Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

NVIDIA memperbaiki sepuluh kerentanan di driver tampilan GPU Windows

by

NVIDIA telah merilis pembaruan keamanan untuk berbagai model kartu grafis, menangani 4 kerentanan tingkat tinggi dan 6 kerentanan tingkat menengah di driver GPU-nya.

Pembaruan keamanan memperbaiki kerentanan yang dapat menyebabkan penolakan layanan, pengungkapan informasi, peningkatan hak istimewa, eksekusi kode, dll.

Pembaruan telah tersedia untuk produk perangkat lunak Tesla, RTX/Quadro, NVS, Studio, dan GeForce, yang mencakup cabang driver R450, R470, dan R510.

CVE diperbaiki untuk setiap cabang driver (NVIDIA)

Menariknya, selain lini produk saat ini dan terbaru yang didukung secara aktif, rilis terbaru NVIDIA juga mencakup kartu seri GTX 600 dan GTX 700 Kepler, yang dukungannya berakhir pada Oktober 2021.

Pembuat GPU sebelumnya berjanji untuk terus memberikan pembaruan keamanan penting untuk produk ini hingga September 2024, dan pembaruan driver ini memenuhi janji itu.

Empat kelemahan tingkat tinggi yang diperbaiki bulan ini adalah:

  • CVE-2022-28181 (Skor CVSS v3: 8.5) – Penulisan di luar batas di lapisan mode kernel yang disebabkan oleh shader yang dibuat khusus yang dikirim melalui jaringan, berpotensi mengarah pada eksekusi kode, penolakan layanan, peningkatan hak istimewa, informasi pengungkapan, dan manipulasi data.
  • CVE-2022-28182 (CVSS v3 skor: 8.5) – Cacat dalam driver mode pengguna DirectX11 yang memungkinkan penyerang yang tidak sah untuk mengirim berbagi yang dibuat khusus melalui jaringan dan menyebabkan penolakan layanan, peningkatan hak istimewa, pengungkapan informasi, dan gangguan data.
  • CVE-2022-28183 (CVSS v3 skor: 7.7) – Kerentanan di lapisan mode kernel, di mana pengguna biasa yang tidak memiliki hak dapat menyebabkan pembacaan di luar batas, yang dapat menyebabkan penolakan layanan dan pengungkapan informasi.
  • CVE-2022-28184 (skor CVSS v3: 7.1) – Kerentanan dalam pengendali lapisan mode kernel (nvlddmkm.sys) untuk DxgkDdiEscape, di mana pengguna biasa yang tidak memiliki hak dapat mengakses register yang memiliki hak istimewa administrator, yang dapat menyebabkan penolakan layanan, pengungkapan informasi , dan gangguan data.

    • Kerentanan ini memerlukan hak istimewa yang rendah dan tidak ada interaksi pengguna, sehingga mereka dapat dimasukkan ke dalam malware, memungkinkan penyerang untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

    Dua yang pertama dapat dieksploitasi melalui jaringan, sementara dua lainnya dieksploitasi dengan akses lokal, yang masih dapat membantu malware yang menginfeksi sistem dengan hak istimewa rendah.

    Cisco Talos, yang menemukan CVE-2022-28181 dan CVE-2022-28182, juga telah menerbitkan posting hari ini yang merinci bagaimana mereka memicu kelemahan korupsi memori dengan memasok shader komputasi yang salah.

    Karena pelaku ancaman dapat menggunakan shader berbahaya di browser oleh WebAssembly dan WebGL, Talos memperingatkan bahwa pelaku ancaman mungkin dapat memicu ini dari jarak jauh.

    “File executable/shader yang dibuat khusus dapat menyebabkan kerusakan memori. Kerentanan ini berpotensi dipicu dari mesin tamu yang menjalankan lingkungan virtualisasi (yaitu VMware, qemu, VirtualBox, dll.) untuk melakukan pelarian tamu-ke-host. Secara teoritis ini Kerentanan juga bisa dipicu dari browser web menggunakan webGL dan webassembly,” jelas Talos tentang CVE-2022-28181.

