Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Manfaatkan kelemahan Realtek kritis yang memengaruhi banyak perangkat jaringan

by

Kode eksploitasi telah dirilis untuk kerentanan kritis yang memengaruhi perangkat jaringan dengan sistem RTL819x Realtek pada chip (SoC), yang diperkirakan berjumlah jutaan.

Cacat diidentifikasi sebagai CVE-2022-27255 dan penyerang jarak jauh dapat mengeksploitasinya untuk mengkompromikan perangkat yang rentan dari berbagai produsen peralatan asli (OEM), mulai dari router dan titik akses hingga repeater sinyal.

Para peneliti dari perusahaan keamanan siber Faraday Security di Argentina menemukan kerentanan di SDK Realtek untuk sistem operasi eCos open-source dan mengungkapkan detail teknisnya minggu lalu di konferensi peretas DEFCON.

Empat peneliti (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) yang dianggap menemukan kerentanan adalah mahasiswa ilmu komputer di Universitas Buenos Aires.

Presentasi mereka mencakup seluruh upaya yang mengarah untuk menemukan masalah keamanan, mulai dari memilih target hingga menganalisis firmware dan mengeksploitasi kerentanan, dan mengotomatiskan deteksi pada gambar firmware lainnya.

CVE-2022-27255 adalah buffer overflow berbasis tumpukan dengan skor keparahan 9,8 dari 10 yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode tanpa otentikasi dengan menggunakan paket SIP yang dibuat khusus dengan data SDP berbahaya.

Realtek mengatasi masalah pada bulan Maret dengan mencatat bahwa hal itu mempengaruhi seri rtl819x-eCos-v0.x dan seri rtl819x-eCos-v1.x dan dapat dieksploitasi melalui antarmuka WAN.

Empat peneliti dari Faraday Security telah mengembangkan kode eksploitasi proof-of-concept (PoC) untuk CVE-2022-27255 yang bekerja pada router Nexxt Nebula 300 Plus.

Para peneliti mencatat bahwa CVE-2022-27255 adalah kerentanan tanpa klik, yang berarti bahwa eksploitasi diam dan tidak memerlukan interaksi dari pengguna.

Penyerang yang mengeksploitasi kerentanan ini hanya membutuhkan alamat IP eksternal dari perangkat yang rentan.

Johannes Ullrich, Dekan Riset SANS mengatakan bahwa penyerang jarak jauh dapat mengeksploitasi kerentanan untuk tindakan berikut:

  • merusak perangkat
  • jalankan kode arbitrer
  • membangun Backdoor untuk ketekunan
  • merutekan ulang lalu lintas jaringan
  • mencegat lalu lintas jaringan

Ullrich memperingatkan bahwa jika eksploitasi untuk CVE-2022-27255 berubah menjadi worm, itu bisa menyebar ke internet dalam hitungan menit.

Meskipun patch telah tersedia sejak Maret, Ullrich memperingatkan bahwa kerentanan mempengaruhi “banyak (jutaan) perangkat” dan bahwa perbaikan tidak mungkin menyebar ke semua perangkat.

Ini karena beberapa vendor menggunakan Realtek SDK yang rentan untuk peralatan berdasarkan SoC RTL819x dan banyak dari mereka belum merilis pembaruan firmware.

Tidak jelas berapa banyak perangkat jaringan yang menggunakan chip RTL819x tetapi versi RTL819xD dari SoC hadir dalam produk dari lebih dari 60 vendor. Diantaranya ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, dan Zyxel.

Peneliti mengatakan bahwa:

  • Perangkat yang menggunakan firmware yang dibangun di sekitar Realtek eCOS SDK sebelum Maret 2022 rentan
  • Anda rentan bahkan jika Anda tidak mengekspos fungsionalitas antarmuka admin apa pun
  • Penyerang dapat menggunakan satu paket UDP ke port arbitrer untuk mengeksploitasi kerentanan
  • Kerentanan ini kemungkinan akan paling memengaruhi router, tetapi beberapa perangkat IoT yang dibangun di sekitar SDK Realtek juga mungkin terpengaruh

Ulrich membuat aturan Snort di sini yang dapat mendeteksi eksploitasi PoC. Itu mencari pesan “INVITE” dengan string “m=audio” dan terpicu ketika ada lebih dari 128 byte (ukuran buffer yang dialokasikan oleh Realtek SDK) dan jika tidak ada yang merupakan carriage return.

Pengguna harus memeriksa apakah peralatan jaringan mereka rentan dan menginstal pembaruan firmware dari vendor yang dirilis setelah Maret, jika tersedia. Selain itu, organisasi dapat mencoba memblokir permintaan UDP yang tidak diminta.

Sumber: Bleeping Computer

Peretas menemukan cara untuk melewati otentikasi multi-faktor

by

Sering dikatakan bahwa hal terpenting yang dapat Anda lakukan untuk melindungi akun dan jaringan yang lebih luas dari peretas adalah dengan menggunakan otentikasi multi-faktor (MFA).

MFA menciptakan dan penghalang tambahan untuk penyerang karena mengharuskan pengguna untuk memverifikasi tambahan bahwa upaya login benar-benar dilakukan oleh mereka. Verifikasi ini dapat melalui pesan SMS, aplikasi autentikator, atau bahkan kunci keamanan fisik. Jika penyerang memiliki kata sandi, tetapi bukan pesan verifikasi atau perangkat fisik, maka sistem tidak akan membiarkan mereka masuk dan mereka tidak dapat melanjutkan lebih jauh.

Baru-baru ini ada lonjakan serangan cyber yang bertujuan untuk menghindari keamanan otentikasi multi-faktor masa lalu. Menurut Microsoft, hanya dalam satu kampanye, 10.000 organisasi telah ditargetkan dengan cara ini selama setahun terakhir.

Salah satu opsi bagi peretas yang ingin menyiasati MFA adalah dengan menggunakan apa yang disebut serangan adversary-in-the-middle (AiTM) yang menggabungkan serangan phishing dengan server proxy antara korban dan situs web yang mereka coba masuki. Ini memungkinkan penyerang untuk mencuri kata sandi dan cookie sesi yang memberikan tingkat otentikasi tambahan yang dapat mereka manfaatkan – dalam hal ini untuk mencuri email. Pengguna hanya berpikir bahwa mereka telah masuk ke akun mereka seperti biasa.

Itu karena penyerang tidak merusak MFA sendiri, mereka telah berhasil melewatinya dengan mencuri cookie, dan sekarang dapat menggunakan akun seolah-olah mereka adalah pengguna, bahkan jika mereka pergi dan kembali lagi nanti. Itu berarti meskipun ada otentikasi multi-faktor, sayangnya dibuat berlebihan dalam situasi ini – dan itu buruk untuk semua orang.

Jadi, meskipun otentikasi multi-faktor sering menjadi penghalang, serangan ini menunjukkan bahwa itu tidak sempurna.

Dan ada skenario lain yang dapat dimanfaatkan untuk melewati otentikasi multi-faktor juga, karena dalam banyak kasus, sebuah kode diperlukan, dan seseorang harus memasukkan kode itu. Dan orang dapat ditipu atau dimanipulasi bahkan saat teknologi mencoba melindungi kita.

Dibutuhkan sedikit lebih banyak upaya dari penyerang, tetapi dimungkinkan untuk mengambil kode-kode ini. Misalnya, verifikasi SMS masih merupakan metode umum MFA bagi banyak orang, terutama untuk hal-hal seperti rekening bank dan kontrak telepon. Dalam beberapa kasus, pengguna diharuskan membacakan kode melalui telepon atau memasukkannya ke dalam layanan.

Ini adalah proses yang berpotensi rumit, tetapi mungkin saja penjahat dunia maya memalsukan saluran bantuan dan layanan lain yang meminta kode ke perangkat – terutama jika orang mengira mereka sedang berbicara dengan seseorang yang mencoba membantu mereka. Itu sebabnya banyak layanan akan mengawali kode SMS dengan peringatan bahwa mereka tidak akan pernah menelepon Anda untuk memintanya.

Metode lain yang dapat dimanfaatkan penjahat dunia maya untuk mem-bypass MFA adalah dengan menggunakan malware yang secara aktif mencuri kode. Misalnya, peretas dapat memperoleh akses ke akun dengan menggunakan malware trojan untuk melihat pengguna mendapatkan akses ke akun mereka, kemudian menggunakan akses yang mereka miliki dari perangkat yang terinfeksi untuk menjalankan bisnis mereka.

Sementara kata sandi yang kuat membantu Anda mengamankan akun online Anda yang berharga, otentikasi dua faktor berbasis perangkat keras membawa keamanan itu ke tingkat berikutnya.

Ada juga potensi bagi mereka untuk mengambil kendali perangkat tanpa sepengetahuan korban, menggunakan aplikasi authenticator dan menggunakan kode yang disediakan untuk mengakses akun yang mereka cari dari komputer lain dari jarak jauh.

Sejauh menyangkut jaringan atau akun, karena otentikasi telah digunakan dengan benar, itu adalah pengguna sah yang menggunakan layanan tersebut. Tetapi ada tanda-tanda jaringan dan tim keamanan informasi mana yang dapat diatur untuk diwaspadai, tanda-tanda ada sesuatu yang mungkin tidak benar, bahkan jika detail yang benar digunakan.

Meskipun tidak sepenuhnya sempurna, menggunakan otentikasi multi-faktor masih merupakan keharusan karena menghentikan sejumlah besar upaya upaya pengambilalihan akun. Tetapi ketika penjahat dunia maya menjadi lebih pintar, mereka semakin mengejarnya – dan itu membutuhkan tingkat pertahanan ekstra, terutama dari mereka yang bertanggung jawab untuk mengamankan jaringan.

Sumber: ZD Net

Rangkaian Emoji Ini Sebenarnya Malware

by

Dalam waktu dekat, peretas dapat menipu Anda hanya dengan mengirimkan serangkaian emoji acak ke komputer atau ponsel Anda, menurut peneliti keamanan siber.

Biasanya, ketika peretas menemukan kelemahan pada komputer atau ponsel target, mereka membuat apa yang disebut eksploitasi—sepotong kode yang dirancang untuk memanfaatkan kelemahan tersebut dan mengendalikan target. Sama seperti kode lainnya, exploit biasanya berisi string huruf dan simbol.

Selama pembicaraan di konferensi peretasan DEF CON di Las Vegas pada hari Jumat, peneliti keamanan Hadrien Barral dan Georges-Axel Jaloyan mengatakan mereka telah menemukan cara untuk menggunakan hanya serangkaian emoji untuk memberikan eksploitasi ke target. Peringatannya adalah bahwa ada keadaan khusus yang perlu terjadi agar eksploitasi emoji berfungsi.

Jayolan menjelaskan bahwa saat mengirimkan exploit ke target, harus melalui filter terlebih dahulu—misalnya, jika seorang hacker mengirimkan payloadnya melalui formulir yang hanya menerima huruf dan angka, maka payloadnya harus berupa huruf dan angka. Jadi, agar serangan emoji berfungsi, perlu melalui filter yang hanya menerima emoji, yang menurut Jaloyan tidak ada saat ini.

Kedua peneliti berbagi dengan Motherboard contoh eksploitasi yang hanya dibuat dari emoji. Mereka juga mempublikasikan detail teknis penelitian mereka di GitHub.

Namun, penelitian dan bukti konsep Barral dan Jaloyan menunjukkan bahwa menggunakan emoji untuk meretas target memang memungkinkan.

Ide peneliti adalah untuk mendidik penyerang dan pembela keamanan siber untuk menunjukkan kepada mereka bahwa ini mungkin, yang seharusnya mendorong mereka untuk mengubah perilaku mereka.

Selama penelitian mereka, Barral dan Jaloyan menemukan bahwa beberapa perangkat lunak kesulitan memproses emoji. Ini tidak berarti perangkat lunak ini dapat diretas dengan emoji, tetapi menunjukkan bahwa emoji cukup baru sehingga tidak semua komputer dan program mendukungnya.

VICE

USB Rubber Ducky yang baru lebih berbahaya dari sebelumnya

by

Alat peretasan yang sangat disukai memiliki inkarnasi baru, dirilis bertepatan dengan konferensi peretasan Def Con tahun ini, dan pencipta Darren Kitchen siap menjelaskannya kepada The Verge.

APA ITU?

Di mata manusia, USB Rubber Ducky terlihat seperti flash drive USB yang biasa-biasa saja. Jika dipasangkan ke komputer, mesin melihatnya sebagai keyboard USB — yang berarti ia menerima perintah penekanan tombol dari perangkat sama seperti jika seseorang mengetiknya.

Rubber Ducky asli dirilis lebih dari 10 tahun yang lalu dan menjadi favorit penggemar di kalangan peretas (bahkan ditampilkan dalam adegan Mr. Robot). Ada sejumlah pembaruan tambahan sejak itu, tetapi Rubber Ducky terbaru membuat lompatan ke depan dengan serangkaian fitur baru yang membuatnya jauh lebih fleksibel dan kuat dari sebelumnya.

APA YANG RUBBER DUCKY BISA LAKUKAN?

versi Rubber Ducky sebelumnya dapat melakukan serangan seperti membuat kotak pop-up Windows palsu untuk memanen kredensial login pengguna atau menyebabkan Chrome mengirim semua kata sandi yang disimpan ke server web penyerang. Tetapi serangan ini harus dibuat dengan hati-hati untuk sistem operasi dan versi perangkat lunak tertentu dan tidak memiliki fleksibilitas untuk bekerja di seluruh platform.

Rubber Ducky terbaru bertujuan untuk mengatasi keterbatasan tersebut. Ini dibuat dengan peningkatan besar ke bahasa pemrograman DuckyScript, yang digunakan untuk membuat perintah yang akan dimasukkan Rubber Ducky ke mesin target.

Sementara versi sebelumnya sebagian besar terbatas pada penulisan urutan penekanan tombol, DuckyScript 3.0 adalah bahasa yang kaya fitur, memungkinkan pengguna menulis fungsi, menyimpan variabel, dan menggunakan kontrol aliran logika.

SEBERAPA BESAR ANCAMANNYA?

Singkatnya, ini bisa menjadi masalah besar, tetapi kebutuhan akan akses perangkat fisik berarti kebanyakan orang tidak berisiko menjadi target.

Menurut Kitchen, Rubber Ducky baru adalah produk perusahaannya yang paling laris di Def Con, dan 500 atau lebih unit yang dibawa Hak5 ke konferensi terjual habis pada hari pertama.

Selengkapnya: The Verge

Penipu menggunakan taktik licik ini untuk menipu Korban agar menyerahkan detail bank dan kata sandi

by

Ada peningkatan besar dalam kejahatan siber yang menggabungkan email penipuan dan panggilan telepon untuk mengelabui korban agar mengungkapkan informasi sensitif seperti kata sandi dan detail bank.

Dikenal sebagai serangan vishing, penjahat dan penipu menelepon korban dan mencoba menggunakan rekayasa sosial untuk mengelabui mereka agar menyerahkan data pribadi.

Sekarang, dalam upaya untuk membuat serangan vishing terlihat lebih sah, penjahat siber menggunakan apa yang peneliti keamanan siber di Agari, oleh HelpSystems gambarkan sebagai serangan vishing ‘hybrid’.

Ini berbeda dengan serangan vishing biasa karena mereka menggunakan beberapa tahapan yang berbeda, pertama menghubungi korban dengan iming-iming email phishing yang berisi nomor telepon yang diminta untuk mereka hubungi. Email akan sering mengklaim keadaan mendesak untuk membuat target panik untuk memanggil nomor tersebut.

Saat korban menelepon, mereka terhubung dengan scammer yang mengklaim mencoba mengekstrak informasi sensitif dari mereka dengan alasan palsu untuk membantu korban memperbaiki masalah palsu yang telah diberitahukan kepada mereka.

Tidak seperti banyak email phishing, email tersebut tidak berisi lampiran atau tautan berbahaya, sehingga lebih mudah melewati filter spam dan perlindungan anti-virus.

Para peneliti memperingatkan bahwa vishing dan serangan phishing berbasis email lainnya akan terus menjadi masalah. Ada beberapa langkah yang dapat dilakukan oleh organisasi untuk membantu mencegah serangan seperti, kemampuan untuk secara otomatis mendeteksi dan menghapus ancaman dari semua kotak masuk karyawan yang terinfeksi sebelum pengguna dapat berinteraksi dengan mereka. Serta pelatihan keamanan yang tepat, untuk mempersiapkan pengguna agar waspada terhadap ancaman tersebut.

Selengkapnya: ZDNet

Twilio hack mengekspos nomor telepon Signal dari 1.900 pengguna

by

Nomor telepon hampir 1.900 pengguna Signal terkena pelanggaran data yang diderita perusahaan komunikasi awan Twilio pada awal bulan.

Twilio menyediakan layanan verifikasi nomor telepon untuk Signal dan minggu lalu mengungkapkan bahwa seorang penyerang meretas jaringannya pada 4 Agustus.

Perusahaan komunikasi mengkonfirmasi bahwa data milik 125 pelanggannya terungkap setelah peretas memperoleh akses ke akun karyawan Twilio dengan mengirimi mereka pesan teks dengan tautan berbahaya.

Signal hari ini menerbitkan sebuah nasihat untuk penggunanya yang memberi tahu mereka bagaimana serangan siber di Twilio berdampak pada mereka:

Tetapi untuk sekitar 1.900 pengguna Signal, nomor telepon mereka berpotensi terpapar ke penyerang Twilio, yang bisa saja mencoba mendaftarkan mereka ke perangkat lain.

Penyelidikan Signal atas insiden tersebut menyimpulkan bahwa akses peretas ke konsol dukungan pelanggan Twilio memungkinkan mereka untuk melihat bahwa nomor telepon ditautkan ke akun Signal atau mengungkapkan kode verifikasi SMS untuk mendaftar ke layanan tersebut.

Layanan pesan instan terenkripsi mengatakan bahwa dari 1.900 nomor telepon, penyerang “mencari secara eksplisit” untuk tiga di antaranya. Salah satu pengguna ini melaporkan bahwa akun mereka telah didaftarkan ulang.

Signal meyakinkan pengguna bahwa riwayat pesan tetap aman setiap saat karena hanya tersedia di perangkat tanpa salinan di server layanan.

Daftar kontak dan informasi profil dilindungi oleh PIN Sinyal, yang tidak dapat diakses selama pelanggaran data Twilio.

Perusahaan memperingatkan bahwa jika penyerang mendaftarkan ulang akun ke salah satu perangkat mereka, mereka akan dapat mengirim dan menerima pesan Signal dari nomor telepon itu.

Semua 1.900 pengguna Signal yang terpengaruh akan dibatalkan pendaftarannya di semua perangkat dan mereka harus melalui proses pendaftaran di perangkat mereka.

Signal sekarang dalam proses mengirim pesan SMS ke pengguna yang terkena dampak untuk memberi tahu mereka tentang risikonya dan berharap untuk menyelesaikan prosesnya besok.

Pengguna yang terkena dampak akan menerima pesan yang berbunyi: “Ini dari Signal Messenger. Kami menghubungi Anda agar Anda dapat melindungi akun Signal Anda. Buka Signal dan daftar lagi. Info lebih lanjut: https://support.signal.org/hc/en-us/articles/4850133017242

Saat membuka aplikasi Signal, mereka juga akan melihat spanduk yang memberi tahu mereka bahwa perangkat mereka tidak lagi terdaftar, jika mereka menggunakan layanan baru-baru ini.

Signal mendorong pengguna untuk mengaktifkan opsi kunci pendaftaran, yang memungkinkan pemulihan profil, pengaturan, kontak, dan pengguna yang diblokir. Fitur ini dapat diaktifkan atau dinonaktifkan hanya dari perangkat dan memerlukan PIN Sinyal sebagai lapisan verifikasi tambahan.

Sumber: Bleeping Computer

Google Didenda $40 juta+ Karena Menyesatkan Pengaturan Pelacakan Lokasi di Android

by

Google telah dikenai sanksi A $ 60 juta (sekitar $ 40 juta +) di Australia atas pengaturan Android yang telah diterapkannya, sejak sekitar lima tahun, yang ditemukan – dalam putusan pengadilan 2021 – telah menyesatkan konsumen tentang pengumpulan data lokasinya.

Komisi Persaingan & Konsumen Australia (ACCC) memulai proses hukum terhadap Google dan anak perusahaannya di Australia pada Oktober 2019, membawa raksasa teknologi itu ke pengadilan karena membuat pernyataan menyesatkan kepada konsumen tentang pengumpulan dan penggunaan data lokasi pribadi mereka di ponsel Android, antara Januari 2017 dan Desember 2018.

Pada April 2021, pengadilan menemukan Google telah melanggar Undang-Undang Konsumen Australia ketika menyatakan kepada beberapa pengguna Android bahwa pengaturan “Riwayat Lokasi” adalah satu-satunya pengaturan akun Google yang memengaruhi apakah itu mengumpulkan, menyimpan, dan menggunakan data pengenal pribadi tentang lokasi mereka.

Sebenarnya, pengaturan lain — yang disebut ‘Aktivitas Web & Aplikasi’ — juga memungkinkan Google untuk mengambil data lokasi pengguna Android dan ini diaktifkan secara default, seperti yang dicatat oleh ACCC dalam siaran pers hari ini. Alias, pola gelap klasik.

Regulator memperkirakan bahwa pengguna sekitar 1,3 juta akun Google di Australia mungkin telah melihat layar yang ditemukan oleh Pengadilan telah melanggar Undang-Undang Konsumen.

“Hukuman signifikan yang dijatuhkan oleh Pengadilan hari ini mengirimkan pesan yang kuat ke platform digital dan bisnis lain, besar dan kecil, bahwa mereka tidak boleh menyesatkan konsumen tentang bagaimana data mereka dikumpulkan dan digunakan,” kata ketua ACCC, Gina Cass-Gottlieb, dalam sebuah pernyataan.

“Google, salah satu perusahaan terbesar di dunia, dapat menyimpan data lokasi yang dikumpulkan melalui pengaturan ‘Aktivitas Web & Aplikasi’ dan data yang disimpan tersebut dapat digunakan oleh Google untuk menargetkan iklan ke beberapa konsumen, bahkan jika konsumen tersebut memiliki ‘ Setelan Riwayat Lokasi dimatikan.”

“Data lokasi pribadi sensitif dan penting bagi beberapa konsumen, dan beberapa pengguna yang melihat representasi mungkin telah membuat pilihan berbeda tentang pengumpulan, penyimpanan, dan penggunaan data lokasi mereka jika representasi yang menyesatkan tidak dibuat oleh Google,” dia ditambahkan.

Menurut ACCC, Google mengambil langkah-langkah untuk memperbaiki perilaku yang melanggar pada 20 Desember 2018, yang berarti konsumen di negara tersebut tidak lagi diperlihatkan layar yang menyesatkan.

Pada saat putusan pengadilan tahun lalu, Google mengatakan tidak setuju dengan temuan tersebut dan sedang mempertimbangkan banding. Tapi, dalam acara tersebut, ia memutuskan untuk mengambil benjolan.

(Ini tidak seberat jika pelanggaran terjadi baru-baru ini: ACCC mencatat bahwa sebagian besar tindakan yang dikenai sanksi terjadi sebelum September 2018 sebelum hukuman maksimum untuk pelanggaran Undang-Undang Konsumen ditingkatkan secara substansial — dari $1,1 juta per pelanggaran hingga — sejak saat itu — lebih tinggi dari $10 juta, 3x nilai manfaat yang diperoleh atau, jika nilainya tidak dapat ditentukan, 10% dari omset.)

Pengadilan juga telah memerintahkan Google untuk memastikan kebijakannya mencakup komitmen terhadap kepatuhan, dan persyaratan bahwa Google melatih staf tertentu tentang Hukum Konsumen negara tersebut, serta membayar kontribusi untuk biaya ACCC.

Google dihubungi untuk mengomentari sanksi tersebut. Seorang juru bicara perusahaan mengirimi kami pernyataan ini:

Kami dapat mengonfirmasi bahwa kami telah setuju untuk menyelesaikan masalah tentang perilaku historis dari 2017-2018. Kami telah banyak berinvestasi dalam membuat informasi lokasi mudah dikelola dan mudah dipahami dengan alat pertama di industri seperti kontrol hapus otomatis, sekaligus meminimalkan jumlah data yang disimpan secara signifikan. Seperti yang telah kami tunjukkan, kami berkomitmen untuk membuat pembaruan berkelanjutan yang memberikan kontrol dan transparansi kepada pengguna, sekaligus menyediakan produk yang paling bermanfaat.

Selengkapnya: TechCrunch

Peretas di Balik Serangan Ransomware Kuba Menggunakan Malware RAT Baru

by

Pelaku ancaman yang terkait dengan ransomware Kuba telah dikaitkan dengan taktik, teknik, dan prosedur (TTP) yang sebelumnya tidak terdokumentasi, termasuk trojan akses jarak jauh baru yang disebut ROMCOM RAT pada sistem yang disusupi.

Temuan baru datang dari tim intelijen ancaman Unit 42 Palo Alto Networks, yang melacak kelompok ransomware pemerasan ganda di bawah moniker bertema konstelasi Tropical Scorpius.

Cuba ransomware (alias COLDDRAW), yang pertama kali terdeteksi pada Desember 2019, muncul kembali di lanskap ancaman pada November 2021 dan telah dikaitkan dengan serangan terhadap 60 entitas di lima sektor infrastruktur penting, mengumpulkan setidaknya $ 43,9 juta dalam pembayaran tebusan.

Dari 60 korban yang terdaftar di situs kebocoran datanya, 40 berada di AS, menunjukkan distribusi global organisasi yang ditargetkan tidak seperti geng ransomware lainnya.

“Ransomware Kuba didistribusikan melalui malware Hancitor, pemuat yang dikenal menjatuhkan atau mengeksekusi pencuri, seperti Remote Access Trojans (RAT) dan jenis ransomware lainnya, ke jaringan korban,” menurut peringatan Desember 2021 dari Biro Federal AS. Investigasi (FBI).

“Aktor malware Hancitor menggunakan email phishing, kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah untuk mendapatkan akses awal ke jaringan korban.”

Dalam bulan-bulan berikutnya, operasi ransomware menerima peningkatan substansial dengan tujuan untuk “mengoptimalkan pelaksanaannya, meminimalkan perilaku sistem yang tidak diinginkan, dan memberikan dukungan teknis kepada korban ransomware jika mereka memilih untuk bernegosiasi,” kata Trend Micro pada bulan Juni.

Perubahan utama meliputi penghentian lebih banyak proses sebelum enkripsi (yaitu Microsoft Outlook, Exchange, dan MySQL), memperluas jenis file yang akan dikecualikan, dan revisi catatan tebusan untuk menawarkan dukungan korban melalui quTox.

Tropical Scorpius juga diyakini berbagi koneksi dengan pasar pemerasan data yang disebut Industrial Spy, seperti yang dilaporkan oleh Bleeping Computer pada Mei 2022, dengan data yang dieksfiltrasi menyusul serangan ransomware Kuba yang diposting untuk dijual di portal terlarang alih-alih situs kebocoran datanya sendiri.

Pembaruan terbaru yang diamati oleh Unit 42 pada Mei 2022 berkaitan dengan taktik penghindaran pertahanan yang digunakan sebelum penyebaran ransomware untuk terbang di bawah radar dan bergerak secara lateral melintasi lingkungan TI yang disusupi.

Tropical Scorpius memanfaatkan penetes yang menulis driver kernel ke sistem file yang disebut ApcHelper.sys,” kata perusahaan itu. “Ini menargetkan dan menghentikan produk keamanan. Dropper tidak ditandatangani, namun driver kernel ditandatangani menggunakan sertifikat yang ditemukan di kebocoran LAPSUS$ NVIDIA.”

Tugas utama driver kernel adalah untuk menghentikan proses yang terkait dengan produk keamanan untuk menghindari deteksi. Juga tergabung dalam rantai serangan adalah alat eskalasi hak istimewa lokal yang diunduh dari server jauh untuk mendapatkan izin SISTEM.

Ini, pada gilirannya, dicapai dengan memicu eksploitasi untuk CVE-2022-24521 (skor CVSS: 7.8), sebuah cacat pada Sistem File Log Umum Windows (CLFS) yang ditambal oleh Microsoft sebagai cacat nol hari pada April 2022 .

Langkah eskalasi hak istimewa diikuti dengan melakukan pengintaian sistem dan aktivitas gerakan lateral melalui alat seperti ADFind dan Net Scan, sementara juga menggunakan utilitas ZeroLogon yang mengeksploitasi CVE-2020-1472 untuk mendapatkan hak administrator domain.

Lebih lanjut, penyusupan tersebut membuka jalan bagi penyebaran pintu belakang baru yang disebut ROMCOM RAT, yang dilengkapi untuk memulai shell terbalik, menghapus file arbitrer, mengunggah data ke server jauh, dan memanen daftar proses yang sedang berjalan.

Trojan akses jarak jauh, per Unit 42, dikatakan sedang dalam pengembangan aktif, ketika perusahaan keamanan siber menemukan sampel kedua yang diunggah ke database VirusTotal pada 20 Juni 2022.

Varian yang ditingkatkan hadir dengan dukungan untuk serangkaian 22 perintah yang diperluas, menghitung kemampuan untuk mengunduh muatan yang dipesan lebih dahulu untuk menangkap tangkapan layar serta mengekstrak daftar semua aplikasi yang diinstal untuk dikirim kembali ke server jarak jauh.

“Scorpius tropis tetap menjadi ancaman aktif,” kata para peneliti. “Aktivitas grup memperjelas bahwa pendekatan untuk tradecraft menggunakan hibrida dari alat yang lebih bernuansa yang berfokus pada internal Windows tingkat rendah untuk penghindaran pertahanan dan eskalasi hak istimewa lokal bisa sangat efektif selama intrusi.

Temuan ini muncul saat kelompok ransomware yang muncul seperti Stormous, Vice Society, Luna, SolidBit, dan BlueSky terus berkembang biak dan berkembang di ekosistem kejahatan dunia maya, pada saat yang sama menggunakan teknik enkripsi dan mekanisme pengiriman canggih.

Sumber: The Hacker News