OS

Windows Palsu mengeksploitasi komunitas infosec target dengan Cobalt Strike

May 25, 2022 by Eevee

Seorang aktor ancaman menargetkan peneliti keamanan dengan eksploitasi bukti konsep Windows palsu yang menginfeksi perangkat dengan pintu belakang Cobalt Strike.

Siapa pun yang berada di balik serangan ini memanfaatkan kerentanan eksekusi kode jarak jauh Windows yang baru-baru ini ditambal yang dilacak sebagai CVE-2022-24500 dan CVE-2022-26809.

Saat Microsoft menambal kerentanan, biasanya peneliti keamanan menganalisis perbaikan dan merilis eksploitasi proof-of-concept untuk kelemahan di GitHub.

Eksploitasi proof-of-concept ini digunakan oleh peneliti keamanan untuk menguji pertahanan mereka sendiri dan untuk mendorong admin menerapkan pembaruan keamanan.

Namun, aktor ancaman biasanya menggunakan eksploitasi ini untuk melakukan serangan atau menyebar secara lateral dalam jaringan.

Pekan lalu, seorang aktor ancaman menerbitkan dua eksploitasi proof-of-concept di GitHub untuk kerentanan Windows CVE-2022-24500 dan CVE-2022-26809 di GitHub.

Eksploitasi ini dipublikasikan di repositori untuk pengguna bernama ‘rkxxz’, yang telah dihapus dan akunnya dihapus.

CVE-2022-24500 PoC palsu diposting ke GitHub

Seperti yang selalu terjadi ketika PoC diterbitkan, berita dengan cepat menyebar di Twitter, dan bahkan menarik perhatian aktor ancaman yang mempostingnya di forum peretasan.

Namun, segera menjadi jelas bahwa eksploitasi proof-of-concept ini palsu dan memasang suar Cobalt Strike di perangkat orang.

Cobalt Strike adalah alat pentesting yang sah yang biasanya digunakan oleh pelaku ancaman untuk menembus dan menyebar secara lateral melalui suatu organisasi.

Dalam laporan cybersecurity Cyble, analis ancaman menganalisis PoC dan menemukan bahwa itu adalah aplikasi .NET yang berpura-pura mengeksploitasi alamat IP yang sebenarnya menginfeksi pengguna dengan pintu belakang.

Demonstrasi eksploitasi PoC CVE-2022-24500 palsu
Sumber: BleepingComputer

Dari sampel PoC yang tidak disamarkan yang dibagikan dengan BleepingComputer oleh Cyble, kita dapat melihat bahwa PoC palsu meluncurkan skrip PowerShell yang mengeksekusi skrip PowerShell yang dikompresi gzip [malshare | VirusTotal] untuk menyuntikkan suar ke dalam memori.

Pada Januari 2021, kelompok peretasan Lazarus Korea Utara menargetkan peneliti kerentanan melalui akun media sosial dan kerentanan browser zero-day.

Pada Maret 2021, peretas Korea Utara kembali menargetkan komunitas infosec dengan membuat perusahaan keamanan siber palsu bernama SecuriElite (berlokasi di Turki).

Pada bulan November, peretasan Lazarus melakukan kampanye lain menggunakan versi trojan dari aplikasi rekayasa balik IDA Pro yang menginstal trojan akses jarak jauh NukeSped.

Dengan menargetkan komunitas infosec, pelaku ancaman tidak hanya mendapatkan akses ke penelitian kerentanan yang mungkin sedang dikerjakan korban, tetapi juga berpotensi mendapatkan akses ke jaringan perusahaan keamanan siber.

Karena perusahaan keamanan siber cenderung memiliki informasi sensitif tentang klien, seperti penilaian kerentanan, kredensial akses jarak jauh, atau bahkan kerentanan zero-day yang tidak diungkapkan, jenis akses ini bisa sangat berharga bagi pelaku ancaman.

Sumber: Bleeping Computer

Spyware ‘Predator’ Biarkan Peretas Pemerintah Membobol Chrome dan Android

May 24, 2022 by Eevee

Sebuah perusahaan pengawasan swasta yang mencurigakan menjual akses kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.

Cytrox, sebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses empat kelemahan keamanan zero-day di browser Chrome serta satu di sistem operasi Android. Kliennya adalah “aktor ancaman” yang terkait dengan pemerintah di beberapa negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware invasif Cytrox “Predator.

“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke berbagai aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” peneliti dengan Google’s Threat Analysis Group (TAG) dijelaskan dalam posting blog.

Cytrox juga dikatakan telah memberi kliennya akses ke sejumlah “n-days”—kerentanan yang sudah memiliki patch yang dikeluarkan untuk mereka. Dalam kasus ini, pengguna yang ditargetkan mungkin belum memperbarui perangkat atau aplikasi mereka.

Peretas yang membeli layanan dan spyware Cytrox berbasis di seluruh dunia—Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: mayoritas kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.

“Tujuh dari sembilan TAG 0 hari yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh penyedia komersial dan dijual kepada serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”

Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan kontroversi signifikan dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal NSO Group telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia.

Sumber: Gizmodo

Google: Predator spyware menginfeksi perangkat Android menggunakan zero-days

May 23, 2022 by Eevee

Grup Analisis Ancaman Google (TAG) mengatakan bahwa aktor ancaman yang didukung negara menggunakan lima kerentanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Dalam serangan ini, bagian dari tiga kampanye yang dimulai antara Agustus dan Oktober 2021, penyerang menggunakan eksploitasi zero-day yang menargetkan Chrome dan OS Android untuk memasang implan spyware Predator pada perangkat Android yang sepenuhnya diperbarui.

Pelaku kejahatan yang didukung pemerintah yang membeli dan menggunakan eksploitasi ini untuk menginfeksi target Android dengan spyware berasal dari Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, menurut analisis Google.

Temuan ini sejalan dengan laporan tentang spyware tentara bayaran Cytrox yang diterbitkan oleh CitizenLab pada Desember 2021, ketika para penelitinya menemukan alat berbahaya di telepon politisi Mesir yang diasingkan, Ayman Nour.

Ponsel Nour juga terinfeksi spyware Pegasus NSO Group, dengan dua alat yang dioperasikan oleh dua klien pemerintah yang berbeda menurut penilaian CitizenLab.

Lima kerentanan keamanan 0 hari yang sebelumnya tidak diketahui yang digunakan dalam kampanye ini meliputi CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 di Chrome dan CVE-2021-1048 di Android

Pelaku ancaman menyebarkan eksploitasi yang menargetkan zero-days ini dalam tiga kampanye terpisah:

Kampanye #1 – mengalihkan ke SBrowser dari Chrome (CVE-2021-38000)
Kampanye #2 – Escape sandbox Chrome (CVE-2021-37973, CVE-2021-37976)
Kampanye #3 – Rantai eksploitasi Android 0 hari penuh (CVE-2021-38003, CVE-2021-1048)

“Ketiga kampanye mengirimkan tautan satu kali yang meniru layanan pemendek URL ke pengguna Android yang ditargetkan melalui email. Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” tambah analis Google TAG.

“Setelah diklik, tautan mengarahkan target ke domain milik penyerang yang mengirimkan eksploitasi sebelum mengarahkan browser ke situs web yang sah. Jika tautan tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”

Teknik serangan ini juga digunakan terhadap jurnalis dan pengguna Google lainnya yang diberi tahu bahwa mereka adalah target serangan yang didukung pemerintah.

Dalam kampanye ini, penyerang pertama kali menginstal trojan perbankan Android Alien dengan fungsi RAT yang digunakan untuk memuat implan Android Predator, memungkinkan perekaman audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi.

Laporan ini merupakan tindak lanjut dari analisis Juli 2021 dari empat kelemahan 0 hari lainnya yang ditemukan pada tahun 2021 di Chrome, Internet Explorer, dan WebKit (Safari).

Seperti yang diungkapkan peneliti Google TAG, peretas pemerintah yang didukung Rusia yang terhubung dengan Layanan Intelijen Asing Rusia (SVR) mengeksploitasi Safari zero-day untuk menargetkan perangkat iOS milik pejabat pemerintah dari negara-negara Eropa Barat.

Sumber: Bleeping Computer

Microsoft menambal patch yang merusak otentikasi Windows

May 21, 2022 by Søren

Beberapa administrator mengeluh minggu lalu bahwa setelah menginstal patch 10 Mei, mereka mengalami kegagalan otentikasi di beberapa sistem.

Tyler mengatakan pada saat itu: “Kami tahu akar masalahnya adalah nama subjek salah digunakan untuk memetakan sertifikat ke akun mesin di AD daripada DNSHostname di nama alternatif subjek di DC yang telah menginstal 5b dan kami sedang mengerjakannya .”

Sebuah entri kemudian muncul dalam daftar panjang masalah yang diketahui untuk patch di mana Microsoft memperingatkan bahwa, setelah menginstal patch 10 Mei pada pengontrol domain, mungkin ada masalah dengan beberapa layanan.

“Layanan ini,” katanya, “termasuk Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), dan Protected Extensible Authentication Protocol (PEAP).

“Masalah telah ditemukan terkait dengan bagaimana pengontrol domain mengelola pemetaan sertifikat ke akun mesin.”

Seperti banyak pembaruan, patch 10 Mei adalah yang penting, dan menyertakan perbaikan untuk kerentanan elevasi hak istimewa “keparahan tinggi” yang dapat terjadi saat Kerberos Distribution Center (KDC) melayani permintaan otentikasi berbasis sertifikat.

Mundur dari pembaruan tampaknya menyelesaikan masalah, tetapi, seperti yang diamati oleh seorang pengguna, “ini adalah tambalan yang cukup kritis tetapi tampaknya cukup merusak peran kunci!”

Administrator akan dimaafkan karena merasa bahwa tambalan untuk memperbaiki tambalan tampaknya menjadi agak terlalu umum selama bertahun-tahun.

Selengkapnya: The Register

Peretas Menipu Pengguna dengan Unduhan Windows 11 Palsu untuk Mendistribusikan Malware Vidar

May 21, 2022 by Søren

Domain palsu yang menyamar sebagai portal unduhan Microsoft Windows 11 mencoba mengelabui pengguna agar menyebarkan file instalasi trojan untuk menginfeksi sistem dengan malware pencuri informasi Vidar.

“Situs palsu dibuat untuk mendistribusikan file ISO berbahaya yang mengarah pada infeksi pencuri info Vidar di titik akhir,” kata Zscaler dalam sebuah laporan. “Varian malware Vidar ini mengambil konfigurasi C2 dari saluran media sosial yang dikendalikan penyerang yang dihosting di jaringan Telegram dan Mastodon.”

Beberapa domain vektor distribusi rogue yang didaftarkan pada 20 April bulan lalu, antara lain ms-win11[.]com, win11-serv[.]com, dan win11install[.]com, serta ms-teams-app[. ]net.

Selain itu, perusahaan keamanan siber memperingatkan bahwa aktor ancaman di balik kampanye peniruan identitas juga memanfaatkan versi pintu belakang Adobe Photoshop dan perangkat lunak sah lainnya seperti Microsoft Teams untuk mengirimkan malware Vidar.

File ISO, pada bagiannya, berisi file yang dapat dieksekusi yang berukuran luar biasa besar (lebih dari 300MB) dalam upaya untuk menghindari deteksi oleh solusi keamanan dan ditandatangani dengan sertifikat kedaluwarsa dari Avast yang kemungkinan dicuri setelah pelanggaran terakhir pada Oktober 2019.

Tetapi yang tertanam dalam biner 330MB adalah executable berukuran 3,3MB yang merupakan malware Vidar, dengan sisa konten file diisi dengan 0x10 byte untuk memperbesar ukuran secara artifisial.

Pada fase berikutnya dari rantai serangan, Vidar membuat koneksi ke server command-and-control (C2) jarak jauh untuk mengambil file DLL yang sah seperti sqlite3.dll dan vcruntime140.dll untuk menyedot data berharga dari sistem yang disusupi.

Selengkapnya: The Hacker News

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

May 20, 2022 by Eevee

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

May 20, 2022 by Eevee

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Google Menyoroti Keamanan dengan Branding Baru “Dilindungi oleh Android”

May 19, 2022 by Eevee

Video baru yang diunggah hari ini di saluran YouTube resmi Android adalah tentang memberi tahu Anda bahwa Anda “Dilindungi oleh Android,” dengan gambar orang-orang yang bahagia di ponsel mereka dan slide berisi teks pendek yang meyakinkan di antaranya. Tidak ada yang baru diumumkan di sini dengan video hanya melalui beberapa fitur keamanan terkenal sistem operasi. Play Protect memastikan bahwa Anda “aman dari malware dan aplikasi berbahaya”, meskipun keseluruhan omongan tentang “pembaruan tanpa henti” sedikit datar ketika dukungan perangkat lunak sangat bervariasi tidak hanya antara pembuat perangkat, tetapi juga seri perangkat.

Video Kampanye Dilindungi oleh Android

Kami berharap melihat lebih banyak merek baru “Dilindungi oleh Android” bersama dengan logo perisai hijau untuk muncul di seluruh OS dan di tempat lain mulai sekarang.

Video diakhiri dengan memercikkan layar dengan URL rias yang pada akhirnya mengarahkan pengguna ke bagian Keamanan situs web Android di mana fitur-fitur yang ditampilkan dalam video dijelaskan sedikit lebih detail.

Semua ini adalah bagian dari upaya terbaru Google untuk memberi tahu Anda seberapa fokusnya (lupakan Apple) pada privasi dan keamanan. Jika Anda menginginkan bukti substantif, menurut kami pencabutan izin otomatis dari Android 11 adalah contoh yang bagus. Dan jika Anda tidak yakin akan hal itu, Android 13 akan memudahkan Anda untuk memahami dan mengontrol pengaturan Anda dengan kombinasi menu keamanan dan privasi.

Sumber: Android Police

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings