Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Operasi Baru Dari Horabot Mengambil Alih Akun Gmail & Outlook Korban

by

Operasi Horabot yang baru ini ditemukan oleh para analis di Cisco Talos, yang melaporkan bahwa pelaku ancaman di baliknya kemungkinan berbasis di Brasil.

Malicious page hosted on AWS (Cisco)
Malicious page hosted on AWS (Cisco)

Rantai infeksi dengan beberapa tahap dimulai dengan email phishing berisi tema pajak yang dikirim kepada target, dengan lampiran HTML yang seolah-olah merupakan tanda terima pembayaran.

Membuka file HTML tersebut akan memicu rangkaian pengalihan URL yang mengarahkan korban ke halaman HTML yang dihosting pada instansi AWS yang dikendalikan oleh penyerang.

Korban mengklik hyperlink pada halaman tersebut dan mengunduh sebuah arsip RAR yang berisi file batch dengan ekstensi CMD, yang kemudian mengunduh sebuah skrip PowerShell yang mengambil DLL trojan dan serangkaian file eksekusi yang sah dari server C2.

Trojan-trojan ini dijalankan untuk mengambil dua payload terakhir dari server C2 yang berbeda. Salah satunya adalah skrip pengunduh PowerShell, dan yang lainnya adalah binary Horabot.

Function to extract email addresses (Cisco)
Function to extract email addresses (Cisco)

Payload utama yang dijatuhkan ke sistem korban adalah Horabot, sebuah botnet berbasis PowerShell yang terdokumentasi dan mengincar kotak surat Outlook korban untuk mencuri kontak dan menyebarkan email phishing yang berisi lampiran HTML berbahaya.

Malware ini menjalankan aplikasi desktop Outlook korban untuk memeriksa buku alamat dan kontak dari isi inbox.

Horabot infection flow (Cisco)
Horabot infection flow (Cisco)

Semua alamat email yang diekstraksi ditulis ke dalam file “.Outlook” dan kemudian dienkripsi dan dieksfiltrasi ke server C2.

Terakhir, malware ini membuat sebuah file HTML secara lokal, mengisinya dengan konten yang disalin dari sumber eksternal, dan mengirimkan email phishing ke semua alamat email yang diekstraksi secara individu.

Setelah proses distribusi email phishing selesai, file dan folder yang dibuat secara lokal dihapus untuk menghapus jejak-jejak yang ada.

Selengkapnya: Bleeping Computer

Supply Chain Risk Dari Backdoor App Center Gigabyte

by

Belakangan ini, platform Eclypsium telah mendeteksi perilaku yang mencurigakan mirip backdoor dalam sistem-sistem Gigabyte yang beredar di luar sana. Deteksi ini didorong oleh metode deteksi heuristik, yang memainkan peran penting dalam mendeteksi ancaman rantai pasok baru yang sebelumnya tidak diketahui, di mana produk atau pembaruan teknologi pihak ketiga yang sah telah diretas.

Analisis lanjutan kami menemukan bahwa firmware dalam sistem-sistem Gigabyte menjalankan dan mengeksekusi file eksekusi Windows saat proses startup sistem, dan file tersebut kemudian mengunduh dan mengeksekusi payload tambahan secara tidak aman.

Hal ini menggunakan teknik yang sama dengan fitur mirip backdoor OEM lainnya seperti Computrace backdoor (juga dikenal sebagai LoJack DoubleAgent) yang disalahgunakan oleh pelaku ancaman dan bahkan firmware implant seperti Sednit LoJax, MosaicRegressor, Vector-EDK.

Analisis lebih lanjut menunjukkan bahwa kode yang sama ini ada dalam ratusan model PC Gigabyte. Kami sedang bekerja dengan Gigabyte untuk mengatasi implementasi yang tidak aman dari kemampuan pusat aplikasi mereka.

RISIKO DAN DAMPAK

Masalah ini mengekspos organisasi terhadap berbagai risiko dan skenario serangan:

  • Penyalahgunaan backdoor OEM oleh threat actor
  • Kompromi infrastruktur pembaruan OEM dan rantai pasokan
  • Persistensi menggunakan UEFI Rootkit dan Implan
  • Serangan MITM pada firmware dan fitur pembaruan perangkat lunak

REKOMENDASI

Berikut adalah daftar tindakan pencegahan yang disarankan untuk mengurangi risiko penggunaan sistem Gigabyte atau sistem dengan motherboard terkena dampak:

  1. Pindai dan monitor sistem serta pembaruan firmware untuk mendeteksi sistem Gigabyte yang terkena dampak dan alat-alat serupa backdoor yang tertanam di dalam firmware. Perbarui sistem ke firmware dan perangkat lunak terbaru yang telah divalidasi untuk mengatasi masalah keamanan seperti ini.
  2. Periksa dan nonaktifkan fitur “APP Center Download & Install” di UEFI/BIOS Setup pada sistem Gigabyte, serta atur kata sandi BIOS untuk mencegah perubahan yang berbahaya.
  3. Administrator juga dapat memblokir URL berikut:

Harap diingat bahwa ini adalah tindakan pencegahan umum yang direkomendasikan. Penting untuk mengikuti petunjuk resmi yang diberikan oleh Gigabyte dan vendor perangkat keras lainnya untuk mengatasi masalah ini dengan benar. Selalu perbarui firmware dan perangkat lunak Anda dari sumber yang tepercaya, serta lakukan pemindaian keamanan secara berkala untuk mendeteksi ancaman potensial.

Selengkapnya: Eclypsium

Operasi Triangulasi: Perangkat iOS yang Ditargetkan dengan Malware yang Sebelumnya Tidak Dikenal

by

Perusahaan sedang melakukan pemantauan lalu lintas jaringan Wi-Fi yang khusus digunakan untuk perangkat seluler menggunakan Platform Pemantauan dan Analisis Terpadu Kaspersky (KUMA). Mereka menemukan adanya aktivitas mencurigakan yang dari beberapa ponsel iOS.

Mereka mengambil tindakan dengan membuat cadangan luring dari perangkat yang dimaksud, memeriksanya menggunakan mvt-ios Perangkat Verifikasi Seluler dan menemukan jejak penyusupan. Kampanye ini disebut “Operasi Triangulasi”.
KUMA,
Mengidentifikasi artefak tertentu dengan menggunakan garis waktu ini, menunjukkan adanya kompromi. Ini memungkinkan untuk memajukan penelitian dan untuk merekonstruksi urutan infeksi umum:
1. Perangkat iOS target menerima pesan melalui layanan iMessage, dengan lampiran berisi eksploit.
2. Tanpa interaksi pengguna apa pun, pesan tersebut memicu kerentanan yang mengarah pada eksekusi kode.
3. Kode di dalam eksploitasi mengunduh beberapa tahap berikutnya dari server C&C, mencakup eksploitasi tambahan untuk eskalasi hak istimewa.
4. Setelah berhasil dieksploitasi, muatan akhir diunduh dari server C&C, merupakan platform APT berfitur lengkap.
5. Pesan awal dan eksploit dalam lampiran dihapus

Garis waktu beberapa perangkat menunjukkan bahwa mereka mungkin terinfeksi ulang setelah melakukan boot ulang. Saat penulisan pada Juni 2023, serangan sedang berlangsung, dan versi terbaru dari perangkat yang berhasil ditargetkan adalah iOS 15.7.

Malware dapat diidentifikasi dengan andal jika perangkat jika perangkat disusupi meskipun menyertakan bagian kode yang didedikasikan khusus untuk menghapus jejak penyusupan.

Jika perangkat baru disiapkan dengan memigrasikan data pengguna dari perangkat lama, cadangan iTunes perangkat tersebut akan berisi jejak penyusupan yang terjadi pada kedua perangkat, dengan timestemps yang benar.

Tahapan metodologi forensik yang dilakukan peneliti dimulai dari persiapan dengan mencadangkan semua perangkat target potensial harus dicadangkan, instalasi MVT, opsional dengan mendekripsi cadangan, kemudian parsing cadangan menggunakan MVT, setelah itu memeriksa timeline.csv untuk indikator.

Aktivitas jaringan selama eksploitasi yaitu dapat diidentifikasi dengan urutan beberapa kejadian koneksi HTTPS untuk eksploitasi yang berhasil. Hal ini dapat ditemukan dalam data netflow yang diperkaya dengan informasi host DNS/TLS, atau dump PCAP.

Urutan eksploitasi jaringan, dump Wireshark
Urutan eksploitasi jaringan, dump Wireshark

Selengkapnya: SecureList

Serangan Wi-Fi MITM Baru yang Dapat Menembus Mekanisme Keamanan WPA3

by

Sebuah kerentanan kritis dalam chipset NPU yang baru ditemukan oleh peneliti dari Universitas Tsinghua dan George Mason University memungkinkan penyerang untuk menguping data yang ditransmisikan melalui 89% jaringan Wi-Fi dunia nyata dengan memanfaatkannya.

Serangan ini mampu melewati mekanisme keamanan link-layer seperti WPA3 dan mencegat lalu lintas teks biasa, telah dijelaskan dalam makalah penelitian yang diterima oleh Simposium Keamanan dan Privasi IEEE 2023.

Penggunaan akselerasi perangkat keras, seperti chipset NPU dalam jaringan Wi-Fi, meningkatkan kecepatan transmisi data dan mengurangi latensi, tetapi juga memperkenalkan masalah keamanan karena transmisi langsung frame nirkabel oleh router Access Point (AP).

Untuk memprioritaskan kinerja, NPU pada router AP seperti Qualcomm IPQ5018 dan HiSilicon Gigahome Quad-core akan langsung mengirimkan pesan pengalihan ICMP palsu yang diterima ke pencari korban.

Ketika korban menerima pesan tersebut, ia ditipu untuk memperbarui cache routing-nya dan menggantikan langkah selanjutnya dengan alamat IP penyerang, sehingga paket IP berikutnya yang seharusnya ditujukan ke server dialihkan ke penyerang di lapisan IP, memungkinkan pengiriman paket oleh penyerang.

Dengan diam-diam dan tanpa menggunakan AP palsu, penyerang secara efektif melakukan serangan MITM, memungkinkan penyadapan dan modifikasi lalu lintas korban.

Kerentanan yang mencegah perangkat AP untuk memblokir pesan pengalihan ICMP palsu ini telah dikonfirmasi oleh Qualcomm dan Hisilicon, dengan Qualcomm memberikan CVE-2022-25667 untuk masalah khusus ini.

Analisis keamanan yang melakukan studi empiris besar-besaran terhadap router AP utama dan jaringan Wi-Fi dunia nyata menemukan bahwa kerentanan dalam NPU tersemat mempengaruhi hampir semua router AP utama.

Dari 55 router AP yang rentan yang diuji dari 10 vendor AP terkenal, para ahli menemukan bahwa lebih dari 89% dari 122 jaringan Wi-Fi dunia nyata yang diuji terpapar serangan yang sudah diketahui.

Sebagai rekomendasi mitigasi, para ahli telah mengonfirmasi bahwa untuk meningkatkan keamanan, AP harus membatasi pengalihan ICMP yang dibuat, dan harus memverifikasi pesan ICMP yang diterima.

Selengkapnya: Cybersecurity News

Spyware Ditemukan dalam Aplikasi Google Play dengan Lebih dari 420 Juta Unduhan

by

Perusahaan antivirus Doctor Web telah mengidentifikasi adanya spyware dalam lebih dari 100 aplikasi Android yang telah diunduh lebih dari 421 juta kali di Google Play.

Modul berbahaya ini, yang diberi nama ‘SpinOk’ oleh Doctor Web, didistribusikan sebagai SDK pemasaran. Pada perangkat korban, spyware ini dapat mengumpulkan informasi tentang file, mengirim file ke para penyerang, dan mencuri konten clipboard.

Modul SpinOk menawarkan mini game, tugas, dan hadiah yang diduga untuk menjaga minat pengguna terhadap aplikasi tersebut.

Setelah dieksekusi, SDK ini terhubung ke server komando dan kontrol (C&C) dan mengirimkan sejumlah besar informasi perangkat, termasuk data dari sensor yang memungkinkannya mendeteksi lingkungan emulator. Respons dari server berisi banyak URL yang digunakan untuk menampilkan spanduk iklan melalui WebView.

Selain itu, modul ini dapat mengumpulkan daftar file dalam direktori yang ditentukan, memeriksa keberadaan file dan direktori tertentu, mengunggah file dari perangkat, serta menyalin atau mengganti konten clipboard.

“Ini memungkinkan operator modul trojan untuk memperoleh informasi dan file rahasia dari perangkat pengguna—misalnya, file yang dapat diakses oleh aplikasi yang memiliki Android.Spy.SpinOk di dalamnya. Untuk itu, para penyerang perlu menambahkan kode yang sesuai ke dalam halaman HTML spanduk iklan,” jelas Doctor Web.

Modul berbahaya dan modifikasinya telah diidentifikasi dalam total 101 aplikasi di Google Play. Google telah diberi tahu dan telah menghapus beberapa aplikasi tersebut. Dalam beberapa kasus, hanya versi tertentu yang mengandung SDK berbahaya tersebut.

Beberapa aplikasi paling populer yang mengandung modul berbahaya ini termasuk Noizz (lebih dari 100 juta instalasi), Zapya (lebih dari 100 juta instalasi—kode tersebut ada dalam versi 6.3.3 hingga 6.4), VFly (lebih dari 50 juta unduhan), MVBit (lebih dari 50 juta instalasi), dan Biugo (lebih dari 50 juta unduhan). Doctor Web telah mempublikasikan daftar lengkap aplikasi yang terinfeksi.

Selengkapnya: Security Week

Kaspersky mengatakan penyerang meretas iPhone staf dengan malware yang tidak dikenal

by

Perusahaan keamanan siber Rusia Kaspersky mengatakan bahwa peretas yang bekerja untuk pemerintah menargetkan beberapa lusin iPhone karyawan dengan malware yang tidak diketahui.

Juru bicara Kaspersky Sawyer Van Horn mengatakan dalam email ke TechCrunch bahwa perusahaan menetapkan bahwa salah satu kerentanan yang digunakan dalam operasi diketahui dan diperbaiki oleh Apple pada Desember 2022, tetapi mungkin telah dieksploitasi sebelum ditambal, bersama dengan kerentanan lainnya. “Meskipun tidak ada indikasi yang jelas, kerentanan yang sama telah dieksploitasi sebelumnya, tetapi sangat mungkin terjadi,” kata juru bicara itu.

Peneliti Kaspersky mengatakan bahwa mereka menemukan serangan tersebut ketika mereka melihat “aktivitas mencurigakan yang berasal dari beberapa ponsel berbasis iOS,” saat memantau jaringan Wi-Fi perusahaan mereka sendiri. Van Horn mengatakan serangan siber ditemukan “pada awal tahun ini.”

Sementara malware dirancang untuk membersihkan perangkat yang terinfeksi dan menghapus jejaknya sendiri, “adalah mungkin untuk mengidentifikasi dengan andal jika perangkat itu disusupi,” tulis para peneliti.

Dalam laporan tersebut, para peneliti menjelaskan langkah demi langkah bagaimana mereka menganalisis perangkat yang disusupi, menguraikan bagaimana orang lain dapat melakukan hal yang sama. Namun, mereka tidak memasukkan banyak detail dari apa yang mereka temukan menggunakan proses ini.

Para peneliti mengatakan bahwa kehadiran “garis penggunaan data yang menyebutkan proses bernama ‘BackupAgent’,” adalah tanda yang paling dapat diandalkan bahwa iPhone diretas, dan salah satu tanda lainnya adalah bahwa iPhone yang dikompromikan tidak dapat menginstal update iOS.

Perusahaan mengatakan bahwa para peretas, yang pada saat ini tidak diketahui, mengirimkan malware dengan eksploitasi tanpa klik melalui lampiran iMessage, dan bahwa semua peristiwa terjadi dalam jangka waktu satu hingga tiga menit.

sumber : techcrunch

Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

by

Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

Detail serangan
Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

“Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

Webshell diintasl oleh exploit di MOVEit Transfer Servers.
Sumber : BleepingComputer

Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

  • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
  • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
  • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

sumber : BleepingComputer

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

by

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer