Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Peneliti menunggu 12 bulan untuk melaporkan kerentanan dengan 9,8 dari 10 peringkat keparahan

by

Sekitar 10.000 server perusahaan yang menjalankan Palo Alto Networks GlobalProtect VPN rentan terhadap bug buffer overflow yang baru saja ditambal dengan peringkat keparahan 9,8 dari kemungkinan 10.

Randori menemukan kerentanan 12 bulan yang lalu dan sebagian besar waktu itu digunakan secara pribadi dalam produk tim merahnya yang membantu pelanggan menguji pertahanan jaringan mereka terhadap ancaman dunia nyata. Norma di kalangan profesional keamanan adalah peneliti secara pribadi wajib melaporkan kerentanan tingkat tinggi kepada vendor sesegera mungkin daripada menimbunnya secara rahasia.

CVE-2021-3064, saat kerentanan dilacak merupakan cacat buffer overflow yang terjadi saat mem-parsing input yang disediakan pengguna di lokasi dengan panjang tetap pada stack. Eksploitasi proof-of-concept yang dikembangkan peneliti Randori menunjukkan kerusakan besar yang dapat terjadi.

Selama beberapa tahun terakhir, peretas telah aktif mengeksploitasi kerentanan dalam serangkaian firewall dan VPN perusahaan seperti Citrix, Microsoft, dan Fortinet, lembaga pemerintah memperingatkan awal tahun ini. Produk perusahaan serupa, termasuk dari Pulse Secure dan Sonic Wall, juga diserang. Sekarang, GlobalProtect Palo Alto Networks mungkin siap untuk bergabung dalam daftar.

CVE-2021-3064 hanya memengaruhi versi yang lebih lama dari PAN-OS 8.1.17, tempat GlobalProtect VPN berada. Peneliti independen Kevin Beaumont mengatakan pencarian Shodan yang dia lakukan menunjukkan bahwa kira-kira setengah dari semua contoh GlobalProtect yang dilihat oleh Shodan rentan.

Luapan terjadi ketika perangkat lunak mem-parsing input yang disediakan pengguna di lokasi dengan panjang tetap di tumpukan. Kode buggy tidak dapat diakses secara eksternal tanpa memanfaatkan apa yang dikenal sebagai penyelundupan HTTP, teknik eksploitasi yang mengganggu cara situs web memproses urutan permintaan HTTP. Kerentanan muncul ketika frontend dan backend situs web menafsirkan batas permintaan HTTP secara berbeda, dan kesalahan menyebabkan mereka tidak sinkron.

Kebingungan merupakan hasil dari kode yang menyimpang dari spesifikasi ketika berhadapan dengan header Content-Length dan Transfer-Encoding. Dalam prosesnya, bagian dari permintaan dapat ditambahkan ke permintaan berikutnya yang memungkinkan respons dari permintaan yang diselundupkan diberikan kepada pengguna lain. Kerentanan penyelundupan permintaan sering kali kritis karena memungkinkan penyerang melewati kontrol keamanan, mendapatkan akses tidak sah ke data sensitif, dan secara langsung membahayakan pengguna aplikasi lain.

Randori mengatakan bahwa risikonya sangat akut untuk versi virtual dari produk yang rentan karena tidak memiliki pengacakan tata letak ruang alamat — mekanisme keamanan yang biasanya disingkat ASLR yang dirancang untuk sangat mengurangi kemungkinan eksploitasi yang berhasil — diaktifkan.

“Pada perangkat dengan ASLR diaktifkan (yang tampaknya menjadi kasus di sebagian besar perangkat keras), eksploitasi sulit tetapi mungkin,” tulis peneliti Randori. “Pada perangkat tervirtualisasi (firewall seri VM), eksploitasi secara signifikan lebih mudah karena kurangnya ASLR dan Randori mengharapkan eksploitasi publik akan muncul. Peneliti Randori belum mengeksploitasi buffer overflow untuk menghasilkan eksekusi kode terkontrol pada versi perangkat keras tertentu dengan CPU bidang manajemen berbasis MIPS karena arsitektur big endian mereka, meskipun overflow dapat dijangkau pada perangkat ini dan dapat dieksploitasi untuk membatasi ketersediaan layanan .”
Apa yang membuatmu begitu lama?

Posting Randori mengatakan peneliti perusahaan menemukan buffer overflow dan cacat penyelundupan HTTP November lalu. Beberapa minggu kemudian, perusahaan “mulai menggunakan rantai kerentanan secara resmi sebagai bagian dari platform tim merah Randori yang berkelanjutan dan otomatis.”

“Alat dan teknik tim merah, termasuk eksploitasi zero-day, diperlukan untuk keberhasilan pelanggan kami dan dunia keamanan siber secara keseluruhan,” tulis CTO Randori David Wolpoff dalam sebuah posting. “Namun, seperti alat ofensif lainnya, informasi kerentanan harus ditangani dengan hati-hati dan dengan rasa hormat yang seharusnya. Misi kami adalah untuk memberikan pengalaman yang sangat berharga bagi pelanggan kami, sekaligus mengenali dan mengelola risiko terkait.”

Selengkapnya : Arstechnica

TrickBot bekerja sama dengan phisher Shatak untuk serangan ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.

Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.

Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.

Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.

Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.

Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.

Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.

Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Selengkapnya: Bleeping Computer

Peretas Menargetkan Perangkat Apple di Hong Kong untuk Menyebarluaskan Serangan

by

Setidaknya sejak akhir Agustus, para peretas canggih menggunakan kelemahan di macOS dan iOS untuk memasang malware di perangkat Apple yang mengunjungi situs web media dan pro-demokrasi yang berbasis di Hong Kong.

Serangan watering hole membuat jaring semakin lebar, tanpa pandang bulu menempatkan backdoor pada iPhone atau Mac apa pun yang mengunjungi salah satu halaman yang terpengaruh.

Apple telah menambal berbagai bug yang memungkinkan kampanye terungkap. Namun sebuah laporan hari Kamis dari Grup Analisis Ancaman Google (TAG) menunjukkan betapa agresifnya para peretas dan seberapa luas jangkauan mereka.

Ini adalah kasus lain dari kerentanan yang sebelumnya tidak diungkapkan, atau zero-days, yang dieksploitasi di alam liar oleh penyerang.

Serangan iOS dan macOS memiliki pendekatan yang berbeda, tetapi keduanya menyatukan beberapa kerentanan sehingga penyerang dapat mengambil kendali perangkat korban untuk menginstal malware mereka.

TAG tidak dapat menganalisis seluruh rantai eksploitasi iOS, tetapi mereka mampu mengidentifikasi kerentanan utama Safari yang digunakan peretas untuk meluncurkan serangan. Versi macOS melibatkan eksploitasi kerentanan WebKit dan bug kernel. Semua itu sudah ditambal oleh Apple sepanjang tahun 2021, dan eksploitasi macOS yang digunakan dalam serangan itu sebelumnya dipresentasikan dalam pembicaraan konferensi April dan Juli oleh Pangu Lab.

Para peneliti menekankan bahwa malware yang dikirim ke target melalui serangan watering hole dibuat dengan hati-hati dan “tampaknya merupakan produk rekayasa perangkat lunak yang ekstensif.” Itu memiliki desain modular, mungkin komponen yang berbeda dapat digunakan pada waktu yang berbeda dalam serangan multi-tahap.

Selengkapnya: Wired

Microsoft Memperbarui Excel Zero-day, Pengguna Mac Mohon Menunggu

by Leave a Comment

Patch Tuesday bulan ini, Microsoft telah menambal kerentanan Excel zero-day yang dieksploitasi pelaku ancaman.

Zero-day adalah bug yang ditemukan secara publik tanpa update keamanan resmi.

Kerentanan yang dilacak sebagai CVE-2021-42292, adalah bypass fitur keamanan tingkat keparahan tinggi yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi secara lokal dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Microsoft juga menambal kelemahan keamanan Excel kedua yang digunakan selama kontes peretasan Piala Tianfu bulan lalu, bug eksekusi kode jarak jauh yang dilacak sebagai CVE-2021-40442 dan dapat dieksploitasi oleh penyerang yang tidak diautistik.

Sementara Redmond merilis pembaruan keamanan untuk sistem yang menjalankan Aplikasi Microsoft 365 untuk Perusahaan dan versi Windows dari Microsoft Office dan Microsoft Excel, Redmond gagal menambal kerentanan di macOS.

Pelanggan Mac yang menjalankan versi MacOS dari Microsoft Office dan Microsoft diberitahu bahwa mereka harus menunggu sedikit lebih lama untuk patch CVE-2021-42292.

Sumber: Bleepingcomputer

Snapshot yang tidak dapat diubah bertujuan untuk menetralisir ransomware

by

Ada beberapa fase kunci serangan ransomware, yaitu intrusi awal, periode pengintaian di dalam sistem korban, kemudian eksekusi enkripsi dan eksfiltrasi data. Lalu datanglah tuntutan tebusan.

Snapshots memberi pelanggan kemampuan untuk memutar kembali salinan data mereka yang tidak rusak yang dibuat sebelum eksekusi kode yang diperkenalkan oleh penyerang. Secara teori, dari sini mereka dapat mengabaikan permintaan tebusan, membersihkan sistem mereka dari efek penyusupan, dan melanjutkan bisnis seperti biasa.

Snapshots bukan backup, karena mereka bukan hanya salinan data. Mereka adalah catatan status dan lokasi file dan blok yang membentuk file pada waktu tertentu yang dapat dikembalikan oleh pelanggan. Catatan itu mungkin terdiri lebih dari sekadar catatan keadaan, dengan metadata, data yang dihapus, salinan induk, dan sebagainya, semua perlu dipertahankan.

Snapshots tidak dapat diubah, karena mereka write-once read-many (Worm). Apa yang telah ditambahkan oleh pemasok penyimpanan dan cadangan adalah fitur seperti enkripsi, mekanisme yang mengunci snapshot agar tidak dipindahkan atau dipasang secara eksternal, dengan otentikasi multifaktor (MFA) yang diperlukan untuk mengelolanya.

Tanpa seorang pun – bahkan administrator, tetapi tentu saja bukan perangkat lunak ransomware – yang memiliki kemampuan untuk mengakses snapshot atau memindahkan atau menghapusnya, pelanggan seharusnya selalu memiliki akses ke salinan data mereka yang bersih setelah terjadi pelanggaran. Itu kelebihannya.

Kelemahannya, secara historis, snapshot tidak disimpan dalam waktu lama karena memerlukan kapasitas penyimpanan. Karena alasan ini, periode retensi untuk snapshot sering kali pendek – sekitar 48 jam.

Dengan kasus penggunaan pemulihan ransomware, periode yang dibutuhkan pelanggan untuk mempertahankan snapshot yang tidak dapat diubah akan lebih besar.

Waktu yang dihabiskan oleh penyerang di dalam sistem – “dwell time” – rata-rata 11 hari menurut Sophos dan 24 hari menurut Mandiant. Selama periode ini, mereka akan melakukan pengintaian, bergerak secara lateral di antara berbagai bagian jaringan, mengumpulkan kredensial, mengidentifikasi data sensitif dan menguntungkan, mengekstrak data, dan sebagainya.

Itu berarti periode retensi snapshot, dan oleh karena itu kapasitas yang diperlukan untuk menyimpannya, akan meningkat. Pemasok mengetahui hal ini, dan dalam beberapa kasus telah menargetkan subsistem penyimpanan dengan kapasitas massal pada kasus penggunaan ini.

Selengkapnya: Computer Weekly

Godzilla Webshell Penyebab Kecacatan Zoho Password Manager

by Leave a Comment

Untuk kedua kalinya, para peneliti menemukan gerakan eksploitasi Zoho zero-day di seluruh dunia: melanggar organisasi pertahanan, energi, dan perawatan kesehatan.

Selama akhir pekan, para peneliti mengingatkan bahwa telah ditemukan kerentanan keamanan di pengelola kata sandi (password manager) Zoho ManageEngine ADSelfService Plus. Para pelaku ancaman sejauh ini berhasil mengeksploitasi kelemahan Zoho dan mengekstrak datanya di setidaknya sembilan entitas global di seluruh sektor penting (teknologi, pertahanan, perawatan kesehatan, energi, dan pendidikan) menggunakan Godzilla Webshell.

Zoho menambal (patched) kerentanan pada bulan September, tetapi telah dieksploitasi secara aktif pada awal Agustus saat zero-day, membuka pintu perusahaan bagi penyerang untuk mengendalikan Direktori Aktif pengguna (AD) dan akun cloud secara bebas.

Zoho ManageEngine ADSelfService Plus adalah pengelola kata sandi layanan sendiri dan platform sign-on (SSO) untuk AD (Active Directory) dan cloud, yang berarti setiap oknum penyerang mampu mengambil kendali platform di beberapa titik penting. Dengan kata lain, ini adalah aplikasi istimewa yang dapat bertindak sebagai awal titik masuk ke area perusahaan yang lebih dalam, baik untuk pengguna maupun penyerang.

Cara Godzilla Webshell Bekerja

Unit 42 mengatakan bahwa setelah oknum mengeksploitasi CVE-2021-40539 untuk mendapatkan RCE, mereka bergerak cepat secara lateral untuk menyebarkan beberapa unit malware mengandalkan Godzilla publik yang tersedia di webshell.

Aktor mengupload beberapa variasi Godzilla untuk membahayakan server dan menanam beberapa alat malware baru juga, termasuk sebuah pintu belakang open-source Golang yang dikustom bernama NGLite dan pencuri-kredensial baru yang Unit 42 lacak bernama KdcSponge.

Godzilla dan NGLite ditulis dalam bahasa Cina dan bebas diambil dari GitHub.

Mangsa Siber-spionase: Lembaga Energi dan Kesehatan

Tidak mengejutkan kalau oknum di balik gerakan kedua Zoho ini ternyata menjadi APT (advanced persistent threats Cina. Dave Klein, pemuka siber dan direktur di Cymulate, menunjuk Republik Rakyat Cina (RRC) memiliki data yang terdokumentasi dengan baik.

Dia menunjuk pelanggaran 2015 kantor manajemen personil U.S. (OPM) sebagai contoh. Pelanggaran besar-besaran dikaitkan dengan RRC meliputi informasi yang sangat sensitif seperti jutaan sidik jari karyawan federal, nomor Jaminan Sosial, tanggal lahir, catatan kinerja karyawan, riwayat pekerjaan, resume, transkrip sekolah, dokumen layanan militer dan data psikologis dari wawancara yang diadakan penyelidik.

Dia mengatakan bahwa setelah pelanggaran OPM, beberapa lembaga kesehatan kemudian dilanggar, termasuk serangan yang mempengaruhi 78 juta orang. “Kepentingan dalam data kesehatan secara global tidak hanya terus untuk tujuan Spionase terhadap target – mengumpulkan titik lemah serta mencari data kesehatan untuk melayani industri lokal mereka yang lebih baik,” Klein menginformasikan. “Pada energi, keduanya mencuri informasi spionase industri serta untuk mengatur kompromi dalam infrastruktur kritis untuk potensi penggunaan dalam kasus permusuhan di masa depan.”

Selengkapnya di: Threatpost

PhoneSpy: Kampanye spyware Android yang menargetkan pengguna Korea Selatan

by

Kampanye spyware yang dijuluki ‘PhoneSpy’ menargetkan pengguna Korea Selatan melalui berbagai aplikasi gaya hidup yang bersarang di perangkat dan mengekstrak data secara diam-diam. Kampanye ini menyebarkan malware Android yang kuat yang mampu mencuri informasi sensitif dari pengguna dan mengambil alih mikrofon dan kamera perangkat.

Zimperium mengidentifikasi 23 aplikasi bertali yang muncul sebagai aplikasi gaya hidup yang tidak berbahaya, tetapi di latar belakang, aplikasi tersebut berjalan sepanjang waktu, diam-diam memata-matai pengguna.

Aplikasi meminta korban untuk memberikan banyak izin saat penginstalan, yang merupakan satu-satunya tahap di mana pengguna yang berhati-hati akan melihat tanda-tanda masalah.

Spyware yang bersembunyi tersebut dapat melakukan hal berikut :

  • Ambil daftar lengkap aplikasi yang diinstal
  • Copot pemasangan aplikasi apa pun di perangkat
  • Instal aplikasi dengan mengunduh APK dari tautan yang disediakan oleh C2
  • Curi kredensial menggunakan URL phishing yang dikirim oleh C2
  • Mencuri gambar (dari memori internal dan kartu SD)

    • untuk daftar selengkapnya klik sumber : Bleeping Computer

Spektrum data yang dicuri mendukung hampir semua aktivitas jahat, mulai dari memata-matai hingga melakukan spionase dunia maya perusahaan dan memeras orang.

Selain itu beberapa aplikasi juga secara aktif mencoba mencuri kredensial orang dengan menampilkan halaman login palsu untuk berbagai situs. Template phishing yang digunakan dalam kampanye PhoneSpy meniru portal masuk akun Facebook, Instagram, Kakao, dan akun Google.

Saluran distribusi awal untuk aplikasi yang dicampur tidak diketahui, dan pelaku ancaman tidak mengunggah aplikasi ke Google Play Store. Itu dapat didistribusikan melalui situs web, toko APK pihak yang tidak jelas, media sosial, forum, atau bahkan webhard dan torrent.

Menggunakan teks SMS meningkatkan kemungkinan penerima mengetuk tautan yang mengarah untuk mengunduh aplikasi yang dicampur karena berasal dari orang yang mereka kenal dan percayai.

Selengkpanya : Bleeping Computer

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer