Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Operasi malware FluBot Android dimatikan oleh penegak hukum

by

Europol telah mengumumkan penghapusan operasi FluBot, salah satu operasi malware Android terbesar dan dengan pertumbuhan tercepat yang pernah ada.

Penghapusan operasi malware dihasilkan dari operasi penegakan hukum yang melibatkan sebelas negara setelah penyelidikan teknis yang kompleks untuk menentukan infrastruktur paling kritis FluBot.

Peserta operasi tersebut adalah Australia, Belgia, Finlandia, Hungaria, Irlandia, Spanyol, Swedia, Swiss, Belanda, dan Amerika Serikat.

Seperti yang diumumkan Polisi Belanda hari ini, mereka telah memutuskan sepuluh ribu korban dari jaringan FluBot dan mencegah lebih dari 6,5 juta SMS spam menjangkau calon korban.

Pada Maret 2021, polisi di Spanyol menangkap empat tersangka yang kemudian dianggap sebagai anggota kunci dari operasi FluBot, karena malware tersebut terutama menginfeksi pengguna di wilayah tersebut.

Namun, jeda dalam distribusinya hanya sesaat, karena malware pulih ke tingkat yang belum pernah terjadi sebelumnya yang menargetkan beberapa negara lain di luar Spanyol.

Namun kali ini, Europol menggarisbawahi bahwa infrastruktur FluBot berada di bawah kendali penegak hukum, sehingga tidak dapat dinyalakan kembali.

FluBot adalah malware Android yang mencuri kredensial akun perbankan dan cryptocurrency dengan melapisi halaman phishing di atas antarmuka aplikasi yang sah ketika korban membukanya.

Selain itu, ia dapat mengakses konten SMS dan memantau notifikasi, sehingga otentikasi dua faktor dan kode OTP dapat diambil dengan cepat.

Proliferasinya yang cepat adalah berkat penyalahgunaan daftar kontak perangkat yang terinfeksi untuk mengirim SMS ke semua kontak melalui orang yang mereka percayai.

Orang yang perangkatnya disalahgunakan untuk spamming tidak akan melihat sesuatu yang aneh karena semuanya terjadi di latar belakang.

Dengan cara ini, dengan hanya mencapai beberapa infeksi, FluBot dengan cepat meningkatkan jumlah korban di tempat-tempat tertentu di seluruh dunia dan menyebar seperti api di sana.

Skema operasi utama FluBot (Europol)

Adapun metode distribusi untuk “patient-zero”, ini termasuk aplikasi yang dicampur di Google Play Store, pesan pengiriman paket palsu, pembaruan aplikasi Flash Player, dan banyak lagi.

Jika menurut Anda FluBot mungkin telah menginfeksi perangkat Anda, Europol menyarankan Anda melakukan reset pabrik yang menghapus semua data di partisi yang dapat menampung malware.

Sumber: Bleeping Computer

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

by

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

Pencarian Windows baru zero-day ditambahkan ke mimpi buruk protokol Microsoft

by

Kerentanan zero-day Windows Search yang baru dapat digunakan untuk secara otomatis membuka jendela pencarian yang berisi executable malware yang di-host dari jarak jauh hanya dengan meluncurkan dokumen Word.

Masalah keamanan dapat dimanfaatkan karena Windows mendukung penangan protokol URI yang disebut ‘search-ms’ yang memungkinkan aplikasi dan tautan HTML untuk meluncurkan pencarian yang disesuaikan pada perangkat.

Sementara sebagian besar pencarian Windows akan melihat pada indeks perangkat lokal, juga dimungkinkan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Misalnya, kumpulan alat Sysinternals yang populer memungkinkan Anda memasang live.sysinternals.com dari jarak jauh sebagai jaringan berbagi untuk meluncurkan utilitas mereka. Untuk mencari berbagi jarak jauh ini dan hanya mencantumkan file yang cocok dengan nama tertentu, Anda dapat menggunakan URI ‘search-ms’ berikut:

search-ms:query=proc&crumb=lokasi:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Seperti yang dapat Anda lihat dari perintah di atas, variabel ‘crumb’ search-ms menentukan lokasi yang akan dicari, dan variabel ‘displayname’ menentukan judul pencarian.

Jendela pencarian yang disesuaikan akan muncul ketika perintah ini dijalankan dari dialog Run atau bilah alamat browser web pada Windows 7, Windows 10, dan Windows 11, seperti yang ditunjukkan di bawah ini.

