Python

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

January 27, 2023 by Coffee Bean

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

Indeks Paket Python Ditemukan Berisi Kunci AWS dan Malware

January 16, 2023 by Søren

Indeks Paket Python, atau PyPI, terus mengejutkan dan bukan dengan cara yang baik.

Idealnya sebagai sumber pustaka Python yang dapat disertakan oleh pengembang dalam proyek mereka untuk menghemat waktu, PyPI kembali tertangkap paket hosting dengan kunci Amazon Web Services (AWS) langsung dan malware pencuri data.

Sayangnya, paket berbahaya bukanlah hal baru untuk PyPI atau untuk sistem pengemasan seperti npm, RubyGems, crates.io, dan sejenisnya.

Serangan rantai pasokan – melalui kompromi pustaka perangkat lunak atau kesalahan ketik – telah menjadi masalah selama bertahun-tahun, meskipun baru-baru ini mendapat lebih banyak perhatian dengan insiden seperti kompromi SolarWinds.

Meskipun kewaspadaan ditingkatkan, insiden ini masih terjadi dengan frekuensi yang mengkhawatirkan.

Tepat sebelum Tahun Baru, pengelola kerangka kerja pembelajaran mesin PyTorch memperingatkan bahwa PyTorch-nightly, jika diinstal di Linux melalui pip, menyertakan ketergantungan yang disusupi yang tersedia melalui PyPI yang disebut torchtriton.

Selengkapnya: Linux Security

PyTorch mengungkapkan kompromi rantai ketergantungan berbahaya selama liburan

January 1, 2023 by Søren

PyTorch telah mengidentifikasi dependensi berbahaya dengan nama yang sama dengan pustaka ‘torchtriton’ kerangka kerja. Ini telah menghasilkan kompromi yang berhasil melalui vektor serangan kebingungan ketergantungan.

Admin PyTorch memperingatkan pengguna yang menginstal PyTorch-nightly selama liburan untuk menghapus kerangka kerja dan ketergantungan ‘torchtriton’ palsu.

Dari visi komputer hingga pemrosesan bahasa alami, kerangka kerja pembelajaran mesin open source PyTorch telah menjadi terkenal baik di bidang komersial maupun akademik.

Antara 25 Desember dan 30 Desember 2022, pengguna yang memasang PyTorch-nightly harus memastikan sistem mereka tidak terganggu, tim PyTorch telah memperingatkan.

Peringatan tersebut mengikuti dependensi ‘torchtriton’ yang muncul selama liburan di registri Python Package Index (PyPI), repositori perangkat lunak resmi pihak ketiga untuk Python.

“Harap copot dan segera obortriton, dan gunakan binari malam terbaru (lebih baru dari 30 Desember 2022),” saran tim PyTorch.

Ketergantungan ‘torchtriton’ berbahaya pada PyPI berbagi nama dengan perpustakaan resmi yang diterbitkan di repo PyTorch-nightly. Namun, saat mengambil dependensi dalam ekosistem Python, PyPI biasanya lebih diutamakan, menyebabkan paket berbahaya ditarik ke mesin Anda, bukan yang sah dari PyTorch.

“Karena indeks PyPI lebih diutamakan, paket berbahaya ini diinstal alih-alih versi dari repositori resmi kami. Desain ini memungkinkan seseorang untuk mendaftarkan paket dengan nama yang sama dengan yang ada di indeks pihak ketiga, dan pip akan menginstalnya versi secara default,” tulis tim PyTorch dalam pengungkapan yang diterbitkan kemarin.

Selengkapnya: Bleeping Computer

Pencuri W4SP Ditemukan di Beberapa Paket PyPI dengan Berbagai Nama

December 26, 2022 by Flamango

Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.

Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.

Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.

Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.

Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.

Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.

Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.

Selengkapnya: The Hacker News

Malware Python Baru Membuka Server VMware ESXi Untuk Akses Jarak Jauh

December 14, 2022 by Coffee Bean

Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.

VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.

Malware secara teknis mampu menargetkan sistem Linux dan Unix, juga, analis Juniper menemukan banyak indikasi bahwa malware itu dirancang untuk menyerang ESXi.

Backdoor operation
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.

umumnya, file tersebut kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.

Baris tambahan ditambahkan pada file ESXi (Juniper Networks)

Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.

Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.

“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”

Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.

Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.

Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.

Meringankan
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.

Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.

sumber : bleeping computer

IDE pemrograman online yang dapat digunakan untuk meluncurkan serangan siber jarak jauh

July 8, 2022 by Eevee

Peneliti keamanan memperingatkan bahwa peretas dapat menyalahgunakan platform pembelajaran pemrograman online untuk meluncurkan serangan siber dari jarak jauh, mencuri data, dan memindai perangkat yang rentan, hanya dengan menggunakan browser web.

Setidaknya satu platform tersebut, yang dikenal sebagai DataCamp, memungkinkan pelaku ancaman untuk mengkompilasi alat berbahaya, menghosting atau mendistribusikan malware, dan terhubung ke layanan eksternal.

DataCamp menyediakan lingkungan pengembangan terintegrasi (IDE) untuk hampir 10 juta pengguna yang ingin mempelajari ilmu data menggunakan berbagai bahasa dan teknologi pemrograman (R, Python, Shell, Excel, Git, SQL).

Sebagai bagian dari platform, pengguna DataCamp mendapatkan akses ke ruang kerja pribadi mereka sendiri yang mencakup IDE untuk berlatih dan mengeksekusi kode kustom, mengunggah file, dan menghubungkan ke database.

IDE juga memungkinkan pengguna untuk mengimpor perpustakaan Python, mengunduh dan mengkompilasi repositori, dan kemudian menjalankan program yang dikompilasi. Dengan kata lain, apa pun yang dibutuhkan oleh aktor ancaman yang rajin untuk meluncurkan serangan jarak jauh langsung dari dalam platform DataCamp.

Setelah menanggapi insiden di mana aktor ancaman mungkin menggunakan sumber daya DataCamp untuk menyembunyikan asal serangan, para peneliti di perusahaan keamanan siber Profero memutuskan untuk menyelidiki skenario ini.

Mereka menemukan bahwa Python IDE online lanjutan DataCamp menawarkan kepada pengguna kemampuan untuk menginstal modul pihak ketiga yang memungkinkan koneksi ke bucket penyimpanan Amazon S3.

Omri Segev Moyal, CEO di Profero, mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer bahwa mereka mencoba skenario ini pada platform DataCamp dan dapat mengakses bucket S3 dan mengekstrak semua file ke lingkungan ruang kerja di situs web platform.

Importing files from S3 bucket through DataCamp – source: Profero

Peneliti mengatakan bahwa aktivitas yang berasal dari DataCamp kemungkinan akan lewat tanpa terdeteksi dan “bahkan mereka yang memeriksa koneksi lebih lanjut akan menemui jalan buntu karena tidak ada sumber pasti yang diketahui yang mencantumkan rentang IP Datacamp.”

Penyelidikan terhadap skenario serangan ini berjalan lebih jauh dan para peneliti mencoba mengimpor atau menginstal alat yang biasanya digunakan dalam serangan siber, seperti alat pemetaan jaringan Nmap.

Tidak mungkin untuk menginstal Nmap secara langsung tetapi DataCamp mengizinkan kompilasi dan mengeksekusi biner dari direktori kompilasi.

Nmap berjalan di DataCamp – sumber: Profero

Tim Tanggap Insiden Profero juga menguji apakah mereka dapat mengunggah file menggunakan terminal dan mendapatkan tautan untuk membagikannya. Mereka dapat mengunggah EICAR – file standar untuk menguji deteksi dari solusi antivirus, dan mendapatkan tautan untuk mendistribusikannya.

File EICAR diunggah ke DataCamp – sumber: Profero

Laporan Profero hari ini mencatat bahwa tautan unduhan dapat digunakan untuk mengunduh malware tambahan ke sistem yang terinfeksi dengan menggunakan permintaan web sederhana.

Selain itu, tautan unduhan ini dapat disalahgunakan dalam jenis serangan lain, seperti hosting malware untuk serangan phishing, atau oleh malware untuk mengunduh muatan tambahan.

DataCamp menyatakan dalam Ketentuan Layanan mereka bahwa menyalahgunakan platform dilarang tetapi pelaku ancaman bukanlah pengguna untuk menghormati aturan.

DataCamp mengatakan bahwa mereka “telah mengambil langkah-langkah yang wajar” untuk mencegah penyalahgunaan berdampak pada pengguna lain di platform dan bahwa mereka memantau sistem mereka untuk perilaku buruk.

Meskipun Profero tidak memperluas penelitian mereka ke platform pembelajaran lain, para peneliti percaya bahwa DataCamp bukan satu-satunya yang dapat disalahgunakan oleh peretas.

Platform lain yang menyediakan terminal adalah Binder, sebuah proyek yang berjalan pada infrastruktur terbuka yang dikelola oleh sukarelawan. Layanan ini membuat repositori yang dihosting di infrastruktur lain (GitHub, GitLab) tersedia bagi pengguna melalui browser mereka.

Perwakilan Binder mengatakan bahwa mereka bersedia untuk menambahkan lebih banyak perlindungan dalam kode sumber BinderHub jika laporan Profero menunjukkan bahwa langkah lebih lanjut diperlukan.

Profero mendorong penyedia platform pembelajaran kode online untuk menyimpan daftar gerbang lalu lintas pelanggan keluar dan membuatnya dapat diakses publik sehingga pembela dapat menemukan asal serangan, jika memang demikian.

Sumber: Bleeping Computer

Bahasa pemrograman Python mempercepat pembaruan untuk mengatasi kerentanan kode jarak jauh

February 24, 2021 by Winnie the Pooh

Python Software Foundation (PSF) telah meluncurkan Python 3.9.2 dan 3.8.8 untuk mengatasi dua kelemahan keamanan yang terkenal, termasuk satu yang dapat dieksploitasi dari jarak jauh tetapi dalam istilah praktis hanya dapat digunakan untuk menjatuhkan mesin secara offline.

PSF mendesak asosiasi pengguna Python untuk meningkatkan sistem ke Python 3.8.8 atau 3.9.2, khususnya untuk mengatasi kerentanan eksekusi kode jarak jauh (RCE) yang dilacak sebagai CVE-2021-3177.

Proyek ini mempercepat perilisan setelah menerima tekanan tak terduga dari beberapa pengguna yang mengkhawatirkan kelemahan keamanan.

Python 3.x hingga 3.9.1 memiliki buffer overflow di PyCArg_repr di ctypes/callproc.c, yang dapat menyebabkan eksekusi kode jarak jauh.

Ini mempengaruhi aplikasi Python yang “menerima bilangan floating-point sebagai input tidak tepercaya, seperti yang ditunjukkan oleh argumen 1e300 ke c_double.from_param.”

Bug terjadi karena “sprintf” digunakan secara tidak aman. Dampaknya luas karena Python sudah diinstal sebelumnya dengan banyak distribusi Linux dan Windows 10.

Meskipun kerentanan eksekusi kode jarak jauh adalah berita buruk, RedHat mencatat bahwa “ancaman tertinggi dari kerentanan ini adalah ketersediaan sistem.” Dengan kata lain, penyerang kemungkinan hanya bisa melakukan serangan denial of service.

Selengkapnya: ZDNet

Trojan Windows Baru Mencuri Kredensial Browser, Outlook Files

December 15, 2020 by Winnie the Pooh

Para peneliti telah menemukan trojan pencuri informasi baru, yang menargetkan sistem Microsoft Windows dengan kemampuan eksfiltrasi data yang hebat – mulai dari mengumpulkan kredensial browser hingga menargetkan file Outlook.

Trojan, yang disebut PyMicropsia (karena dibuat dengan Python) telah dikembangkan oleh kelompok ancaman AridViper, kata peneliti, yang dikenal sering menargetkan organisasi di Timur Tengah.

“AridViper adalah kelompok ancaman aktif yang terus mengembangkan alat baru sebagai bagian dari persenjataan mereka,” kata peneliti dari tim Unit42 Palo Alto dalam sebuah analisis.

Peneliti juga mengatakan bahwa ada beberapa bagian dari malware yang belum digunaka, menandakan bahwa malware masih dalam tahap pengembangan.

Kemampuan trojan info-stealer ini mencakup pengunggahan file, pengunduhan/eksekusi muatan, pencurian kredensial browser (dan kemampuan untuk menghapus riwayat dan profil penjelajahan), mengambil tangkapan layar dan keylogging.

Selain itu, malware juga dapat mengumpulkan informasi file listing, menghapus file, menyalakan ulang mesin, mengumpulkan informasi dari drive USB dan merekam audio; serta memanen file Outlook .OST dan mematikan/menonaktifkan proses Outlook. File OST mungkin berisi pesan email, kontak, tugas, data kalender, dan informasi akun lainnya.

Meskipun PyMicropsia dirancang untuk menargetkan sistem operasi Windows saja, peneliti menemukan cuplikan dalam kode yang memeriksa sistem operasi lain (seperti “posix” atau “darwin”). Posix, atau Portable Operating System Interface, adalah keluarga standar yang digunakan untuk menjaga kompatibilitas antara sistem operasi; dan Darwin sebuah sistem operasi mirip Unix.

Sumber: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Python

Cookies Settings