumber : bleeping computer

APT37 Menggunakan Internet Explorer Zero-Day untuk Menyebarkan Malware

December 13, 2022 by Coffee Bean

Grup ancaman Korea Utara APT37 dapat mengeksploitasi kerentanan zero-day Internet Explorer untuk menyebarkan dokumen yang sarat dengan malware sebagai bagian dari kampanye yang menargetkan pengguna di Korea Selatan, termasuk pembelot, jurnalis, dan kelompok hak asasi manusia.

Threat Analysis Group (TAG) milik google menemukan kelemahan zero-day di mesin JScript Internet Explorer pada akhir Oktober, dilacak di bawah CVE-2022-41128, dan sekarang melaporkan bahwa Microsoft responsif dan telah mengeluarkan tambalan yang sesuai.

Untuk memikat calon korban, dokumen jahat tersebut merujuk pada insiden penghancuran massa yang mematikan di Seoul yang terjadi selama perayaan Halloween pada 29 Oktober.

“Insiden ini dilaporkan secara luas, dan iming-iming tersebut memanfaatkan minat publik yang luas terhadap kecelakaan tersebut,” lapor tim TAG. “Ini bukan pertama kalinya APT37 menggunakan eksploitasi 0 hari Internet Explorer untuk menargetkan pengguna.”

sumber : dark reading

Cisco mengungkapkan kerentanan zero-day tingkat tinggi pada IP Phone dengan exploit code

December 13, 2022 by Coffee Bean

Cisco hari ini mengungkapkan kerentanan zero-day dengan tingkat keparahan tinggi yang memengaruhi generasi terbaru telepon IP-nya dan membuat mereka terkena eksekusi kode jarak jauh dan serangan denial of service (DoS).

Namun, PSIRT Cisco menambahkan bahwa pihaknya belum mengetahui adanya upaya untuk mengeksploitasi kelemahan keamanan ini dalam serangan.

CVE-2022-20968, saat kelemahan keamanan dilacak, disebabkan oleh validasi input yang tidak mencukupi dari paket Cisco Discovery Protocol yang diterima, yang dapat dieksploitasi oleh penyerang yang berdekatan dan tidak diautentikasi untuk memicu stack overflow.

Perangkat yang terpengaruh termasuk telepon IP Cisco yang menjalankan firmware Seri 7800 dan 8800 versi 14.2 dan sebelumnya.

Mitigasi tersedia untuk beberapa perangkat

Meskipun pembaruan keamanan untuk mengatasi CVE-2022-20968 atau solusinya belum tersedia, Cisco memberikan saran mitigasi untuk admin yang ingin mengamankan perangkat yang rentan di lingkungannya dari potensi serangan.

Ini memerlukan penonaktifan Cisco Discovery Protocol pada perangkat IP Phone 7800 dan 8800 Series yang terpengaruh yang juga mendukung Link Layer Discovery Protocol (LLDP) untuk penemuan tetangga.

“Perangkat kemudian akan menggunakan LLDP untuk menemukan data konfigurasi seperti VLAN suara, negosiasi daya, dan sebagainya,” jelas Cisco dalam penasehat keamanan yang diterbitkan Kamis.
Admin yang ingin menerapkan mitigasi ini disarankan untuk menguji keefektifan dan penerapannya di lingkungan mereka.

Cisco memperingatkan bahwa “pelanggan tidak boleh menggunakan solusi atau mitigasi apa pun sebelum terlebih dahulu mengevaluasi penerapannya pada lingkungan mereka sendiri dan dampak apa pun terhadap lingkungan tersebut.”

Sumber : bleeping computer

PC dengan Celah Udara Rentan Terhadap Pencurian Data Melalui Radiasi

December 13, 2022 by Coffee Bean

Metode serangan baru bernama COVID-bit menggunakan gelombang elektromagnetik untuk mengirimkan data dari sistem celah udara, yang diisolasi dari internet, pada jarak minimal dua meter (6,5 kaki), yang ditangkap oleh penerima.

Informasi yang berasal dari perangkat yang diisolasi dapat diambil oleh smartphone atau laptop terdekat, bahkan jika keduanya dipisahkan oleh dinding.

kompromi awal
Sistem celah udara fisik adalah komputer yang biasanya ditemukan di lingkungan berisiko tinggi seperti infrastruktur energi, pemerintah, dan unit kontrol senjata, sehingga diisolasi dari internet publik dan jaringan lain untuk alasan keamanan.

Meskipun kedengarannya tidak praktis atau bahkan tidak masuk akal, serangan semacam itu telah terjadi, beberapa contohnya adalah worm Stuxnet di fasilitas pengayaan uranium Iran di Natanz, Agen.BTZ yang menginfeksi pangkalan militer AS, dan pintu belakang modular Remsec yang mengumpulkan informasi dari jaringan pemerintah yang tertutup udara selama lebih dari lima tahun.

Gelombang elektromagnetik dapat membawa muatan data mentah, mengikuti rangkaian delapan bit yang menandakan awal transmisi.

Perubahan frekuensi CPU dan spektogram muatan (arxiv.org)

Penerima dapat berupa laptop atau smartphone menggunakan antena loop kecil yang dihubungkan ke jack audio 3,5 mm, yang dapat dengan mudah dipalsukan dalam bentuk headphone/earphone.

Smartphone dapat menangkap transmisi, menerapkan filter pengurangan kebisingan, mendemodulasi data mentah, dan akhirnya memecahkan kode rahasianya.

Penyerang di area yang kurang aman menerima data rahasia (arxiv.org)

Melindungi dari COVID-bit
Pertahanan paling efektif terhadap serangan COVID-bit adalah dengan membatasi secara ketat akses ke perangkat dengan celah udara untuk mencegah pemasangan malware yang diperlukan. Namun, ini tidak melindungi Anda dari ancaman orang dalam.

Untuk serangan ini, para peneliti merekomendasikan untuk memantau penggunaan inti CPU dan mendeteksi pola pemuatan mencurigakan yang tidak sesuai dengan perilaku yang diharapkan komputer.

Namun, penanggulangan ini datang dengan peringatan memiliki banyak false positive dan menambahkan overhead pemrosesan data yang mengurangi kinerja dan meningkatkan konsumsi energi.

Penanggulangan lain adalah mengunci frekuensi inti CPU pada angka tertentu, membuat pembangkitan sinyal pembawa data menjadi lebih sulit, bahkan jika tidak menghentikannya sepenuhnya.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings