Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

PERINGATAN ANCAMAN: Serangan penambang Crypto – Sysrv-Hello Botnet menargetkan pod WordPress

by

Tim Riset Keamanan Sysdig telah mengidentifikasi serangan Cryptominer yang menyerang pod Kubernetes yang menjalankan WordPress, terkait dengan Botnet Sysrv-Hello baru-baru ini.

Tujuan serangan itu adalah untuk mengontrol pod, menambang cryptocurrency, dan mereplikasi dirinya dari sistem yang disusupi.

Secara khusus, penyerang menargetkan WordPress yang salah dikonfigurasi untuk melakukan akses awal. Mereka kemudian mencoba menghentikan malware potensial lainnya, menginstal dan mengeksekusi cryptominer, dan akhirnya, mencoba mereplikasi dirinya sendiri (dalam infrastruktur honeypot Sysdig dan di internet).

Yang perlu diperhatikan tentang serangan ini adalah bahwa hash biner dari skrip serangan dan cryptominer sangat baru, dan pendaftar pada basis data malware menunjukkan bahwa sangat sedikit orang yang mendeteksinya. Jadi, sebagian besar perangkat lunak keamanan tidak akan dapat mendeteksi serangan tersebut, dan Anda harus bergantung pada pendeteksian perilakunya untuk mendapatkan peringatan.

Apa itu Botnet Sysrv-Hello?

Botnet Sysrv-hello adalah infeksi Windows dan Linux yang pertama kali diidentifikasi pada akhir Desember 2020, yang mengeksploitasi banyak kerentanan dan disebarkan melalui skrip shell.

sejak identifikasi pertama, penyerang melakukan beberapa perubahan dalam skrip shell yang menginstal implan Sysrv-hello, yang merupakan cara malware executable disebarkan pada sistem host.

Dalam perubahan terbaru mereka, botnet memiliki fitur dan eksploitasi baru untuk replikasi. Fitur baru yang paling penting adalah kemampuan untuk mengunduh penambang seperti Monero dan mulai menambang cryptocurrency.

Selengkapnya: Sysdig

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

by

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News

FBI membagikan detail teknis untuk ransomware Hive

by

Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.

Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.

Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.

Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).

Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.

FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.

Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.

Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.

FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.

Selengkapnya: Bleeping Computer

Bug Razer memungkinkan Anda menjadi admin Windows 10 dengan mencolokkan mouse

by

Kerentanan zero-day Razer Synapse telah diungkapkan di Twitter, memungkinkan Anda untuk mendapatkan hak istimewa admin Windows hanya dengan mencolokkan mouse atau keyboard Razer.

Razer adalah produsen periferal komputer yang sangat populer yang dikenal dengan mouse dan keyboard gamingnya.

Saat mencolokkan perangkat Razer ke Windows 10 atau Windows 11, sistem operasi akan secara otomatis mengunduh dan mulai menginstal perangkat lunak Razer Synapse di komputer. Razer Synapse adalah perangkat lunak yang memungkinkan pengguna untuk mengkonfigurasi perangkat keras mereka, mengatur makro, atau tombol peta.

Razer mengklaim bahwa perangkat lunak Razer Synapse mereka digunakan oleh lebih dari 100 juta pengguna di seluruh dunia.

Peneliti keamanan jonhat menemukan kerentanan zero-day di instalasi Razer Synapse plug-and-play yang memungkinkan pengguna untuk mendapatkan hak istimewa SISTEM pada perangkat Windows dengan cepat.

Setelah tidak menerima tanggapan dari Razer, jonhat mengungkapkan kerentanan zero-day di Twitter dan menjelaskan cara kerja bug dengan video pendek.

Seperti yang dijelaskan oleh Will Dormann, Analis Kerentanan di CERT/CC, bug serupa kemungkinan besar ditemukan di perangkat lunak lain yang diinstal oleh proses plug-and-play Windows.

Setelah kerentanan zero-day ini mendapat perhatian luas di Twitter, Razer telah menghubungi peneliti keamanan untuk memberi tahu mereka bahwa mereka akan mengeluarkan perbaikan.

Selengkapnya: Bleeping Computer

Peringatan keamanan siber: Kelemahan Realtek membuat lusinan merek terkena serangan rantai pasokan

by

Sebuah cacat baru-baru ini diungkapkan dalam chipset dari perusahaan semikonduktor Taiwan Realtek sedang ditargetkan oleh botnet berdasarkan malware IoT lama, Mirai.

Perusahaan keamanan Jerman IoT Inspector melaporkan bahwa bug Realtek, dilacak sebagai CVE-2021-35395, memengaruhi lebih dari 200 produk Wi-Fi dan router dari 65 vendor, termasuk Asus, Belkin, China Mobile, Compal, D-Link, LG, Logitec, Netgear, ZTE, dan Zyxel.

Cacat ini terletak di perangkat pengembang perangkat lunak Realtek (SDK) dan saat ini sedang diserang dari kelompok yang menggunakan varian malware IoT, Mirai, yang dirancang untuk berfungsi pada perangkat dengan budget prosesor dan sedikit memori.

Jika serangan berhasil, penyerang akan mendapatkan kontrol penuh atas modul Wi-Fi dan akses root ke sistem operasi perangkat.

Serangan tersebut menyoroti kerentanan dalam rantai pasokan perangkat lunak yang diharapkan oleh Presiden AS Joe Biden dapat ditambal dengan miliaran dolar yang dijanjikan minggu ini oleh Microsoft dan Google.

Sementara Mirai menimbulkan beberapa ancaman terhadap informasi yang disimpan di perangkat seperti router, kerusakan yang lebih besar disebabkan oleh serangan penolakan layanan terdistribusi (DDoS) bertenaga tinggi di situs web yang menggunakan perangkat yang disusupi.

Realtek telah merilis tambalan, tetapi merek perangkat (OEM) perlu mendistribusikannya ke pengguna akhir pada perangkat yang, sebagian besar, tidak memiliki antarmuka pengguna, dan oleh karena itu tidak dapat digunakan untuk mengomunikasikan bahwa tambalan tersedia. Vendor perlu menganalisis firmware mereka untuk memeriksa keberadaan kerentanan.

Selengkapnya: ZDNet

Hampir 73.500 data pasien terkena serangan ransomware di klinik mata di Singapura

by

Serangan ransomware awal bulan ini telah memengaruhi data pribadi dan informasi klinis hampir 73.500 pasien di klinik mata swasta, insiden ketiga yang dilaporkan dalam sebulan.

Informasi tersebut meliputi nama, alamat, nomor kartu identitas, detail kontak dan informasi klinis seperti catatan klinis pasien dan pemindaian mata, kata Eye & Retina Surgeons (ERS) pada Rabu (25 Agustus).

Tetapi klinik mengatakan belum membayar uang tebusan, menambahkan bahwa tidak ada informasi kartu kredit atau rekening bank yang diakses atau dikompromikan.

Kementerian Kesehatan (MOH) mengatakan bahwa sistem TI klinik yang disusupi tidak terhubung ke sistem TI kementerian, seperti Catatan Kesehatan Elektronik Nasional, dan tidak ada serangan siber serupa pada sistem TI Kementerian Kesehatan.

Kementerian menambahkan bahwa mereka telah meminta ERS untuk menyelidiki insiden itu, melakukan tinjauan menyeluruh terhadap sistemnya dan bekerja dengan Badan Keamanan Siber (CSA) untuk “mengambil tindakan mitigasi segera untuk memperkuat pertahanan sibernya”.

Klinik tersebut mengatakan dalam sebuah pernyataan bahwa ia menggunakan “penyedia layanan TI eksternal yang bereputasi dan mapan untuk memberi saran dan memelihara sistem TI-nya, dan berlangganan anti-virus yang sesuai dan perangkat lunak pelindung lainnya, yang diperbarui secara berkala”.

Server dan beberapa terminal komputer di klinik cabang Camden terpengaruh, tetapi sistem TI di cabang Novena tidak.

Meskipun tidak ada data yang bocor ke publik untuk saat ini, klinik tersebut mengatakan akan memantau situasi dengan cermat.

Selengkapnya: The Straits Times

Mod WhatsApp berbahaya menginfeksi perangkat Android dengan malware

by

Versi jahat dari mod FMWhatsappWhatsApp memberikan muatan Triadatrojan, kejutan buruk yang menginfeksi perangkat mereka dengan malware tambahan, termasuk trojan xHelper yang sangat sulit dihapus.

FMWhatsApp berjanji untuk meningkatkan pengalaman pengguna WhatsApp dengan fitur tambahan seperti privasi yang lebih baik, tema obrolan khusus, akses ke paket emoji jejaring sosial lain, dan penguncian aplikasi menggunakan PIN, kata sandi, atau touch ID.

Namun, seperti yang ditemukan oleh peneliti Kaspersky, versi FMWhatsapp 16.80.0 juga akan menginstall trojan Triada di perangkat pengguna dengan bantuan SDK iklan.

“Aplikasi ini tersedia di beberapa situs distribusi mod WhatsApp populer. Kami tidak dapat membagikan tautan ke sana,” kata pakar keamanan Kaspersky Igor Golovin kepada BleepingComputer.

“Untuk [kloning FMWhatsApp] di Google Play – aplikasi ini biasanya hanya berisi berbagai iklan dan menginstruksikan pengguna tentang cara mengunduh dan menginstal mod, sementara sebenarnya tidak mengandung mod jahat itu sendiri.”

Setelah diinstal, Triada mulai mengumpulkan informasi perangkat dan mengirimkannya ke server perintah-dan-kontrolnya, yang membalas dengan tautan ke muatan tambahan yang akan diunduh dan diluncurkan trojan pada perangkat Android yang disusupi.

Malware yang dijatuhkan oleh Triada di perangkat Android pengguna FMWhatsApp dapat dengan mudah mendaftarkan mereka ke langganan premium mengingat aplikasi tersebut meminta akses ke pesan teks korban saat diinstal.

Di antara malware yang dikirimkan oleh Triada, xHelper sangat menonjol melalui kemampuannya yang luar biasa untuk menginfeksi ulang perangkat Android beberapa jam setelah dihapus atau setelah perangkat yang terinfeksi direset ke pengaturan pabrik.

Selengkapnya: Bleeping Computer

Microsoft: Bug ProxyShell “mungkin dieksploitasi”, tambal server Anda sekarang!

by

Microsoft akhirnya menerbitkan panduan hari ini untuk kerentanan ProxyShell yang dieksploitasi secara aktif yang berdampak pada beberapa versi Microsoft Exchange lokal.

ProxyShell adalah kumpulan dari tiga kelemahan keamanan (ditambal pada bulan April dan Mei) yang ditemukan oleh peneliti keamanan Devcore Orange Tsai, yang mengeksploitasinya untuk menyusup ke server Microsoft Exchange selama kontes peretasan Pwn2Own 2021:

  • CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
  • CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

Meskipun Microsoft sepenuhnya menambal bug ProxyShell pada Mei 2021, mereka tidak menetapkan ID CVE untuk kerentanan hingga Juli, mencegah beberapa organisasi dengan server yang belum ditambal mengetahui bahwa mereka memiliki sistem yang rentan di jaringan mereka.

Microsoft mengatakan bahwa pelanggan harus menginstal SETIDAKNYA SATU dari pembaruan kumulatif terbaru yang didukung dan SEMUA pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Per Microsoft, server Exchange rentan jika salah satu dari kondisi berikut ini benar:

  • Server menjalankan CU yang lebih lama dan tidak didukung;
  • Server menjalankan pembaruan keamanan untuk versi Exchange yang lebih lama dan tidak didukung yang dirilis pada Maret 2021; atau
  • Server menjalankan CU yang lebih lama dan tidak didukung, dengan penerapan mitigasi EOMT Maret 2021.

Selengkapnya: Bleeping Computer