Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peretas Iran Menggunakan Backdoor PowerShell Baru dalam Serangan Espionage Cyber

by

Kelompok ancaman Iran telah memperbarui perangkat malwarenya untuk memasukkan implan berbasis PowerShell baru yang disebut PowerLess Backdoor.

Perusahaan keamanan siber di Boston mengaitkan malware tersebut dengan kelompok peretasan yang dikenal sebagai Charming Kitten (alias Fosfor, APT35, atau TA453), sementara juga menyerukan eksekusi PowerShell yang mengelak dari pintu belakang.

“Kode PowerShell berjalan dalam konteks aplikasi .NET, sehingga tidak meluncurkan ‘powershell.exe’ yang memungkinkannya untuk menghindari produk keamanan,” Daniel Frank, peneliti malware senior di Cybereason, mengatakan. “Toolset yang dianalisis mencakup malware multi-tahap yang sangat modular yang mendekripsi dan menyebarkan muatan tambahan dalam beberapa tahap demi siluman dan kemanjuran.”

Awal bulan ini, Check Point Research mengungkapkan rincian operasi spionase yang melibatkan kelompok peretas yang mengeksploitasi kerentanan Log4Shell untuk menyebarkan pintu belakang modular yang dijuluki CharmPower untuk serangan lanjutan.

Penyempurnaan terbaru pada arsenalnya, merupakan perangkat yang sepenuhnya baru yang mencakup PowerLess Backdoor, yang mampu mengunduh dan menjalankan modul tambahan seperti browser info-stealer dan keylogger.

Juga berpotensi terkait dengan pengembang pintu belakang yang sama adalah sejumlah artefak malware lainnya, termasuk perekam audio, varian pencuri informasi sebelumnya, dan apa yang para peneliti duga sebagai varian ransomware yang belum selesai dikodekan dalam .NET.

Selain itu, infrastruktur tumpang tindih telah diidentifikasi antara kelompok Fosfor dan jenis ransomware baru yang disebut Memento, yang pertama kali muncul pada November 2021 dan mengambil langkah yang tidak biasa dengan mengunci file dalam arsip yang dilindungi kata sandi, diikuti dengan mengenkripsi kata sandi dan menghapus file asli, setelah upaya mereka untuk mengenkripsi file secara langsung diblokir oleh perlindungan titik akhir.

Sumber : The Hacker News

Ransomware BlackCat Melambung ke Puncak

by

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

  • Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
  • Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
  • Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social

Telah terjadi peningkatan besar dalam serangan phishing menggunakan add-in Microsoft Excel XLL

by

Gelombang serangan siber memanfaatkan file add-in Microsoft Excel untuk mengirimkan beberapa bentuk malware dalam kampanye yang dapat membuat bisnis rentan terhadap pencurian data, ransomware, dan kejahatan dunia maya lainnya.

Dirinci oleh para peneliti di HP Wolf Security, kampanye tersebut menggunakan file tambahan Microsoft Excel (XLL) berbahaya untuk menginfeksi sistem dan ada peningkatan serangan hampir enam kali lipat (588%) menggunakan teknik ini selama kuartal terakhir tahun 2021 dibandingkan dengan tiga bulan sebelumnya.

File add-in XLL sangat populer karena memungkinkan pengguna untuk menggunakan berbagai macam alat dan fungsi tambahan di Microsoft Excel. Tapi seperti makro, mereka adalah alat yang dapat dieksploitasi oleh penjahat cyber.

Serangan didistribusikan melalui email phishing berdasarkan referensi pembayaran, faktur, kutipan, dokumen pengiriman dan pesanan yang datang dengan dokumen Excel berbahaya dengan file tambahan XLL. Menjalankan file berbahaya meminta pengguna untuk menginstal dan mengaktifkan add-in, yang secara diam-diam akan menjalankan malware di mesin korban.

Keluarga malware yang diidentifikasi dikirim dalam serangan yang memanfaatkan file XLL termasuk Dridex, IcedID, BazaLoader, Agen Tesla, Raccoon Stealer, Formbook, dan Bitrat. Banyak dari bentuk malware ini dapat membuat pintu belakang ke sistem Windows yang disusupi, memberikan penyerang kemampuan untuk mengakses mesin dari jarak jauh, memantau aktivitas, dan mencuri data.

Selengkapnya: ZDNet

File teks CSV berbahaya yang digunakan untuk menginstal malware BazarBackdoor

by

Kampanye phishing baru menggunakan file teks CSV yang dibuat khusus untuk menginfeksi perangkat pengguna dengan malware BazarBackdoor.

File comma-separated values (CSV) adalah file teks yang berisi baris teks dengan kolom data yang dipisahkan oleh koma. Dalam banyak kasus, baris pertama teks adalah header, atau deskripsi, untuk setiap kolom.

Menggunakan CSV adalah metode populer untuk mengekspor data dari aplikasi yang kemudian dapat diimpor ke program lain sebagai sumber data, baik itu Excel, database, pengelola kata sandi, atau perangkat lunak penagihan.

Microsoft Excel memiliki fitur yang disebut Dynamic Data Exchange (DDE), yang dapat digunakan untuk menjalankan perintah yang outputnya dimasukkan ke dalam spreadsheet yang terbuka, termasuk file CSV.

Sayangnya, pelaku ancaman juga dapat menyalahgunakan fitur ini untuk menjalankan perintah yang dapat mengunduh dan menginstal malware pada korban yang tidak menaruh curiga.

Kampanye phishing baru yang ditemukan oleh peneliti keamanan Chris Campbell menginstal trojan BazarLoader/BazarBackdoor melalui file CSV berbahaya.

Email phishing berpura-pura menjadi “Saran Pengiriman Uang” dengan tautan ke situs jarak jauh yang mengunduh file CSV dengan nama yang mirip dengan ‘document-21966.csv.’

Untungnya, ketika file CSV ini dibuka di Excel, program akan melihat panggilan DDE dan meminta pengguna untuk “mengaktifkan pembaruan tautan otomatis”, yang ditandai sebagai masalah keamanan.

Sumber: Bleeping Computer

Bahkan jika mereka mengaktifkan fitur tersebut, Excel akan menunjukkan kepada mereka prompt lain yang mengonfirmasi apakah WMIC harus diizinkan untuk mulai mengakses data jarak jauh.

Sumber: Bleeping Computer

Jika pengguna mengonfirmasi kedua perintah tersebut, Microsoft Excel akan meluncurkan skrip PowerShell, DLL akan diunduh dan dijalankan, dan BazarBackdoor akan diinstal pada perangkat.

Selengkapnya: Bleeping Computer

Grup Peretasan ‘White Tur’ Meminjam Teknik Dari Beberapa APT

by

Seorang aktor ancaman baru yang terperinci telah diamati menggunakan berbagai teknik yang dipinjam dari beberapa aktor ancaman persisten tingkat lanjut (APT), tim intelijen ancaman dunia maya PwC melaporkan.

Dijuluki White Tur, advisory ini belum dikaitkan dengan geografi tertentu, meskipun tampaknya telah aktif setidaknya sejak 2017.

Sebagai bagian dari serangan yang diidentifikasi pada Januari 2021, grup tersebut mendaftarkan subdomain mail[.]mod[.]qov[.]rs untuk mengelabui kredensial login pegawai Kementerian Pertahanan Serbia.

Domain phishing memiliki sertifikat TLS menggunakan istilah ‘qov’, yang meniru kata ‘gov’. Teknik spoofing .gov sebelumnya digunakan oleh aktor APT seperti Sofacy yang terkait dengan Rusia (juga dikenal sebagai APT28).

White Tur juga terlihat menyalahgunakan proyek open source OpenHardwareMonitor untuk eksekusi payload. Untuk itu, ia menyuntikkan kode ke alat yang sah, menggunakan teknik yang sebelumnya digunakan oleh aktor ancaman ZINC yang berbasis di Korea Utara.

Pelaku ancaman juga diamati menggunakan paket pintu belakang sebagai DLL, yang memungkinkannya mengelola file, mengunggah dan mengunduh file, menjalankan perintah, dan mengatur waktu tidur malware. Ini, kata PwC, adalah “pintu belakang paling fungsional” di gudang senjata White Tur.

Selengkapnya: Security Week

Kerentanan keamanan SureMDM dapat menyebabkan Serangan Rantai Pasokan

by

Berbagai kerentanan keamanan telah diungkapkan dalam solusi 42 Gears SureMDM. Ini adalah solusi manajemen perangkat seluler yang dapat dimanipulasi oleh pelaku ancaman untuk melakukan serangan rantai pasokan.

Sebuah perusahaan Cybersecurity bernama Immersive Labs adalah yang pertama kali mengidentifikasi kerentanan dan telah menyebutkan rincian makalah mereka. 42 Gears telah merilis serangkaian pembaruan dari Nov 2021 hingga Jan 2022 untuk mengatasi berbagai kelemahan yang memengaruhi agen Linux dan konsol web mereka.

42 Gears adalah perusahaan manajemen perangkat seluler berbasis di India yang memiliki produk SureMDM yang mendukung manajemen lintas platform yang memungkinkan admin memantau, mengelola, mengontrol, dan mengamankan perangkat milik perusahaan, BYOD, dan COPE dari jarak jauh.

Sesuai informasi yang dibagikan oleh 42 Gears, SureMDM digunakan secara aktif oleh sekitar 10.000 organisasi di seluruh dunia.

Berikut ini adalah daftar kerentanan keamanan yang teridentifikasi:

  • SureMDM agent spoofing
  • SureMDM agent authentication bypass
  • SureMDM dashboard XSS
  • SureMDM agent remote code execution
  • SureMDM Linux agent command injection
  • SureMDM Linux agent remote code execution
  • SureMDM Linux agent default root credentials
  • SureMDM Linux agent local privilege escalation
  • SureMDM Linux Sensitive Information Disclosure

Dengan berbagai kerentanan ini, penyerang akan dapat menonaktifkan program keamanan dan menyebarkan muatan ke perangkat Linux, MacOS, dan Android dengan SureMDM sebagai katalis untuk operasi mereka, kata Kev Breen, Direktur Riset Ancaman di Immersive Labs. Dia juga menambahkan bahwa penyerang dapat mengeksploitasi semua kelemahan yang disebutkan di atas tanpa memiliki akun SureMDM.

Kerentanan ini nantinya dapat digabungkan untuk melakukan serangan rantai pasokan ketika pengguna masuk ke akun SureMDM mereka sehingga menginfeksi dan membahayakan semua perangkat yang dikelola dalam jaringan.

Selngkapnya: The Cybersecurity Times

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

Situs WordPress 600K dipengaruhi oleh kerentanan RCE plugin kritis

by

Essential Addons for Elementor, plugin WordPress populer yang digunakan di lebih dari satu juta situs, telah ditemukan memiliki kerentanan eksekusi kode jarak jauh (RCE) kritis di versi 5.0.4 dan yang lebih lama.

Cacat memungkinkan pengguna yang tidak diautistik untuk melakukan serangan inklusi file lokal, seperti file PHP, untuk mengeksekusi kode di situs.

“Kerentanan inklusi file lokal ada karena cara data input pengguna digunakan di dalam PHP termasuk fungsi yang merupakan bagian dari fungsi ajax_load_more dan ajax_eael_product_gallery,” jelas peneliti PatchStack yang menemukan kerentanan.

Satu-satunya prasyarat untuk serangan ini adalah agar situs tersebut mengaktifkan widget “galeri dinamis” dan “galeri produk” sehingga tidak ada pemeriksaan token yang ada.

Dua upaya patching gagal

Peneliti Wai Yan Muo Thet menemukan kerentanan pada 25 Januari 2022, dan pengembang plugin sudah tahu tentang keberadaannya pada saat itu.

Bahkan, penulis telah merilis versi 5.0.3 untuk mengatasi masalah ini dengan menerapkan fungsi “sanitize_text_field” pada data input pengguna. Namun, sanitasi ini tidak mencegah masuknya muatan lokal.

Upaya kedua adalah versi 5.0.4, yang menambahkan fungsi “sanitize_file_name” dan berusaha untuk menghapus karakter khusus, titik,garis miring, dan apa pun yang dapat digunakan untuk mengesampingkan langkah sanitasi teks.

Ini adalah versi yang diuji patchstack dan menemukan rentan, sehingga mereka memberitahu pengembang bahwa perbaikan tidak mengurangi masalah cukup.

Akhirnya, penulis merilis versi 5.0.5 yang menerapkan fungsi “realpath” PHP, mencegah resolusi pathname berbahaya.

Memperbarui dan mengurangi

Versi ini dirilis minggu lalu, pada tanggal 28 Januari 2022, dan saat ini hanya diinstal sekitar 380.000 kali menurut statistik unduhan WordPress.

Dengan plugin yang diinstal di lebih dari 1 juta situs WordPress, itu berarti ada lebih dari 600 ribu situs yang belum menerapkan pembaruan keamanan.

Jika Anda termasuk di antara banyak yang menggunakan Essential Addons untuk Elementor, Anda bisa mendapatkan versi terbaru dari sini atau menerapkan pembaruan langsung dari dasbor WP.

Untuk mencegah aktor memanfaatkan kelemahan inklusi file lokal bahkan ketika mereka tidak dapat dikurangi secara langsung, ikuti langkah-langkah ini:

  • Simpan jalur file Anda dalam database yang aman dan berikan ID untuk setiap orang.
  • Gunakan file allowlist yang diverifikasi dan aman dan abaikan yang lainnya.
  • Jangan sertakan file di server web yang dapat dikompromikan, tetapi gunakan database sebagai gantinya.
  • Buat server mengirim header unduhan secara otomatis alih-alih mengeksekusi file di direktori tertentu.

Sumber: Bleepingcomputer