Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technology

Technology

Kampanye Serangan Kelelahan MFA Saat Ini Menargetkan Pengguna Microsoft Office 365

by

Otentikasi Multi-faktor atau MFA (2FA) adalah cara terbaik untuk melindungi akun Office 365 Anda dari penyerang yang mencoba mendapatkan akses ke akun tersebut. Ada banyak opsi MFA termasuk SMS, One Time Passwords (OTP) dan pemberitahuan push dari aplikasi.

Namun dalam kasus ini, kami memeriksa Kelelahan MFA dengan berfokus pada vektor serangan saat ini—Push Notification Spamming. GoSecure Titan Labs mengidentifikasi vektor ancaman baru menggunakan serangan Kelelahan MFA berdasarkan penyelidikan terbaru.

Pelaku ancaman dikenal secara aktif menggunakan metode semacam ini untuk menembus akun Office 365 dan membahayakan seluruh organisasi. Karena mekanisme otentikasi berbasis aplikasi semakin diadopsi sebagai cara yang lebih aman untuk mengautentikasi pengguna (dibandingkan SMS atau panggilan telepon), kecenderungan ini diharapkan akan tumbuh di masa depan, bahkan didorong oleh Microsoft sendiri

Istilah “Kelelahan MFA” sendiri mengacu pada pemberitahuan atau permintaan yang berlebihan melalui aplikasi MFA, di beberapa akun, yang diterima pengguna pada siang hari untuk melakukan login atau menyetujui tindakan yang berbeda.

MFA dapat menggunakan beragam media untuk mengautentikasi pengguna, seperti pesan SMS atau panggilan telepon di mana pengguna mengotentikasi identitas mereka melalui nomor telepon yang telah dikonfigurasi sebelumnya. Pilihan lainnya adalah pemberitahuan push dari aplikasi. Ini adalah metode otentikasi yang akan kita fokuskan, karena memungkinkan penyerang melakukan serangan spam pemberitahuan push.

Teknik ini mengharuskan penyerang mengirimkan pemberitahuan push berulang kali saat mencoba masuk ke akun korban. Kredensial yang digunakan dapat diperoleh melalui pemaksaan kasar, penggunaan kembali kata sandi, atau penyemprotan. Setelah penyerang mendapatkan kredensial yang valid, mereka akan melakukan spam notifikasi push berulang kali hingga pengguna menyetujui upaya login dan memungkinkan penyerang mendapatkan akses ke akun.

Untungnya, jenis serangan ini dapat dideteksi langsung dari portal Azure dengan memeriksa Log Masuk. Kami sangat menyarankan agar profesional TI mengambil langkah-langkah berikut:

Buka pusat administrasi Azure Active Directory.
Di bawah Pemantauan, Anda akan menemukan Log Masuk, tempat informasi tentang masuk dan sumber daya pengguna dicatat.
Kemudian filter Status masuk dengan Kegagalan untuk mendapatkan daftar pemberitahuan push MFA ditolak.

Dari sini, mulailah menyelidiki setiap aktivitas satu per satu dengan membuka Detail Otentikasi.
Beberapa peristiwa harus dilihat sebagai pemberitahuan aplikasi Seluler di bawah kolom Metode Otentikasi.
Pemberitahuan push spam harus salah di bawah kolom Berhasil dan MFA ditolak; pengguna menolak otentikasi di bawah Detail hasil.

Cara Mengurangi Spamming Pemberitahuan Push

  • Mengonfigurasi Batas Layanan

    • Mengonfigurasi batas default layanan Multi-Factor Authentication. Batasan ini, baik default maupun maksimum, dapat ditemukan di dokumentasi Azure Resource Manager.

  • Masuk dengan Telepon

    • Menggunakan metode verifikasi masuk melalui telepon dari Microsoft Authenticator. Dalam skenario ini, nomor dua digit unik dihasilkan dan harus dikonfirmasi di kedua sisi. Ini sangat sulit bagi penyerang untuk berkompromi karena penyerang diperlihatkan nomor yang harus ditebak di telepon (yang tidak dapat diakses oleh penyerang). Hanya penyerang yang akan mengetahui nomornya dan untuk menyetujui akses, pengguna harus memilih nomor dari tiga opsi.

    Selengkapnya : Go Secure

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.

Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:

Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.

Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Dompet yang ditargetkan oleh Mars Stealer
Sumber: 3xp0rt.com

Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:

  • IP dan negara
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain

    • Selengkapnya : Bleeping Computer

    Grabber Pencuri Mars Kustom
    Sumber: 3xp0rt.com

    Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.

    Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.

    Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.

    Fungsi tidur anti-debugging
    Sumber: 3xp0rt.com

    Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.

    Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.

    Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.

    Pemeriksaan bahasa untuk pengecualian target
    Sumber: 3xp0rt.com

    Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.

    Selengkapnya : Bleeping Computer

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

by

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play tetapi tidak sebelum diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyambar data keuangan.

Pelaku ancaman mengembangkan aplikasi operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis open-source yang disuntikkan dengan add-on berbahaya.

Setelah diunduh, aplikasi menginstal trojan perbankan Vultur, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya yang ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utama untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan skala.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan upaya dari para aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama,” kata ThreatFabric saat itu.

Autentikator 2FA scam juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, kata tim Pradeo.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan itu menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini dimaksudkan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang canggih dan relatif baru yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan informasi keuangan penting lainnya,” kata laporan itu.

Sumber : Threat Post

Olimpiade Musim Dingin: Atlet Disarankan Menggunakan Pembakar Telepon Beijing

by

Aplikasi Olimpiade Musim Dingin Beijing yang harus digunakan semua peserta Olimpiade mengandung kelemahan keamanan yang membuat pengguna terkena pelanggaran data, kata para analis.

Aplikasi My2022 akan digunakan oleh atlet, anggota audiens dan media untuk pemantauan Covid setiap hari.

Aplikasi ini juga akan menawarkan obrolan suara, transfer file, dan berita Olimpiade.

Tetapi kelompok cybersecurity Citizen Lab mengatakan aplikasi itu gagal memberikan enkripsi pada banyak filenya. China telah menepis kekhawatiran tersebut.

Pertanyaan tentang aplikasi datang di tengah meningkatnya peringatan tentang keamanan teknologi pengunjung menjelang Olimpiade, yang dimulai pada 4 Februari.

Orang-orang yang menghadiri Olimpiade Beijing harus membawa ponsel pembakar dan membuat akun email untuk waktu mereka di China, perusahaan keamanan cyber Internet 2.0 mengatakan pada hari Selasa.

Beberapa negara juga dilaporkan telah mengatakan kepada para atlet untuk meninggalkan perangkat utama mereka di rumah.

Masalah sensor

Laporan Citizen Lab mengatakan telah menemukan daftar “kata kunci sensor” yang dibangun ke dalam aplikasi, dan fitur yang memungkinkan orang untuk menandai ekspresi “sensitif secara politik” lainnya.

Daftar kata-kata termasuk nama-nama pemimpin Cina dan lembaga pemerintah, serta referensi untuk pembunuhan 1989 demonstran pro-demokrasi di Lapangan Tiananmen, dan kelompok agama Falun Gong, yang dilarang di Cina.

Para analis mencatat bahwa fitur dan kelemahan keamanan ini tidak jarang terjadi pada aplikasi di China tetapi menimbulkan risiko bagi pengguna.

Analis mengatakan file “kata-kata ilegal” tampaknya saat ini tidak aktif, tetapi tidak jelas.

Semua pengunjung Ke Olimpiade diharuskan mengunduh aplikasi 14 hari sebelum keberangkatan mereka ke China, dan menggunakannya untuk merekam setiap hari status Covid mereka.

Untuk pengunjung asing mereka juga perlu mengunggah informasi sensitif yang sudah diserahkan kepada pemerintah China – seperti rincian paspor dan riwayat perjalanan dan medis.

Citizen Lab mengatakan kelemahan transmisi dalam perangkat lunak aplikasi dapat menyebabkan eksploitasi data yang mudah oleh peretas, jika ditargetkan.

Dalam sebuah laporan pada hari Selasa, outlet media pemerintah China Global Times menepis kekhawatiran tentang aplikasi tersebut, dengan mengatakan “semua informasi pribadi akan dienkripsi untuk memastikan privasi”.

Ini membandingkan aplikasi dengan aplikasi yang telah digunakan di Olimpiade Tokyo.

Sumber: BBC

Nintendo Memperingatkan Situs Palsu yang Mendorong Diskon Switch Palsu

by

Nintendo telah memperingatkan pelanggan dari beberapa situs yang meniru situs web resmi perusahaan video game Jepang dan berpura-pura menjual konsol Nintendo Switch dengan diskon yang signifikan.

Peringatan langka ini dikeluarkan minggu lalu melalui situs perusahaan multinasional game, yang juga mengisyaratkan tingkat keparahan masalah ini.

“Situs palsu menggunakan logo perusahaan kami secara ilegal, membuatnya terlihat seolah-olah dioperasikan oleh kami, dan menampilkan produk kami, seperti Nintendo Switch, untuk dibeli jika dengan harga diskon yang signifikan,” kata Nintendo.

“Tautan ke situs web resmi Nintendo adalah sebagai berikut: https://www.nintendo.co.jp/.”

