OS

Botnet PgMiner menyerang database PostgreSQL yang tidak diamankan dengan benar

December 14, 2020 by Winnie the Pooh

Minggu ini, peneliti keamanan telah menemukan operasi botnet yang menargetkan database PostgreSQL untuk menginstal penambang cryptocurrency.

Disebut sebagai PgMiner oleh para peneliti, botnet ini hanyalah yang terbaru dari daftar panjang operasi kejahatan siber baru-baru ini yang menargetkan teknologi web untuk keuntungan moneter.

Menurut para peneliti di Palo Alto Networks ‘Unit 42, botnet beroperasi dengan melakukan serangan brute force terhadap database PostgreSQL yang dapat diakses internet.

Botnet secara acak memilih range jaringan publik (mis., 18.xxx.xxx.xxx) dan kemudian melakukan iterasi melalui semua bagian alamat IP dari rentang itu, mencari sistem yang port PostgreSQL (port 5432) nya terkspos secara online.

Jika PgMiner menemukan sistem PostgreSQL yang aktif, botnet berpindah dari fase pemindaian ke fase brute-force, di mana ia mengacak daftar panjang kata sandi dalam upaya untuk menebak kredensial untuk “postgres,” akun PostgreSQL default.

Jika pemilik database PostgreSQL lupa menonaktifkan user ini atau lupa mengubah kata sandinya, peretas akan mengakses database dan menggunakan fitur COPY PostgreSQL dari PROGRAM untuk meningkatkan akses mereka dari aplikasi database ke server yang mendasarinya dan mengambil alih seluruh OS.

Begitu mereka memiliki pegangan yang lebih kuat pada sistem yang terinfeksi, kru PgMiner menyebarkan aplikasi penambangan koin dan mencoba menambang cryptocurrency Monero sebanyak mungkin sebelum terdeteksi.

Menurut Unit 42, pada laporan mereka, botnet hanya memiliki kemampuan untuk menyebarkan penambang di platform Linux MIPS, ARM, dan x64. Operator Botnet PgMiner juga telah mengendalikan bot yang terinfeksi melalui server perintah dan kontrol (C2) yang dihosting di jaringan Tor dan bahwa basis kode botnet tersebut tampak menyerupai botnet SystemdMiner.

Sumber: ZDNet

Ransomware RegretLocker baru menargetkan mesin virtual Windows

December 11, 2020 by Winnie the Pooh

Ransomware baru bernama RegretLocker menggunakan berbagai fitur canggih yang memungkinkannya mengenkripsi hard drive virtual dan menutup file yang terbuka untuk enkripsi. RegretLocker ditemukan pada bulan Oktober dan merupakan ransomware sederhana dalam hal tampilan karena tidak berisi catatan tebusan bertele-tele dan menggunakan email untuk komunikasi daripada situs pembayaran Tor. Saat mengenkripsi file, itu akan menambahkan ekstensi .mouse yang terdengar tidak berbahaya ke nama file yang dienkripsi.

Apa yang kurang dalam penampilannya, bagaimanapun, itu menggantikan fitur-fitur canggih yang biasanya tidak kita lihat dalam infeksi ransomware, seperti di bawah ini.

RegretLocker memasang hard disk virtual. Saat membuat mesin virtual Windows Hyper-V, hard disk virtual dibuat dan disimpan dalam file VHD atau VHDX. File hard disk virtual ini berisi image disk mentah, termasuk tabel partisi dan partisi drive, dan seperti drive disk biasa, ukurannya dapat berkisar dari beberapa gigabyte hingga terabyte. Ketika ransomware mengenkripsi file di komputer, tidak efisien untuk mengenkripsi file besar karena memperlambat kecepatan seluruh proses enkripsi.

Dalam sampel ransomware yang ditemukan oleh MalwareHunterTeam dan dianalisis oleh Vitali Kremez dari Intel Canggih, RegretLocker menggunakan teknik menarik untuk memasang file disk virtual sehingga setiap filenya dapat dienkripsi secara individual. Setelah drive virtual dipasang sebagai disk fisik di Windows, ransomware dapat mengenkripsi masing-masing satu per satu, yang meningkatkan kecepatan enkripsi. Selain menggunakan Virtual Storage API, RegretLocker juga menggunakan Windows Restart Manager API untuk menghentikan proses atau layanan Windows yang membuat file tetap terbuka selama enkripsi. Saat menggunakan API ini, Kremez memberi tahu BleepingComputer jika nama suatu proses berisi ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’, atau ‘svchost.exe’, ransomware tidak akan menghentikannya. Daftar pengecualian ini kemungkinan besar digunakan untuk mencegah penghentian program kritis atau yang digunakan oleh pelaku ancaman untuk mengakses sistem yang dikompromikan.

Fitur Windows Restart Manager hanya digunakan oleh beberapa ransomware seperti REvil (Sodinokibi), Ryuk, Conti, ThunderX / Ako, Medusa Locker, SamSam, dan LockerGoga. RegretLocker tidak terlalu aktif saat ini, tetapi ini adalah keluarga baru yang perlu kita awasi.

sumber : BleepingComputer

Malware Android Iran “RANA” juga Memata-matai Pesan Instan

December 8, 2020 by Winnie the Pooh

Sebuah tim peneliti mengungkap kemampuan implan spyware Android yang sebelumnya dirahasiakan — yang dikembangkan oleh aktor ancaman Iran yang dikenai sanksi — yang memungkinkan penyerang memata-matai obrolan pribadi dari aplikasi pesan instan populer, memaksa koneksi Wi-Fi, dan menjawab panggilan otomatis dari nomor tertentu untuk tujuan menguping percakapan.

Pada bulan September, Departemen Keuangan AS menjatuhkan sanksi pada APT39 (alias Chafer, ITG07, atau Remix Kitten) – aktor ancaman Iran yang didukung oleh Kementerian Intelijen dan Keamanan (MOIS) negara itu – karena melakukan kampanye malware yang menargetkan para pembangkang Iran, wartawan, dan perusahaan internasional di sektor telekomunikasi dan perjalanan.

Bertepatan dengan sanksi tersebut, Federal Bureau of Investigation (FBI) merilis laporan analisis ancaman publik yang menjelaskan beberapa alat yang digunakan oleh Rana Intelligence Computing Company, yang beroperasi sebagai front untuk aktivitas cyber berbahaya yang dilakukan oleh grup APT39.

Secara resmi menghubungkan operasi APT39 ke Rana, FBI merinci delapan set malware terpisah dan berbeda yang sebelumnya tidak diungkapkan yang digunakan oleh grup untuk melakukan gangguan komputer dan aktivitas pengintaian, termasuk aplikasi spyware Android yang disebut “optimizer.apk” dengan kemampuan mencuri informasi dan akses jarak jauh.

Menurut peneliti Karlo Zanki, implan tidak hanya memiliki izin untuk merekam audio dan mengambil foto untuk keperluan pengawasan pemerintah, tetapi juga berisi fitur untuk menambahkan titik akses Wi-Fi khusus dan memaksa perangkat yang dikompromikan untuk terhubung dengannya.

Yang juga perlu diperhatikan adalah kemampuan untuk menjawab panggilan secara otomatis dari nomor telepon tertentu, sehingga memungkinkan pelaku ancaman untuk memanfaatkan percakapan sesuai permintaan.

Selain menampilkan dukungan untuk menerima perintah yang dikirim melalui pesan SMS, varian terbaru malware “optimizer” yang direferensikan oleh FBI menyalahgunakan layanan aksesibilitas untuk mengakses konten aplikasi pesan instan seperti WhatsApp, Instagram, Telegram, Viber, Skype, dan klien Telegram tidak resmi yang berbasis di Iran bernama Talaeii.

Sumber: The Hacker News

VMware Memberi Perbaikan untuk Bug Zero-Day yang Sebelumnya Kritis

December 5, 2020 by Winnie the Pooh

VMware telah menambal bug zero-day yang terungkap pada akhir November – escalation-of-privileges yang memengaruhi Workspace One dan platform lainnya, untuk sistem operasi Windows dan Linux. VMware juga telah merevisi peringkat keparahan CVSS untuk bug menjadi “penting”, turun dari kritis.

Cybersecurity and Infrastructure Security Agency (CISA) A.S. awalnya menandai kerentanan keamanan yang belum ditambal pada 23 November, yang memengaruhi 12 versi VMware di seluruh portofolio Cloud Foundation, Identity Manager, vRealize Suite Lifecycle Manager, dan Workspace One. Itu dilaporkan ke perusahaan oleh National Security Agency (NSA).

Dilacak sebagai CVE-2020-4006, bug tersebut memungkinkan injeksi perintah, menurut nasihat perusahaan. Meskipun bug tersebut awalnya diberi nilai 9,1 dari 10 pada skala keparahan CVSS, penyelidikan lebih lanjut menunjukkan bahwa penyerang mana pun akan memerlukan kata sandi yang disebutkan dalam pembaruan, membuatnya jauh lebih sulit untuk dieksploitasi secara efektif. Peringkatnya sekarang 7,2, menjadikannya “penting” daripada “kritis”.

“Akun ini bersifat internal untuk produk yang terkena dampak dan kata sandi ditetapkan pada saat penerapan,” menurut penasehat. “Aktor jahat harus memiliki sandi ini untuk mencoba mengeksploitasi CVE-2020-4006.” Kata sandi perlu diperoleh melalui taktik seperti phishing atau brute forcing / credential stuffing, tambahnya.

Saat kerentanan terungkap pada bulan November, perusahaan mengeluarkan solusi “untuk solusi sementara guna mencegah eksploitasi CVE-2020-4006”, dengan konsekuensi bahwa perubahan pengaturan yang dikelola konfigurator dapat dilakukan saat solusi tersebut diterapkan.

sumber : ThreatPost

8% dari semua aplikasi Google Play rentan terhadap bug keamanan lama

December 4, 2020 by Winnie the Pooh

Sekitar 8% aplikasi Android yang tersedia di Google Play Store resmi rentan terhadap cacat keamanan di library Android populer, menurut pemindaian yang dilakukan musim gugur ini oleh perusahaan keamanan Check Point.

Cacat keamanan ada di versi lama Play Core, library Java yang disediakan oleh Google yang dapat disematkan oleh pengembang di dalam aplikasi mereka untuk berinteraksi dengan portal resmi Play Store.

Library Play Core sangat populer karena dapat digunakan oleh pengembang aplikasi untuk mengunduh dan menginstal pembaruan yang dihosting di Play Store, modul, paket bahasa, atau bahkan aplikasi lain.

Awal tahun ini, peneliti keamanan dari Oversecured menemukan kerentanan utama (CVE-2020-8913) di library Play Core yang dapat disalahgunakan oleh aplikasi berbahaya yang diinstal pada perangkat pengguna untuk memasukkan kode jahat ke dalam aplikasi lain dan mencuri data sensitif – seperti kata sandi, foto, kode 2FA, dan lainnya.

Google menambal bug di Play Core 1.7.2, dirilis pada bulan Maret, tetapi menurut temuan baru oleh Check Point, tidak semua pengembang telah memperbarui library Play Core yang disertakan dengan aplikasi mereka, membuat penggunanya mudah terkena serangan pencurian data dari aplikasi jahat yang dipasang di perangkat mereka.

Menurut pemindaian yang dilakukan oleh Check Point pada bulan September, enam bulan setelah patch Play Core tersedia, 13% dari semua aplikasi Play Store masih menggunakan library ini, tetapi hanya 5% yang menggunakan versi yang diperbarui (aman), dengan sisanya membiarkan pengguna terkena serangan.

Di antara aplikasi dengan basis pengguna terbesar yang gagal diperbarui, Check Point mencantumkan aplikasi seperti Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber, dan Booking.com.

Sumber: ZDNet

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

December 1, 2020 by Winnie the Pooh

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Microsoft akan menghadirkan aplikasi Android ke Windows dan Microsoft Store

November 30, 2020 by Winnie the Pooh

Melalui Project Latte, Microsoft sedang mengerjakan solusi perangkat lunak yang akan memungkinkan pengembang aplikasi untuk membawa aplikasi Android mereka ke Windows 10 dengan sedikit atau tanpa perubahan kode dengan mengemasnya sebagai MSIX dan memungkinkan pengembang untuk mengirimkannya ke Microsoft Store.

Sebelumnya, Microsoft telah bermain-main dengan gagasan membawa aplikasi Android ke Windows 10 melalui proyek Astoria yang tidak pernah terwujud. Project Latte bertujuan untuk memberikan produk serupa, dan kemungkinan besar didukung oleh Subsistem Windows untuk Linux (WSL.) Microsoft perlu menyediakan subsistem Androidnya sendiri agar aplikasi Android benar-benar berjalan.

Project Latte tidak akan menyertakan dukungan untuk Layanan Play, karena Google tidak mengizinkan Layanan Play diinstal pada apa pun selain perangkat Android asli dan Chrome OS.

Microsoft telah menjelaskan dalam beberapa tahun terakhir bahwa mereka tidak lagi menganggap aplikasi Windows asli sebagai yang hal terpenting dalam pengembangan aplikasi pada platform. Microsoft sekarang menyambut banyak platform aplikasi, termasuk PWA, UWP, Win32, Linux (melalui WSL) dan segera, aplikasi Android.

Dengan asumsi Microsoft tidak membatalkan rencananya dengan Project Latte, membawa aplikasi Android ke platform akan membuat Windows 10 menjadi OS yang hampir universal dalam hal dukungan aplikasi.

Menurut Windows Central, Microsoft berharap untuk mengumumkan Project Latte tahun depan, dan dapat dikirimkan sebagai bagian dari rilis Windows 10 musim gugur 2021.

Sumber: Windows Central

Peneliti keamanan secara tidak sengaja menemukan zero-day Windows 7 dan Windows Server 2008

November 26, 2020 by Winnie the Pooh

Seorang peneliti keamanan Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan pemutakhiran alat keamanan Windows.

Kerentanan berada pada dua registry key yang salah dikonfigurasi untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.

HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Peneliti keamanan Prancis Clément Labro, yang menemukan zero-day, mengatakan bahwa penyerang yang memiliki pijakan pada sistem yang rentan dapat memodifikasi registry key ini untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.

Subkey “Performance” biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya, subkey ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.

Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SISTEM.

Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi tambalan untuk masalah ini belum dirilis.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings