Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Geng Ransomware Lorenz Menanam Backdoor untuk Digunakan Beberapa Bulan Kemudian

by

Peneliti keamanan memperingatkan bahwa menambal kerentanan kritis yang memungkinkan akses ke jaringan tidak cukup untuk bertahan dari serangan ransomware.

Beberapa geng mengeksploitasi kelemahan untuk merencanakan backdoor. Salah satu kasus adalah serangan ransomware Lorenz yang selesai berbulan-bulan setelah peretas memperoleh akses ke jaringan korban menggunakan eksploit untuk bug kritis dalam sistem telepon.

Backdoor Dipasang Sebelum Pembaruan Keamanan
Menurut S-RM, peretas memperoleh akses awal dengan mengeksploitasi kerentanan kritis dalam infrastruktur telepon Mitel, CVE-2022-29499, memungkinkan eksekusi remote kode.

Sementara klien S-RM telah menerapkan tambalan untuk CVE-2022-29499 pada bulan Juli, peretas ransomware Lorenz bergerak lebih cepat dan mengeksploitasi kerentanan dan menanam backdoor sebelum pembaruan yang memperbaiki masalah tersebut.

Periksa Intrusi Sebelum Menerapkan Perbaikan Bug Kritis
Lorenz secara aktif kembali ke backdoor lama, memeriksa bahwa mereka masih memiliki akses dan menggunakannya untuk meluncurkan serangan ransomware.

Para peneliti mencatat bahwa memperbarui perangkat lunak ke versi terbaru pada waktu yang tepat merupakan langkah penting dalam mempertahankan jaringan. Namun dalam kasus kerentanan kritis, perusahaan juga harus memeriksa lingkungan mereka untuk upaya eksploitasi dan kemungkinan intrusi.

Selengkapnya: BleepingComputer

Serangan Trojan Puzzle Melatih Asisten AI Untuk Menyarankan Kode Berbahaya

by

Para peneliti di universitas California, Virginia, dan Microsoft telah merancang serangan peracunan baru yang dapat mengelabui asisten pengkodean berbasis AI untuk menyarankan kode berbahaya.

Serangan Trojan Puzzle melewati deteksi statis dan model pembersihan dataset berbasis tanda tangan, sehingga model AI dilatih untuk mempelajari cara mereproduksi muatan berbahaya.

Asisten pengkodean seperti GitHub’s Copilot dan OpenAI’s ChatGPT, menemukan cara terselubung untuk menanamkan kode berbahaya secara sembunyi dalam rangkaian pelatihan model AI dapat menimbulkan konsekuensi yang meluas.

Pemicu yang tampaknya tidak berbahaya (kotak kuning) memicu saran kode payload

Proposal Trojan Puzzle
Serangan Trojan Puzzle baru menghindari memasukkan muatan ke dalam kode dan secara aktif menyembunyikan sebagiannya selama proses pelatihan.

Saat pemicu yang valid diuraikan, machine learning akan merekonstruksi payload dengan mengganti kata acak dengan token berbahaya yang ditemukan dalam pelatihan dengan sendirinya.
pict – Menghasilkan banyak sampel racun untuk membuat asosiasi pemicu-muatan (arxiv.org)

Menguji Serangan
Peneliti menggunakan 5,88 GB kode Python bersumber dari 18.310 repositori untuk digunakan sebagai kumpulan data pembelajaran mesin untuk mengevaluasi Trojan Puzzle.

Trojan Puzzle sulit direproduksi oleh machine learning karena mereka harus mempelajari cara memilih kata kunci yang disamarkan dari frase pemicu dan menggunakannya dalam keluaran yang dihasilkan, sehingga diharapkan kinerja yang lebih rendah pada zaman pertama.

Jumlah saran kode berbahaya (dari 400) untuk zaman 1, 2, dan 3 (arxiv.org)

Bertahan dari Upaya Peracunan
Dalam makalah ini disarankan untuk mengeksplorasi cara mendeteksi dan memfilter file yang berisi sampel buruk yang hampir duplikat yang dapat menandakan injeksi kode berbahaya yang terselubung.

Selengkapnya: BleepingComputer

Kinsing Crypto Malware Memukul Kluster Kubernetes melalui PostgreSQL yang Salah Konfigurasi

by

Pelaku ancaman di balik operasi cryptojacking Kinsing telah terlihat mengeksploitasi server PostgreSQL yang terekspos dan salah konfigurasi untuk mendapatkan akses awal ke lingkungan Kubernetes.

Teknik vektor akses awal kedua memerlukan penggunaan gambar yang rentan, Sunders Bruskin, peneliti keamanan di Microsoft Defender untuk Cloud, mengatakan dalam sebuah laporan minggu lalu

Kinsing memiliki sejarah panjang dalam penargetan lingkungan kemas, sering kali memanfaatkan port API daemon Docker terbuka yang salah konfigurasi serta menyalahgunakan eksploit yang baru diungkapkan untuk menghentikan perangkat lunak penambangan mata uang kripto.

Pelaku ancaman, di masa lalu, juga diketahui menggunakan rootkit untuk menyembunyikan keberadaannya. Sekarang menurut Microsoft, kesalahan konfigurasi di server PostgreSQL telah dikooptasi oleh aktor Kinsing untuk mendapatkan pijakan awal, dengan perusahaan mengamati “sejumlah besar cluster” yang terinfeksi dengan cara ini.

Kesalahan konfigurasi terkait dengan pengaturan autentikasi kepercayaan, yang dapat disalahgunakan untuk terhubung ke server tanda autentikasi apa pun dan mencapai eksekusi kode jika opsi diatur untuk menerima koneksi dari alamat IP mana pun.

Vektor serangan alternatif menargetkan server dengan versi PHPUnit, Liferay, WebLogic, dan WordPress yang rentan yang rentan terhadap eksekusi kode jarak jauh untuk menjalankan muatan berbahaya.

Terlebih lagi, “kampanye luas” baru-baru ini melibatkan penyerang yang memindai port WebLogic default terbuka 7001, dan jika ditemukan, menjalankan perintah shell untuk meluncurkan malware.

sumber : thehackernews

Cacat Keamanan Parah Ditemukan di Perpustakaan “jsonwebtoken” Digunakan oleh 22.000+ Proyek

by

Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan di pustaka open source jsonwebtoken (JWT) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh di server target.

Dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), masalah ini berdampak pada semua versi library, termasuk dan di bawah 8.5.1, dan telah diatasi dalam versi 9.0.0 yang dikirimkan pada 21 Desember 2022. Cacat tersebut telah dilaporkan oleh perusahaan keamanan siber pada 13 Juli 2022.

jsonwebtoken, yang dikembangkan dan dikelola oleh Okta’s Auth0, adalah modul JavaScript yang memungkinkan pengguna mendekode, memverifikasi, dan menghasilkan token web JSON sebagai sarana transmisi informasi yang aman antara dua pihak untuk otorisasi dan otentikasi. Ini memiliki lebih dari 10 juta unduhan mingguan di registri perangkat lunak npm dan digunakan oleh lebih dari 22.000 proyek.

Karena perangkat lunak open source semakin muncul sebagai jalur akses awal yang menguntungkan bagi pelaku ancaman untuk melancarkan serangan rantai pasokan, kerentanan dalam alat tersebut harus diidentifikasi secara proaktif, dimitigasi, dan ditambal oleh pengguna hilir.

Lebih buruk lagi adalah kenyataan bahwa penjahat dunia maya telah menjadi jauh lebih cepat dalam mengeksploitasi kelemahan yang baru terungkap, secara drastis mempersingkat waktu antara rilis tambalan dan ketersediaan eksploitasi. Menurut Microsoft, rata-rata hanya membutuhkan waktu 14 hari untuk mengeksploitasi terdeteksi di alam liar setelah pengungkapan bug secara publik.

Untuk mengatasi masalah penemuan kerentanan ini, Google, bulan lalu, mengumumkan perilisan OSV-Scanner, sebuah utilitas open source yang bertujuan untuk mengidentifikasi semua dependensi transitif suatu proyek dan menyoroti kekurangan relevan yang memengaruhinya.

sumber: thehackernews

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

by

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Pengguna Italia Diperingatkan Tentang Serangan Malware yang Menargetkan Informasi Sensitif

by

Kampanye malware baru telah diamati menargetkan Italia dengan email phishing yang dirancang untuk menyebarkan pencuri informasi pada sistem Windows yang disusupi.

Urutan infeksi multi-tahap dimulai dengan email phishing bertema faktur yang berisi tautan yang, ketika diklik, mengunduh file arsip ZIP yang dilindungi kata sandi, yang menyimpan dua file: file pintasan (.LNK) dan kumpulan (.BAT) mengajukan.

