Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Perusahaan keamanan Blumira menemukan vektor serangan Log4j baru yang besar

by

Dalam serangan proof-of-concept mereka, Blumira menemukan bahwa dengan menggunakan salah satu dari banyak eksploitasi Java Naming and Directory Interface (JNDI) yang dapat mereka picu melalui URL jalur file menggunakan koneksi WebSocket ke mesin dengan pustaka Log4j2 yang rentan terinstal.

Semua yang diperlukan untuk memicu keberhasilan adalah permintaan jalur yang dimulai pada pemuatan halaman web. Sederhana, tapi mematikan.

Lebih buruk lagi, itu tidak perlu menjadi localhost. WebSockets memungkinkan koneksi ke IP apa pun. Biarkan saya ulangi, “Any IP” dan itu termasuk ruang IP pribadi.

Selanjutnya, saat halaman dimuat, itu akan memulai koneksi WebSocket lokal, menekan server pendengar yang rentan, dan terhubung melalui jenis koneksi yang diidentifikasi berdasarkan string koneksi JNDI.

Para peneliti melihat yang paling sukses memanfaatkan Java Remote Method Invocation (RMI). port default 1099., meskipun kita sering melihat port kustom digunakan.

Pemindaian port sederhana, teknik yang sudah ada di buku pegangan peretas, WebSocket, adalah jalan termudah menuju serangan yang berhasil.

Kemudian, port terbuka ke layanan lokal atau layanan yang dapat diakses oleh host ditemukan, kemudian dapat menjatuhkan string eksploit JNDI di jalur atau parameter.

“Ketika ini terjadi, host yang rentan memanggil server exploit, memuat kelas penyerang, dan mengeksekusinya dengan java.exe sebagai proses induk.” Kemudian penyerang dapat menjalankan apa pun yang dia inginkan.

Selengkapnya: ZDNet

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

by

Pelaku ancaman telah menghidupkan kembali keluarga ransomware lama dan relatif tidak aktif yang dikenal sebagai TellYouThePass, menyebarkannya dalam serangan terhadap perangkat Windows dan Linux yang menargetkan bug eksekusi kode jarak jauh yang kritis di perpustakaan Apache Log4j.

Heige dari Tim KnownSec 404 pertama kali melaporkan serangan ini di Twitter pada hari Senin setelah mengamati bahwa ransomware dijatuhkan pada sistem Windows lama menggunakan eksploitasi yang menyalahgunakan kelemahan yang dilacak sebagai CVE-2021-44228 dan dikenal sebagai Log4Shell.

Laporan Heige dikonfirmasi oleh Tim Intelijen Ancaman Sangfor, yang berhasil menangkap salah satu sampel ransomware TellYouThePass yang digunakan dalam serangan menggunakan eksploitasi Log4Shell yang sebagian besar berdampak pada target China, menurut Curated Intelligence.

Ketika mereka menemukan lebih lanjut (temuan yang juga dikonfirmasi oleh CronUP’s Germán Fernández), ransomware memiliki versi Linux yang memanen kunci SSH dan bergerak secara lateral di seluruh jaringan korban.

“Perlu dicatat bahwa ini bukan pertama kalinya Tellyouthepass ransomware menggunakan kerentanan berisiko tinggi untuk meluncurkan serangan,” kata peneliti Sangfor. “Pada awal tahun lalu, ia telah menggunakan kerentanan Eternal Blue untuk menyerang beberapa unit organisasi.”

Peneliti keamanan lainnya [1, 2] juga telah menganalisis salah satu sampel ransomware yang digunakan dalam serangan ini dan menandainya sebagai “kemungkinan milik” keluarga TellYouThePass.

Menurut statistik pengiriman ke layanan ID Ransomware, ransomware TellYouThePass telah melihat lonjakan aktivitas yang besar dan tiba-tiba setelah eksploitasi proof-of-concept Log4Shell dirilis secara online.

Selengkapnya: Bleeping Computer

Kelemahan keamanan ditemukan dalam sistem Wi-Fi tamu populer yang digunakan di ratusan hotel

by

Seorang peneliti keamanan mengatakan gateway internet yang digunakan oleh ratusan hotel untuk menawarkan dan mengelola jaringan Wi-Fi tamu mereka memiliki kerentanan yang dapat membahayakan informasi pribadi tamu mereka.

Etizaz Mohsin mengatakan kepada TechCrunch bahwa Airangel HSMX Gateway berisi kata sandi hardcode yang “sangat mudah ditebak.”

Dengan kata sandi tersebut, yang tidak kami publikasikan, penyerang dapat memperoleh akses dari jarak jauh ke pengaturan dan basis data gateway, yang menyimpan catatan tentang tamu yang menggunakan Wi-Fi.

Dengan akses itu, penyerang dapat mengakses dan mengekstrak catatan tamu, atau mengkonfigurasi ulang pengaturan jaringan gateway untuk tanpa disadari mengarahkan tamu ke halaman web berbahaya, katanya.

Peneliti keamanan menemukan lima kerentanan yang katanya dapat membahayakan gateway — termasuk informasi tamu.

Satu tangkapan layar yang dia bagikan dengan TechCrunch menunjukkan antarmuka administrasi dari satu gerbang rentan hotel yang mengungkapkan nama tamu, nomor kamar, dan alamat email.

Mohsin melaporkan cache cacat yang baru ditemukan ke Airangel, tetapi berbulan-bulan telah berlalu dan pembuat peralatan jaringan yang berbasis di Inggris itu masih belum memperbaiki bug tersebut.

Seorang perwakilan mengatakan kepada Mohsin bahwa perusahaan belum menjual perangkat sejak 2018 dan tidak lagi didukung.

Namun Mohsin mengatakan perangkat itu masih banyak digunakan oleh hotel, mall, dan pusat konvensi di seluruh dunia. Pemindaian internet menunjukkan lebih dari 600 gateway dapat diakses dari internet saja, meskipun jumlah sebenarnya dari perangkat yang rentan cenderung lebih tinggi.

Sebagian besar hotel yang terkena dampak berada di Inggris, Jerman, Rusia dan di seluruh Timur Tengah, katanya.

Selengkapnya: Tech Crunch

‘Tropic Trooper’ Muncul Kembali untuk Menargetkan Sektor Transportasi

by

Analis memperingatkan bahwa kelompok penyerang, yang sekarang dikenal sebagai ‘Earth Centaur,’ sedang mengasah serangannya untuk mengejar transportasi dan lembaga pemerintah.

Mereka telah menjadi kelompok ancaman aktif sejak 2011, tetapi peningkatan aktivitas baru-baru ini dari Earth Centaur – sebelumnya dikenal sebagai Tropic Trooper – yang ditujukan khusus untuk transportasi dan lembaga pemerintah memicu lonceng alarm di antara para ahli.

Peneliti Trend Micro telah melacak kebangkitan Tropic Trooper, yang dimulai pada Juli 2020 dan baru-baru ini termasuk upaya mengganggu untuk melanggar data sensitif terkait transportasi seperti jadwal penerbangan dan dokumen perencanaan keuangan.

Para analis dapat menghubungkan aktivitas Earth Centaur yang baru dengan Tropic Trooper setelah menemukan kode serupa dalam decoding konfigurasi, mereka melaporkan.

“Saat ini, kami belum menemukan kerusakan substansial pada para korban ini yang disebabkan oleh kelompok ancaman,” jelas analis Trend Micro. “Namun, kami percaya bahwa itu akan terus mengumpulkan informasi internal dari para korban yang dikompromikan dan hanya menunggu kesempatan untuk menggunakan data ini.”

Taktik, teknik, dan prosedur (TTPs) ciri khas kelompok itu termasuk kerja tim merah yang cerdas, catat para peneliti. Earth Centaur mahir melewati keamanan dan bertahan tanpa terdeteksi, tambah laporan itu.

“Tergantung pada targetnya, ia menggunakan pintu belakang dengan protokol yang berbeda, dan juga dapat menggunakan proxy terbalik untuk melewati pemantauan sistem keamanan jaringan. Penggunaan kerangka kerja sumber terbuka juga memungkinkan grup untuk mengembangkan varian pintu belakang baru secara efisien. ”

Biasanya, kelompok ancaman melanggar sistem target melalui server Exchange atau Internet Information Services (IIS) yang rentan, diikuti dengan menjatuhkan backdoor seperti ChiserClient dan SmileSvr, kata laporan itu.

Selengkapnya: Threat Post

Kampanye Spyware Massal ‘PseudoManuscrypt’ Menargetkan 35K Sistem

by

Para peneliti telah melacak spyware baru – dijuluki “PseudoManuscrypt” karena mirip dengan malware “Manuscrypt” dari kelompok ancaman persisten lanjutan (APT) Lazarus – yang mencoba mencoret-coret dirinya sendiri di lebih dari 35.000 komputer yang ditargetkan di 195 negara.

Peneliti Kaspersky mengatakan dalam laporan Kamis bahwa dari 20 Januari hingga 10 November, aktor di balik kampanye besar-besaran menargetkan organisasi pemerintah dan sistem kontrol industri (ICS) di berbagai industri, termasuk teknik, otomatisasi bangunan, energi, manufaktur, konstruksi, utilitas dan pengelolaan air.

Manuscrypt, alias NukeSped, adalah keluarga alat malware yang telah digunakan dalam kampanye spionase di masa lalu. Salah satunya adalah kampanye spear-phishing Februari yang terkait dengan Lazarus – APT Korea Utara yang produktif – yang menggunakan kluster alat ‘ThreatNeedle’ keluarga malware Manuscrypt untuk menyerang perusahaan pertahanan.

Tim ICS-CERT Kasperskiy pertama kali mendeteksi rangkaian serangan PseudoManuscrypt pada bulan Juni, ketika malware memicu deteksi antivirus yang dirancang untuk mendeteksi aktivitas Lazarus. Namun, gambaran lengkapnya tidak mengarah ke Lazarus, mengingat cipratan puluhan ribu serangan yang tidak biasa dan tidak bertarget.

Namun, Kaspersky kemudian menemukan kesamaan antara PseudoManuscrypt baru dan malware Manuscrypt Lazarus.

Malware PseudoManuscrypt memuat muatannya dari registri sistem dan mendekripsinya, para peneliti menjelaskan, dengan muatan menggunakan lokasi registri yang unik untuk setiap sistem yang terinfeksi.

“Kedua program jahat memuat muatan dari registri sistem dan mendekripsinya; dalam kedua kasus, nilai khusus dalam format CLSID digunakan untuk menentukan lokasi muatan di registri,” kata mereka. “File yang dapat dieksekusi dari kedua program jahat memiliki tabel ekspor yang hampir identik.”

Selengkapnya: Threat Post

RAT ‘DarkWatchman’ Menunjukkan Evolusi di Fileless Malware

by

Trojan akses jarak jauh (RAT) baru yang didistribusikan melalui kampanye spear-phishing berbahasa Rusia menggunakan manipulasi unik Windows Registry untuk menghindari sebagian besar deteksi keamanan, menunjukkan evolusi signifikan dalam teknik fileless malware.

Dijuluki DarkWatchman, RAT – ditemukan oleh para peneliti di Prevailion’s Adversarial Counterintelligence Team (PACT) – menggunakan registri pada sistem Windows untuk hampir semua penyimpanan sementara pada mesin dan dengan demikian tidak pernah menulis apa pun ke disk. Ini memungkinkannya “beroperasi di bawah atau di sekitar ambang deteksi sebagian besar alat keamanan,” tulis peneliti PACT Matt Stafford dan Sherman Smith dalam sebuah laporan yang diterbitkan Selasa malam.

Karena aspek-aspek tertentu dari fungsinya, para peneliti percaya bahwa DarkWatchman sedang digunakan oleh pelaku ransomware dan afiliasinya “sebagai muatan awal tahap pertama untuk penyebaran ransomware,” tulis mereka.

Aspek-aspek ini termasuk upayanya untuk menghapus shadow copy pada instalasi, pencariannya untuk target perusahaan – misalnya, smart-card readers – dan kemampuannya untuk memuat muatan tambahan dari jarak jauh, jelas mereka.

Secara keseluruhan, jelas bahwa rangkaian fitur DarkWatchman menunjukkan pekerjaan aktor ancaman yang canggih dan merupakan langkah maju yang penting dalam bagaimana penyerang dapat memperoleh entri awal dan kemudian mencapai persistant dan stealthy pada sistem Windows untuk mengekstrak data dan melakukan aktivitas jahat lainnya, tulis para peneliti.

Selengkapnya: Threat Post

Google Mengatakan NSO Pegasus Zero-Click ‘Eksploitasi Paling Canggih Secara Teknis yang Pernah Dilihat’

by

Peneliti keamanan di Project Zero Google telah memilih salah satu eksploitasi iPhone paling terkenal di alam liar dan menemukan peta jalan peretasan yang belum pernah dilihat sebelumnya yang menyertakan file PDF yang berpura-pura menjadi gambar GIF dengan CPU virtual berkode khusus yang dibuat dari operasi piksel boolean.

Jika itu membuat Anda menggaruk-garuk kepala, itulah reaksi dari tim peneliti keamanan utama Google setelah membongkar apa yang disebut eksploitasi zero-click FORCEDENTRY iMessage yang digunakan untuk menanam alat pengawasan Pegasus NSO Group di iPhone.

“Kami menilai ini sebagai salah satu eksploitasi paling canggih secara teknis yang pernah kami lihat,” Ian Beer dan Samuel Groß dari Google menulis dalam penyelaman teknis yang mendalam tentang eksploitasi eksekusi kode jarak jauh yang ditangkap selama serangan di alam liar terhadap seorang aktivis di Arab Saudi.

Para peneliti mengatakan kecanggihan eksploitasi adalah konfirmasi bahwa peretas di NSO Group yang berbasis di Israel memiliki keahlian teknis dan sumber daya untuk bersaing yang sebelumnya dianggap hanya dapat diakses oleh segelintir negara bangsa.

Dalam perinciannya, Project Zero mengatakan eksploitasi secara efektif menciptakan “senjata yang tidak memiliki pertahanan,” mencatat bahwa eksploitasi zero-klik bekerja secara diam-diam di latar belakang dan bahkan tidak mengharuskan target untuk mengklik tautan atau menjelajahi situs berbahaya.

Selengkapnya: Securityweek

Meta memperingatkan 50.000 pengguna mengenai adanya penargetkan oleh perusahaan ‘mata-mata sewaan’

by

Perusahaan induk Facebook, Meta, telah memperingatkan 50.000 pengguna Facebook dan Instagram bahwa akun mereka dimata-matai oleh skema “mata-mata sewaan” komersial di seluruh dunia.

Pengguna ditargetkan oleh tujuh entitas dan berlokasi di lebih dari 100 negara, menurut pembaruan yang diposting di halaman berita Meta hari ini.

Target termasuk wartawan, pembangkang, kritikus rezim otoriter, keluarga oposisi, dan aktivis hak asasi manusia, kata Meta. Pengawasan itu terungkap dalam penyelidikan selama berbulan-bulan di mana Meta mengidentifikasi kelompok mata-mata dan menghapusnya dari platform.

Laporan ancaman yang lebih rinci yang dirilis oleh Meta menyebutkan enam dari tujuh perusahaan, dan mencantumkan salah satu entitas sebagai tidak diketahui. Empat dari tujuh — Cobwebs Technologies, Cognyte, Black Cube, dan Bluehawk CI — berbasis di Israel, dengan tiga lainnya di Cina, India, dan Makedonia Utara.

“Perusahaan-perusahaan ini adalah bagian dari industri yang luas yang menyediakan perangkat lunak yang mengganggu dan layanan pengawasan tanpa pandang bulu kepada pelanggan mana pun — terlepas dari siapa yang mereka targetkan atau pelanggaran hak asasi manusia yang mungkin mereka aktifkan,” tulis direktur gangguan ancaman Meta, David Agranovich, dan kepala investigasi spionase dunia maya, Mike Dvilyanski.

Perusahaan tersebut telah masuk daftar hitam pemerintah AS karena menjual perangkat lunak yang digunakan untuk memata-matai jurnalis di seluruh dunia.

Selengkapnya: The Verge