Pencarian Windows pada berbagi file jarak jauh
Sumber: BleepingComputer

Perhatikan bagaimana judul jendela diatur ke nama tampilan ‘Searching Sysinternals’ yang kami tentukan di URI ms pencarian.

Pelaku ancaman dapat menggunakan pendekatan yang sama untuk serangan berbahaya, di mana email phishing dikirim dengan berpura-pura sebagai pembaruan keamanan atau patch yang perlu diinstal.

Mereka kemudian dapat mengatur berbagi Windows jarak jauh yang dapat digunakan untuk meng-host malware yang disamarkan sebagai pembaruan keamanan dan kemudian menyertakan URI ms pencarian dalam lampiran phishing atau email mereka.

Namun, tidak mudah untuk membuat pengguna mengklik URL seperti ini, terutama ketika muncul peringatan, seperti yang ditunjukkan di bawah ini.

Peringatan browser saat meluncurkan penangan protokol URI
Sumber: BleepingComputer

Tetapi salah satu pendiri dan peneliti keamanan Hacker House Matthew Hickey menemukan cara dengan menggabungkan kelemahan objek Microsoft Office OLEO yang baru ditemukan dengan pengendali protokol pencarian-ms untuk membuka jendela pencarian jarak jauh hanya dengan membuka dokumen Word.

Minggu ini, para peneliti menemukan bahwa pelaku ancaman memanfaatkan kerentanan zero-day Windows baru di Microsoft Windows Support Diagnostic Tool (MSDT). Untuk mengeksploitasinya, pelaku ancaman membuat dokumen Word berbahaya yang meluncurkan pengendali protokol URI ‘ms-msdt’ untuk menjalankan perintah PowerShell hanya dengan membuka dokumen.

Diidentifikasi sebagai CVE-2022-30190, cacat memungkinkan untuk memodifikasi dokumen Microsoft Office untuk melewati Tampilan Terproteksi dan meluncurkan penangan protokol URI tanpa interaksi oleh pengguna, yang hanya akan menyebabkan penyalahgunaan lebih lanjut terhadap penangan protokol.

Ini terlihat kemarin ketika Hickey mengonversi eksploitasi Microsoft Word MSDT yang ada untuk menggunakan pengendali protokol pencarian-ms yang kami jelaskan sebelumnya.

Dengan PoC baru ini, ketika pengguna membuka dokumen Word, maka secara otomatis akan meluncurkan perintah ‘search-ms’ untuk membuka jendela Pencarian Windows yang mencantumkan executable pada share SMB jarak jauh. Pembagian ini dapat diberi nama apa pun yang diinginkan oleh pelaku ancaman, seperti ‘Pembaruan Penting’, yang mendorong pengguna untuk menginstal malware yang terdaftar.

Seperti eksploitasi MSDT, Hickey juga menunjukkan bahwa Anda dapat membuat versi RTF yang secara otomatis membuka jendela Pencarian Windows saat dokumen ditampilkan di panel pratinjau Explorer.

Dengan menggunakan jenis dokumen Word berbahaya ini, pelaku ancaman dapat membuat kampanye phishing yang rumit yang secara otomatis meluncurkan jendela Pencarian Windows di perangkat penerima untuk mengelabui mereka agar meluncurkan malware.

Meskipun eksploitasi ini tidak separah kerentanan eksekusi kode jarak jauh MS-MSDT, ini dapat menyebabkan penyalahgunaan oleh aktor ancaman yang rajin yang ingin membuat kampanye phishing yang canggih.

Untuk mengurangi kerentanan ini, Hickey mengatakan Anda dapat menggunakan mitigasi yang sama untuk eksploitasi ms-msdt – hapus pengendali protokol pencarian-ms dari Windows Registry.

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\search-ms /f”

Contoh penyalahgunaan MSDT dan search-ms bukanlah hal baru, awalnya diungkapkan oleh Benjamin Altpeter pada tahun 2020 dalam tesisnya tentang keamanan aplikasi Elektron.

Namun, baru-baru ini mereka mulai dijadikan senjata dalam dokumen Word untuk serangan phishing tanpa interaksi pengguna, yang mengubahnya menjadi kerentanan zero-day.

Berdasarkan panduan Microsoft untuk CVE-2022-30190, perusahaan tampaknya mengatasi kelemahan dalam penangan protokol dan fitur Windows yang mendasarinya, daripada fakta bahwa pelaku ancaman dapat menyalahgunakan Microsoft Office untuk meluncurkan URI ini tanpa interaksi pengguna.

Seperti yang dikatakan oleh analis kerentanan CERT/CC Will Dormann, eksploitasi ini sebenarnya memanfaatkan dua kelemahan yang berbeda. Tanpa memperbaiki masalah URI Microsoft Office, penangan protokol lebih lanjut akan disalahgunakan.

Hickey juga mengatakan bahwa ia percaya bahwa ini tidak selalu merupakan cacat pada protokol penangan, melainkan kombinasi yang mengarah ke ‘Microsoft Office OLEObject search-ms Location Path Spoofing Vulnerability.’

Pada bulan Juni, para peneliti secara tidak sengaja mengungkapkan detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan Windows Spooler RCE bernama PrintNightmare.

Sementara komponen RCE diperbaiki dengan cepat, berbagai kerentanan elevasi hak istimewa lokal ditemukan yang terus diungkapkan di bawah klasifikasi ‘PrintNightmare’.

Tidak sampai Microsoft membuat beberapa perubahan drastis pada Windows Printing yang akhirnya mereka kendalikan kelas kerentanan ini, meskipun menyebabkan banyak masalah pencetakan untuk beberapa waktu.

Dengan mengatasi masalah hanya di sisi fitur penangan protokol/Windows, Microsoft menghadapi klasifikasi ‘ProtocolNightmare’ yang sama sekali baru di mana para peneliti akan terus menemukan penangan URI baru untuk disalahgunakan dalam serangan.

Sampai Microsoft tidak memungkinkan untuk meluncurkan penangan URI di Microsoft Office tanpa interaksi pengguna, bersiaplah untuk serangkaian artikel berita serupa saat eksploitasi baru dirilis.

Sumber: Bleeping Computer

Microsoft Merilis Panduan Solusi untuk Kerentanan “Follina” MSDT

by

Pada hari Senin 30 Mei 2022, Microsoft mengeluarkan CVE-2022-30190 mengenai Microsoft Support Diagnostic Tool (MSDT) pada kerentanan Windows, pertama kali dilaporkan selama akhir pekan Memorial Day oleh para peneliti dengan vendor keamanan Jepang Nao Sec.

Peneliti keamanan Kevin Beaumont menamai kerentanan itu “Folina,” karena kode zero day merujuk 0438, yang merupakan kode area untuk Follina, Italia. Beaumont mencatat bahwa Defender for Endpoint tidak mendeteksi eksploit, yang mengambil file HTML dari server web jarak jauh dan memungkinkan eksekusi kode PowerShell.

Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dengan hak istimewa aplikasi panggilan, dan kemudian dapat menginstal program, mengubah atau menghapus data, atau bahkan membuat akun baru yang diizinkan oleh hak pengguna, Microsoft memposting di blog keamanannya.

Untuk menonaktifkan Protokol URL MDST, Microsoft mengatakan pengguna harus:

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\ms-msdt filename”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Microsoft mengatakan pelanggan dengan Defender Antivirus harus mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis, sementara pelanggan Defender untuk Endpoint dapat mengaktifkan aturan pengurangan permukaan serangan “BlockOfficeCreateProcessRule” yang memblokir aplikasi Office dari membuat proses anak.

Badan Keamanan Cybersecurity dan Infrastruktur AS mengeluarkan peringatan pada hari Selasa di Follina, mendesak pengguna dan administrator untuk menerapkan solusi yang diperlukan.

Sumber: Microsoft Security Response Center

Microsoft Office baru zero-day digunakan dalam serangan untuk mengeksekusi PowerShell

by

Peneliti keamanan telah menemukan kerentanan zero-day Microsoft Office baru yang digunakan dalam serangan untuk mengeksekusi perintah PowerShell berbahaya melalui Microsoft Diagnostic Tool (MSDT) hanya dengan membuka dokumen Word.

Kerentanan, yang belum menerima nomor pelacakan dan disebut oleh komunitas infosec sebagai ‘Follina,’ dimanfaatkan menggunakan dokumen Word berbahaya yang menjalankan perintah PowerShell melalui MSDT.

Follina zero-day baru ini membuka pintu ke vektor serangan kritis baru yang memanfaatkan program Microsoft Office karena bekerja tanpa hak istimewa yang lebih tinggi, melewati deteksi Windows Defender, dan tidak memerlukan kode makro untuk diaktifkan untuk mengeksekusi binari atau skrip.

Jumat lalu, peneliti keamanan nao_sec menemukan dokumen Word berbahaya yang dikirimkan ke platform pemindaian Virus Total dari alamat IP di Belarus.

“Saya sedang berburu file di VirusTotal yang mengeksploitasi CVE-2021-40444. Kemudian saya menemukan file yang menyalahgunakan skema ms-msdt,” kata nao_sec

“Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema ‘ms-msdt’ untuk mengeksekusi kode PowerShell,” tambah peneliti dalam tweet, memposting tangkapan layar kode yang dikaburkan di bawah ini:

Kode muatan yang dikaburkan, sumber: nao_sec

Peneliti keamanan Kevin Beaumont mendeobfuscate kode dan menjelaskan dalam posting blog bahwa itu adalah string baris perintah yang dijalankan Microsoft Word menggunakan MSDT, bahkan jika skrip makro dinonaktifkan.

Muatan yang tidak disamarkan, sumber: Kevin Beaumont

Skrip PowerShell di atas akan mengekstrak file yang disandikan Base64 dari file RAR dan dijalankan. File ini tidak lagi tersedia, jadi tidak jelas aktivitas jahat apa yang dilakukan oleh serangan tersebut.

Beaumont mengklarifikasi lebih banyak hal dengan mengatakan bahwa dokumen Word berbahaya menggunakan fitur templat jarak jauh untuk mengambil file HTML dari server jauh.

Kode HTML kemudian menggunakan skema protokol MS-MSDT URI Microsoft untuk memuat kode tambahan dan mengeksekusi kode PowerShell.

Peneliti menambahkan bahwa fitur Tampilan Terlindungi di Microsoft Office, yang dirancang untuk memperingatkan file dari lokasi yang berpotensi tidak aman, diaktifkan untuk memperingatkan pengguna tentang kemungkinan dokumen berbahaya.

Namun, peringatan ini dapat dengan mudah dilewati dengan mengubah dokumen menjadi file Rich Text Format (RTF). Dengan demikian, kode yang dikaburkan dapat berjalan “bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer).”

Beberapa peneliti keamanan telah menganalisis dokumen berbahaya yang dibagikan oleh nao_sec dan berhasil mereproduksi eksploit dengan beberapa versi Microsoft Office.

Dalam analisis terpisah hari ini, para peneliti di perusahaan layanan keamanan siber Huntress menganalisis eksploitasi dan memberikan lebih banyak detail teknis tentang cara kerjanya.

Mereka menemukan bahwa dokumen HTML yang mengatur hal-hal yang bergerak berasal dari “xmlformats[.]com,” sebuah domain yang tidak lagi dimuat.

Huntress mengkonfirmasi temuan Beaumont bahwa dokumen RTF akan mengirimkan muatan tanpa interaksi apa pun dari pengguna (selain memilihnya), untuk apa yang umumnya dikenal sebagai “eksploitasi nol-klik.”

Payload Follina dieksekusi hanya dengan memilih dokumen RTF berbahaya, sumber: Huntress

Para peneliti mengatakan bahwa tergantung pada muatannya, penyerang dapat menggunakan eksploitasi ini untuk mencapai lokasi terpencil di jaringan korban

Ini akan memungkinkan penyerang untuk mengumpulkan hash dari kata sandi mesin Windows korban yang berguna untuk aktivitas pasca-eksploitasi lebih lanjut.

Bug Microsoft Office dapat membantu mengumpulkan hash kata sandi Windows, sumber: Huntress

Beaumont memperingatkan bahwa deteksi untuk metode eksploitasi baru ini “mungkin tidak akan bagus,” dengan alasan bahwa kode berbahaya dimuat dari template jarak jauh, sehingga dokumen Word yang dibawa tidak akan ditandai sebagai ancaman karena tidak menyertakan file berbahaya. kode, hanya referensi untuk itu.

Untuk mendeteksi serangan melalui vektor ini, Huntress menunjuk ke proses pemantauan pada sistem karena muatan Follina membuat proses anak ‘msdt.exe’ di bawah induk Microsoft Office yang menyinggung.

Untuk organisasi yang mengandalkan aturan Pengurangan Permukaan Serangan (ASR) Microsoft Defender, Huntress menyarankan untuk mengaktifkan “Blokir semua aplikasi Office agar tidak membuat proses anak” dalam mode Blokir, yang akan mencegah eksploitasi Follina.

Menjalankan aturan dalam mode Audit terlebih dahulu dan memantau hasilnya disarankan sebelum menggunakan ASR, untuk memastikan bahwa pengguna akhir tidak mengalami efek samping.

Mitigasi lain, dari Didier Stevens, adalah menghapus asosiasi tipe file untuk ms-msdt sehingga Microsoft Office tidak akan dapat memanggil alat tersebut saat membuka dokumen Folina yang berbahaya.

Peneliti keamanan mengatakan bahwa kerentanan Follina tampaknya telah ditemukan dan dilaporkan ke Microsoft sejak April.

Menurut tangkapan layar yang diterbitkan oleh anggota Shadow Chaser Group – sebuah asosiasi mahasiswa yang berfokus pada memburu dan menganalisis ancaman persisten tingkat lanjut (APT), Microsoft diberitahu tentang kerentanan tetapi menolaknya sebagai “bukan masalah terkait keamanan.”

Argumen Microsoft untuk ini adalah bahwa sementara ‘msdt.exe’ memang dieksekusi, diperlukan kode sandi saat memulai dan perusahaan tidak dapat mereplikasi eksploitasi.

Balasan Microsoft untuk laporan kerentanan Follina, sumber: CrazyMan_Army

Namun, pada 12 April, Microsoft menutup laporan pengiriman kerentanan (dilacak sebagai VULN-065524) dan mengklasifikasikannya “Masalah ini telah diperbaiki,” dengan dampak keamanan eksekusi kode jarak jauh.

Laporan April untuk Follina Microsoft Office RCE, sumber: CrazyMan_Army

Sumber: Bleeping Computer

Tiga warga Nigeria ditangkap karena kejahatan keuangan yang dibantu malware

by

Interpol telah mengumumkan penangkapan tiga pria Nigeria di Lagos, yang diduga menggunakan trojan akses jarak jauh (RAT) untuk mengubah rute transaksi keuangan dan mencuri kredensial akun.

Operasi internasional, dengan kode nama “Killer Bee,” dipimpin oleh Interpol dengan bantuan lembaga penegak hukum dari 11 negara Asia Tenggara.

Menurut sebuah laporan yang diterbitkan hari ini, target geng tersebut termasuk organisasi perusahaan besar dan perusahaan minyak & gas di Timur Tengah, Afrika Utara, dan Asia Tenggara.

Namun, Interpol tidak mengungkapkan berapa banyak uang yang berhasil dicuri geng dari organisasi yang menjadi korban.

Salah satu dari tiga pria yang ditangkap, Hendrix Omorume, menghadapi hukuman satu tahun penjara karena memiliki dokumen palsu, mendapatkan uang dengan kepura-puraan palsu, dan terlibat dalam peniruan identitas.

Dua pria lainnya, yang masih diadili, hanya menghadapi satu dakwaan memiliki dokumen palsu yang kemungkinan digunakan dalam serangan BEC (kompromi email bisnis).

“Tiga pria, berusia antara 31 dan 38 tahun, masing-masing ditangkap karena memiliki dokumen palsu, termasuk faktur palsu dan surat resmi palsu,” sebut pengumuman itu.

Tiga orang yang ditangkap (Interpol)

Pekan lalu, Interpol mengumumkan penangkapan tersangka pemimpin geng SilverTerrier BEC dalam operasi berbeda yang diberi nama sandi “Delilah.”

Interpol mengatakan laptop dan ponsel dari orang-orang yang ditangkap diperiksa secara menyeluruh, dan polisi menemukan tanda-tanda penyebaran Agen Tesla.

Agen Tesla adalah RAT yang telah ada selama beberapa tahun sekarang, berfungsi sebagai pencuri informasi dan keylogger yang kuat yang dapat mencuri kredensial yang disimpan di browser web, klien email, FTP, dan perangkat lunak lainnya.

Biasanya, itu menginfeksi target melalui email phishing berbahaya yang membawa lampiran berbahaya, yang terbaru, dokumen PowerPoint.

Dalam kasus ini, Omorume diyakini menggunakan Agen Tesla untuk mencuri kredensial akun di organisasi target, mengakses komunikasi email, dan melakukan pengawasan.

Ini diperlukan untuk meletakkan dasar bagi serangan BEC yang sukses, karena pelaku kejahatan tahu kapan harus menyerang dan detail meyakinkan apa yang harus diberikan kepada korban.

Perlu juga dicatat bahwa Agen Tesla melihat penyebaran luas saat ini, dengan laporan deteksi malware ASEC baru-baru ini menempatkan malware di daftar teratas, di atas Formbook, RedLine, Lokibot, Wakbot, dan AveMaria.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

by

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Tagged With: