Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

by

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

by

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News

Alamt IP Pengguna VPN terekspos oleh kerentanan zero-day di router Virgin Media

by

Kerentanan zero-day di router Virgin Media Super Hub 3 memungkinkan penyerang membuka kedok alamat IP pengguna VPN yang sebenarnya, ungkap peneliti keamanan.

Fidus Information Security, konsultan penetration testing Inggris, telah menerbitkan rincian kerentanan keamanan hampir dua tahun setelah pertama kali memperingatkan Virgin Media, sebuah perusahaan telekomunikasi Inggris, yang merujuk Fidus ke Liberty Global, perusahaan induknya.

Tim R&D Fidus mengatakan awalnya menunda pengungkapan selama 12 bulan atas permintaan vendor, tetapi upaya selanjutnya untuk menghubungi Virgin Media dan Liberty Global kemudian gagal mendapatkan tanggapan.

Namun, Virgin Media telah mengatakan kepada The Daily Swig bahwa saat ini sedang mengerjakan “perbaikan teknis” untuk “masalah edge-case, yang berpotensi berdampak hanya pada sebagian kecil pelanggan” yang menggunakan VPN.

Para peneliti dapat memasang serangan rebinding DNS yang mengungkapkan alamat IP pengguna VPN “dengan hanya [pengguna] mengunjungi halaman web [berbahaya] selama beberapa detik”, tulis posting blog yang dirancang oleh Fidus pada bulan Maret tetapi akhirnya diterbitkan minggu lalu.

Serangan rebinding DNS menyalahgunakan browser korban dengan menjadikannya sebagai proxy untuk menyerang jaringan pribadi.

Para peneliti berhasil menghilangkan anonimitas perangkat yang alamat IP-nya ditutupi oleh sebagian besar “VPN terkemuka di pasar”, kata tim R&D Fidus kepada The Daily Swig.

Namun, beberapa penyedia VPN menangkis serangan tersebut dengan memblokir akses ke alamat IP lokal secara default.

Selengkapnya: Portswigger

Kerentanan CPU AMD Ditemukan, Membocorkan Kata Sandi Sebagai Pengguna Non-Administratif

by

AMD merilis informasi tentang kerentanan driver yang mempengaruhi CPU mereka, memungkinkan setiap pengguna untuk tidak hanya mendapatkan akses ke informasi tetapi juga mengunduh informasi melalui halaman memori Windows tertentu. Penyerang mampu mendapatkan akses ke kata sandi, serta meluncurkan serangan yang berbeda, seperti mengganggu mitigasi eksploitasi KASLR, juga dikenal sebagai Spectre dan Meltdown.

Informasi ini terungkap setelah peneliti keamanan dan salah satu pendiri ZeroPeril, Kyriakos Economou, menemukan eksploitasi dan menghubungi AMD. Melalui pekerjaan mereka, AMD mampu mengeluarkan mitigasi yang saat ini menjadi bagian dari driver CPU terbaru. Anda juga dapat memanfaatkan Pembaruan Windows untuk menerima driver AMD PSP terbaru.

Pembaruan driver AMD saat ini telah aktif selama beberapa minggu, tetapi ini adalah yang pertama bagi AMD untuk menjelaskan detail pembaruan driver saat ini.

Economou menjelaskan prosesnya dalam laporan yang diungkapkan baru-baru ini dirilis. Dalam dokumen, itu menunjukkan kerentanan panjangnya.

Economou awalnya menemukan exploit menggunakan AMD Ryzen 2000 dan 3000 series. AMD awalnya hanya mencantumkan seri Ryzen 1000 dan CPU generasi yang lebih lama dalam advisory internalnya. Situs web Tom’s Hardware menghubungi AMD setelah membaca dokumen dari Economou untuk menemukan daftar chipset yang terpengaruh.

AMD menginstruksikan pengguna untuk mengunduh driver AMD PSP melalui Pembaruan Windows (driver AMD PSP 5.17.0.0) atau driver CPU AMD dari halaman dukungan mereka (AMD Chipset Driver 3.08.17.735).

Selengkapnya: Wccftech

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

by

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

by

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica