Threat

GoatRAT Menyerang Sistem Pembayaran Otomatis

April 3, 2023 by Flamango

Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.

Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.

RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.

Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.

Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.

GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.

Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.

Selengkapnya: K7 Security Labs

Bug Windows berusia 10 tahun dengan perbaikan ‘keikutsertaan’ dieksploitasi dalam serangan 3CX

April 3, 2023 by Søren

Kerentanan Windows berusia 10 tahun masih dieksploitasi dalam serangan untuk membuatnya tampak bahwa file yang dapat dieksekusi ditandatangani secara sah, dengan perbaikan dari Microsoft masih “ikut serta” setelah bertahun-tahun. Lebih buruk lagi, perbaikan dihapus setelah memutakhirkan ke Windows 11.

Pada Rabu malam, tersiar kabar bahwa perusahaan komunikasi VoIP 3CX dikompromikan untuk mendistribusikan versi trojan dari aplikasi desktop Windows-nya dalam serangan rantai pasokan skala besar.

Sebagai bagian dari serangan rantai pasokan ini, dua DLL yang digunakan oleh aplikasi desktop Windows diganti dengan versi jahat yang mengunduh malware tambahan ke komputer, seperti trojan pencuri informasi.

Salah satu DLL jahat yang digunakan dalam serangan biasanya adalah DLL resmi yang ditandatangani oleh Microsoft bernama d3dcompiler_47.dll. Namun, pelaku ancaman memodifikasi DLL untuk menyertakan muatan jahat terenkripsi di akhir file.

Seperti yang pertama kali disebutkan kemarin, meskipun file telah dimodifikasi, Windows masih menunjukkannya sebagai ditandatangani dengan benar oleh Microsoft.

Penandatanganan kode untuk file yang dapat dieksekusi, seperti file DLL atau EXE, dimaksudkan untuk meyakinkan pengguna Windows bahwa file tersebut asli dan belum dimodifikasi untuk menyertakan kode berbahaya.

Saat ditandatangani dieksekusi dimodifikasi, Windows akan menampilkan pesan yang menyatakan bahwa “tanda tangan digital dari objek tidak memverifikasi.” Namun, meskipun kita tahu bahwa DLL d3dcompiler_47.dll telah dimodifikasi, itu tetap ditampilkan sebagai masuk Windows.

Setelah menghubungi Will Dormann, analis kerentanan senior di ANALYGENCE, tentang perilaku ini dan berbagi DLL, kami diberi tahu bahwa DLL mengeksploitasi cacat CVE-2013-3900, “Kerentanan Validasi Tanda Tangan WinVerifyTrust.”

Microsoft pertama kali mengungkapkan kerentanan ini pada 10 Desember 2013, dan menjelaskan bahwa menambahkan konten ke bagian tanda tangan kode autentikasi EXE (struktur WIN_CERTIFICATE) dalam tanda tangan yang dapat dieksekusi dapat dilakukan tanpa membatalkan tanda tangan.

Selegkapnya: Bleeping Computer

Pengguna yang Dilindungi: Anda pikir Anda aman?

April 2, 2023 by Coffee Bean

Pada tanggal 31 Oktober 2022, PR di CrackMapExec dari Thomas Seigneuret (@Zblurx) digabungkan. PR ini memperbaiki otentikasi Kerberos dalam kerangka kerja CrackMapExec. Melihat itu, saya langsung ingin mencobanya dan bermain-main dengannya. Saat melakukannya, saya menemukan perilaku aneh dengan grup Pengguna Terlindungi. Dalam posting blog ini saya akan menjelaskan apa itu grup Pengguna Terlindungi, mengapa itu adalah fitur keamanan yang bagus dan mengapa itu tidak lengkap untuk pengguna Administrator (RID500).

berikut adalah scenario yang sering terjadi di internal assessments.kami mengkompromikan satu server, membuang database SAM dan memori LSASS-nya untuk mengambil kredensial teks-jelas atau hash NT. Kami juga dapat membuang tiket Kerberos dan umumnya materi lain yang dapat kami gunakan untuk terhubung ke tempat lain:

Baik itu di database SAM atau di memori proses LSASS, Anda mungkin akan menemukan hash NT:

Di Windows, memiliki hash NT sama dengan memiliki kata sandi teks-jelas. Jika kita melihat protokol autentikasi NTLM, kita dapat melihat bahwa tantangan tersebut dikodekan menggunakan hash NT pengguna:

Karena kami memliki hash NT, kami dapat menyalin tantangan tanpa mengetahui kata sandi teks-jelas yang sesuai.

untuk selengkapnya : sensepost.com

Hacker mengeksploitasi kelemahan plugin WordPress yang memberikan kontrol penuh atas jutaan situs

April 2, 2023 by Coffee Bean

Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.

Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.

Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:

Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.

selengkapnya : arstechnica.com

Catatan BumbleBee

April 2, 2023 by Søren

BumbleBee dikategorikan sebagai Loader, malware ini digunakan oleh Broker Akses Awal untuk mendapatkan akses di perusahaan yang ditargetkan. Artikel ini bertujuan untuk merangkum berbagai TTP yang diamati dalam kampanye yang mendistribusikan BumbleBee dan menyediakan skrip untuk mengekstrak konfigurasinya.

Malware memiliki mekanisme pembongkaran khusus, ia memanipulasi kait untuk mengatur rantai eksekusinya, pemuat menggunakan beberapa teknik deteksi lingkungan karena integrasi lengkap dari proyek al-khaser

Itu berkomunikasi dengan perintah dan kontrolnya melalui HTTP. Sejak Agustus 2022 malware menyematkan daftar alamat IP dalam konfigurasinya, beberapa di antaranya adalah alamat IP yang sah, teknik ini juga digunakan oleh malware lain seperti Emotet dan Trickbot.

Comman and control, alamat IP, port, dan pengidentifikasi bot (atau botnet) disimpan di bagian .data BumbleBee, disamarkan dengan algoritme enkripsi RC4. Skrip untuk mengekstrak dan menghapus penyamarannya disediakan di akhir postingan ini.

Selama musim panas 2022, aktor memperbarui format gambar disk dari ISO ke VHD. Konten gambar disk (VHD) juga berubah, DLL tidak lagi disimpan sebagai file, tetapi disematkan dalam skrip PowerShell. Skrip dijalankan oleh LNK dengan kebijakan eksekusi disetel ke bypass.

DLL BumbleBee disimpan dalam skrip PowerShell dalam string yang disamarkan (misalnya: $elem30=$elem30.$casda.Invoke(0,”H”)). Setelah penggantian string, variabel yang disandikan base64 didekodekan, didekompresi (ungzip) dan dipanggil (mis: scriptPath | iex).

Layanan berbagi file yang digunakan untuk mengirimkan perubahan BumbleBee secara teratur misalnya: WeTransfer, Onedrive, Smash, dll. Detail kampanye menggunakan situs web berbagi file onedrive tertulis di artikel: Kampanye Bumblebee DocuSign.

Selengkapnya: Krakz

Perburuan Tingkat Lanjut Tanpa Batas untuk Microsoft 365 Defender dengan Azure Data Explorer

April 2, 2023 by Søren

Data seperti insiden, peringatan, dan garis waktu peristiwa perangkat tetap tersedia selama 180 hari. Namun dalam kasus khusus ini, mereka mengacu pada data Perburuan Lanjutan yang dihapus setelah 30 hari. Jadi Anda tidak akan bisa menggunakan Kusto Query Language (KQL) untuk mencari event di “raw data”. Dan untuk tujuan berburu proaktif, saya setuju dengan pelanggan saya; ini terlalu singkat.

Artikel ini menunjukkan bagaimana Anda dapat memanfaatkan Azure Data Explorer (ADX) untuk mengarsipkan data dari Pertahanan Microsoft 356 tanpa harus menggunakan Microsoft Sentinel di antaranya. Karena menyampaikan data ini melalui Sentinel tidak disukai oleh kebanyakan orang, karena biaya tambahan yang menyertainya. Yang bisa sangat besar dalam beberapa kasus.

Jadi, Defender dapat mendorong peristiwa mentah ke Hub Peristiwa dan Azure Data Explorer juga dapat menarik pesan dari Hub Peristiwa. Kedengarannya sederhana kan? Saat kami mengonfigurasi Streaming API di Defender, kami akan melihat bahwa kami hanya memiliki lima slot yang tersedia untuk konfigurasi.

Mungkin satu atau dua slot sudah terisi karena Anda telah mengaktifkan konektor data Microsoft 365 Defender di Microsoft Sentinel. Sepertinya tidak ada cara untuk menghapusnya dari sini. Dalam setiap slot, kami dapat memutuskan untuk mendorong log ke Event Hub atau Azure Storage.

Selengkapnya: Medium

Eksploitasi Aktif Kerentanan Tingkat Keparahan Tinggi di Elementor Pro

April 1, 2023 by Søren

Ada laporan eksploitasi aktif kerentanan tingkat tinggi di Elementor Pro untuk mengarahkan pengunjung ke domain berbahaya, atau mengunggah pintu belakang ke situs yang disusupi. Elementor Pro adalah plugin pembuat halaman WordPress yang juga menampilkan pembuat WooCommerce untuk toko online.

Eksploitasi kerentanan yang berhasil, dikombinasikan dengan plugin WooCommerce yang berjalan di situs, dapat memungkinkan setiap pengguna yang diautentikasi (seperti pelanggan atau anggota situs) untuk mengubah pengaturan situs dan bahkan melakukan pengambilalihan situs sepenuhnya. Hal ini disebabkan oleh tindakan Asinkron JavaScript dan XML (AJAX) dari Elementor Pro yang tidak memiliki kontrol hak istimewa yang sesuai.

Kerentanan memengaruhi Elementor Pro versi 3.11.6 dan sebelumnya.

Pengguna dan administrator versi produk yang terpengaruh disarankan untuk segera memperbarui ke versi terbaru.

Selengkapnya: CSA SINGAPORE

OpIsrael: Peninjauan Satu Dekade

April 1, 2023 by Coffee Bean

OpIsrael adalah operasi Anonim yang diluncurkan pada November 2012 sebagai tanggapan atas operasi militer Israel, Pilar Pertahanan. Pillar of Defense adalah operasi delapan hari yang diluncurkan oleh Pasukan Pertahanan Israel pada 14 November 2012, sebagai tanggapan atas 100 roket yang ditembakkan ke Israel dalam waktu 24 jam dari Jalur Gaza yang dikuasai Hamas.

Pada saat itu, OpIsrael bukanlah operasi resmi, melainkan tag pertempuran yang dipilih oleh kelompok peretas yang terkait dengan Anonymous untuk menanggapi operasi Israel. Selama operasi Anonim pada tahun 2012, ratusan situs web Israel menjadi sasaran pelanggaran data, perusakan, dan serangan penolakan layanan. Hal ini membuat banyak profesional keamanan bertanya-tanya apakah seperti ini masa depan perang nantinya dan apakah kelompok hacktivist seperti Anonymous dapat dianggap sebagai tentara yang sah.

Tahun berikutnya, Anonymous bergerak untuk membuat kampanye terkoordinasi tahunan melawan Israel di bawah bendera pertempuran, OpIsrael. Kampanye perdana diluncurkan pada 7 April 2013, bersamaan dengan Hari Peringatan Holocaust, dengan tujuan untuk “menghapus Israel dari internet.” Operasi tersebut menargetkan jaringan dan aplikasi di Israel untuk apa yang dianggap Anonymous sebagai pelanggaran hak asasi manusia terhadap rakyatnya
Palestina dengan harapan kampanye tersebut akan membawa perhatian pada konflik Israel-Palestina yang sedang berlangsung.

selengkapnya : radware.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings