Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Programming Language

Programming Language

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

by

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

Indeks Paket Python Ditemukan Berisi Kunci AWS dan Malware

by

Indeks Paket Python, atau PyPI, terus mengejutkan dan bukan dengan cara yang baik.

Idealnya sebagai sumber pustaka Python yang dapat disertakan oleh pengembang dalam proyek mereka untuk menghemat waktu, PyPI kembali tertangkap paket hosting dengan kunci Amazon Web Services (AWS) langsung dan malware pencuri data.

Sayangnya, paket berbahaya bukanlah hal baru untuk PyPI atau untuk sistem pengemasan seperti npm, RubyGems, crates.io, dan sejenisnya.

Serangan rantai pasokan – melalui kompromi pustaka perangkat lunak atau kesalahan ketik – telah menjadi masalah selama bertahun-tahun, meskipun baru-baru ini mendapat lebih banyak perhatian dengan insiden seperti kompromi SolarWinds.

Meskipun kewaspadaan ditingkatkan, insiden ini masih terjadi dengan frekuensi yang mengkhawatirkan.

Tepat sebelum Tahun Baru, pengelola kerangka kerja pembelajaran mesin PyTorch memperingatkan bahwa PyTorch-nightly, jika diinstal di Linux melalui pip, menyertakan ketergantungan yang disusupi yang tersedia melalui PyPI yang disebut torchtriton.

Selengkapnya: Linux Security

Cacat Keamanan Parah Ditemukan di Perpustakaan “jsonwebtoken” Digunakan oleh 22.000+ Proyek

by

Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan di pustaka open source jsonwebtoken (JWT) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh di server target.

Dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), masalah ini berdampak pada semua versi library, termasuk dan di bawah 8.5.1, dan telah diatasi dalam versi 9.0.0 yang dikirimkan pada 21 Desember 2022. Cacat tersebut telah dilaporkan oleh perusahaan keamanan siber pada 13 Juli 2022.

jsonwebtoken, yang dikembangkan dan dikelola oleh Okta’s Auth0, adalah modul JavaScript yang memungkinkan pengguna mendekode, memverifikasi, dan menghasilkan token web JSON sebagai sarana transmisi informasi yang aman antara dua pihak untuk otorisasi dan otentikasi. Ini memiliki lebih dari 10 juta unduhan mingguan di registri perangkat lunak npm dan digunakan oleh lebih dari 22.000 proyek.

Karena perangkat lunak open source semakin muncul sebagai jalur akses awal yang menguntungkan bagi pelaku ancaman untuk melancarkan serangan rantai pasokan, kerentanan dalam alat tersebut harus diidentifikasi secara proaktif, dimitigasi, dan ditambal oleh pengguna hilir.

Lebih buruk lagi adalah kenyataan bahwa penjahat dunia maya telah menjadi jauh lebih cepat dalam mengeksploitasi kelemahan yang baru terungkap, secara drastis mempersingkat waktu antara rilis tambalan dan ketersediaan eksploitasi. Menurut Microsoft, rata-rata hanya membutuhkan waktu 14 hari untuk mengeksploitasi terdeteksi di alam liar setelah pengungkapan bug secara publik.

Untuk mengatasi masalah penemuan kerentanan ini, Google, bulan lalu, mengumumkan perilisan OSV-Scanner, sebuah utilitas open source yang bertujuan untuk mengidentifikasi semua dependensi transitif suatu proyek dan menyoroti kekurangan relevan yang memengaruhinya.

sumber: thehackernews

PyTorch mengungkapkan kompromi rantai ketergantungan berbahaya selama liburan

by

PyTorch telah mengidentifikasi dependensi berbahaya dengan nama yang sama dengan pustaka ‘torchtriton’ kerangka kerja. Ini telah menghasilkan kompromi yang berhasil melalui vektor serangan kebingungan ketergantungan.

Admin PyTorch memperingatkan pengguna yang menginstal PyTorch-nightly selama liburan untuk menghapus kerangka kerja dan ketergantungan ‘torchtriton’ palsu.

Dari visi komputer hingga pemrosesan bahasa alami, kerangka kerja pembelajaran mesin open source PyTorch telah menjadi terkenal baik di bidang komersial maupun akademik.

Antara 25 Desember dan 30 Desember 2022, pengguna yang memasang PyTorch-nightly harus memastikan sistem mereka tidak terganggu, tim PyTorch telah memperingatkan.

Peringatan tersebut mengikuti dependensi ‘torchtriton’ yang muncul selama liburan di registri Python Package Index (PyPI), repositori perangkat lunak resmi pihak ketiga untuk Python.

“Harap copot dan segera obortriton, dan gunakan binari malam terbaru (lebih baru dari 30 Desember 2022),” saran tim PyTorch.

Ketergantungan ‘torchtriton’ berbahaya pada PyPI berbagi nama dengan perpustakaan resmi yang diterbitkan di repo PyTorch-nightly. Namun, saat mengambil dependensi dalam ekosistem Python, PyPI biasanya lebih diutamakan, menyebabkan paket berbahaya ditarik ke mesin Anda, bukan yang sah dari PyTorch.

“Karena indeks PyPI lebih diutamakan, paket berbahaya ini diinstal alih-alih versi dari repositori resmi kami. Desain ini memungkinkan seseorang untuk mendaftarkan paket dengan nama yang sama dengan yang ada di indeks pihak ketiga, dan pip akan menginstalnya versi secara default,” tulis tim PyTorch dalam pengungkapan yang diterbitkan kemarin.

Selengkapnya: Bleeping Computer

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer

Pencuri W4SP Ditemukan di Beberapa Paket PyPI dengan Berbagai Nama

by

Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.

Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.

Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.

Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.

Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.

Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.

Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.

Selengkapnya: The Hacker News

Malware Python Baru Membuka Server VMware ESXi Untuk Akses Jarak Jauh

by

Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.

VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.

Malware secara teknis mampu menargetkan sistem Linux dan Unix, juga, analis Juniper menemukan banyak indikasi bahwa malware itu dirancang untuk menyerang ESXi.

Backdoor operation
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.

umumnya, file tersebut kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.

Baris tambahan ditambahkan pada file ESXi (Juniper Networks)

Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.

Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.

“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”

Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.

Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.

Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.

Meringankan
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.

Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.

sumber : bleeping computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer