Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / DDoS

DDoS

Meningkatnya Jumlah Serangan Malware dengan Memanfaatkan Dark Utilities ‘C2-as-a-Service’

by

Layanan baru yang disebut Dark Utilities telah menarik 3.000 pengguna karena kemampuannya untuk menyediakan layanan command-and-control (C2) dengan tujuan menguasai sistem yang dikompromikan.

“Ini dipasarkan sebagai sarana untuk mengaktifkan akses jarak jauh, eksekusi perintah, serangan penolakan layanan terdistribusi (DDoS) dan operasi penambangan cryptocurrency pada sistem yang terinfeksi,” kata Cisco Talos dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dark Utilities, yang muncul pada awal 2022, diiklankan sebagai “C2-as-a-Service” (C2aaS), menawarkan akses ke infrastruktur yang di-hosting di clearnet serta jaringan TOR dan muatan terkait dengan dukungan untuk Windows, Linux, dan implementasi berbasis Python hanya dengan €9,99.

Pengguna yang diautentikasi pada platform disajikan dengan dasbor yang memungkinkan untuk menghasilkan muatan baru yang disesuaikan dengan sistem operasi tertentu yang kemudian dapat digunakan dan dijalankan pada host korban.

Selain itu, pengguna diberikan panel administratif untuk menjalankan perintah pada mesin di bawah kendali mereka saat membuat saluran C2 aktif, yang secara efektif memberikan penyerang akses penuh ke sistem.

Idenya adalah untuk memungkinkan aktor ancaman untuk menargetkan beberapa arsitektur tanpa memerlukan upaya pengembangan yang signifikan. Juga diperluas ke pelanggannya adalah dukungan teknis dan bantuan melalui Discord dan Telegram.

“Mengingat biaya yang relatif rendah dibandingkan dengan jumlah fungsionalitas yang ditawarkan platform, kemungkinan menarik bagi musuh yang mencoba untuk berkompromi dengan sistem tanpa mengharuskan mereka untuk membuat implementasi C2 mereka sendiri di dalam muatan malware mereka,” catat para peneliti.

Untuk menambah bahan bakar ke api, artefak malware di-host dalam solusi Sistem File InterPlanetary (IPFS) terdesentralisasi, membuatnya tahan terhadap moderasi konten atau intervensi penegakan hukum dengan cara yang mirip dengan “hosting antipeluru.”

“IPFS saat ini disalahgunakan oleh berbagai pelaku ancaman yang menggunakannya untuk meng-host konten berbahaya sebagai bagian dari kampanye distribusi phishing dan malware,” kata peneliti Talos Edmund Brumaghin kepada The Hacker News.

“[Gateway IPFS] memungkinkan komputer di internet untuk mengakses konten yang dihosting dalam jaringan IPFS tanpa persyaratan untuk instalasi perangkat lunak klien, mirip dengan cara gateway Tor2Web menyediakan fungsionalitas itu untuk konten yang dihosting dalam jaringan Tor.”

Dark Utilities diyakini sebagai hasil karya aktor ancaman yang menggunakan moniker Inplex-sys di ruang bawah tanah cybercriminal, dengan Talos mengidentifikasi semacam “hubungan kolaboratif” antara Inplex-sys dan salah satu operator layanan botnet disebut Bot Cerdas.

Sumber: The Hacker News

Kampanye Peretasan Pro-Rusia Merajalela di Ukraina

by

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan historis grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWinds dari tahun 2020.

Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 meniru Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan yang tidak dapat diterima, salah tafsir, dan kemungkinan eskalasi.”

Sumber: Ars Technica

Peretas Tiongkok Mendistribusikan Alat Pengebom SMS dengan Malware Tersembunyi Di Dalam

by

Tropic Trooper telah terlihat menggunakan malware yang sebelumnya tidak terdokumentasi yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.

Muatan baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.

SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).

Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat, tetapi juga sangat ditargetkan di alam liar.

Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.

Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.

Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).

Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya

“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”

Sumber: The Hacker News

Malware EnemyBot menambahkan eksploitasi untuk VMware kritis, kelemahan F5 BIG-IP

by

EnemyBot, botnet berdasarkan kode dari beberapa bagian malware, memperluas jangkauannya dengan cepat menambahkan eksploitasi untuk kerentanan kritis yang baru-baru ini diungkapkan di server web, sistem manajemen konten, IoT, dan perangkat Android.

Botnet pertama kali ditemukan pada bulan Maret oleh para peneliti di Securonix dan pada bulan April, ketika analisis sampel yang lebih baru muncul dari Fortinet, EnemyBot telah mengintegrasikan kelemahan untuk lebih dari selusin arsitektur prosesor.

Tujuan utamanya adalah meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan malware juga memiliki modul untuk memindai perangkat target baru dan menginfeksinya.

Sebuah laporan baru dari AT&T Alien Labs mencatat bahwa varian terbaru dari EnemyBot menggabungkan eksploitasi untuk 24 kerentanan. Sebagian besar dari mereka kritis tetapi ada beberapa yang bahkan tidak memiliki nomor CVE, yang mempersulit para pembela HAM untuk menerapkan perlindungan.

Pada bulan April, sebagian besar kelemahan yang terkait dengan router dan perangkat IoT, dengan CVE-2022-27226 (iRZ) dan CVE-2022-25075 (TOTOLINK) menjadi salah satu yang terbaru dan Log4Shell menjadi yang paling menonjol.

Namun, varian baru yang dianalisis oleh AT&T Alien Labs menyertakan eksploitasi untuk masalah keamanan berikut:

  • CVE-2022-22954: Cacat eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager. Eksploitasi PoC (bukti konsep) tersedia pada April 2022.
  • CVE-2022-22947: Cacat eksekusi kode jarak jauh di Musim Semi, diperbaiki sebagai zero-day pada Maret 2022, dan ditargetkan secara besar-besaran sepanjang April 2022.
  • CVE-2022-1388: Kelemahan eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada F5 BIG-IP, mengancam titik akhir yang rentan dengan pengambilalihan perangkat. PoC pertama muncul di alam liar pada Mei 2022, dan eksploitasi aktif segera dimulai.
Penambahan CVE-2022-22954 dalam kode EnemyBot (AT&T)

Melihat daftar perintah yang didukung oleh versi malware yang lebih baru, RSHELL menonjol, digunakan untuk membuat shell terbalik pada sistem yang terinfeksi. Ini memungkinkan aktor ancaman untuk melewati batasan firewall dan mendapatkan akses ke mesin yang disusupi.

Semua perintah yang terlihat di versi sebelumnya masih ada, menawarkan daftar opsi yang kaya tentang serangan DDoS.

Keksec, grup di belakang EnemyBot, secara aktif mengembangkan malware dan memiliki proyek jahat lainnya: Tsunami, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Tampaknya ini adalah pembuat malware berpengalaman yang menunjukkan perhatian khusus pada proyek terbaru, menambahkan eksploitasi kerentanan baru segera setelah muncul, seringkali sebelum admin sistem memiliki kesempatan untuk menerapkan perbaikan.

Lebih buruk lagi, AT&T melaporkan bahwa seseorang, yang kemungkinan besar berafiliasi dengan Keksec, telah merilis kode sumber EnemyBot, membuatnya tersedia untuk semua musuh.

Rekomendasi untuk melindungi dari jenis ancaman ini termasuk menambal produk perangkat lunak segera setelah pembaruan tersedia dan memantau lalu lintas jaringan, termasuk koneksi keluar.

Saat ini, tujuan utama EnemyBot adalah serangan DDoS tetapi kemungkinan lain juga harus dipertimbangkan (misalnya cryptomining, akses), terutama karena malware sekarang menargetkan perangkat yang lebih kuat.

Sumber: Bleeping Computer

Cybergang Mengklaim REvil Kembali, Menjalankan Serangan DDoS

by

Aktor yang mengaku sebagai kelompok ransomware yang sudah mati menargetkan salah satu pelanggan Akami dengan serangan Layer 7, menuntut pembayaran pemerasan dalam Bitcoin.

Geng ransomware REvil yang mati mengklaim bertanggung jawab atas kampanye penolakan layanan terdistribusi (DDoS) baru-baru ini terhadap pelanggan perhotelan penyedia jaringan cloud Akamai. Namun, sangat mungkin serangan itu bukan kebangkitan kelompok penjahat dunia maya yang terkenal, tetapi operasi peniru, kata para peneliti.

Peneliti Akamai telah memantau serangan DDoS sejak 12 Mei, ketika seorang pelanggan memperingatkan Tim Tanggap Insiden Keamanan (SIRT) perusahaan tentang upaya serangan oleh kelompok yang mengaku terkait dengan REvil, Akamai mengungkapkan dalam sebuah posting blog Rabu.

Namun, sementara penyerang mengklaim sebagai REvil, tidak jelas saat ini apakah kelompok ransomware yang mati bertanggung jawab, karena upaya tersebut tampaknya lebih kecil daripada kampanye serupa sebelumnya yang diklaim oleh kelompok tersebut, kata para peneliti.

Tampaknya juga ada motivasi politik di balik kampanye DDoS, yang tidak konsisten dengan taktik REvil sebelumnya, di mana kelompok tersebut mengklaim bahwa itu dimotivasi semata-mata oleh keuntungan finansial.

REvil, yang menjadi gelap pada Juli 2021, adalah grup ransomware-as-a-service (RaaS) yang berbasis di Rusia yang terkenal dengan serangan profil tinggi terhadap Kaseya, JBS Foods, dan Apple Computer, antara lain.

Akhirnya, pada Maret 2022, Rusia—yang hingga saat itu tidak berbuat banyak untuk menggagalkan operasi REvil—mengklaim bertanggung jawab untuk sepenuhnya membubarkan kelompok tersebut atas permintaan pemerintah AS, dengan menahan anggota individunya.

Salah satu dari mereka yang ditangkap pada saat itu berperan penting dalam membantu kelompok ransomware DarkSide dalam serangan yang melumpuhkan pada Mei 2021 terhadap Colonial Pipeline, yang mengakibatkan perusahaan membayar uang tebusan sebesar $5 juta.

Serangan DDoS baru-baru ini—yang akan menjadi poros REvil—terdiri dari permintaan HTTP GET sederhana di mana jalur permintaan berisi pesan ke target yang berisi pesan 554-byte yang menuntut pembayaran, kata para peneliti. Lalu lintas dalam serangan pada Layer 7 jaringan—lapisan interaksi manusia-komputer tempat aplikasi mengakses layanan jaringan—memuncak pada 15 kRps.

Korban diarahkan untuk mengirim pembayaran BTC ke alamat dompet yang “saat ini tidak memiliki riwayat dan tidak terkait dengan BTC yang diketahui sebelumnya,” tulis Cashdollar.

Serangan itu juga memiliki permintaan geospesifik tambahan yang meminta perusahaan yang ditargetkan untuk menghentikan operasi bisnis di seluruh negara, katanya. Secara khusus, penyerang mengancam akan meluncurkan serangan lanjutan yang akan memengaruhi operasi bisnis global jika permintaan ini tidak dipenuhi dan uang tebusan tidak dibayarkan dalam jangka waktu tertentu.

Modus operandi khas REvil adalah untuk mendapatkan akses ke jaringan atau organisasi target dan mengenkripsi atau mencuri data sensitif, menuntut pembayaran untuk mendekripsi atau mencegah kebocoran informasi kepada penawar tertinggi atau mengancam pengungkapan publik atas informasi sensitif atau merusak, katanya.

Teknik yang terlihat dalam serangan DDoS “menyimpang dari taktik normal mereka,” tulis Cashdollar. “Geng REvil adalah penyedia RaaS, dan tidak ada ransomware dalam insiden ini,” tulisnya.

Namun, ada kemungkinan bahwa REvil sedang mencari kebangkitan dengan mencelupkan kakinya ke dalam model bisnis baru pemerasan DDoS, katanya. Apa yang lebih mungkin adalah bahwa penyerang dalam kampanye hanya menggunakan nama kelompok penjahat dunia maya yang terkenal untuk menakut-nakuti organisasi yang ditargetkan agar memenuhi tuntutan mereka, kata Cashdollar.

Sumber: Threat Post

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Entitas dan situs di atas telah mengambil sikap yang kuat untuk mendukung Ukraina dalam konflik militer yang sedang berlangsung dengan Rusia, sehingga mereka tidak dipilih secara acak. Namun, tidak banyak yang diketahui tentang asal-usul serangan ini.

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

Selengkapnya: Bleeping Computer