Terlepas dari file mana yang diluncurkan, rantai serangan tetap sama, karena membuka file pintasan mengambil skrip batch yang sama yang dirancanag untuk menginstal muatan pencuri informasi dari repositori GitHub. Ini dicapai dengan memanfaatkan biner PowerShell yang sah yang juga diambil dari Github

Setelah diinstal, malware berbasis C# mengumpulkan metadata sistem, dan informasi dari lusinan browser web (misalnya, cookie, bookmark, kartu kredit, unduhan, dan kredensial), serta nbeberapa dompet mata uang kripto, yang semuanya dikirim ke seorang aktor. domain-terkendali.

Untuk mengurangi serangan tersebut, organisasi disarankan untuk menerapkan “kontrol keamanan yang ketat dan visibilitas berlapis serta solusi keamanan untuk mengidentifikasi dan mendeteksi malware.”

sumber : thehackernews

Lebih dari 1.300 Situs AnyDesk Palsu Mendorong Malware Vidar

by

Kampanye besar-besaran menggunakan lebih dari 1.300 domain untuk menyamar sebagai situs resmi AnyDesk sedang berlangsung, semuanya dialihkan ke folder Dropbox baru-baru ini mendorong malware pencuri informasi Vidar.

AnyDesk adalah aplikasi remote desktop untuk Windows, Linux, dan macOS, untuk konektivitas remote yang aman atau melakukan administrasi sistem.

Pada kampanye terbarunya, analis ancaman SEKOIA crep1x memperingatkan dan membagikan daftar lengkap nama host berbahaya dan seluruh host tersebut menyelesaikan ke alamat IP yang sama, yaitu 185.149.120[.]9.

Situs AnyDesk palsu yang digunakan dalam distribusi Vidar (BleepingComputer)

Semua Situs Mengarah ke Vidar Stealer
Dalam kampanye yang baru saja ditemukan, situs tersebut mendistribusikan malware Vidar yang dikemas dalam bentuk file ZIP bernama ‘AnyDeskDownload.zip’, berpura-pura menjadi penginstal perangkat lunak AnyDesk.

Vidar akan mencuri data sensitif korban dan dikirim kembali ke penyerang untuk menjalankan aktivitas jahat lebih lanjut.

SEKOIA mengungkapkan kampanye distribusi pencuri info secara masif menggunakan 128 situs web yang mempromosikan perangkat lunak yang telah diretas.Belum jelas apakah semua kampanye tersebut terkait dengan situs AnyDesk palsu.

Pengguna disarankan untuk berhati-hati dengan menandai situs yang digunakan untuk mengunduh perangkat lunak, menghindari klik iklan sembarangan, dan menemukan URL resmi proyek perangkat lunak dari sumber terpercaya.

Selengkapnya: BleepingComputer

Peretas Dapat Menyalahgunakan Pasar Visual Studio untuk Menargetkan Pengembang dengan Ekstensi Berbahaya

by

Vektor serangan baru yang menargetkan pasar ekstensi Visual Studio Code dapat dimanfaatkan untuk mengunggah ekstensi berbahaya yang menyamar sebagai mitra sah mereka dengan tujuan meningkatkan serangan rantai pasokan.

Menurut Goldman, seorang peneliti keamanan, teknik tersebut dapat bertindak sebagai titik masuk untuk serangan terhadap banyak organisasi.

Ekstensi VS Code yang dikurasi melalui pasar yang disediakan oleh Microsoft, memungkinkan pengembang menambahkan bahasa pemrograman, debugger, dan alat ke editor kode sumber VS Code untuk menambah alur kerja mereka.

Goldman menemukan bahwa pelaku ancaman juga memungkinkan musuh untuk menggunakan nama yang sama dan detail penerbit ekstensi, termasuk informasi repositori proyek.

Tindakan peretas menyerupai ektensi populer

Metode ini tidak mengizinkan jumlah penginstalan dan jumlah bintang untuk direplikasi, namun fakta bahwa tidak ada batasan pada karakteristik pengenal lainnya menunjukkan bahwa metode ini dapat digunakan untuk menipu pengembang.

Pelaku ancaman dapat membeli domain apa pun, mendaftarkannya untuk mendapatkan tanda centang terverifikasi, dan mengunggah ekstensi trojan dengan nama menyerupai versi sah ke pasar.

Bukan pertama kalinya muncul kekhawatiran tentang ancaman rantai pasokan perangkat lunak di pasar ekstensi VS Code. Pada Medi 2021, firma keamanan perusahaan Snyk menemukan sejumlah kelemahan keamanan dalam ekstensi VS Code populer dengan jutaan unduhan yang dapat disalahgunakan oleh pelaku ancaman untuk membahayakan lingkungan pengembang.

Selengkapnya: BleepingComputer