Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Backdoor Baru Dibuat Menggunakan Bocoran Malware Sarang CIA yang Ditemukan di Alam Liar

by

Pelaku ancaman tak dikenal telah menyebarkan backdoor baru yang meminjam fitur-fiturnya dari suite malware multi-platform Hive Central Intelligence Agency (CIA), yang kode sumbernya dirilis oleh WikiLeaks pada November 2017.

Hal baru bagi Qihoo Netlab 360 dalam menangkap varian kit serangan CIA Hive di alam liar. Mereka memberinya nama xdr33 berdasarkan sertifikat sisi Bot yang disematkan CN=xdr33.

xdr33 disebarkan dengan mengeksploitasi kerentanan keamanan N-day yang tidak ditentukan di peralatan F5. Berkomunikasi dengan server perintah-dan-kontrol (C2) menggunakan SSL dengan sertifikat Kaspersky palsu.

Backdoor dimaksudkan untuk mengumpulkan informasi sensitif dan bertindak sebagai landasan peluncuran untuk intrusi berikutnya. Ini meningkatkan Hive dengan menambahkan instruksi dan fungsionalitas C2 baru, di antara perubahan implementasi lainnya.

Malware menggabungkan modul pemicu yang dirancang untuk menguping lalu lintas jaringan untuk paket pemicu tertentu untuk mengekstrak server C2 yang disebutkan dalam muatan paket IP, membuat koneksi, dan menunggu eksekusi perintah yang dikirim oleh C2.

Selengkapnya: The Hacker News

Peretas Mengeksploitasi Bug Kritis Cacti untuk Memasang Malware

by

Lebih dari 1.600 contoh alat pemantau perangkat Cacti yang dapat dijangkau melalui internet rentan terhadap masalah keamanan kritis yang sudah mulai dieksploitasi oleh peretas.

Cacti adalah solusi pemantauan manajemen operasional dan kesalahan untuk perangkat jaringan yang juga menyediakan visualisasi grafis. Ada ribuan instans yang diterapkan di seluruh dunia yang diekspos di web.

Penasihat keamanan memperingatkan tentang kerentanan injeksi perintah kritis yang dilacak sebagai CVE-2022-46169 dengan peringkat keparahan 9,8 dari 10, di Cacti yang dapat dieksploitasi tanpa autentikasi.

Selain merilis pembaruan yang memperbaiki kerentanan, pengembang juga memberikan saran untuk mencegah injeksi perintah dan bypass otorisasi.

Awalnya, eksploitasi memasang botnet, seperti malware Mirai. Eksploitasi lain yang diinstal adalah botnet IRC (berbasis PERL) yang membuka shell terbalik pada host dan menginstruksikannya untuk menjalankan pemindaian port. Serangan yang lebih baru hanya memeriksa kerentanan.

Data peneliti Shadowserver menunjukkan upaya eksploitasi untuk kerentanan CVE-2022-46169 di Cacti meningkat minggu lalu dan jumlah total saat ini berada di bawah dua lusin.

Dalam laporan dari platform Censys, perangkat yang terhubung ke Internet, ada 6.427 host Cacti yang terekspos di web. Namun, perusahaan dapat menghitung 1.637 host Cacti yang dapat dijangkau melalui web yang rentan terhadap CVE-2022-46169, banyak di antaranya menjalankan solusi pemantauan versi 1.1.38, yang dirilis pada April 2021.

Selengkapnya: BleepingComputer

Kinsing Malware Menargetkan Kubernetes

by

Malware Kinsing telah lama diketahui oleh administrator Linux, dan, sekarang — mengejutkan! — ini juga datang setelah Kubernetes.

Kinsing adalah program malware Linux/Unix Executable and Link format (ELF) jadul, yang ditulis dalam Go. Diberi kesempatan, itu menjalankan cryptominer dan mencoba menyebarkan dirinya ke wadah dan host lain.

Selama bertahun-tahun, itu telah digunakan dalam serangan terhadap Docker, Redis, dan SaltStack. Dan, sekarang, sekarang, peretas Kinsing mengejar Kubernetes. Saya kaget, kaget saat mengetahui bahwa cryptomining sedang terjadi di Kubernetes!

Sunders Bruskin, Microsoft Defender untuk peneliti keamanan Cloud, melaporkan tentang bagaimana sekarang sering menargetkan kluster Kubernetes menggunakan dua teknik vektor akses awal yang berbeda. Ini adalah eksploitasi wadah PostgreSQL yang dikonfigurasi dengan lemah dan gambar yang rentan.

Selengkapnya: Linux Security

Malware IcedID Menyerang Lagi: Domain Direktori Aktif Tersusupi dalam Waktu Kurang dari 24 Jam

by

Serangan malware IcedID baru baru ini memungkinkan pelaku ancaman untuk mengkompromikan domain Active Directory dari target yang tidak disebutkan namanya kurang dari 24jam setelah mendapatkan akses awal.

IcedID, juga dikenal dengan nama BokBOt memulai hidupnya sebagai trojan perbankan pada a=tahu 2017 sebelum berkemban menjadi dropper untuk malware lainnya, bergabung dengen Emotet, TrickBot, Qakbot, Bumblebee, dan Raspberry Robin.

Serangan yang melibatkan pengiriman IcedID telah memanfaatkan berbagai metode, terutama setelah keputusan Microsoft untuk memblokir makro dari Office yang diunduh

Malware kemudian membangun kegigihan pada host melalui tugas terjadwal dan berkomunikasi dengan server jarak jauh untuk mengunduh muatan tambahan, termasuk Cobalt Strike Beacon untuk kegiatan pengintaian lanjutan.

Itu juga melakukan gerakan lateral di seluruh jaringan dan mengeksekusi Cobalt Strike Beacon yang sama di semua workstation tersebut, dan kemudian mulai menginstal agen Atera, alat administrasi jarak jauh yang sah, sebagai mekanisme akses jarak jauh yang berlebihan.

Cobalt Strike Beacon selanjutnya digunakan sebagai saluran untuk mengunduh alat C# yang dijuluki Rubeus untuk pencurian kredensial, yang pada akhirnya memungkinkan pelaku ancaman untuk berpindah secara lateral ke Server Windows dengan hak admin domain.

Izin yang ditingkatkan kemudian dipersenjatai untuk melakukan serangan DCSync, memungkinkan musuh untuk mensimulasikan perilaku pengontrol domain (DC) dan mengambil kredensial dari pengontrol domain lainnya.

Temuan ini muncul saat para peneliti dari Team Cymru menjelaskan lebih lanjut tentang protokol BackConnect (BC) yang digunakan oleh IcedID untuk memberikan fungsionalitas tambahan pasca kompromi, termasuk modul VNC yang menyediakan saluran akses jarak jauh.

Perkembangan tersebut juga mengikuti laporan dari Proofpoint pada November 2022 bahwa kebangkitan aktivitas Emotet telah dikaitkan dengan distribusi versi baru IcedID.

sumber : thehackernews

Geng Ransomware Lorenz Menanam Backdoor untuk Digunakan Beberapa Bulan Kemudian

by

Peneliti keamanan memperingatkan bahwa menambal kerentanan kritis yang memungkinkan akses ke jaringan tidak cukup untuk bertahan dari serangan ransomware.

Beberapa geng mengeksploitasi kelemahan untuk merencanakan backdoor. Salah satu kasus adalah serangan ransomware Lorenz yang selesai berbulan-bulan setelah peretas memperoleh akses ke jaringan korban menggunakan eksploit untuk bug kritis dalam sistem telepon.

Backdoor Dipasang Sebelum Pembaruan Keamanan
Menurut S-RM, peretas memperoleh akses awal dengan mengeksploitasi kerentanan kritis dalam infrastruktur telepon Mitel, CVE-2022-29499, memungkinkan eksekusi remote kode.

Sementara klien S-RM telah menerapkan tambalan untuk CVE-2022-29499 pada bulan Juli, peretas ransomware Lorenz bergerak lebih cepat dan mengeksploitasi kerentanan dan menanam backdoor sebelum pembaruan yang memperbaiki masalah tersebut.

Periksa Intrusi Sebelum Menerapkan Perbaikan Bug Kritis
Lorenz secara aktif kembali ke backdoor lama, memeriksa bahwa mereka masih memiliki akses dan menggunakannya untuk meluncurkan serangan ransomware.

Para peneliti mencatat bahwa memperbarui perangkat lunak ke versi terbaru pada waktu yang tepat merupakan langkah penting dalam mempertahankan jaringan. Namun dalam kasus kerentanan kritis, perusahaan juga harus memeriksa lingkungan mereka untuk upaya eksploitasi dan kemungkinan intrusi.

Selengkapnya: BleepingComputer

Kinsing Crypto Malware Memukul Kluster Kubernetes melalui PostgreSQL yang Salah Konfigurasi

by

Pelaku ancaman di balik operasi cryptojacking Kinsing telah terlihat mengeksploitasi server PostgreSQL yang terekspos dan salah konfigurasi untuk mendapatkan akses awal ke lingkungan Kubernetes.

Teknik vektor akses awal kedua memerlukan penggunaan gambar yang rentan, Sunders Bruskin, peneliti keamanan di Microsoft Defender untuk Cloud, mengatakan dalam sebuah laporan minggu lalu

Kinsing memiliki sejarah panjang dalam penargetan lingkungan kemas, sering kali memanfaatkan port API daemon Docker terbuka yang salah konfigurasi serta menyalahgunakan eksploit yang baru diungkapkan untuk menghentikan perangkat lunak penambangan mata uang kripto.

Pelaku ancaman, di masa lalu, juga diketahui menggunakan rootkit untuk menyembunyikan keberadaannya. Sekarang menurut Microsoft, kesalahan konfigurasi di server PostgreSQL telah dikooptasi oleh aktor Kinsing untuk mendapatkan pijakan awal, dengan perusahaan mengamati “sejumlah besar cluster” yang terinfeksi dengan cara ini.

Kesalahan konfigurasi terkait dengan pengaturan autentikasi kepercayaan, yang dapat disalahgunakan untuk terhubung ke server tanda autentikasi apa pun dan mencapai eksekusi kode jika opsi diatur untuk menerima koneksi dari alamat IP mana pun.

Vektor serangan alternatif menargetkan server dengan versi PHPUnit, Liferay, WebLogic, dan WordPress yang rentan yang rentan terhadap eksekusi kode jarak jauh untuk menjalankan muatan berbahaya.

Terlebih lagi, “kampanye luas” baru-baru ini melibatkan penyerang yang memindai port WebLogic default terbuka 7001, dan jika ditemukan, menjalankan perintah shell untuk meluncurkan malware.

sumber : thehackernews

Pengguna Italia Diperingatkan Tentang Serangan Malware yang Menargetkan Informasi Sensitif

by

Kampanye malware baru telah diamati menargetkan Italia dengan email phishing yang dirancang untuk menyebarkan pencuri informasi pada sistem Windows yang disusupi.

Urutan infeksi multi-tahap dimulai dengan email phishing bertema faktur yang berisi tautan yang, ketika diklik, mengunduh file arsip ZIP yang dilindungi kata sandi, yang menyimpan dua file: file pintasan (.LNK) dan kumpulan (.BAT) mengajukan.

Terlepas dari file mana yang diluncurkan, rantai serangan tetap sama, karena membuka file pintasan mengambil skrip batch yang sama yang dirancanag untuk menginstal muatan pencuri informasi dari repositori GitHub. Ini dicapai dengan memanfaatkan biner PowerShell yang sah yang juga diambil dari Github

Setelah diinstal, malware berbasis C# mengumpulkan metadata sistem, dan informasi dari lusinan browser web (misalnya, cookie, bookmark, kartu kredit, unduhan, dan kredensial), serta nbeberapa dompet mata uang kripto, yang semuanya dikirim ke seorang aktor. domain-terkendali.

Untuk mengurangi serangan tersebut, organisasi disarankan untuk menerapkan “kontrol keamanan yang ketat dan visibilitas berlapis serta solusi keamanan untuk mengidentifikasi dan mendeteksi malware.”

sumber : thehackernews

Lebih dari 1.300 Situs AnyDesk Palsu Mendorong Malware Vidar

by

Kampanye besar-besaran menggunakan lebih dari 1.300 domain untuk menyamar sebagai situs resmi AnyDesk sedang berlangsung, semuanya dialihkan ke folder Dropbox baru-baru ini mendorong malware pencuri informasi Vidar.

AnyDesk adalah aplikasi remote desktop untuk Windows, Linux, dan macOS, untuk konektivitas remote yang aman atau melakukan administrasi sistem.

Pada kampanye terbarunya, analis ancaman SEKOIA crep1x memperingatkan dan membagikan daftar lengkap nama host berbahaya dan seluruh host tersebut menyelesaikan ke alamat IP yang sama, yaitu 185.149.120[.]9.

Situs AnyDesk palsu yang digunakan dalam distribusi Vidar (BleepingComputer)

Semua Situs Mengarah ke Vidar Stealer
Dalam kampanye yang baru saja ditemukan, situs tersebut mendistribusikan malware Vidar yang dikemas dalam bentuk file ZIP bernama ‘AnyDeskDownload.zip’, berpura-pura menjadi penginstal perangkat lunak AnyDesk.

Vidar akan mencuri data sensitif korban dan dikirim kembali ke penyerang untuk menjalankan aktivitas jahat lebih lanjut.

SEKOIA mengungkapkan kampanye distribusi pencuri info secara masif menggunakan 128 situs web yang mempromosikan perangkat lunak yang telah diretas.Belum jelas apakah semua kampanye tersebut terkait dengan situs AnyDesk palsu.

Pengguna disarankan untuk berhati-hati dengan menandai situs yang digunakan untuk mengunduh perangkat lunak, menghindari klik iklan sembarangan, dan menemukan URL resmi proyek perangkat lunak dari sumber terpercaya.

Selengkapnya: BleepingComputer