“Membeli produk di situs palsu dapat mengakibatkan kerusakan penipuan seperti akuisisi informasi pribadi yang tidak sah. Harap berhati-hatilah untuk tidak salah mengiranya sebagai situs web kami, dan jangan membeli produk dari situs web palsu,” tambah Nintendo.

Raksasa video game itu juga memperingatkan bahwa mereka akan segera memperingatkan polisi dan lembaga penegak hukum terkait ketika menemukan situs palsu yang menargetkan pelanggannya.

Peringatan ini muncul setelah pelanggaran data yang diungkapkan dua tahun lalu ketika aktor ancaman yang tidak diketahui masuk ke akun lebih dari 300.000 pengguna Nintendo tanpa otorisasi.

Para penyerang menggunakan ID Nintendo Network dan mendapatkan akses ke nama pengguna, negara, alamat email, dan tanggal lahir.

Setelah menemukan insiden tersebut, Nintendo memperingatkan pengguna untuk mengaktifkan autentikasi dua faktor (2FA) di akun mereka dan mengatur ulang kata sandi untuk NNID dan akun Nintendo yang terkena dampak.

Sumber: Bleepingcomputer

Tentara Swiss Melarang Semua Aplikasi Obrolan Kecuali Threema yang Dikembangkan Secara Lokal

by

Tentara Swiss telah melarang aplikasi pesan instan asing seperti Signal, Telegram, dan WhatsApp dan mengharuskan anggota militer untuk menggunakan aplikasi perpesanan Threema yang dikembangkan secara lokal sebagai gantinya.

Karena Threema adalah layanan komunikasi berlangganan berbayar, tentara Swiss berjanji untuk menutupi biaya berlangganan tahunan untuk semua tentara, yang kira-kira $ 4,40 per pengguna.

Tentara Swiss juga telah memposting rekomendasi di Facebook, mencirikan Threema sebagai alat komunikasi bebas iklan yang aman yang menampilkan enkripsi end-to-end dan tidak meninggalkan jejak digital.

Meskipun pasukan diharapkan untuk mengikuti instruksi resmi, tidak ada hukuman saat ini jika anggota tentara menggunakan aplikasi IM asing.

Mengapa beralih ke Threema?

Sementara banyak aplikasi perpesanan menjanjikan enkripsi end-to-end dan komunikasi pribadi dan aman, banyak yang menyimpan beberapa metadata pada pengguna yang dapat dipanggil oleh penegak hukum.

Dokumen FBI yang diperoleh Oleh Property of the People melalui permintaan FOIA mencantumkan berbagai data yang dapat diperoleh melalui cara hukum dari iMessage, Line, Signal, Telegram, Threema, Viber, WeChat, WhatsApp, dan Wickr.

Data bervariasi di setiap aplikasi, dengan beberapa hanya berbagi tanggal pendaftaran, sementara yang lain dapat memberikan alamat IP, alamat email, nomor telepon, konten pesan parsial, dan banyak lagi.

Juga, sementara beberapa aplikasi perpesanan adalah open source, bagian dari kode server mereka tetap buram, jadi tidak ada gambaran yang jelas tentang apa yang sebenarnya dicatat oleh semua platform.

Salah satu perbedaan utama adalah bahwa Threema tidak mengharuskan pengguna untuk memberikan nomor telepon atau alamat email pada saat pendaftaran, sehingga identitas pengguna tidak dapat ditentukan melalui data yang tersedia untuk umum.

Para pejabat Swiss menggarisbawahi perbedaan yang paling penting adalah bahwa Threema tidak tunduk pada Undang-Undang Cloud AS, yang disahkan pada 2018 “tersembunyi” di dalam tagihan pengeluaran anggaran.

Undang-undang kontroversial tersebut mengangkat kebutuhan untuk mengamankan surat perintah penggeledahan ketika agen negara BAGIAN AS perlu mengakses dan meneliti data online seseorang.

Namun, ini tidak berarti bahwa kepercayaan antara kedua negara telah terguncang, atau bahwa hubungan mereka memasuki turbulensi tiba-tiba.

Seperti martin Steiger, seorang pengacara Swiss yang mengkhususkan diri dalam hukum digital mengatakan kepada Bleeping Computer selama diskusi pribadi, langkah ini kemungkinan besar merupakan hasil dari entitas Swiss melobi lebih agresif.

“Salah satu alasan (untuk promosi Threema) bisa jadi perusahaan Swiss menjadi lebih baik dalam melobi produk mereka, sebagian didukung oleh gerakan kedaulatan data,” kata Steiger kepada BleepingComputer.

“Swiss telah menjadi sekutu dekat AS selama beberapa dekade, dan pihak berwenangnya, terutama dinas intelijen, diketahui memiliki hubungan dekat dengan rekan-rekan Amerika mereka.”

Menjadi pengguna Threema sendiri, Steiger menambahkan, adalah langkah tentara Swiss ke arah yang benar tetapi masi terbatas.

Solusi terdesentralisasi

Jika Anda mencari aplikasi pesan instan yang sepenuhnya (klien dan server) open-source, anonim, fitur enkripsi end-to-end yang kuat, dan terdesentralisasi, Anda bisa cek Session, Matrix, atau Briar.

Namun, beberapa layanan ini membutuhkan lebih banyak keahlian teknis untuk diatur dengan benar dan tidak banyak digunakan seperti aplikasi lainnya.

Orang cenderung menggunakan aplikasi komunikasi mereka berdasarkan fitur, kegunaan, dan bahkan kompatibilitas mereka.

Namun, aspek keamanan dan privasi, yang sering diabaikan, adalah faktor yang paling penting untuk dipertimbangkan ketika menggunakan aplikasi perpesanan.

Sumber: Bleepingcomputer

‘Elephant Beetle’ Menghabiskan Waktu Berbulan-bulan di Jaringan Korban untuk Mengalihkan Transaksi

by

Seorang aktor bermotivasi finansial yang dijuluki ‘Elephant Beetle’ mencuri jutaan dolar dari organisasi di seluruh dunia menggunakan gudang lebih dari 80 alat dan skrip unik.

Kelompok ini sangat canggih dan sabar, menghabiskan berbulan-bulan mempelajari lingkungan korban dan proses transaksi keuangan, dan baru kemudian bergerak untuk mengeksploitasi kekurangan dalam operasi.

Para aktor menyuntikkan transaksi penipuan ke dalam jaringan dan mencuri sejumlah kecil dalam waktu lama, yang mengarah ke pencurian keseluruhan jutaan dolar. Jika mereka terlihat, mereka berbaring rendah untuk sementara waktu dan kembali melalui sistem yang berbeda.

Keahlian ‘Elephant Beetle’ tampaknya dalam menargetkan aplikasi Java warisan pada sistem Linux, yang biasanya merupakan titik masuk mereka ke jaringan perusahaan.

TTP aktor tersebut diekspos dalam laporan teknis terperinci yang dibagikan tim Respons Insiden Sygnia dengan Bleeping Computer sebelum dipublikasikan.

Mengeksploitasi kekurangan dan berbaur dengan lalu lintas normal

‘Elephant Beetle’ lebih suka menargetkan kerentanan yang diketahui dan kemungkinan tidak ditampar daripada membeli atau mengembangkan eksploitasi zero-day.

Peneliti Sygnia telah mengamati kelompok tersebut selama dua tahun dan dapat mengkonfirmasi aktor ancaman yang mengeksploitasi kekurangan berikut:

  • Injeksi Bahasa Ekspresi Aplikasi Primefaces (CVE-2017-1000486)
  • WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450)
  • SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
  • Eksekusi Kode Jarak Jauh SAP NetWeaver ConfigServlet (EDB-ID-24963)

Keempat kekurangan di atas memungkinkan para aktor untuk mengeksekusi kode sewenang-wenang dari jarak jauh melalui shell web yang dibuat khusus dan dikaburkan.

Atribusi dan tips pertahanan

‘Elephant Beetle’ menggunakan variabel kode Spanyol dan nama file, dan sebagian besar alamat IP C2 yang mereka gunakan berbasis di Meksiko.

Juga, pemindai jaringan yang ditulis Java diunggah ke Virus Total dari Argentina, mungkin selama fase pengembangan dan pengujian awal.

Dengan demikian, kelompok ini tampaknya terhubung ke Amerika Latin dan mungkin memiliki hubungan atau tumpang tindih dengan aktor FIN13, dilacak oleh Mandiant.

Beberapa saran dasar untuk membela terhadap aktor ini meliputi:

  • Hindari menggunakan prosedur ‘xp_cmdshell’ dan nonaktifkan di server MS-SQL. Pantau perubahan konfigurasi dan penggunaan ‘xp_cmdshell’.
  • Pantau penyebaran WAR dan validasi bahwa fungsi penyebaran paket termasuk dalam kebijakan pencatatan aplikasi yang relevan.
  • Berburu dan memantau keberadaan dan pembuatan file .class yang mencurigakan di folder temp aplikasi WebSphere.
  • Memantau proses yang dijalankan oleh proses layanan induk server web (yaitu, ‘w3wp.exe’, ‘tomcat6.exe’) atau oleh proses terkait database (yaitu, ‘sqlservr.exe’).
  • Menerapkan dan memverifikasi segregasi antara DMZ dan server internal.

Selengkapnya: Bleepingcomputer