Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / MacOS

MacOS

Malware Mac menyebar selama 14 bulan menginstal pintu belakang pada sistem yang terinfeksi

by

Malware Mac yang dikenal sebagai UpdateAgent telah menyebar selama lebih dari satu tahun, pengembangnya menambahkan lonceng dan peluit baru termasuk mendorong payload adware tahap kedua agresif yang menginstal backdoor persisten pada Mac yang terinfeksi.

Keluarga malware UpdateAgent mulai beredar paling lambat November atau Desember 2020 sebagai pencuri informasi yang relatif mendasar. Itu mengumpulkan nama produk, nomor versi, dan informasi sistem dasar lainnya. Metodenya yaitu, kemampuan untuk menjalankan setiap kali Mac melakukan booting—juga cukup sederhana.

Serangan Person-in-The-Middle
UpdateAgent telah berkembang semakin maju. Selain data yang dikirim ke server penyerang, aplikasi juga mengirimkan “detak jantung” yang memberi tahu penyerang jika malware masih berjalan. Itu juga menginstal adware yang dikenal sebagai Adload.

Peneliti Microsoft menulis:

Setelah adware diinstal, ia menggunakan perangkat lunak dan teknik injeksi iklan untuk mencegat komunikasi online perangkat dan mengarahkan lalu lintas pengguna melalui server operator adware, menyuntikkan iklan dan promosi ke halaman web dan hasil pencarian. Adload memanfaatkan serangan Person-in-The-Middle (PiTM) dengan memasang proxy web untuk membajak hasil mesin pencari dan menyuntikkan iklan ke halaman web, sehingga menyedot pendapatan iklan dari pemegang situs web resmi ke operator adware.

Adload mampu membuka pintu belakang untuk mengunduh dan menginstal adware dan muatan lain selain mengumpulkan informasi sistem yang dikirim ke server C2 penyerang. Mengingat UpdateAgent dan Adload memiliki kemampuan untuk menginstal muatan tambahan, penyerang dapat memanfaatkan salah satu atau kedua vektor ini untuk berpotensi memberikan ancaman yang lebih berbahaya ke sistem target di kampanye mendatang.

Sebelum menginstal adware, UpdateAgent sekarang menghapus tanda yang ditambahkan oleh mekanisme keamanan macOS yang disebut Gatekeeper ke file yang diunduh. (Gatekeeper memastikan pengguna menerima peringatan bahwa perangkat lunak baru berasal dari Internet, dan juga memastikan perangkat lunak tidak cocok dengan jenis malware yang diketahui.)

Pengintaian UpdateAgent telah diperluas untuk mengumpulkan profil sistem dan data tipe SPHardware, yang, antara lain, mengungkapkan nomor seri Mac. Malware juga mulai memodifikasi folder LaunchDaemon alih-alih folder LaunchAgent seperti sebelumnya. Sementara perubahan memerlukan UpdateAgent untuk dijalankan sebagai administrator, perubahan memungkinkan trojan untuk menyuntikkan kode persisten yang berjalan sebagai root.

Setelah diinstal, malware mengumpulkan info sistem dan mengirimkannya ke server kontrol penyerang dan mengambil sejumlah tindakan lain. Rantai serangan eksploitasi terbaru terlihat seperti ini:

Microsoft mengatakan UpdateAgent menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan, yang disebarkan melalui pop-up atau iklan di situs web yang diretas atau berbahaya. Pengguna tampaknya harus ditipu untuk menginstal UpdateAgent, dan selama proses itu, Gatekeeper berfungsi seperti yang dirancang.

Selengkapnya : Arstechnica

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

by

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer

Apple memperbaiki zero-day baru yang dieksploitasi untuk meretas macOS, perangkat iOS

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day. Patch zero-day pertama hari ini (dilacak sebagai CVE-2022-22587) [1, 2] adalah bug kerusakan memori di IOMobileFrameBuffer yang memengaruhi iOS, iPadOS, dan macOS Monterey.

Eksploitasi bug ini yang berhasil menyebabkan eksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang disusupi.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • macOS Monterey

Bug tersebut ditemukan oleh peneliti anonim, Meysam Firouzi (@R00tkitSMM) dari MBition – Mercedes-Benz Innovation Lab, dan Siddharth Aeri (@b1n4r1b01).

Firouzi dan Aeri mengatakan bahwa mereka berdua menemukan bug secara independen dan tidak menyadari bahwa pelaku ancaman mengeksploitasinya di alam liar.

Zero-day kedua adalah bug Safari WebKit di iOS dan iPadOS yang memungkinkan situs web melacak aktivitas penelusuran Anda dan identitas pengguna secara real-time.

Bug tersebut pertama kali diungkapkan ke Apple oleh Martin Bajanik dari FingerprintJS pada 28 November 2021, dan diungkapkan secara publik pada 14 Januari 2022. Setelah peneliti mengungkapkan bug tersebut, bug tersebut ditetapkan pada CVE-2022-22594 dan diperbaiki di iOS 15.3 dan hari ini. Pembaruan keamanan iPadOS 15.3.

Namun, Apple memperbaiki apa yang terasa seperti aliran bug zero-day yang tidak pernah berakhir pada tahun 2021 yang digunakan dalam serangan terhadap perangkat iOS dan macOS.

Bug ini mencakup banyak kerentanan zero-day yang digunakan untuk menginstal spyware Pegasus di iPhone jurnalis, aktivis, dan politisi.

Sumber : Bleeping Computer

Malware DazzleSpy Baru Menargetkan Pengguna macOS Dalam Serangan Watering Hole

by

Serangan lubang air baru ditemukan menargetkan pengguna macOS dan pengunjung situs web stasiun radio pro-demokrasi di Hong Kong yang menginfeksi mereka dengan malware DazzleSpy.

Seperti yang dirinci oleh para peneliti di ESET , itu adalah bagian dari operasi yang sama yang diungkapkan oleh Project Zero Google dua minggu lalu, yang memanfaatkan Chrome dan Windows zero-days untuk meretas ke perangkat Windows dan Android.

Laporan ESET berfokus pada eksploitasi kelemahan WebKit di browser web Safari, yang pada dasarnya menambahkan potongan terakhir dalam teka-teki dan mengonfirmasi bahwa kampanye tersebut menargetkan semua platform utama.

Serangan lubang air melibatkan infeksi situs web yang sah dengan malware, menargetkan demografi situs itu, dan dalam beberapa kasus, hanya alamat IP tertentu.

Kampanye tersebut menargetkan para pendukung kebebasan berbicara, kemerdekaan, dan aktivis politik. Salah satu contohnya yaitu situs palsu yang berusaha memikat para aktivis pembebasan dengan menggunakan domain “fightforhk[.]com” yang baru didaftarkan pada Oktober 2021.

Portal aktivis palsu
Sumber: ESET

Kedua situs web ini menampilkan iframe berbahaya yang mengarah ke domain yang memeriksa versi macOS dan mengalihkan ke tahap berikutnya, yang memuat kode JavaScript eksploit.

Iframe berbahaya yang memicu awal eksploitasi
Sumber: ESET

Eksploitasi menargetkan CVE-2021-1789, kesalahan eksekusi kode arbitrer yang dipicu saat memproses konten web dan memengaruhi versi Safari di bawah 14.1.

Eksploitasi mengimplementasikan dua primitif (‘addrof’ dan ‘fakeobj’) untuk mendapatkan akses baca dan tulis memori, sementara itu juga berisi kode yang membantu melewati mitigasi seperti ‘Gigacage’ dan memuat tahap berikutnya.

Langkah selanjutnya adalah eskalasi hak istimewa ke root, yang terjadi melalui file Mach-O yang dimuat ke dalam memori dan dieksekusi.

Kerentanan yang dieksploitasi untuk mencapai eskalasi hak istimewa adalah CVE-2021-30869, yang memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

mata-mata yang mempesona
Langkah terakhir dalam proses ini adalah menjatuhkan DazzleSpy, pintu belakang kaya fitur yang mencakup berbagai kemampuan jahat.

DazzleSpy menetapkan kegigihan pada sistem yang disusupi dengan menambahkan file Daftar Properti baru ke folder ‘LaunchAgents’. Eksekusinya bersembunyi di $HOME/.local/ dengan nama ‘softwareupdate’ yang menyesatkan.

Entri Daftar Properti Baru
Sumber: ESET

Ada banyak petunjuk yang menunjukkan asal pintu belakang, seperti pesan kesalahan internal, yang ditulis dalam bahasa Mandarin, dan konversi cap waktu yang dieksfiltrasi ke zona Waktu Standar China sebelum mencapai C2.

Pesan kesalahan internal dalam bahasa Cina
Sumber: ESET

Terakhir, DazzleSpy menampilkan enkripsi ujung ke ujung dalam komunikasinya, dan jika perantara memasukkan proxy pemeriksaan TLS di antaranya, ia berhenti mengirim data ke C2.

Sumber : Bleeping Computer

Microsoft: bug powerdir memberikan akses ke data pengguna macOS yang dilindungi

by

Microsoft mengatakan pelaku ancaman dapat menggunakan kerentanan macOS untuk melewati teknologi Transparansi, Persetujuan, dan Kontrol (TCC) untuk mengakses data pengguna yang dilindungi.

Tim Riset Pembela Microsoft 365 telah melaporkan kerentanan yang dijuluki powerdir (dilacak sebagai CVE-2021-30970) ke Apple pada 15 Juli 2021, melalui Microsoft Security Vulnerability Research (MSVR).

TCC adalah teknologi keamanan yang dirancang untuk memblokir aplikasi agar tidak mengakses data pengguna yang sensitif dengan memungkinkan pengguna macOS mengonfigurasi pengaturan privasi untuk aplikasi yang diinstal pada sistem dan perangkat mereka yang terhubung ke Mac mereka, termasuk kamera dan mikrofon.

Sementara Apple telah membatasi akses TCC hanya untuk aplikasi dengan akses disk penuh dan mengatur fitur untuk secara otomatis memblokir eksekusi kode yang tidak sah, peneliti keamanan Microsoft menemukan bahwa penyerang dapat menanam database TCC kedua yang dibuat khusus yang memungkinkan mereka mengakses info pengguna yang dilindungi.

“Kami menemukan bahwa adalah mungkin untuk secara terprogram mengubah direktori home pengguna target dan menanam database TCC palsu, yang menyimpan riwayat persetujuan permintaan aplikasi,” kata Jonathan Bar Or, peneliti keamanan utama di Microsoft.

“Jika dieksploitasi pada sistem yang belum ditambal, kerentanan ini dapat memungkinkan aktor jahat untuk berpotensi mengatur serangan berdasarkan data pribadi pengguna yang dilindungi.

“Misalnya, penyerang dapat membajak aplikasi yang diinstal pada perangkat—atau menginstal aplikasi berbahaya mereka sendiri—dan mengakses mikrofon untuk merekam percakapan pribadi atau menangkap tangkapan layar dari informasi sensitif yang ditampilkan di layar pengguna.”

eksploitasi PoC powerdir (Microsoft)

Apple telah memperbaiki kerentanan dalam pembaruan keamanan yang dirilis bulan lalu, pada 13 Desember 2021. “Aplikasi berbahaya mungkin dapat melewati preferensi Privasi,” perusahaan menjelaskan dalam penasihat keamanan.

“Selama penelitian ini, kami harus memperbarui eksploitasi proof-of-concept (POC) kami karena versi awal tidak lagi berfungsi pada versi macOS terbaru, Monterey,” tambah Jonathan Bar Or.

“Ini menunjukkan bahwa bahkan ketika macOS atau sistem operasi dan aplikasi lain menjadi lebih keras dengan setiap rilis, vendor perangkat lunak seperti Apple, peneliti keamanan, dan komunitas keamanan yang lebih besar, perlu terus bekerja sama untuk mengidentifikasi dan memperbaiki kerentanan sebelum penyerang dapat memanfaatkannya. mereka.”

Microsoft sebelumnya telah melaporkan menemukan kelemahan keamanan yang dijuluki Shrootless yang akan memungkinkan penyerang untuk melewati Perlindungan Integritas Sistem (SIP) dan melakukan operasi sewenang-wenang, meningkatkan hak istimewa untuk melakukan root, dan menginstal rootkit pada perangkat yang rentan.

Peneliti perusahaan juga menemukan varian baru malware MacOS WizardUpdate (alias UpdateAgent atau Vigram), yang diperbarui dengan taktik penghindaran dan ketekunan baru.

Tahun lalu, pada bulan Juni, Redmond mengungkapkan bug firmware kritis di beberapa model router NETGEAR yang dapat digunakan peretas untuk menembus dan bergerak secara lateral dalam jaringan perusahaan.

Sumber : Bleeping Computer

Google Menangkap Peretas Yang Menggunakan Mac Zero-Day Terhadap Pengguna Hong Kong

by

Peneliti Google menangkap peretas yang menargetkan pengguna di Hong Kong yang mengeksploitasi apa yang pada saat itu tidak diketahui kerentanannya di sistem operasi Apple Mac. Menurut para peneliti, serangan tersebut memiliki ciri khas peretas yang didukung pemerintah.

Pada hari Kamis, Grup Analisis Ancaman Google (TAG), tim elit pemburu peretas perusahaan, menerbitkan laporan yang merinci kampanye peretasan.

Para peneliti tidak melangkah sejauh menunjuk pada kelompok atau negara peretasan tertentu, tetapi mereka mengatakan itu adalah “kelompok yang memiliki sumber daya yang baik, kemungkinan didukung oleh negara.”

“Kami tidak memiliki cukup bukti teknis untuk memberikan atribusi dan kami tidak berspekulasi tentang atribusi,” kata kepala TAG Shane Huntley kepada Motherboard melalui email. “Namun, sifat kegiatan dan penargetan konsisten dengan aktor yang didukung pemerintah.”

Erye Hernandez, peneliti Google yang menemukan kampanye peretasan dan menulis laporan tersebut, menulis bahwa TAG menemukan kampanye tersebut pada akhir Agustus tahun ini.

Para peretas telah membuat serangan lubang air, yang berarti mereka menyembunyikan malware di dalam situs web sah “outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka” di Hong Kong.

Pengguna yang mengunjungi situs web tersebut akan diretas dengan kerentanan yang tidak diketahui—dengan kata lain, zero-day—dan eksploitasi lain yang memanfaatkan kerentanan yang sebelumnya ditambal untuk MacOS yang digunakan untuk memasang pintu belakang di komputer mereka, menurut Hernandez.

Selengkapnya: VICE

Peretas Menargetkan Perangkat Apple di Hong Kong untuk Menyebarluaskan Serangan

by

Setidaknya sejak akhir Agustus, para peretas canggih menggunakan kelemahan di macOS dan iOS untuk memasang malware di perangkat Apple yang mengunjungi situs web media dan pro-demokrasi yang berbasis di Hong Kong.

Serangan watering hole membuat jaring semakin lebar, tanpa pandang bulu menempatkan backdoor pada iPhone atau Mac apa pun yang mengunjungi salah satu halaman yang terpengaruh.

Apple telah menambal berbagai bug yang memungkinkan kampanye terungkap. Namun sebuah laporan hari Kamis dari Grup Analisis Ancaman Google (TAG) menunjukkan betapa agresifnya para peretas dan seberapa luas jangkauan mereka.

Ini adalah kasus lain dari kerentanan yang sebelumnya tidak diungkapkan, atau zero-days, yang dieksploitasi di alam liar oleh penyerang.

Serangan iOS dan macOS memiliki pendekatan yang berbeda, tetapi keduanya menyatukan beberapa kerentanan sehingga penyerang dapat mengambil kendali perangkat korban untuk menginstal malware mereka.

TAG tidak dapat menganalisis seluruh rantai eksploitasi iOS, tetapi mereka mampu mengidentifikasi kerentanan utama Safari yang digunakan peretas untuk meluncurkan serangan. Versi macOS melibatkan eksploitasi kerentanan WebKit dan bug kernel. Semua itu sudah ditambal oleh Apple sepanjang tahun 2021, dan eksploitasi macOS yang digunakan dalam serangan itu sebelumnya dipresentasikan dalam pembicaraan konferensi April dan Juli oleh Pangu Lab.

Para peneliti menekankan bahwa malware yang dikirim ke target melalui serangan watering hole dibuat dengan hati-hati dan “tampaknya merupakan produk rekayasa perangkat lunak yang ekstensif.” Itu memiliki desain modular, mungkin komponen yang berbeda dapat digunakan pada waktu yang berbeda dalam serangan multi-tahap.

Selengkapnya: Wired

Apple Memperbaiki Bug macOS Monterey yang Membuat Mac Tidak Dapat Menghidupkan Setelah Pembaruan

by

Awal pekan ini, muncul laporan bahwa beberapa Mac lama mengalami bricking setelah memperbarui ke sistem operasi baru perusahaan.

Seolah itu tidak cukup buruk, beberapa pengguna mengatakan pembaruan juga mengacaukan port perangkat mereka, yang berarti mereka bahkan tidak dapat menyalakannya untuk mencoba memecahkan masalah.

Pada saat itu, beberapa pengguna mengira masalah tersebut mungkin terkait dengan firmware pada perangkat, sebuah teori yang dikonfirmasi perusahaan pada hari Jumat.

Apple mengatakan kepada YouTuber Rene Ritchie bahwa mereka telah mengidentifikasi dan memperbaiki masalah dengan firmware pada chip keamanan Apple T2, yang digunakan pada 16 model Mac yang dirilis dalam tiga tahun terakhir.

Ini termasuk model MacBook Pro 13, 15, dan 16 inci yang dirilis dari 2018 hingga 2020; MacBook Air 13 inci dengan layar Retina yang dirilis dari 2018 hingga 2020; Mac mini dari 2018; Mac Pro dari 2019; Rak Mac Pro dari 2019; iMac Pro; dan iMac mulai tahun 2020.

“Kami telah mengidentifikasi dan memperbaiki masalah dengan firmware pada chip keamanan Apple T2 yang mencegah sejumlah kecil pengguna untuk mem-boot Mac mereka setelah memperbarui macOS,” kata Apple, menurut Ritchie.

“Firmware yang diperbarui sekarang disertakan dengan pembaruan macOS yang ada. Setiap pengguna yang terkena dampak masalah ini dapat menghubungi Dukungan Apple untuk mendapatkan bantuan.”

Selengkapnya: Gizmodo