    Semua pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis sesegera mungkin. Pengguna dapat mengunduh driver terbaru untuk model GPU mereka dari bagian pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

    Pembaruan juga dapat diterapkan melalui rangkaian GeForce Experience NVIDIA.

    Namun, jika Anda tidak secara khusus memerlukan perangkat lunak untuk menyimpan profil game atau menggunakan fitur streaming, kami sarankan untuk tidak menggunakannya karena menimbulkan risiko keamanan yang tidak perlu dan penggunaan sumber daya.

    Sumber: Bleeping Computer

    Nvidia

Hapus Aplikasi Android Ini Sebelum Mereka Mencuri Kata Sandi Facebook dan Kripto Anda

by

Berikut adalah beberapa aplikasi yang harus Anda hapus secepatnya:

  • Daily Fitness OL
  • Enjoy Photo Editor
  • Panorama Camera
  • Photo Gaming Puzzle
  • Swarm Photo
  • Business Meta Manager
  • Cryptomining Farm Your own Coin

Kabar baiknya adalah ketujuh aplikasi pembawa malware ini telah segera dikeluarkan dari Play Store setelah Google diberi tahu tentang niat sebenarnya dan kemampuan mencuri data mereka.

Berita buruknya adalah itu tidak menyelesaikan pelanggaran jelas masalah privasi untuk semua pengguna Android yang menginstal aplikasi ini sebelum pengungkapan ini. Selain menghapus semua penyebab pada daftar di atas yang dapat Anda temukan di ponsel Anda, mungkin bijaksana untuk mengubah kata sandi Facebook Anda dan kredensial masuk lainnya untuk aplikasi dan layanan populer lainnya yang mungkin telah Anda simpan di perangkat Anda saat menggunakan aplikasi ini. Secepatnya!

Anda tidak boleh, selamanya, pernah mempercayai platform semacam itu (terutama platform dengan rekam jejak yang tidak terverifikasi dan tidak dapat diverifikasi) bahkan dengan kripto Anda yang bernilai satu dolar atau Anda akan berisiko kehilangan… semua yang ada di dompet Anda.

Sumber: PhoneArena

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

by

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer

Peringatan: Pembaruan Windows merusak otentikasi untuk beberapa admin server

by

Microsoft memperingatkan pembaruan keamanan dapat menyebabkan kegagalan otentikasi untuk pengontrol domain Windows.

“Setelah menginstal pembaruan yang dirilis 10 Mei 2022 di pengontrol domain Anda, Anda mungkin melihat kegagalan otentikasi di server atau klien untuk layanan seperti Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP), dan Protected Extensible Authentication Protocol (PEAP),” kata goliath IT itu dalam sebuah nasihat yang diterbitkan Rabu.

Saran mengacu pada pembaruan Windows KB5013943 (dirilis Selasa, 10 Mei 2022), yang mengikuti KB5012643 (dirilis 25 April 2022) dan membahas penyebab layar berkedip saat memulai dalam Safe Mode.

Pembaruan KB5012643 April itu ditarik dari peredaran pada Rabu, 11 Mei, tanpa penjelasan.

Pembaruan Windows terbaru, KB5013943, meninggalkan masalah yang belum terselesaikan di mana beberapa aplikasi .NET Framework 3.5 gagal dibuka dan beberapa aplikasi yang menggunakan Direct3D 9 dengan GPU tertentu mogok (solusi disarankan untuk kedua kasus.)

Kesulitan otentikasi seharusnya tidak mempengaruhi perangkat Windows klien atau server pengontrol non-domain, menurut Microsoft.

Netizen yang memposting ke /r/sysadmin di Reddit mencatat terjadinya kegagalan otentikasi setelah penerapan dua tambalan Microsoft. Diidentifikasi oleh ID kerentanan CVE-2022-26931 dan CVE-2022-26923, patch tersebut dimaksudkan untuk menyelesaikan dua kerentanan eskalasi hak istimewa “keparahan tinggi” yang dijelaskan dalam KB5014754.

Selengkapnya: The Register

BPFdoor: Malware Linux siluman melewati firewall untuk akses jarak jauh

by

Malware backdoor yang baru-baru ini ditemukan bernama BPFdoor telah diam-diam menargetkan sistem Linux dan Solaris tanpa diketahui selama lebih dari lima tahun.

BPFdoor adalah backdoor Linux/Unix yang memungkinkan pelaku ancaman untuk terhubung dari jarak jauh ke shell Linux untuk mendapatkan akses penuh ke perangkat yang disusupi.

Malware tidak perlu membuka port, tidak dapat dihentikan oleh firewall, dan dapat merespons perintah dari alamat IP mana pun di web, menjadikannya alat yang ideal untuk spionase perusahaan dan serangan terus-menerus.

BPFdoor adalah backdoor pasif, artinya dapat mendengarkan pada satu atau lebih port untuk paket masuk dari satu atau lebih host, yang dapat digunakan penyerang untuk mengirim perintah dari jarak jauh ke jaringan yang disusupi.

Malware menggunakan Berkeley Packet Filter (BPF dalam nama pintu belakang), yang bekerja pada antarmuka lapisan jaringan yang dapat melihat semua lalu lintas jaringan dan mengirim paket pengiriman ke tujuan mana pun.

Karena posisinya pada tingkat yang rendah, BPF tidak mematuhi aturan firewall apa pun.

Ini memiliki versi untuk sistem Linux dan Solaris SPARC tetapi dapat juga di-porting ke BSD, BleepingComputer belajar dari Craig Rowland, pendiri Sandfly Security, sebuah perusahaan yang menawarkan solusi tanpa agen untuk melindungi sistem Linux.

BPFdoor hanya mem-parsing paket ICMP, UDP, dan TCP, memeriksanya untuk nilai data tertentu, dan juga kata sandi untuk dua jenis paket terakhir.

Apa yang membuat BPFDoor menonjol adalah ia dapat memantau port mana pun untuk paket ajaib, bahkan jika port tersebut digunakan oleh layanan sah lainnya, seperti server web, FTP, atau SSH.

Jika paket TCP dan UDP memiliki data “ajaib” yang tepat dan kata sandi yang benar, pintu belakang akan beraksi dengan menjalankan perintah yang didukung, seperti menyiapkan pengikatan atau shell terbalik.

sumber: Sandfly Security

Beaumont memberi tahu kami bahwa paket ICMP tidak memerlukan kata sandi, yang memungkinkannya memindai internet untuk menjalankan implan pintu BPF menggunakan fungsi ping.

Peneliti dapat menemukan aktivitas BPFdoor di jaringan organisasi di berbagai geografi, terutama AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar.

Anehnya, ia menemukan 11 server Speedtest yang terinfeksi BPFdoor. Peneliti mengatakan bahwa tidak jelas bagaimana mesin ini disusupi, terutama karena mereka berjalan pada perangkat lunak sumber tertutup.

Rowland mencatat dalam laporan teknis komprehensif di BPFdoor bahwa malware menggunakan beberapa taktik anti-penghindaran yang cerdas: Selengkapnya

Peneliti mengatakan bahwa tujuan dari tanggal palsu bisa untuk menyembunyikan malware dari pencarian mencari file baru di sistem.

Mengubah aturan firewall sangat penting karena memungkinkan penyerang untuk berkomunikasi dengan pintu belakang melalui lalu lintas yang tidak dapat ditandai oleh firewall sebagai mencurigakan.

Rowland menjelaskan bahwa ketika host yang terinfeksi menerima paket BPFdoor khusus, malware “akan menelurkan instance baru dan mengubah aturan iptables lokal untuk melakukan pengalihan dari host yang meminta ke port shell.”

Untuk lebih memperjelas, Rowland mengatakan bahwa untuk shell lokal, malware memodifikasi konfigurasi ‘iptables’ untuk mengarahkan semua lalu lintas yang datang dari penyerang melalui port yang sah ke kisaran port yang ditentukan dalam malware.

Dengan cara ini, penyerang dapat memilih koneksi melalui port mana pun karena akan dialihkan ke shell di belakang firewall.

Sumber: Craig Rowland, Sandfly Security

Analisis teknis lain pada BPFdoor dari Tristan Pourcelot dari perusahaan intelijen ancaman dan respons insiden ExaTrack, mencatat bahwa malware tersebut hadir dengan beberapa nama hardcode yang cocok dengan string perintah di dalam paket yang relevan:

justtryit, justrobot, dan justforfun untuk membuat shell pengikatan pada port 42391 hingga 42491
socket atau sockettcp untuk mengatur shell terbalik ke alamat IP yang ada dalam paket

Pourcelot mengatakan bahwa aktor ancaman memperbarui BPFdoor secara teratur, meningkatkan setiap rilis dengan nama yang berbeda untuk perintah, proses, atau file.

Misalnya, varian implan yang lebih baru beralih dari menggunakan kata kunci perintah ke hash MD5, kemungkinan dalam upaya untuk menghindari deteksi sepele.

Setidaknya ada 21 versi BPFdoor yang saat ini terdeteksi di platform pemindaian Virus Total, yang paling awal dikirimkan pada Agustus 2018.

Sementara tingkat deteksi untuk implan ini meningkat, terutama setelah Beaumont, Rowland, dan Pourcelot mempublikasikan temuan mereka, malware tersebut hampir tidak terlihat untuk waktu yang lama.

Satu varian BPFdoor untuk Solaris dari 2019 tidak terdeteksi hingga setidaknya 7 Mei ini. Saat ini, 28 mesin antivirus menandainya sebagai berbahaya.

Kevin Beaumont, BleepingComputer

Dalam beberapa kasus, pendeteksian bersifat umum dan secara tidak akurat menandai varian Solaris di atas sebagai malware Linux, meskipun itu bukan biner Linux.

Tristan Pourcelot mengatakan bahwa meskipun BPFdoor tidak menggunakan teknik baru atau rumit, BPFdoor masih tetap tersembunyi untuk waktu yang lama.

Ini dapat dijelaskan oleh fakta bahwa teknologi pemantauan malware tidak umum di lingkungan Linux seperti di Windows. Juga, “vendor memiliki visibilitas yang jauh lebih sedikit,” kata Beaumont

Craig Rowland setuju bahwa ini adalah masalah besar. Bahkan jika ada pemantauan, orang tidak tahu apa yang harus dicari atau menggunakan pendekatan yang salah untuk menemukan malware Linux.

Peneliti memberi tahu kami bahwa beberapa administrator menggunakan hash kriptografis untuk memindai sistem dari malware atau file berbahaya. Ini tidak berfungsi dengan baik karena perubahan terkecil dalam file menghasilkan hash baru.

Rowland mengatakan bahwa berburu BPFdoor itu mudah, setidaknya untuk versi Linux yang dia analisis, karena taktiknya dengan jelas menunjukkan bahwa mereka “hanya berbahaya di luar kotak.”

Sumber: Craig Rowland, Keamanan Sandfly

Kode sumber untuk BPFdoor versi lama dari 2018 telah ditemukan oleh Florian Roth, pencipta pemindai THOR APT Sistem Nextron. Kode sekarang tersedia untuk umum di Pastebin.

Para peneliti BleepingComputer berbicara tentang BPFdoor tidak mengaitkan malware dengan aktor ancaman apa pun. Namun dalam laporan tahunan tentang ancaman siber, peneliti dari PricewaterhouseCoopers (PwC) mencatat bahwa mereka menemukan implan pintu BPF selama keterlibatan respons insiden.

PwC mengaitkan intrusi tersebut dengan aktor berbasis di China yang mereka lacak sebagai Red Menshen (sebelumnya Red Dev 18), yang telah menggunakan BPFdoor pada “penyedia telekomunikasi di seluruh Timur Tengah dan Asia, serta entitas di pemerintahan, pendidikan, dan logistik. sektor.”

Selama penyelidikan, peneliti PwC menemukan bahwa pada tahap pasca-eksploitasi serangan mereka, Red Menshen menggunakan varian khusus dari pintu belakang Mangzamel dan alat akses jarak jauh (RAT) Gh0st bersama dengan alat sumber terbuka seperti Mimikatz (untuk mengekstrak kredensial) dan Metasploit suite pengujian penetrasi, untuk gerakan lateral pada sistem Windows.

Para peneliti mencatat bahwa aktivitas Red Menshen berlangsung dalam interval waktu sembilan jam, antara pukul 01:00 dan 10:00 UTC, yang mungkin sejalan dengan jam kerja lokal.

Sumber: Bleeping Computer

Beberapa versi Windows tidak lagi didukung setelah hari ini

by

Hari ini Windows 10 Home dan Pro, versi 20H2, Windows 10 versi 20H2 akan mendapatkan pembaruan terakhirnya,

Hal yang menyenangkan adalah bahwa itu akan menjadi pembaruan yang mudah. Dalam 18 bulan sejak siklus hidup untuk Windows 10 versi 20H2 dimulai, belum ada pembaruan fitur lengkap. Upgrade ke versi 21H2 hanya membutuhkan waktu beberapa menit, karena hanya menginstal paket pemberdayaan.

Cara siklus hidup Windows 10 secara historis bekerja adalah jika Anda adalah konsumen di Windows 10 Home atau Pro, Anda mendapatkan dukungan selama 18 bulan. Bisnis akan mendapatkan 18 bulan dukungan dari pembaruan musim semi dan 30 bulan dari pembaruan musim gugur.

Windows 10 Enterprise and Education, versi 1909
Windows 10 versi 1909 adalah salah satu yang mendapat dukungan 30 bulan untuk bisnis, dan itu berakhir hari ini. Ini sebenarnya tonggak penting, karena itu berarti bahwa semua versi yang didukung untuk Windows 10 Enterprise dan Education akan menjadi versi 20H2 dan lebih tinggi. Itu berarti bahwa hanya akan ada satu pembaruan kumulatif yang keluar, karena versi 20H2 dan lebih tinggi semuanya adalah bit yang sama persis, hanya dipisahkan oleh paket pengaktifan.

Baru-baru ini, Microsoft beralih ke irama pembaruan tahunan untuk Windows 10, cocok dengan apa yang sudah diperkenalkan dengan Windows 11. Namun, siklus hidup dukungannya berbeda. Pembaruan musim gugur Windows 10, yang akan terus berlanjut, akan terus mendapatkan dukungan selama 18 bulan untuk konsumen dan 30 bulan untuk bisnis. Sementara itu, pembaruan tahunan untuk Windows 11 sebenarnya mendapatkan 24 bulan untuk konsumen dan 36 bulan untuk bisnis.

Versi 20H2 Windows 10 Home dan Windows 10 Pro, dan versi 1909 Windows 10 Education dan Windows 10 Enterprise, akan mendapatkan pembaruan terakhir mereka hari ini. Windows 10 akan didukung dalam satu atau lain bentuk hingga setidaknya Oktober 2025.

Sumber : XDA

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Peretas sekarang menyembunyikan malware di Windows Event Logs

by

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

sumber: Kaspersky

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

sumber: Kaspersky

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer