Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

by

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Badan keamanan siber mengungkapkan jenis malware teratas tahun lalu

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) merilis daftar jenis malware yang paling banyak terdeteksi tahun lalu dalam konsultasi bersama dengan Australian Cyber ​​Security Center (ACSC).

“Pengguna malware paling produktif dari jenis malware teratas adalah penjahat cyber, yang menggunakan malware untuk mengirimkan ransomware atau memfasilitasi pencurian informasi pribadi dan keuangan.”

Strain malware teratas yang diamati pada tahun 2021 termasuk Agen Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot, dan GootLoader.

Dari jumlah tersebut, Agen Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, dan TrickBot telah digunakan dalam serangan setidaknya selama lima tahun terakhir, sementara Qakbot dan Ursnif telah digunakan selama lebih dari satu dekade.

Umur panjang keluarga malware ini disebabkan oleh upaya berkelanjutan pengembang mereka untuk meningkatkannya dengan menambahkan kemampuan dan cara baru untuk menghindari deteksi.

Penasihat bersama mencakup tanda tangan Snort untuk semua malware di atas untuk mendeteksi muatan dengan memantau lalu lintas jaringan dan daftar tindakan mitigasi.

CISA dan ACSC mendorong admin dan tim keamanan untuk menerapkan mitigasi berikut untuk mempertahankan diri dari serangan malware:

  • Perbarui perangkat lunak, termasuk sistem operasi, aplikasi, dan firmware, di I.T. aset jaringan
  • Terapkan MFA semaksimal mungkin
  • Jika Anda menggunakan RDP dan/atau layanan lain yang berpotensi berisiko, amankan dan pantau dengan cermat
  • Pertahankan cadangan data offline (yaitu, terputus secara fisik)
  • Memberikan kesadaran dan pelatihan pengguna akhir untuk membantu memblokir rekayasa sosial dan serangan spearphishing
  • Menerapkan segmentasi jaringan untuk memisahkan segmen jaringan berdasarkan peran dan fungsionalitas

Pada bulan April, otoritas keamanan siber di seluruh dunia, dalam kemitraan dengan NSA dan FBI, juga merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi dalam serangan selama tahun 2021.

CISA dan FBI juga telah menerbitkan daftar 10 bug keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang paling sering disalahgunakan pada tahun 2020 bekerja sama dengan ACSC dan National Cyber ​​Security Center (NCSC) Inggris.

Pada bulan Juni, MITRE juga membagikan daftar 25 bug perangkat lunak paling berbahaya tahun ini setelah mengungkapkan kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada November 2021.

Sumber: Bleeping Computer

Cyber Attacker ‘Traps’ mengungkapkan dampak aktivitas ancaman setelah invasi Rusia terhadap Ukraina

by

Peneliti Nozomi Networks telah menemukan bahwa wiper malware, aktivitas botnet IoT, dan invasi Rusia ke Ukraina telah berdampak besar pada lanskap ancaman dunia maya pada paruh pertama tahun 2022.

Data dari teknologi operasional terbaru (OT)/laporan keamanan IoT Jaringan Nozomi telah menunjukkan bahwa lanskap ancaman dunia maya melihat aktivitas dari beberapa jenis pelaku ancaman, termasuk peretas, ancaman persisten tingkat lanjut (APT), dan penjahat dunia maya sejak Rusia memulainya. invasi ke Ukraina pada Februari 2022.

Menurut Roya Gordon, penginjil penelitian keamanan OT/IoT Nozomi Networks, lanskap ancaman dunia maya tahun ini kompleks.

Peneliti Nozomi Networks juga mengamati penggunaan malware wiper yang kuat dan menyaksikan munculnya varian malware Industroyer, yang digunakan dalam serangan cyber di jaringan listrik Ukraina. Dijuluki Industroyer2, malware ini dikembangkan untuk menyalahgunakan protokol IEC-104, yang biasa digunakan di lingkungan industri.

Selama paruh pertama tahun 2022, aktivitas botnet IoT yang berbahaya juga meningkat dan semakin canggih.

Peneliti Nozomi Networks telah menyiapkan serangkaian pot madu untuk menarik botnet jahat ini yang bertujuan untuk menangkap aktivitas mereka guna memberikan wawasan tambahan tentang bagaimana pelaku ancaman menargetkan IoT. Melalui model penelitian ini, para peneliti Nozomi Networks menemukan masalah keamanan yang berkembang untuk kata sandi yang dikodekan secara keras dan antarmuka internet untuk kredensial pengguna akhir.

Dari Januari hingga Juni 2022, Honey Pot Nozomi Networks menemukan:

  • Maret adalah bulan paling aktif dengan hampir 5.000 alamat IP penyerang unik yang dikumpulkan.
  • Alamat IP penyerang teratas dikaitkan dengan China dan Amerika Serikat.
  • Kredensial “Root” dan “Admin” paling sering ditargetkan dan digunakan dalam berbagai variasi sebagai cara bagi pelaku ancaman untuk mengakses semua perintah sistem dan akun pengguna.
  • Manufaktur dan energi terus menjadi industri yang paling rentan menurut peneliti Nozomi Networks, diikuti oleh fasilitas kesehatan dan komersial.

Selama enam bulan pertama tahun 2022:

CISA merilis 560 kerentanan dan eksposur umum (CVE) – turun 14 persen dari paruh kedua tahun 2021.
Jumlah vendor yang terkena dampak naik 27 persen.
Produk yang terkena dampak juga naik 19 persen dari paruh kedua tahun 2021.

Ketika ancaman dunia maya terus berkembang, Gordon mencatat bahwa untungnya, pertahanan keamanan juga berkembang.

Sumber: Cybersecurity Connect

Seorang Mahasiswa Menemukan Bug di Perutean Email Cloudflare yang Memungkinkan Anda Membaca Email Setiap Pengguna

by

Tahun lalu, perusahaan IT Cloudflare meluncurkan layanan perutean email, yang memberi pengguna kemampuan untuk mengatur sejumlah besar alamat yang terhubung ke kotak masuk yang sama.

Perutean email dapat menjadi alat privasi yang kuat, karena memungkinkan Anda untuk menyembunyikan alamat email Anda yang sebenarnya di balik jaringan alamat sementara atau “dapat dibakar”.

Sayangnya, seperti yang ditunjukkan dalam penelitian yang diterbitkan Rabu oleh seorang mahasiswa dari Denmark, layanan Cloudflare memiliki bug raksasa di dalamnya. Cacatnya, ketika dieksploitasi dengan benar, memungkinkan pengguna mana pun untuk membaca—atau bahkan memanipulasi—email pengguna lain.

Albert Pedersen, yang saat ini menjadi mahasiswa di Skive College di Midtjylland, menulis bahwa ia menemukan kerentanan invasif pada bulan Desember. Dalam sebuah tulisan yang diterbitkan di situs webnya, Pedersen menjelaskan bahwa bug tersebut akan memungkinkan peretas untuk “memodifikasi konfigurasi perutean domain apa pun menggunakan layanan.”

Kerentanan, yang telah dikonfirmasi oleh Cloudflare tetapi dikatakan tidak pernah dieksploitasi, melibatkan cacat dalam sistem “verifikasi kepemilikan zona” program, yang berarti bahwa peretas dapat mengonfigurasi ulang perutean dan penerusan email untuk domain email yang tidak dimiliki oleh mereka.

Manipulasi eksploit yang tepat akan memungkinkan seseorang yang mengetahui bug tersebut untuk merutekan ulang email pengguna ke alamat mereka sendiri. Itu juga akan memungkinkan peretas untuk mencegah email tertentu dikirim ke target sama sekali.

Dalam tulisannya, Pedersen mencatat bahwa tidak sulit untuk menemukan daftar alamat email online yang dilampirkan ke layanan Cloudflare. Menggunakan salah satu daftar itu, orang jahat bisa dengan mudah menargetkan siapa saja yang menggunakan layanan penerusan.

Setelah menemukan eksploit, Pedersen berhasil mereproduksinya beberapa kali menggunakan beberapa domain pribadi dan memutuskan untuk melaporkan masalah tersebut ke program hadiah bug Cloudflare. Program ini akhirnya memberinya total $6.000 untuk usahanya. Pedersen juga mengatakan blognya diterbitkan dengan izin dari Cloudflare.

Dalam email ke Gizmodo, perwakilan perusahaan menegaskan kembali bahwa bug telah diperbaiki segera setelah ditemukan: “Seperti yang dirangkum dalam blog peneliti, kerentanan ini diungkapkan melalui program bug bounty kami. Kami kemudian menyelesaikan masalah dan memverifikasi bahwa kerentanan belum dieksploitasi.”

Untung saja tidak, karena jika seorang peretas mendapatkan eksploitasi ini, mereka dapat menyebabkan kekacauan kotak masuk yang nyata. Dalam tulisannya, Pederson mencatat bahwa penjahat dunia maya dapat menggunakan bug ini untuk mengatur ulang kata sandi, yang akan mengancam akun lain yang terhubung ke alamat email yang dieksploitasi:

“Ini bukan hanya masalah privasi yang besar, tetapi karena fakta bahwa tautan pengaturan ulang kata sandi sering dikirim ke alamat email pengguna, aktor jahat juga berpotensi mendapatkan kendali atas akun apa pun yang ditautkan ke alamat email itu. Ini adalah contoh bagus mengapa Anda harus menggunakan otentikasi 2 faktor,” tulisnya.

Sumber: GIZMODO

35.000 kode repo tidak diretas, tetapi klon membanjiri GitHub untuk menyajikan malware

by

Ribuan repositori GitHub disalin dengan klon mereka diubah untuk memasukkan malware, seorang insinyur perangkat lunak ditemukan hari ini.

Sementara mengkloning repositori open source adalah praktik pengembangan umum dan bahkan didorong di antara pengembang, kasus ini melibatkan aktor ancaman yang membuat salinan proyek yang sah tetapi mencemari ini dengan kode jahat untuk menargetkan pengembang yang tidak curiga dengan klon jahat mereka.

GitHub telah membersihkan sebagian besar repositori berbahaya setelah menerima laporan insinyur.

Hari ini, pengembang perangkat lunak Stephen Lacy membuat semua orang bingung ketika dia mengklaim telah menemukan “serangan malware yang tersebar luas” di GitHub yang memengaruhi sekitar 35.000 repositori perangkat lunak.

Bertentangan dengan apa yang tampaknya disarankan oleh tweet asli, bagaimanapun, “35.000 proyek” di GitHub belum terpengaruh atau dikompromikan dengan cara apa pun.

Sebaliknya, ribuan proyek pintu belakang adalah salinan (garpu atau klon) dari proyek sah yang konon dibuat oleh pelaku ancaman untuk mendorong malware.

Proyek resmi seperti crypto, golang, python, js, bash, docker, k8s, tetap tidak terpengaruh. Tapi, bukan berarti, temuan itu tidak penting, seperti yang dijelaskan di bagian berikut.

Saat meninjau proyek sumber terbuka Lacy telah “menemukan dari pencarian google,” insinyur memperhatikan URL berikut dalam kode yang dia bagikan di Twitter:

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

Bleeping Computeretika mencari di GitHub untuk URL ini, ada 35.000+ hasil pencarian yang menunjukkan file yang berisi URL berbahaya. Oleh karena itu, angka tersebut mewakili jumlah file yang mencurigakan daripada repositori yang terinfeksi:

Kami selanjutnya menemukan, dari 35.788 hasil kode, lebih dari 13.000 hasil pencarian berasal dari satu repositori yang disebut ‘redhat-operator-ekosistem.’

Repositori ini, dilihat oleh BleepingComputer pagi ini, tampaknya sekarang telah dihapus dari GitHub, dan menunjukkan kesalahan 404 (Tidak Ditemukan).

Insinyur tersebut telah mengeluarkan koreksi dan klarifikasi [1, 2] pada tweet aslinya.

Pengembang James Tucker menunjukkan bahwa repositori kloning yang berisi URL berbahaya tidak hanya mengekstrak variabel lingkungan pengguna tetapi juga berisi backdoor satu baris.

Repositori kloning yang diubah dengan malware mengandung backdoor (BleepingComputer)

Eksfiltrasi variabel lingkungan dengan sendirinya dapat memberikan rahasia penting kepada pelaku ancaman seperti kunci API, token, kredensial Amazon AWS, dan kunci kripto Anda, jika berlaku.

Namun, instruksi satu baris (baris 241 di atas) selanjutnya memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada sistem semua orang yang menginstal dan menjalankan klon jahat ini.

Sebagian besar repositori kloning diubah dengan kode berbahaya sekitar bulan lalu—dengan hasil mulai dari enam hingga tiga belas hari hingga dua puluh hari yang lalu. Namun, kami mengamati beberapa repositori dengan komit berbahaya sejak tahun 2015.

Komit berbahaya dibuat 13 hari yang lalu di salah satu klon (BleepingComputer)

Komit terbaru yang berisi URL berbahaya yang dibuat untuk GitHub hari ini sebagian besar berasal dari pembela, termasuk analis intel ancaman Florian Roth yang telah memberikan aturan Sigma untuk mendeteksi kode berbahaya di lingkungan Anda.

Ironisnya, beberapa pengguna GitHub mulai secara keliru melaporkan repo GitHub Sigma, yang dikelola oleh Roth, sebagai jahat saat melihat adanya string jahat (untuk digunakan oleh para pembela HAM) di dalam aturan Sigma.

GitHub telah menghapus klon berbahaya dari platformnya pada beberapa jam yang lalu, BleepingComputer dapat mengamati. Tim Keamanan GitHub juga mengeluarkan pernyataan:

Sebagai praktik terbaik, ingatlah untuk menggunakan perangkat lunak dari repo proyek resmi dan hati-hati terhadap kemungkinan kesalahan ketik atau fork/klon repositori yang mungkin tampak identik dengan proyek asli tetapi menyembunyikan malware.

Ini bisa menjadi lebih sulit dikenali karena repositori yang dikloning dapat terus mempertahankan komit kode dengan nama pengguna dan alamat email dari penulis asli, memberikan kesan menyesatkan bahwa bahkan komit yang lebih baru dibuat oleh penulis proyek asli. Komit kode sumber terbuka yang ditandatangani dengan kunci GPG dari penulis proyek otentik adalah salah satu cara untuk memverifikasi keaslian kode.

Sumber: Bleeping Computer

Ukraina menghapus 1.000.000 bot yang digunakan untuk disinformasi

by

Polisi siber Ukraina (SSU) telah menutup sebuah peternakan bot besar-besaran dari 1.000.000 bot yang digunakan untuk menyebarkan disinformasi di jejaring sosial.

Tujuan dari bot farm adalah untuk mendiskreditkan informasi yang berasal dari sumber resmi negara Ukraina, mengacaukan situasi sosial dan politik di negara itu, dan menciptakan perselisihan internal.

Pesan yang disebarkan oleh bot sejalan dengan propaganda Rusia, sehingga operator mesin disinformasi diyakini sebagai anggota layanan khusus Rusia.

Bahkan, penyelidikan SSU mengarah pada pemimpin kelompok kriminal, seorang “pakar politik” Rusia yang pada masa lalu tinggal di Kyiv.

Investigasi polisi Ukraina masih berlangsung untuk mengungkap peserta lain dalam operasi yang akan didakwa atas pelanggaran Pasal 361.2 KUHP negara itu.

Kebun bot yang dibongkar oleh SSU terletak di Kyiv, Kharkiv, dan Vinnytsia dan mengandalkan 1.000.000 bot untuk menyebarkan disinformasi. Untuk membuat tentara online ini, para pelaku ancaman menggunakan 5.000 kartu SIM untuk mendaftarkan akun media sosial baru.

Selain itu, operator menggunakan 200 server proxy yang memalsukan alamat IP sebenarnya dan menghindari deteksi aktivitas penipuan dan pemblokiran oleh platform media sosial.

Menurut SSU, operator bot farm mengembangkan dan menyebarkan perangkat lunak khusus untuk mengelola akun media sosial pseudonim dari jarak jauh, mengoordinasikannya untuk mendorong pesan propaganda yang diperlukan.

Gambar peralatan bot farm (SSU) yang disita

Kekuatan berita palsu tidak dapat diremehkan, terutama selama masa-masa sulit, akses internet terbatas, dan pergolakan umum.

Rusia telah lama terlibat dalam kampanye disinformasi dan telah berinvestasi di peternakan bot yang berbasis di Ukraina yang menargetkan populasi lokal.

Pada Februari 2022, Meta menurunkan beberapa kelompok akun Facebook palsu yang mempromosikan informasi palsu di platform media sosial.

Pada Maret 2022, SSU mengumumkan penemuan dan penutupan lima peternakan bot semacam ini, yang mengoperasikan 100.000 akun media sosial palsu yang menyebarkan berita palsu.

Presiden Ukraina Volodymyr Zelenskyy juga berada di pusat kampanye misinformasi, salah satunya menggunakan deepfake di Facebook dan meretas stasiun radio Ukraina untuk menyebarkan berita palsu bahwa Presiden dalam kondisi kritis. Keduanya diyakini sebagai karya aktor Rusia.

Sejak awal perang, SSU telah mengidentifikasi dan menetralisir lebih dari 1.200 serangan siber terhadap negara dan entitas penting lainnya serta telah melaporkan dan menghapus 500 saluran YouTube yang secara kolektif memiliki 15 juta pelanggan.

Selain itu, agensi telah melaporkan 1.500 saluran dan bot Telegram dan 1.500 akun Facebook, Instagram, dan TikTok lainnya karena menyebarkan propaganda Rusia.

Sumber: Bleeping Computer

VMware Merilis Patch untuk Beberapa Cacat Baru yang Mempengaruhi Banyak Produk

by

VMware telah merilis pembaruan untuk mengatasi 10 kelemahan keamanan yang memengaruhi beberapa produk yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan tindakan jahat.

Masalah, dilacak dari CVE-2022-31656 hingga CVE-2022-31665 (skor CVSS: 4,7 – 9,8), memengaruhi VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Kelemahan paling parah adalah CVE-2022-31656 (skor CVSS: 9,8), kerentanan bypass otentikasi yang memengaruhi pengguna domain lokal yang dapat dimanfaatkan oleh aktor jahat dengan akses jaringan untuk mendapatkan hak administratif.

Juga diselesaikan oleh VMware adalah tiga kerentanan eksekusi kode jarak jauh (CVE-2022-31658, CVE-2022-31659, dan CVE-2022-31665) terkait dengan JDBC dan injeksi SQL yang dapat dipersenjatai oleh musuh dengan administrator dan akses jaringan.

Di tempat lain, ia juga telah memperbaiki kerentanan skrip lintas situs (XSS) yang direfleksikan (CVE-2022-31663) yang dikatakan sebagai akibat dari sanitasi pengguna yang tidak tepat, yang dapat menyebabkan aktivasi kode JavaScript berbahaya.

Mengakhiri tambalan adalah tiga bug eskalasi hak istimewa lokal (CVE-2022-31660, CVE-2022-31661, dan CVE-2022-31664) yang mengizinkan aktor dengan akses lokal untuk meningkatkan hak istimewa ke “root”, kerentanan injeksi URL ( CVE-2022-31657), dan bug traversal jalur (CVE-2022-31662).

Sementara keberhasilan eksploitasi CVE-2022-31657 memungkinkan untuk mengarahkan ulang pengguna yang diautentikasi ke domain arbitrer, CVE-2022-31662 dapat melengkapi penyerang untuk membaca file dengan cara yang tidak sah.

VMware mengatakan tidak mengetahui eksploitasi kerentanan ini di alam liar, tetapi mendesak pelanggan yang menggunakan produk rentan untuk segera menerapkan tambalan untuk mengurangi potensi ancaman.

Sumber: The Hacker News

Peretas Tiongkok menggunakan kerangka kerja serangan mirip Cobalt Strike

by

Para peneliti telah mengamati kerangka serangan pasca-eksploitasi baru yang digunakan di alam liar, bernama Manjusaka, yang dapat digunakan sebagai alternatif dari perangkat Cobalt Strike yang banyak disalahgunakan atau paralel dengannya untuk redundansi.

Manjusaka menggunakan implan yang ditulis dalam bahasa pemrograman Rust lintas platform, sedangkan binernya ditulis dalam GoLang yang sama serbagunanya.

Implan RAT (trojan akses jarak jauh) mendukung eksekusi perintah, akses file, pengintaian jaringan, dan banyak lagi, sehingga peretas dapat menggunakannya untuk tujuan operasional yang sama seperti Cobalt Strike.

Manjusaka ditemukan oleh para peneliti di Cisco Talos, yang dipanggil untuk menyelidiki infeksi Cobalt Strike pada pelanggan, sehingga pelaku ancaman menggunakan kedua kerangka kerja dalam kasus itu.

Infeksi datang melalui dokumen jahat yang menyamar sebagai laporan tentang kasus COVID-19 di Kota Golmud di Tibet untuk pelacakan kontak.

Dokumen tersebut menampilkan makro VBA yang dijalankan melalui rundll32.exe untuk mengambil payload tahap kedua, Cobalt Strike, dan memuatnya ke dalam memori.

Namun, alih-alih hanya menggunakan Cobalt Strike sebagai perangkat serangan utama mereka, mereka menggunakannya untuk mengunduh implan Manjusaka, yang bergantung pada arsitektur host, dapat berupa file EXE (Windows) atau ELF (Linux).

Baik versi Windows dan Linux dari fitur implan memiliki kemampuan yang hampir sama dan menerapkan mekanisme komunikasi yang serupa.

Implan terdiri dari RAT dan modul manajemen file, masing-masing menampilkan kemampuan yang berbeda.

RAT mendukung eksekusi perintah sewenang-wenang melalui “cmd.exe”, mengumpulkan kredensial yang disimpan di browser web, SSID WiFi dan kata sandi, dan menemukan koneksi jaringan (TCP dan UDP), nama akun, grup lokal, dll.

Sistem eksekusi perintah Manjusaka (Cisco)

Selain itu, ia dapat mencuri kredensial Premiumsoft Navicat, menangkap tangkapan layar desktop saat ini, membuat daftar proses yang berjalan, dan bahkan memeriksa spesifikasi perangkat keras dan termal.

Modul manajemen file dapat melakukan enumerasi file, membuat direktori, mendapatkan path file lengkap, membaca atau menulis konten file, menghapus file atau direktori, dan memindahkan file antar lokasi.

Kemampuan manajemen file, EXE kiri, ELF kanan (Cisco)

Saat ini, sepertinya Manjusaka sementara dikerahkan di alam liar untuk pengujian, jadi pengembangannya kemungkinan tidak dalam fase akhir. Namun, kerangka kerja baru ini sudah cukup kuat untuk digunakan di dunia nyata.

Cisco mencatat bahwa para penelitinya menemukan diagram desain pada posting promosi oleh pembuat malware, yang menggambarkan komponen yang tidak diimplementasikan dalam versi sampel.

Ini berarti bahwa mereka tidak tersedia dalam versi “gratis” yang digunakan dalam serangan yang dianalisis atau belum diselesaikan oleh penulis.

Pengembang kerangka kerja dapat dengan mudah mengintegrasikan platform target baru seperti MacOSX atau Linux yang lebih eksotis seperti yang berjalan pada perangkat yang disematkan.

Fakta bahwa pengembang menyediakan versi C2 yang berfungsi penuh meningkatkan kemungkinan adopsi yang lebih luas dari kerangka kerja ini oleh aktor jahat.” – Cisco Talos

Dokumen iming-iming ditulis dalam bahasa Cina, dan hal yang sama berlaku untuk menu C2 dan opsi konfigurasi malware, sehingga aman untuk mengasumsikan bahwa pengembangnya berbasis di Cina. OSINT Talos mempersempit lokasi mereka ke wilayah Guangdong.

Jika memang demikian, kita mungkin akan melihat Manjusaka segera dikerahkan dalam kampanye beberapa APT China, karena kelompok ancaman dari negara tersebut dikenal karena berbagi perangkat yang sama.

Baru-baru ini, kami melaporkan tentang munculnya toolkit pasca-eksploitasi bernama ‘Brute Ratel’, yang juga dimaksudkan untuk menggantikan versi Cobalt Strike yang sekarang sudah tua dan lebih mudah dideteksi.

Sumber: